主页
产品
Red Hat Enterprise Linux
9
使用 RHEL 系统角色自动化系统管理
25.2. 使用 sshd RHEL 系统角色配置 OpenSSH 服务器

25.2. 使用 sshd RHEL 系统角色配置 OpenSSH 服务器

您可以使用 sshd RHEL 系统角色配置多个 OpenSSH 服务器。这些措施通过以下方式来确保远程用户的安全通信环境：

管理来自远程客户端的传入 SSH 连接
凭证验证
保护数据传输和命令执行

注意

您可以将 sshd RHEL 系统角色与其他更改 SSHD 配置的 RHEL 系统角色（如 Identity Management RHEL 系统角色）一起使用。要防止配置被覆盖，请确保 sshd RHEL 系统角色使用命名空间(RHEL 8 及更早版本)或置入目录(RHEL 9)。

先决条件

您已准备好控制节点和受管节点。
您以可在受管主机上运行 playbook 的用户身份登录到控制节点。
您用于连接到受管节点的帐户对它们具有 sudo 权限。

流程

创建一个包含以下内容的 playbook 文件，如 ~/playbook.yml ：

---
- name: SSH server configuration
  hosts: managed-node-01.example.com
  tasks:
    - name: Configure sshd to prevent root and password login except from particular subnet
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.sshd
      vars:
        sshd_config:
          PermitRootLogin: no
          PasswordAuthentication: no
          Match:
            - Condition: "Address 192.0.2.0/24"
              PermitRootLogin: yes
              PasswordAuthentication: yes

---
- name: SSH server configuration
  hosts: managed-node-01.example.com
  tasks:
    - name: Configure sshd to prevent root and password login except from particular subnet
      ansible.builtin.include_role:
        name: redhat.rhel_system_roles.sshd
      vars:
        sshd_config:
          PermitRootLogin: no
          PasswordAuthentication: no
          Match:
            - Condition: "Address 192.0.2.0/24"
              PermitRootLogin: yes
              PasswordAuthentication: yes

Copy to Clipboard

Toggle word wrap

示例 playbook 中指定的设置包括如下：

PasswordAuthentication: yes|no: 控制 OpenSSH 服务器(sshd)是否接受来自使用用户名和密码组合的客户端的身份验证。
Match:: 匹配块只允许使用来自子网 192.0.2.0/24 的使用密码的 root 用户登录。

有关 playbook 中使用的角色变量和 OpenSSH 配置选项的详情，请查看控制节点上的 /usr/share/ansible/roles/rhel-system-roles.sshd/README.md 文件和 sshd_config (5) 手册页。

验证 playbook 语法：
```
ansible-playbook --syntax-check ~/playbook.yml
```
```
$ ansible-playbook --syntax-check ~/playbook.yml
```
Copy to Clipboard Toggle word wrap
请注意，这个命令只验证语法，不能防止错误的、但有效的配置。
运行 playbook：
```
ansible-playbook ~/playbook.yml
```
```
$ ansible-playbook ~/playbook.yml
```
Copy to Clipboard Toggle word wrap

验证

登录到 SSH 服务器：
```
ssh <username>@<ssh_server>
```
```
$ ssh <username>@<ssh_server>
```
Copy to Clipboard Toggle word wrap

验证 SSH 服务器上 sshd_config 文件的内容：

cat /etc/ssh/sshd_config.d/00-ansible_system_role.conf
#
Ansible managed
#
PasswordAuthentication no
PermitRootLogin no
Match Address 192.0.2.0/24
  PasswordAuthentication yes
  PermitRootLogin yes

$ cat /etc/ssh/sshd_config.d/00-ansible_system_role.conf
#
# Ansible managed
#
PasswordAuthentication no
PermitRootLogin no
Match Address 192.0.2.0/24
  PasswordAuthentication yes
  PermitRootLogin yes

Copy to Clipboard

Toggle word wrap

检查您是否可以以 root 用户身份从 192.0.2.0/24 子网连接到服务器：
1. 确定您的 IP 地址：
  $ hostname -I 192.0.2.1
  Copy to Clipboard Toggle word wrap
  如果 IP 地址在 192.0.2.1 - 192.0.2.254 范围内，您可以连接到服务器。
2. 以 root 用户身份连接到服务器：
  $ ssh root@<ssh_server>
  Copy to Clipboard Toggle word wrap

返回顶部

25.2. 使用 sshd RHEL 系统角色配置 OpenSSH 服务器

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links