System Setting Others (系统设置其它)

步骤一：确定 CRYPTO_POLICY 参数没有生效

1.1 确定 /etc/ssh/sshd_config 文件

# vim /etc/ssh/sshd_config

确保部分内容如下：

......
Include /etc/ssh/sshd_config.d/*.conf
......
Include /usr/etc/ssh/sshd_config.d/*.conf
......

1.2 确定 /usr/etc/ssh/sshd_config.d/.conf 文件或者 /etc/ssh/sshd_config.d/.conf 文件

# vim /etc/ssh/sshd_config.d/*.conf

或者：

# vim /usr/etc/ssh/sshd_config.d/*.conf

确保部分内容如下：

......
Include /etc/crypto-policies/back-ends/opensshserver.config
......

步骤二：在 /etc/crypto-policies/back-ends/opensshserver.config 配置文件中确认要使用的 Ciphers、MACs 和 KexAlgorithm 参数

2.1 备份 /etc/crypto-policies/back-ends/opensshserver.config 配置文件

# cp /etc/crypto-policies/back-ends/opensshserver.config /etc/crypto-policies/back-ends/opensshserver.config.backup

2.2 修改 /etc/crypto-policies/back-ends/opensshserver.config 配置文件

# vim /etc/crypto-policies/back-ends/opensshserver.config

添加需要使用的 SSH 算法（algorithms）和加密方式（ciphers）：

（内容略）

（注意：如果需要使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm），已包含在其中了则可以不用添加）

2.3 显示目前正在被使用的 SSH 算法（algorithms）和加密方式（ciphers）

# cat /etc/crypto-policies/back-ends/opensshserver.config
Ciphers aes256-gcm@openssh.com,aes256-ctr,aes128-gcm@openssh.com,aes128-ctr
MACs hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,hmac-sha2-512
GSSAPIKexAlgorithms gss-nistp256-sha256-,gss-group14-sha256-,gss-group16-sha512-
KexAlgorithms ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512
HostKeyAlgorithms ecdsa-sha2-nistp256,ecdsa-sha2-nistp256-cert-v01@openssh.com,sk-ecdsa-sha2-nistp256@openssh.com,sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519,ssh-ed25519-cert-v01@openssh.com,sk-ssh-ed25519@openssh.com,sk-ssh-ed25519-cert-v01@openssh.com,rsa-sha2-256,rsa-sha2-256-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-512-cert-v01@openssh.com
PubkeyAcceptedAlgorithms ecdsa-sha2-nistp256,ecdsa-sha2-nistp256-cert-v01@openssh.com,sk-ecdsa-sha2-nistp256@openssh.com,sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519,ssh-ed25519-cert-v01@openssh.com,sk-ssh-ed25519@openssh.com,sk-ssh-ed25519-cert-v01@openssh.com,rsa-sha2-256,rsa-sha2-256-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-512-cert-v01@openssh.com
HostbasedAcceptedAlgorithms ecdsa-sha2-nistp256,ecdsa-sha2-nistp256-cert-v01@openssh.com,sk-ecdsa-sha2-nistp256@openssh.com,sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519,ssh-ed25519-cert-v01@openssh.com,sk-ssh-ed25519@openssh.com,sk-ssh-ed25519-cert-v01@openssh.com,rsa-sha2-256,rsa-sha2-256-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-512-cert-v01@openssh.com
CASignatureAlgorithms ecdsa-sha2-nistp256,sk-ecdsa-sha2-nistp256@openssh.com,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-ed25519,sk-ssh-ed25519@openssh.com,rsa-sha2-256,rsa-sha2-512
RequiredRSASize 2048

（补充：这里以显示 openSUSE & SLES 默认使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）为例）

步骤三：让在 /etc/crypto-policies/back-ends/opensshserver.config 配置文件中添加要使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）生效

# systemctl restart sshd

步骤四：测试 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）

4.1 测试 SSH 加密方式（cipher）

4.1.1 测试某个 SSH 加密方式（cipher）

# ssh -vv -oCiphers=3des-cbc -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 3des-cbc SSH 加密方式（cipher）为例）

4.1.2 测试多个 SSH 加密方式（cipher）

# ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 3des-cbc、aes128-cbc、aes192-cbc 和 aes256-cbc SSH 加密方式（cipher）为例）

4.2 测试 SSH 信息验证代码（message authentication code）

4.2.1 测试某个 SSH 信息验证代码（MESSAGE AUTHENTICATION CODE）

# ssh -vv -oMACs=hmac-md5 -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 hmac-md5 SSH 信息验证代码（message authentication code）为例）

4.2.2 测试多个 SSH 信息验证代码（MESSAGE AUTHENTICATION CODE）

# ssh -vv -oMACs=hmac-md5,hmac-md5-96,hmac-sha1,hmac-sha1-96,hmac-md5-etm@openssh.com,hmac-md5-96-etm@openssh.com -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 hmac-md5、hmac-md5-96、hmac-sha1、hmac-sha1-96、hmac-md5-etm@openssh.com 和 hmac-md5-96-etm@openssh.com SSH 信息验证代码（message authentication code）为例）

4.3 显示所有在使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）

4.3.1 使用 SSHD 命令显示所有在使用的加密方式（cipher）、信息验证代码（MESSAGE AUTHENTICATION CODE）

# sshd -T | egrep -i "ciphers|macs|kexalgorithms"

4.3.2 使用 NMAP 命令显示所有在使用的 SSH 加密方式（cipher）、信息验证代码（MESSAGE AUTHENTICATION CODE）和算法（ALGORITHM）

# nmap --script ssh2-enum-algos -sV -p 22 127.0.0.1

（补充：这里以测试本地的 22 端口为例）

4.3.3 使用 NMAP 命令显示所有在使用的 SSH 加密方式（cipher）、信息验证代码（MESSAGE AUTHENTICATION CODE）和算法（ALGORITHM）

# ssh -vvv 127.0.0.1

（补充：这里以测试本地的 22 端口为例）

内容一：限制用户 SSH 登录的参数

1) DenyUsers
2) AllowUsers
3) DenyGroups
4) AllowGroups

内容二：限制用户 SSH 登录的案例

2.1 案例一：允许来自某个 IP 地址的所有用户都可以登录

AllowUsers *@127.0.0.1

（补充：这里以允许来自 IP 地址 127.0.0.1 的所有用户都可以登录为例）

2.2 案例二：允许来自某个网段的所有用户都可以登录

AllowUsers *@10.0.0.*

（补充：这里以允许来自网段 10.0.0.0/24 的所有用户都可以登录为例）

2.3 案例三：允许某个用户可以从所有 IP 地址登录

AllowUsers root@*

（补充：这里以允许 root 用户可以从所有 IP 地址登录为例）

2.4 案例四：应许某个用户可以从某个网段登录

AllowUsers root@10.0.0.*

（补充：这里以允许 root 用户可以从网段 10.0.0.0/24 登录为例）

2.5 案例五：应许某个用户可以从某个 IP 地址登录

AllowUsers root@10.0.0.1

（补充：这里以允许 root 用户可以从 IP 地址 10.0.0.0/24 登录为例）

服务名称	NTP	systemd-timesyncd	Chrony
协议名称	NTP	SNTP	NTP
特点	高精度	轻量级	快速同步
适用建议	数据中心、科研机构	桌面电脑、小型服务器	不稳定的网络环境

Category: System Setting Others (系统设置其它)

[内容] Linux 设置环境变量的案例（添加命令路径）

内容一：临时设置命令路径

1.1 直接临时设置命令路径的方法

1.2 使用 export 命令临时设置命令路劲的方法

内容二：永久设置命令路径

2.1 在可以设置环境变量的文件里设置环境变量

2.2 让刚刚在文件里设置的环境变量生效

内容三：在 Linux 中其它可以添加命令路径的文件

[内容] Linux 不同时间同步服务的区别

[内容] Linux 限制用户 SSH 登录的案例

内容一：限制用户 SSH 登录的参数

内容二：限制用户 SSH 登录的案例

2.1 案例一：允许来自某个 IP 地址的所有用户都可以登录

2.2 案例二：允许来自某个网段的所有用户都可以登录

2.3 案例三：允许某个用户可以从所有 IP 地址登录

2.4 案例四：应许某个用户可以从某个网段登录

2.5 案例五：应许某个用户可以从某个 IP 地址登录

步骤一：确定 CRYPTO_POLICY 参数没有生效

1.1 确定 /etc/ssh/sshd_config 文件

1.2 确定 /usr/etc/ssh/sshd_config.d/*.conf 文件或者 /etc/ssh/sshd_config.d/*.conf 文件

步骤二：在 /etc/crypto-policies/back-ends/opensshserver.config 配置文件中确认要使用的 Ciphers、MACs 和 KexAlgorithm 参数

2.1 备份 /etc/crypto-policies/back-ends/opensshserver.config 配置文件

2.2 修改 /etc/crypto-policies/back-ends/opensshserver.config 配置文件

2.3 显示目前正在被使用的 SSH 算法 （algorithms） 和加密方式 （ciphers）

步骤三：让在 /etc/crypto-policies/back-ends/opensshserver.config 配置文件中添加要使用的 SSH 加密方式 （cipher） 、信息验证代码 （message authentication code） 和算法 （algorithm） 生效

步骤四：测试 SSH 加密方式 （cipher） 、信息验证代码 （message authentication code） 和算法 （algorithm）

4.1 测试 SSH 加密方式 （cipher）

4.1.1 测试某个 SSH 加密方式 （cipher）

4.1.2 测试多个 SSH 加密方式 （cipher）

4.2 测试 SSH 信息验证代码 （message authentication code）

4.2.1 测试某个 SSH 信息验证代码 （MESSAGE AUTHENTICATION CODE）

4.2.2 测试多个 SSH 信息验证代码 （MESSAGE AUTHENTICATION CODE）

4.3 显示所有在使用的 SSH 加密方式 （cipher） 、信息验证代码 （message authentication code） 和算法 （algorithm）

4.3.1 使用 SSHD 命令显示所有在使用的加密方式 （cipher） 、信息验证代码 （MESSAGE AUTHENTICATION CODE）

4.3.2 使用 NMAP 命令显示所有在使用的 SSH 加密方式 （cipher） 、信息验证代码 （MESSAGE AUTHENTICATION CODE） 和算法 （ALGORITHM）

4.3.3 使用 NMAP 命令显示所有在使用的 SSH 加密方式 （cipher） 、信息验证代码 （MESSAGE AUTHENTICATION CODE） 和算法 （ALGORITHM）

内容一：临时设置命令路径

1.1 直接临时设置命令路径的方法

1.2 使用 export 命令临时设置命令路劲的方法

内容二：永久设置命令路径

2.1 在可以设置环境变量的文件里设置环境变量

2.2 让刚刚在文件里设置的环境变量生效

内容三：在 Linux 中其它可以添加命令路径的文件

内容一：限制用户 SSH 登录的参数

内容二：限制用户 SSH 登录的案例

2.1 案例一：允许来自某个 IP 地址的所有用户都可以登录

2.2 案例二：允许来自某个网段的所有用户都可以登录

2.3 案例三：允许某个用户可以从所有 IP 地址登录

2.4 案例四：应许某个用户可以从某个网段登录

2.5 案例五：应许某个用户可以从某个 IP 地址登录

内容一：Linux 登录终端的分类

内容二：不同的登录终端会被使用的情况

2.1 pts （伪终端） 会被使用到的情况

2.2 tty* （图形终端） 会被使用到的情况

2.3 ttyS* （串行口终端） 会被使用到的情况

内容三：登录终端类型的管理

3.1 查看当前使用的登录终端类型

3.2 设置当前系统允许使用的 登录终端类型

1.2 确定 /usr/etc/ssh/sshd_config.d/.conf 文件或者 /etc/ssh/sshd_config.d/.conf 文件

2.3 显示目前正在被使用的 SSH 算法（algorithms）和加密方式（ciphers）

步骤三：让在 /etc/crypto-policies/back-ends/opensshserver.config 配置文件中添加要使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）生效

步骤四：测试 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）

4.1 测试 SSH 加密方式（cipher）

4.1.1 测试某个 SSH 加密方式（cipher）

4.1.2 测试多个 SSH 加密方式（cipher）

4.2 测试 SSH 信息验证代码（message authentication code）

4.2.1 测试某个 SSH 信息验证代码（MESSAGE AUTHENTICATION CODE）

4.2.2 测试多个 SSH 信息验证代码（MESSAGE AUTHENTICATION CODE）

4.3 显示所有在使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）

4.3.1 使用 SSHD 命令显示所有在使用的加密方式（cipher）、信息验证代码（MESSAGE AUTHENTICATION CODE）

4.3.2 使用 NMAP 命令显示所有在使用的 SSH 加密方式（cipher）、信息验证代码（MESSAGE AUTHENTICATION CODE）和算法（ALGORITHM）

4.3.3 使用 NMAP 命令显示所有在使用的 SSH 加密方式（cipher）、信息验证代码（MESSAGE AUTHENTICATION CODE）和算法（ALGORITHM）

2.1 pts （伪终端）会被使用到的情况

2.2 tty* （图形终端）会被使用到的情况

2.3 ttyS* （串行口终端）会被使用到的情况

3.2 设置当前系统允许使用的登录终端类型