对ssh的简单理解

ssh:secure shell,protocol,22、tcp安全的远程登录

具体的软件实现:
openssh:ssh协议的开源实现,centos默认安装
dropbear:另一个开源实现
ssh协议版本
v1:基于crc-32做MAC,不安全;man-in-middle 已淘汰
v2:双方主机协议选择安全的MAC方式
基于DH算法做密钥交换,基于RSA或DSA实现身份认证
两种方式的用户登录认证
基于password
基于key

openssh软件组成
相关包:openssh,openssh-clients,openssh-server
工具:
基于C/S结构
client:ssh,scp,sftp,slogin
windows客户端:
xshell,putty,securecrt,sshsecureshellclient
server:sshd
ssh客户端:
ssh,配置文件: /etc/ssh/ssh_config
命令格式 : ssh [user@]host [命令]
ssh [-l user] host [命令]
选项: -p port 远程服务监听的端口
-b 指定链接的源ip
-v 调试模式,显示链接的详细过程
-c:压缩方式
-X 支持x11转发
-y 支持信任x11转发
-f 强制伪tty分配
允许实现对远程系统经验证的加密安全访问
当用户远程链接ssh服务器时,会复制ssh服务器/etc/ssh/ssh_host*key.pub(centos7默认是ssh_host_ecdsa_key.pub)文件中的公钥到客户机的~./ssh/know_hosts中。下次链接时,会自动匹配到相应的私钥,不能匹配,将拒绝链接。
ssh服务登录验证方式:
用户/口令
基于密钥
基于用户口令登录验证

1.
1. 客户端发起请求,服务器会把自己的公钥发送给用户
2. 用户会根据服务器发来的公钥对密码进行加密
3. 加密后的信息回传给服务器,服务器用自己的密钥解密,如果密码正确,则用户登陆成功。

基于密钥登录方式

1.
1. 首先在客户端生成一对密钥(ssh-keygen 命令,可交互式设置)
2. 将客户端的公钥ssh-copy-id 拷贝到服务器端
3. 当客户端再次发送一个链接请求,包括ip、用户名
4. 服务端得到客户端的请求后,会到authorized_keys中查找,如果有响应的IP和用户,就会随机生成一个字符串,例如:cadf
5. 服务端将使用客户端拷贝过来的公钥进行加密,然后发送给客户端
6. 得到服务端发来的消息后,客户端会使用私钥进行解密,然后将解密后的字符串发送给服服务端
7. 服务端接收到客户端发来的字符串后,跟之前的字符串进行比对,如果一直就允许免密码登录。

基于密钥认证的实现方法。

1.
1. 在客户端生成密钥对
1. ssh-keygen -t rsa [-p ”] [-f “~/.ssh/id_sra”]

2. 把公钥文件传输至远程服务器对应用户的家目录
1. ssh-copy-id [-i [identity_file]] [user@]host

3. 测试 测试是否已经成功。

重新设置私钥口令
ssh-keygen -p
验证代理 (authentication agent) 保密解密后的密钥

1.
1. 这样口令就只需要输入一次
2. 在GNOME中,代理被自动提供给root用户
3. 否则运行ssh-agent bash

钥匙通过命令添加给代理
ssh-add
scp命令
实现从远程拷贝到本机,或者从本机拷贝到远程。
scp 选项 源 目的地址
详细格式:
scp 选项 [user@]host:/文件路径 /文件路径
scp 选项 /文件路径 [user@]host:/文件路径
常用选项
-c:压缩数据流
-r:递归复制
-p:保持原文件属性信息
-q:静默模式
-P 端口号:指明remote host的监听的端口
rsync命令:
基于ssh和rsh服务实现高效率的远程系统之间复制文件
使用安全的shell连接作为传输方式
rsync -av /etc server1:/tmp 复制目录和目录下的文件
rsync -av /etc/ server1:/tmp 只复制目录下的文件
比scp更快,只复制不同的文件
选项:
-n 模拟复制过程
-v 详细显示过程
-r 递归复制目录树
-p 保留权限
-t 保留时间戳
-g 保留组信息
-o 保留所有者信息
-l 将软连接文件本身进行复制(默认)
-L 将软链接文件指向的文件复制
-a 存档,相当于-rlptgoD,但不保留ACL(-A)和selinux属性(-X)
sftp命令:
交互式文件传输工具
用法和传统的ftp工具相似
利用ssh服务实现安全的文件上传和下载
使用ls cd mkdir rmdir pwd get put 等指令,可用?或help获取帮助信息、也可(!命令 操作本机)
sftp [user@]host
sftp > help

ssh端口转发
ssh会自动加密和解密所有ssh客户端与服务器端之间的网络数据。但是,ssh还能够将其他tcp端口的网络数据通过ssh链接来转发,并且自动提供了相应的加密及解密服务。这一过程也被叫做“隧道”(tunneling),这是因为ssh为其他tcp链接提供了一个安全的通道来进行传输而得名。例如,telent,SMTP,LDAP这些tcp应用均能够从中得益,避免了用户名,密码以及隐私信息的明文传输。而与此同时,如果工作环境中的防火墙限制了一些网络端口的使用,但是允许ssh的连接,也能够通过将tcp端口转发来使用ssh进行通讯。
ssh端口转发能够提供两大功能:
加密ssh client 端至ssh server端之间的通讯数据
突破防火墙的限制完成一些之前无法建立的tcp连接
本地端口转发
-L 本机端口号:目标ip:目标端口 -N 中转的ip
-f 后台启用 -N 不打开远程shell,处于登录状态 -g 启用网关功能
示例:ssh -L 9527:telnetrv:23 -N sshsrv
telnet 127.0.0.1 9527
当访问本机的9527的端口时,被加密后转发到sshsrv的ssh服务,在解密被转发到telnetsrv:23
远程转发:
-R 9527:目标主机ip:目标主机端口 -N sshsrv
示例:让sshsrv侦听9527端口的访问,如有访问,就加密后通过ssh服务转发请求到本机ssh客户端,再由本机解密后转发到telnetsrv:23
动态端口转发:
当用firefox访问internet时,本机的1080端口作为代理服务器,firefox的访问请求被转发到sshsserver上,由sshserver替之访问internet。
相当于,需要的数据全都经由服务器中转访问。
在本机firefox设置代理socket proxy:127.0.0.1:1080
ssh -D 1080 root@sshserver
图形转发
所有图形化应用程序都是X客户程序
能够通过tcp/ip连接远程X服务器
数据没有加密机,但是它通过ssh连接隧道安全进行
ssh -X user@remotehost gedit
remotehost主机上的gedit工具,将会显示在本机的X服务器上
传输的数据将通过ssh连接加密
ssh服务器端的配置文件
sshd,配置文件:/etc/ssh/sshd_config man帮助 man sshd_config
常用参数
port
listenaddress ip
logingracetime 2m
permintrootlogin yes
strictmodes yes
maxauthtries 6
maxsessions 10
pubkeyauthentication yes
permitemptypasswords no
passwordauthentication yes
gatewayports no
clientaliveinterval (单位秒)
clientalivecountmax (默认3)
usedns yes
gssapiauthentication yes
maxstartups 未认证的连接数最大值,默认值 10 也指并发链接数
banner /path/file
限制可登录用户的办法
AllowUsers user1 user2 user3
DenyUser
AllowGroups
DenyGroups
ssh服务的安全配置思想
不要使用默认端口
禁止使用protocol version 1
限制可登录用户
设定空闲会话超时时间
利用防火墙设置ssh访问策略
仅监听特定的IP地址
基于口令认证时,使用强密码策略
tr -dc A-Za-z0-9_ < /dev/urandom |head -30 |xargs
使用基于密钥的认证
禁止使用空密码
禁止root用户直接登录
限制ssh的访问频度和并发在线数
做好日志,经常分析

本文来自投稿,不代表Linux运维部落立场,如若转载,请注明出处:http://www.178linux.com/87598

(0)
何必呢何必呢
上一篇 2017-09-29 10:29
下一篇 2017-09-30 12:18

相关推荐

  • 管道和用户管理权限

           一周的时间又过去了,感觉过得太快了,但是过得很充实,这就够啦!把在平时的学习中觉得重要有意义的地方记录下来,希望可以对自己以后的学习有所帮助! 1.把/etc/issue转化为大写,并重定向到issue.out. 管道的作用很强大,|将正确的结果重定向给下一条命令;连接命令;一页一页地…

    2017-07-22
  • parted使用说明

    一.为什么使用parted命令     传统的MBR(Master Boot Record)分区方式,有一个局限:无法支持超过2TB的硬盘分区(单个分区超过2TB)。     GPT(GUID Partition Table)的分区表很好的解决了这个问题,但在Linux系统中,传…

    Linux干货 2015-04-13
  • centos6启动故障及修复

    前言 前文中我们熟悉了linux的启动流程,如果在启动过程中文件丢失或者损坏了怎么办呢?难道只有重装系统这一条路吗?那我们不是成了普通网管了吗?作为专业的运维工程师,我们需要掌握如何快速修复系统启动。 实验1: 破坏/boot/grup/下的文件——-stage2 阶段  不影响启动  mv /boot/grub …

    2017-09-03
  • Linux终端类型

    前言     终端是一种字符型设备,它有多种类型,通常使用tty来简称各种类型的终端设备。而linux的终端类型有物理终端,虚拟终端,串行终端,伪终端。  1.物理终端  /dev/console     在linux系统中,计算机显示器通常被称为控制台终端(console)。系统控制台,和系统相关…

    Linux干货 2016-10-14
  • LVM管理

    LVM管理

    2017-12-28
  • vim用法小结

    vim使用: 使用vi和vim的三种主要模式 : 命令模式,插入模式,扩展模式    扩展模式: w:写入磁盘文件 wq:写入并退出 x:写入并退出 q:退出 q!不存盘退出,即使更改都将丢失 r filename:读文件内容到当前文件中 w filenane: 将当前文件内容写入到另一个…

    Linux干货 2016-08-12