openssh
文章目录
1. 使用 SSH 访问远程命令行
1.1 OpenSSH 简介
OpenSSH
是 SSH (Secure SHell) 协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控制和文件传输过程中的数据,并由此来代替原来的类似服务。
OpenSSH
这一术语指系统中使用的Secure Shell
软件的软件实施。用于在远程系统上安全运行shell
。如果您在可提供ssh
服务的远程Linux
系统中拥有用户帐户,则ssh
是通常用来远程登录到该系统的命令。ssh
命令也可用于在远程系统中运行命令。
常见的远程登录工具有:
- telnet
- ssh
- dropbear
telnet //远程登录协议,23/TCP
认证明文
数据传输明文
ssh //Secure SHell,应用层协议,22/TCP
通信过程及认证过程是加密的,主机认证
用户认证过程加密
数据传输过程加密
dropbear //嵌入式系统专用的SSH服务器端和客户端工具
1.2 SSH 认证方式
openssh
有两种认证方式,分别是:
- 基于口令认证
- 基于密钥认证
1.3 openSSH 的工作模式
openSSH
是基于C/S架构工作的。
服务器端 //sshd,配置文件在/etc/ssh/sshd_config
客户端 //ssh,配置文件在/etc/ssh/ssh_config
ssh-keygen //密钥生成器
ssh-copy-id //将公钥传输至远程服务器
scp //跨主机安全复制工具
2. 配置基于 SSH 密钥的身份验证
用户可通过使用公钥身份验证进行ssh
登录身份验证。ssh
允许用户使用私钥-公钥方案进行身份验证。这意味着将生成私钥和公钥这两个密钥。私钥文件用作身份验证凭据,像密码一样,必须妥善保管。公钥复制到用户希望登录的系统,用于验证私钥。公钥并不需要保密。拥有公钥的ssh
服务器可以发布仅持有您私钥的系统才可解答的问题。因此,可以根据所持有的密钥进行验证。如此一来,就不必在每次访问系统时键入密码,但安全性仍能得到保证。
使用ssh-keygen
命令生成密码。将会生成私钥~/.ssh/id_rsa
和公钥~/.ssh/id_rsa.pub
。
1.配置环境
//第一台主机:192.168.116.140
//第二台主机:192.168.116.143
2.修改两台主机的名字(可以不改主机名)
[root@localhost ~]# hostnamectl set-hostname server
[root@localhost ~]# bash
[root@server ~]#
[root@localhost ~]# hostnamectl set-hostname client
[root@localhost ~]# bash
[root@client ~]#
3.关闭两台主机防火墙和selinux
[root@server ~]# systemctl disable --now firewalld
Removed "/etc/systemd/system/multi-user.target.wants/firewalld.service".
Removed "/etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service".
[root@server ~]# setenforce 0
[root@server ~]# vi /etc/selinux/config
[root@server ~]# cat /etc/selinux/config
SELINUX=disabled
[root@client ~]# systemctl disable --now firewalld
Removed "/etc/systemd/system/multi-user.target.wants/firewalld.service".
Removed "/etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service".
[root@client ~]# setenforce 0
[root@client ~]# vi /etc/selinux/config
[root@client ~]# cat /etc/selinux/config
SELINUX=disabled
4.未创建公钥和私钥时
[root@server ~]# ls -a
. .. anaconda-ks.cfg .bash_history .bash_logout .bash_profile .bashrc .config .cshrc .lesshst .ssh .tcshrc .viminfo
[root@server ~]# cd .ssh
[root@server .ssh]# ls
[root@server ~]# ssh root@192.168.116.143
The authenticity of host '192.168.116.143 (192.168.116.143)' can't be established.
ED25519 key fingerprint is SHA256:fQk5GU+T+UkZxb6PP6NO36z8ZIHJmdGYX4RJI3oW9l0.
This key is not known by any other names
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '192.168.116.143' (ED25519) to the list of known hosts.
root@192.168.116.143's password:
Last login: Tue Dec 12 14:07:37 2023 from 192.168.116.1
[root@client ~]# exit
logout
Connection to 192.168.116.143 closed.
[root@server ~]# ls .ssh
known_hosts known_hosts.old //这里面生成的文件相当于留了个记号
//直接连,不加用户,只输入ip(这里是以当前主机用户为主,假如被连接的主机没有当前用户,则连接不了)
[root@server ~]# ssh 192.168.116.143
root@192.168.116.143's password:
Last login: Tue Dec 12 15:38:03 2023 from 192.168.116.140
[root@client ~]#
5.使用ssh-keygen 创建公钥-私钥对
[root@server ~]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa
Your public key has been saved in /root/.ssh/id_rsa.pub
The key fingerprint is:
SHA256:/S0SASejZrGVE9TvBfB1JvmeW5miHTgsjKyLGA+oEdk root@server
The key's randomart image is:
+---[RSA 3072]----+
| ..B+o. o.o|
| =o=.....+ |
| = ..... . |
| o o . .. . .|
|o E . S +... .+|
|.. o o *.+ +o|
|oo . o * + o|
|..= .. o o . |
|.. o .. |
+----[SHA256]-----+
[root@server ~]# ls .ssh
id_rsa id_rsa.pub known_hosts known_hosts.old
6.使用 ssh-copy-id 将公钥复制到远程系统上的正确位置
[root@client ~]# ls .ssh
[root@server ~]# ssh-copy-id root@192.168.116.143
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.116.143's password:
Number of key(s) added: 1
Now try logging into the machine, with: "ssh 'root@192.168.116.143'"
and check to make sure that only the key(s) you wanted were added.
[root@client ~]# ls .ssh
authorized_keys
7.再次使用ssh远程登入(发现不用密码登入了)
[root@server ~]# ssh root@192.168.116.143
Last login: Tue Dec 12 15:44:03 2023 from 192.168.116.140
[root@client ~]# ls .ssh
authorized_keys
8.使用 scp 命令传送文件到远程主机
//scp命令常用选项
-r //递归复制,用于目录传输的时候
-p //保持权限
-P //端口
-q //静默模式
-a //全部复制
[root@client ~]# ll /tmp
total 0
drwx------. 3 root root 17 Dec 12 14:05 systemd-private-4d59ad22155e4b4f8ed404ebe65f38b5-chronyd.service-5IIAJw
drwx------. 3 root root 17 Dec 12 14:05 systemd-private-4d59ad22155e4b4f8ed404ebe65f38b5-dbus-broker.service-F97svk
drwx------. 3 root root 17 Dec 12 14:05 systemd-private-4d59ad22155e4b4f8ed404ebe65f38b5-kdump.service-54gPPs
drwx------. 3 root root 17 Dec 12 14:05 systemd-private-4d59ad22155e4b4f8ed404ebe65f38b5-systemd-logind.service-3UVDCd
drwx------. 2 root root 6 Dec 12 14:05 vmware-root_720-2957714511
drwx------. 2 root root 6 Dec 12 12:42 vmware-root_766-2990744190
[root@server ~]# touch abc
[root@server ~]# ls
abc anaconda-ks.cfg
[root@server ~]# scp abc root@192.168.116.143:/tmp
abc 100% 0 0.0KB/s 00:00
[root@client ~]# ll /tmp
total 0
-rw-r--r--. 1 root root 0 Dec 12 15:57 abc
drwx------. 3 root root 17 Dec 12 14:05 systemd-private-4d59ad22155e4b4f8ed404ebe65f38b5-chronyd.service-5IIAJw
drwx------. 3 root root 17 Dec 12 14:05 systemd-private-4d59ad22155e4b4f8ed404ebe65f38b5-dbus-broker.service-F97svk
......
9.使用 scp 命令从远程主机上下载文件到本地
[root@client ~]# ls /tmp
abc systemd-private-4d59ad22155e4b4f8ed404ebe65f38b5-systemd-logind.service-3UVDCd
systemd-private-4d59ad22155e4b4f8ed404ebe65f38b5-chronyd.service-5IIAJw vmware-root_720-2957714511
systemd-private-4d59ad22155e4b4f8ed404ebe65f38b5-dbus-broker.service-F97svk vmware-root_766-2990744190
systemd-private-4d59ad22155e4b4f8ed404ebe65f38b5-kdump.service-54gPPs
[root@server ~]# scp root@192.168.116.143:/tmp/abc .
[root@server ~]# ls
abc anaconda-ks.cfg
10.设置超时时间
[root@server ~]# vim /etc/profile
[root@server ~]# head -5 /etc/profile
# /etc/profile
TMOUT=20
# System wide environment and startup programs, for login setup
# Functions and aliases go in /etc/bashrc
[root@server ~]# source /etc/profile
11.修改默认端口号(被连接的端口号)
[root@localhost ~]# vim /etc/ssh/sshd_config
[root@localhost ~]# cat /etc/ssh/sshd_config | grep Port
Port 222
#GatewayPorts no
[root@localhost ~]# systemctl restart sshd
//测试
[root@localhost ~]# ssh root@192.168.116.143
ssh: connect to host 192.168.116.143 port 22: Connection refused
[root@localhost ~]# ssh root@192.168.116.143 -p 222
Last login: Tue Dec 12 16:21:59 2023 from 192.168.116.140
[root@localhost ~]#
12.禁止使用空密码登入(有注释就取消注释)
[root@localhost ~]# vim /etc/ssh/sshd_config
[root@localhost ~]# cat /etc/ssh/sshd_config | grep PermitEmpty
PermitEmptyPasswords no
13.生成随机密码(-c后面数字可修改,数字是几位密码长度就是几位)
[root@localhost ~]# tr -dc A-Za-z0-9_ < /dev/urandom | head -c 10 |xargs
R8aPZiI8HM
//使用这种方式也可以
[root@localhost ~]# openssl rand 15 -base64
3. 自定义 SSH 服务配置
虽然OpenSSH
服务器通常无需修改,但会提供其他安全措施,可以在配置文件/etc/ssh/sshd_config
中修改OpenSSH
服务器的各个方面。
PermitRootLogin {yes|no} //是否允许root用户远程登录系统
PermitRootLogin without-password //仅允许root用户基于密钥方式远程登录
PasswordAuthentication {yes|no} //是否启用密码身份验证,默认开启
4. SSH 安全注意事项
-
密码应该经常换且足够复杂
-
使用非默认端口
-
限制登录客户端地址
-
仅监听特定的IP地址
-
禁止管理员直接登录
-
仅允许有限制用户登录
- AllowUsers
- AllowGroups
-
使用基于密钥的认证
-
禁止使用空密码
-
禁止使用SSHv1版本
-
设定空闲会话超时时长
-
利用防火墙设置ssh访问策略
-
限制ssh的访问频度和并发在线数
-
做好日志的备份,经常分析(集中于某台服务器)