远程访问及控制——SSH服务

OpenSSH服务器

什么是SSH？

SSH（Secure Shell）是一种安全通道协议，主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的用户口令，SSH为建立在应用层和传输层基础上的安全协议。

SSH客户端<---------（网络）------------->SSH服务端
数据传送是加密的，可以防止信息泄露
数据传送是压缩的，可以提高传输速度

SSH客户端：Putty、Xshell、CRT、MobaXterm、FinalShell

SSH服务端：OpenSSH

OpenSSH是实现SSH协议的开源软件项目，适用于各种UNIX、Linux 操作系统。

Centos 7系统默认已安装opebssh相关软件包，并将 sshd 服务添加为开机自启。

执行“ systemctl start sshd ”命令即可启动 sshd 服务。

sshd 服务默认使用的是 TCP 的22端口，安全协议版本 sshv2，出来2之外还有1（有漏洞）。

sshd 服务的默认配置文件是/etc/ssh/sshd_config。

ssh_config和sshd_config都是ssh服务器的配置文件，两者区别在于前者是针对客户端的配置文件，后者则是针对服务端的配置文件。

ssh服务端主要包括两个服务功能 ssh 远程链接和 sftp 服务。
作用：SSHD 服务使用 SSH 协议可以用来进行远程控制，或在计算机之间传送文件。

相比较之前用 Telnet 方式来传输文件要安全很多，因为 Telnet 使用明文传输，SSH 是加密传输。

SSH（Secure Shell）协议

• 是一种安全通道协议
• 对通信数据进行了加密处理，用于远程管理

OpenSSH

• 服务名称：sshd
• 服务端主程序：/usr/sbin/sshd
• 服务端配置文件：/etc/ssh/sshd_config

ssh -V查看版本

远程管理 Linux 系统基本上都要使用到 ssh ，原因很简单：telnet 、FTP 等传输方式是“ ？”以明文传送用户认证信息，本质上是不安全的，存在被网络窃听的危险。SSH（Secure Shell）目前较可靠，是专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄霞问题，透过 SSH 可以对所有传输的数据进行加密，也能够防止 DNS 欺骗和 IP 欺骗。

OpenSSH：常用配置文件有两个/etc/ssh/ssh_config 和/etc/sshd_config。
ssh_config：为客户端配置文件，设置与客户端相关的应用可通过此文件实现。
sshd_contig：为服务器端配置文件，设置与服务端相关的应用可通过此文件实现。

版本升级越高，越没有BUG
版本越低，BUG就越多

服务监听选项

• 端口号、协议版本、监听IP地址
• 禁用反向解析

用户登录控制

• 禁用 root 用户、空密码用户
• 限制登录验证时间、重试次数
• AllowUsers、DenyUsers

登录验证方式

• 密码验证：核对用户名、密码是否匹配
• 秘钥对验证：核对客户的私钥、服务端公钥是否匹配

SSH远程登录方式

①：ssh [远程主机用户名] @[远程服务器主机名或IP地址] -p port
当在 Linux 主机上远程连接另一台 Linux 主机时，如当前所登录的用户是 root 的话，当连接另一台主机时也是用 root 用户登录时，可以直接使用 ssh IP，端口默认即可，如果端口不是默认的情况下，需要使用 -p 指定端口。

RSA 算法基于一个十分简单的数论事实：将两个大素数相乘十分容易，但是想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密秘钥。

②：ssh -l [远程主机用户名] [远程服务器主机名或 IP 地址] -p port
-l：-l 选项，指定登录名称。
-p：-p 选项，指定登录端口（当服务端的端口非默认时，需要使用 -p 指定端口进行登录）

PS：第一次登录服务器时系统没有保存远程主机的信息，为了确认该主机身份会提示用户是否继续连接，输入 yes 后登录，这时系统会将远程服务器信息写入用户主目录下的 $HOME/.ssh/known_hosts 文件中，下次再进行登录时因为保存有该主机信息就不会再提示了。

故障集

在平常工作中，有时候需要 SSH 登陆到别的 Linux 主机上去，但有时候 SSH 登陆会被禁止，并弹出如下类似提示：
The authenticity of host ‘ 192.168.10.9(192.168.10.9) ’ can’t be established.
ECDSA key fingerprint is SHA256:AaGpHeEiRuXMy96oezzV6TOej5nJJmZIe/djqR7qCVk.
ECDSA key fingerprint is MD5:78:a1:b1:1c:36:76:c7:34:54:87:cc:ea:51:3f:0c:24.
Are you sure you want to continue connecting (yes/no)? yes
Warning ：Permanently added ‘ 192.168.10.9 ’ (ECDSA) to the list of know hosts.
Authentication failed.

扩展命令

ssh会把你每个你访问过计算机的公钥（public key）都记录在~/.ssh/know_hosts。当下次访问相同计算机时，OpenSSH会核对公钥。如果公钥不同，OpenSSH会发出警告，避免你受到DNS Hijack之类的攻击。

解决方法

1）使用 ssh 连接远程主机时加上“ -o StrictHostKeyChecking=no ”的选项，如下：

ssh -o StrictHostKeyChecking=no 192.168.xxx.xxx

2）一个彻底去掉这个提示的方法，修改 /etc/ssh_config 文件（或 $HOME/.ssh/config）中的配置，添加两行配置，如下：
StrictHostKeyChecking no
UserKnowHostFile /dev/null

原因：一台主机上有太多个 Linux 系统，会经常切换，那么这些系统使用同一 IP ，登录过一次后就会把ssh 信息记录在本地的 ~/.ssh/known_hosts文件中，切换该系统后再用 ssh 访问这台主机就会出现冲突警告，需要手动删除修改 know_hosts 里面的内容。

OpenSSH服务包

要安装 OpenSSH 四个软件包。
OpenSSH 软件包，提供了服务端后台程序和客户端工具，用来加密远程控件和文件传输过程中的数据，并由此来代替原来的类似服务 Telnet 或 Ftp。

安装包：
OpenSSH服务需要4个软件包。
openssh-5.3p1-114.el6_7.x86_64 ——包含OpenSSH服务器及客户端需要的核心文件。

openssh-clients-5.3p1-114.el6_7.x86_64 ——OpenSSH客户端软件包。

openssh-server-5.3p1-114.el6_7.x86_64 ——OpenSSH服务器软件包。

openssh-askpass-5.3p1-114.el6_7.x86_64 ——支持对话框窗口的显示，是一个基于X系统的演示下远程登录的方法。

安全机制

1、pam
2、用户安全
3、sshd安全
4、shell脚本编辑配置安全

服务配置与管理

服务配置

• 监听端口修改
  设置 SSHD 监听端口号。
• SSH 预设使用 22 这个 port ，也可以使用多个 port ，即重复使用 port 这个设定项！
• 例如想要开放 SSHD 端口为 22 和 222 ，则多加一行内容为：Port 222即可。
• 然后重新启动 SSHD 这样就好了。建议打架修改 port number 为其他端口，防止别人暴力破解。

安全调优

LoginGraceTime 2m

• grace 意思是系统给与多少秒来进行登录。（默认2分钟，0表示无限制）
• 当使用者连上 SSH server 之后，会出现输入密码的画面，在该画面中。
• 在多久时间内没有成功连上 SSHserver 就强迫断线！若无单位则默认时间为秒。可以根据实际情况来修改实际。

公钥传输原理

• 客户端发起链接请求
• 服务端返回自己的公钥，以及一个会话 ID （这一步客户端得到服务端公钥）
• 客户端生成秘钥对
• 客户端用自己的公钥异或会话 ID ，计算出一个值 Res ，并用服务端的公钥加密
• 客户端发送加密后的值到服务端，服务端用私钥解密，得到 Res。
• 服务端用解密后的值 Res 异或会话 ID ，计算出客户端的公钥（这步服务端得到客户端公钥）

查看可用命令
help ——查看 sftp 可使用的命令和用途

打印服务器当前位置
pwd ——打印当前服务器所在位置
lpwd ——答应当前本地位置

切换目录、查看文件
cd ——切换服务器上的目录
ls ——查看当前目录下文件列表

下载文件、退出 sftp
get ——下载文件
get -r ——下载目录
quit ——退出sftp
put ——上传文件
退出命令：quit、exit、bye都可以