OpenSSH

一、 前言

使用SSH可以在本地主机和远程服务器之间进行加密地传输数据，实现数据的安全。而OpenSSH是SSH协议的免费开源实现，它采用安全、加密的网络连接工具代替了telnet、ftp等古老明文传输工具。

SSH（Secure Shell）是建立在应用层和传输层基础上的安全协议。SSH是目前较可靠，专为远程登陆会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。

SSH可以将所有的传输数据加密，这样“中间人”这种攻击方式就不可能实现了，而且也可以防止DNS和IP欺骗。还有一个额外的好处就是传输的数据经过压缩的，可以加快传输的速度。

二、 SSH工作原理

SSH是由服务端和客户端的软件组成，服务端是一个守护进程，它在后台运行并响应来自客户端的连接请求。

SSH的工作机制大体是：本地客户端发送一个连接请求到远程的服务端，服务端检查申请的包和IP地址再发送密钥给SSH客户端，本地再将密钥发回给服务端，到此为止，连接建立。

启动SSH服务器后，sshd进程运行并在默认的22端口进行监听。安全验证方式：

基于口令的安全验证（账号密码），也有可能受到中间人攻击

基于密钥的安全验证，就是提供一对密钥，把公钥放在需要访问的服务器上，如果连接到SSH服务器上，客户端就会向服务器发出请求，请求用密钥进行安全验证，服务器收到请求之后，先在改服务器的主目录下寻找公钥，然后把它和发送过来的公钥进行比较。如果两个密钥一致，服务器就用公钥加密“质询”并把它发送给客户端。客户端收到“质询”之后就可以用私钥解密再把它发给服务器端。基于这种方式，相对比较安全。

三、OpenSSH服务器安装和配置，客户端一般都有

先查看Linux系统中openssh-server、openssh、openssh-clients、openssh-askpass软件包是否已经安装，如果没有则安装。

依赖关系太多了，固用yum方式安装：yum install openssh-askpass -y

好了，都装好了。

四、客户端配置

ssh: 配置文件 /etc/ssh/ssh_config

1、客户端程序

ssh [options] [user@]host [COMMAND]
ssh [-l user] [options] host [COMMAND]

常用选项：
-l user：以指定的用户登录远程主机；
-p port：用于指明远程服务器的端口；远程服务器端口可变。
-X：支持 X11 转发；
-Y：支持信任的 X11 转发；
    X：协议； x-window, C/S
    X11 转发的作用：在本地显示远程主机上的图形窗口；
    前提：本地是 X 图形界面，或者提供了 x service；
-o StrictHostKeyChecking=no  是不是要对主机严格检查，建议no。


ssh 支持的用户认证方式：
    基于口令的认证；
    基于密钥的认证；
(1) 在本地主机生成一对儿密钥：
    ssh-keygen [-q] [-b bits] [-t type] [-f output_keyfile] [-P passphrase]

    -t {rsa|ecdsa|dsa}：公钥加密算法类型；
    -b bits：指明密钥长度；
    -P passphrase：私钥加密密码；
    -f output_keyfile：生成密钥的保存位置；

(2) 在本地主机上，将公钥复制到要登录的远程主机的某用户的家目录下的特定文件中(~/.ssh/authorized_keys)

    ssh-copy-id [-i [identity_file]] [-p port] [-o ssh_option][user@]hostname

(3) 测试
    ssh user@host

例子：客户端ip：192.168.1.120 服务端ip：192.168.1.109

生成公钥：

测试：

删除密钥 ：rm -rf .ssh/id_rsa*

2、scp命令，类似与cp

将本地的/etc/fstab 复制到服务端主机的/tmp目录下

将远程主机上的的/root/1.sh复制过来

3、sftp安全的文件传输程序，类似于ftp，它的所有操作都是加密ssh传输。

连接至远程主机，可以get一些资源

五、服务器端配置

sshd：配置文件 /etc/ssh/sshd_config

几个主要的配置如下：

Port 22   服务器监听的端口，默认为22

ListenAddress 0.0.0.0   服务器端的ip地址
Protocol 2              ssh protocol有两个版本，1不安全
PermitRootLogin yes 设置root用户能否使用ssh登陆  建议用no
UseDNS no   要不要反解用户的主机名

限制可登录的用户（配置文件）：
    AllowUsers user1 user2 user3 ...   白名单
    AllowGroups grp1 grp2 ...
    DenyUsers user1 user2 ...
    DenyGroups grp1 grp2 ...        黑名单

CentOS 6：
    服务脚本：/etc/rc.d/init.d/sshd
CentOS 7：
    Systemd Unit File：/usr/lib/systemd/system/sshd.service

六、ssh 服务的最佳实践：

1、不要使用默认端口；

2、禁止使用 protocol version 1；

3、限制可登录的用户；

4、设定空闲会话超时时长；

5、利用防火墙设置 ssh 访问策略；

6、仅监听特定的 IP 地址；

7、基于口令认证时，使用强密码策略； tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30 | xargs

8、使用基于密钥的认证；

9、禁止使用空密码；

10、禁止 root 用户直接登录；

11、限制 ssh 的访问频度和并发在线数；

12、做好日志，经常分析； /var/log/secure