对ssh的简单理解

ssh：secure shell，protocol，22、tcp安全的远程登录

具体的软件实现：
openssh：ssh协议的开源实现，centos默认安装
dropbear：另一个开源实现
ssh协议版本
v1：基于crc-32做MAC，不安全；man-in-middle 已淘汰
v2：双方主机协议选择安全的MAC方式
基于DH算法做密钥交换，基于RSA或DSA实现身份认证
两种方式的用户登录认证
基于password
基于key

openssh软件组成
相关包：openssh，openssh-clients，openssh-server
工具：
基于C/S结构
client：ssh，scp，sftp，slogin
windows客户端：
xshell，putty，securecrt，sshsecureshellclient
server：sshd
ssh客户端：
ssh，配置文件: /etc/ssh/ssh_config
命令格式 ： ssh [user@]host [命令]
ssh [-l user] host [命令]
选项： -p port 远程服务监听的端口
-b 指定链接的源ip
-v 调试模式，显示链接的详细过程
-c：压缩方式
-X 支持x11转发
-y 支持信任x11转发
-f 强制伪tty分配
允许实现对远程系统经验证的加密安全访问
当用户远程链接ssh服务器时，会复制ssh服务器/etc/ssh/ssh_host*key.pub（centos7默认是ssh_host_ecdsa_key.pub）文件中的公钥到客户机的~./ssh/know_hosts中。下次链接时，会自动匹配到相应的私钥，不能匹配，将拒绝链接。
ssh服务登录验证方式：
用户/口令
基于密钥
基于用户口令登录验证

1.
1. 客户端发起请求，服务器会把自己的公钥发送给用户
2. 用户会根据服务器发来的公钥对密码进行加密
3. 加密后的信息回传给服务器，服务器用自己的密钥解密，如果密码正确，则用户登陆成功。

基于密钥登录方式

1.
1. 首先在客户端生成一对密钥（ssh-keygen 命令，可交互式设置）
2. 将客户端的公钥ssh-copy-id 拷贝到服务器端
3. 当客户端再次发送一个链接请求，包括ip、用户名
4. 服务端得到客户端的请求后，会到authorized_keys中查找，如果有响应的IP和用户，就会随机生成一个字符串，例如：cadf
5. 服务端将使用客户端拷贝过来的公钥进行加密，然后发送给客户端
6. 得到服务端发来的消息后，客户端会使用私钥进行解密，然后将解密后的字符串发送给服服务端
7. 服务端接收到客户端发来的字符串后，跟之前的字符串进行比对，如果一直就允许免密码登录。

基于密钥认证的实现方法。

1.
1. 在客户端生成密钥对
1. ssh-keygen -t rsa [-p ”] [-f “~/.ssh/id_sra”]

2. 把公钥文件传输至远程服务器对应用户的家目录
1. ssh-copy-id [-i [identity_file]] [user@]host

3. 测试 测试是否已经成功。

重新设置私钥口令
ssh-keygen -p
验证代理 （authentication agent） 保密解密后的密钥

1.
1. 这样口令就只需要输入一次
2. 在GNOME中，代理被自动提供给root用户
3. 否则运行ssh-agent bash

钥匙通过命令添加给代理
ssh-add
scp命令
实现从远程拷贝到本机，或者从本机拷贝到远程。
scp 选项 源 目的地址
详细格式：
scp 选项 [user@]host:/文件路径 /文件路径
scp 选项 /文件路径 [user@]host:/文件路径
常用选项
-c：压缩数据流
-r：递归复制
-p：保持原文件属性信息
-q：静默模式
-P 端口号：指明remote host的监听的端口
rsync命令：
基于ssh和rsh服务实现高效率的远程系统之间复制文件
使用安全的shell连接作为传输方式
rsync -av /etc server1:/tmp 复制目录和目录下的文件
rsync -av /etc/ server1:/tmp 只复制目录下的文件
比scp更快，只复制不同的文件
选项：
-n 模拟复制过程
-v 详细显示过程
-r 递归复制目录树
-p 保留权限
-t 保留时间戳
-g 保留组信息
-o 保留所有者信息
-l 将软连接文件本身进行复制（默认）
-L 将软链接文件指向的文件复制
-a 存档，相当于-rlptgoD，但不保留ACL（-A）和selinux属性（-X）
sftp命令：
交互式文件传输工具
用法和传统的ftp工具相似
利用ssh服务实现安全的文件上传和下载
使用ls cd mkdir rmdir pwd get put 等指令，可用？或help获取帮助信息、也可（!命令 操作本机）
sftp [user@]host
sftp > help

ssh端口转发
ssh会自动加密和解密所有ssh客户端与服务器端之间的网络数据。但是，ssh还能够将其他tcp端口的网络数据通过ssh链接来转发，并且自动提供了相应的加密及解密服务。这一过程也被叫做“隧道”（tunneling），这是因为ssh为其他tcp链接提供了一个安全的通道来进行传输而得名。例如，telent，SMTP，LDAP这些tcp应用均能够从中得益，避免了用户名，密码以及隐私信息的明文传输。而与此同时，如果工作环境中的防火墙限制了一些网络端口的使用，但是允许ssh的连接，也能够通过将tcp端口转发来使用ssh进行通讯。
ssh端口转发能够提供两大功能：
加密ssh client 端至ssh server端之间的通讯数据
突破防火墙的限制完成一些之前无法建立的tcp连接
本地端口转发
-L 本机端口号：目标ip：目标端口 -N 中转的ip
-f 后台启用 -N 不打开远程shell，处于登录状态 -g 启用网关功能
示例：ssh -L 9527：telnetrv：23 -N sshsrv
telnet 127.0.0.1 9527
当访问本机的9527的端口时，被加密后转发到sshsrv的ssh服务，在解密被转发到telnetsrv：23
远程转发：
-R 9527：目标主机ip：目标主机端口 -N sshsrv
示例：让sshsrv侦听9527端口的访问，如有访问，就加密后通过ssh服务转发请求到本机ssh客户端，再由本机解密后转发到telnetsrv：23
动态端口转发：
当用firefox访问internet时，本机的1080端口作为代理服务器，firefox的访问请求被转发到sshsserver上，由sshserver替之访问internet。
相当于，需要的数据全都经由服务器中转访问。
在本机firefox设置代理socket proxy：127.0.0.1：1080
ssh -D 1080 root@sshserver
图形转发
所有图形化应用程序都是X客户程序
能够通过tcp/ip连接远程X服务器
数据没有加密机，但是它通过ssh连接隧道安全进行
ssh -X user@remotehost gedit
remotehost主机上的gedit工具，将会显示在本机的X服务器上
传输的数据将通过ssh连接加密
ssh服务器端的配置文件
sshd，配置文件：/etc/ssh/sshd_config man帮助 man sshd_config
常用参数
port
listenaddress ip
logingracetime 2m
permintrootlogin yes
strictmodes yes
maxauthtries 6
maxsessions 10
pubkeyauthentication yes
permitemptypasswords no
passwordauthentication yes
gatewayports no
clientaliveinterval (单位秒)
clientalivecountmax (默认3)
usedns yes
gssapiauthentication yes
maxstartups 未认证的连接数最大值，默认值 10 也指并发链接数
banner /path/file
限制可登录用户的办法
AllowUsers user1 user2 user3
DenyUser
AllowGroups
DenyGroups
ssh服务的安全配置思想
不要使用默认端口
禁止使用protocol version 1
限制可登录用户
设定空闲会话超时时间
利用防火墙设置ssh访问策略
仅监听特定的IP地址
基于口令认证时，使用强密码策略
tr -dc A-Za-z0-9_ < /dev/urandom |head -30 |xargs
使用基于密钥的认证
禁止使用空密码
禁止root用户直接登录
限制ssh的访问频度和并发在线数
做好日志，经常分析