SSH服务

前言

SSH 是一种安全通道协议，主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方的数据传输进行加密处理，其中包括用户登录时输入的用户口令。比以往的Telnet（远程登录）、RSH（远程执行命令）等传统的方式相比，SSH协议提供了更好的安全性。

一、SSH 远程管理

1.配置 OpenSSH 服务端

1.1 SSH 服务及配置文件

• sshd 服务的配置文件默认位于 /etc/ssh/sshd_config 目录下，正确调整相关配置项,可以进一步提高 sshd 远程登录的安全性。
• 客户端配置文件 ssh_config，设置与客户端相关的应用可通过此文件实现。
• 服务端配置文件 sshd_config，设置于服务端相关的应用可通过此文件实现。

1.2 服务监听选项

sshd 服务使用的默认端口号为22，必要时建议修改此端口号，并指定监听服务的具体 IP 地址，以提高在网络中的隐蔽性。除此之外,SSH 协议的版本选用 V2 比 V1 的安全性要更好,禁用 DNS 反向解析可以提高服务器的响应速度。

[root@localhost ~]#vim /etc/ssh/sshd_config
......
Port 22                                                       #监听端口22
ListenAddress 0.0.0.0                                         #监听地址为0.0.0.0，表示全部监听
Protocol 2                                                    #使用SSHv2的版本
UseDNS no                                                     #禁用DNS反向解析
......
wq保存退出

[root@localhost ~]# systemctl restart sshd                    #重启sshd服务 

1.3 用户登录控制

• sshd服务默认允许 root 用户登录，但是在 Internet 中这样使用时非常不安全的。普遍的做法是:先以普通用户远程登入，进入安全 Shell 环境后,根据实际需要使用 su 命令切换为 root 用户。
• 关于 sshd 服务的用户登录控制，通常应禁止 root 用户或密码为空的用户登录。另外，可以限制登录验证的时间（默认为2分钟）及最大重试次数，若超过限制后仍未能登录则断开连接。

[root@localhost ~]# vim /etc/ssh/sshd_config                #修改sshd服务的主配置文件
                           ......                        
LoginGraceTime 2m                                           #登录验证时间为2分钟
PermitRootLogin no                                          #禁止root用户登录
MaxAuthTries 6                                              #最大重试次数为6次
PermitEmptyPasswords no                                     #禁止空密码登录
                             ......
 wq保存退出
                             
[root@localhost ~]# systemctl restart sshd                  #重启sshd服务

• 当只允许或禁止某个用户登录时，可以更改 AllowUsers 或 DenyUsers 配置，两者用法类似，但是注意不能同时使用。
  例如，允许张三和李四用户登录，且其中张三用户仅能从IP地址为192.168.1.2的地址远程登录。

[root@localhost ~]# vim /etc/ssh/sshd_config                #修改sshd服务的主配置文件
                                                               
AllowUsers lisi zhangsan@192.168.1.2                        #多个用户之间用空格进行分隔
wq保存退出

[root@localhost ~]# systemctl restart sshd                  #重启sshd服务 

1.4 登录验证方式

• 密码验证：以服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便,但从客户机角度来看，正在连接的服务器有可能被假冒；从服务器角度来看,当遭遇暴力破解攻击时防御能力比较弱。
• 密钥对验证：要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥，然后将公钥文件存放到服务器指定位置。远程登录时，系统将使用公钥、私钥进行加密/解密验证，这种方式不易被假冒，且可以免交互登录，在Shell中被广泛应用。
  当密码验证、密钥对验证都启用时，服务器将优先使用密钥对验证。对于安全性要求较高的服务器，建议将密码验证方式禁用，只允许启用密钥对。

[root@localhost ~]# vim /etc/ssh/sshd_config      #修改sshd服务的主配置文件
......
PasswordAuthentication yes                        #启用密码验证
PubkeyAuthentication yes                          #启用密钥对验证
AuthorizedKeysFile     .ssh/authorized_keys       #指定公钥库文件（ls -a可查看）
......
wq保存退出

[root@localhost ~]# systemctl restart sshd        #重启sshd服务

2.使用 SSH 客户端程序

2.1 ssh远程登录

• 通过 ssh 命令可以远程登录 sshd 服务，为用户提供一个安全的 Shell 环境，以便对服务器进行管理和维护。

[root@localhost ~]#ssh root@192.168.8.129
root@192.168.8.129's password: 
Last login: Tue Aug 31 15:52:23 2021 from 192.168.8.128

• 当用户第一次登陆 SSH 服务器时，必须接受服务器发来的 RSA 密钥后才可以继续验证。接受的密钥信息将保存在 ~/.ssh/known_hosts 文件中。密码验证成功以后，就可以登录到目标服务器了。

[root@localhost ~]#ssh cui@192.168.8.129
The authenticity of host '192.168.8.129 (192.168.8.129)' can't be established.
ECDSA key fingerprint is SHA256:z7