RHCE桥接免密登录和修改端口号的方法是什么

# RHCE桥接免密登录和修改端口号的方法是什么

## 前言

在Linux系统管理中，实现安全的远程登录是运维工程师的必备技能。RHCE（Red Hat Certified Engineer）认证考试中，SSH的配置与管理是重要考点之一。本文将详细介绍如何通过桥接网络实现SSH免密登录，以及如何修改SSH默认端口号来增强系统安全性。

---

## 一、SSH免密登录原理与配置

### 1. SSH免密登录工作原理
SSH免密登录基于**公钥加密体系**实现：
- 客户端生成密钥对（公钥+私钥）
- 公钥上传至服务端的`~/.ssh/authorized_keys`文件
- 登录时客户端用私钥签名，服务端用公钥验证

### 2. 具体配置步骤

#### 环境准备
```bash
# 检查SSH服务状态（服务端）
systemctl status sshd

# 如果没有安装
yum install -y openssh-server

生成密钥对（客户端操作）

ssh-keygen -t rsa -b 4096  # 推荐使用RSA 4096位加密

生成的文件默认保存在： - 私钥：~/.ssh/id_rsa - 公钥：~/.ssh/id_rsa.pub

上传公钥到服务端

方法一：使用ssh-copy-id工具

ssh-copy-id -i ~/.ssh/id_rsa.pub user@server_ip

方法二：手动复制（当ssh-copy-id不可用时）

# 客户端操作
cat ~/.ssh/id_rsa.pub | ssh user@server_ip "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"

# 服务端设置权限
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

测试免密登录

ssh user@server_ip  # 应该可以直接登录

3. 排错技巧

• 检查服务端/var/log/secure日志
• 确保SELinux未阻止操作：

  
  restorecon -Rv ~/.ssh
  

• 检查文件权限是否正确

---

二、修改SSH默认端口号

1. 为什么要修改端口

• 减少暴力破解攻击
• 满足企业安全合规要求
• 避免与内部其他服务冲突

2. 详细配置流程

编辑SSH配置文件

vim /etc/ssh/sshd_config

找到并修改：

#Port 22  # 取消注释并修改
Port 2222  # 示例端口号

防火墙放行新端口

# Firewalld配置
firewall-cmd --permanent --add-port=2222/tcp
firewall-cmd --reload

# 或iptables配置
iptables -I INPUT -p tcp --dport 2222 -j ACCEPT
service iptables save

SELinux策略调整

semanage port -a -t ssh_port_t -p tcp 2222

重启SSH服务

systemctl restart sshd

测试新端口连接

ssh -p 2222 user@server_ip

3. 多端口监听配置

如果需要同时监听多个端口：

Port 22
Port 2222

然后分别放行防火墙规则。

---

三、桥接网络环境下的特殊配置

1. 桥接网络特点

• 虚拟机通过虚拟网桥直接连接物理网络
• 具有与物理机同网段的独立IP
• 需要确保桥接接口已正确配置

2. 桥接模式下的注意事项

网络连通性检查

# 查看桥接接口
brctl show

# 测试网络连通性
ping -c 4 gateway_ip

SSH配置调整

如果存在多网卡情况，可以绑定监听接口：

ListenAddress 192.168.1.100  # 指定桥接IP

---

四、安全加固建议

1. 禁用root登录：

   PermitRootLogin no
   

2. 限制登录用户：

   AllowUsers admin user1
   

3. 启用失败锁定：

   # 在/etc/pam.d/sshd中添加
   auth required pam_faillock.so preauth silent deny=5 unlock_time=900
   

4. 定期更新密钥：

   ssh-keygen -t rsa -b 4096 -f ~/.ssh/id_rsa_new -N ""
   

---

五、常见问题解决方案

问题1：公钥认证失败

• 检查服务端/etc/ssh/sshd_config：

  
  PubkeyAuthentication yes
  AuthorizedKeysFile .ssh/authorized_keys
  

问题2：端口修改后无法连接

• 检查防火墙规则
• 验证SELinux上下文
• 使用netstat -tulnp | grep ssh确认监听端口

问题3：桥接网络SSH连接超时

• 确认虚拟机桥接配置正确
• 检查物理网络是否禁止非标准端口

---

结语

通过本文的详细步骤，您应该已经掌握了： 1. SSH免密登录的完整配置流程 2. 修改SSH端口的安全操作方法 3. 桥接网络环境下的特殊注意事项

建议在实际生产环境中，结合防火墙策略和入侵检测系统（如fail2ban）进行综合防护。定期审计SSH登录日志（/var/log/secure）也是良好的安全实践。

注意：本文示例基于RHEL/CentOS 7/8系统，其他发行版可能需要调整部分命令。 “`

这篇约1400字的文章采用Markdown格式编写，包含代码块、列表、标题层级等标准元素，完整覆盖了RHCE考试相关的SSH配置要点，同时提供了实用排错建议和安全加固方案。