远程访问及控制——SSH服务

OpenSSH服务器

什么是SSH?

SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令,SSH为建立在应用层和传输层基础上的安全协议。

SSH客户端<---------(网络)------------->SSH服务端
数据传送是加密的,可以防止信息泄露
数据传送是压缩的,可以提高传输速度

SSH客户端:Putty、Xshell、CRT、MobaXterm、FinalShell

SSH服务端:OpenSSH

OpenSSH是实现SSH协议的开源软件项目,适用于各种UNIX、Linux 操作系统。

Centos 7系统默认已安装opebssh相关软件包,并将 sshd 服务添加为开机自启。

执行“ systemctl start sshd ”命令即可启动 sshd 服务。

sshd 服务默认使用的是 TCP 的22端口,安全协议版本 sshv2,出来2之外还有1(有漏洞)。

sshd 服务的默认配置文件是/etc/ssh/sshd_config。

ssh_config和sshd_config都是ssh服务器的配置文件,两者区别在于前者是针对客户端的配置文件,后者则是针对服务端的配置文件。

ssh服务端主要包括两个服务功能 ssh 远程链接sftp 服务
作用:SSHD 服务使用 SSH 协议可以用来进行远程控制,或在计算机之间传送文件。

相比较之前用 Telnet 方式来传输文件要安全很多,因为 Telnet 使用明文传输,SSH 是加密传输。

SSH(Secure Shell)协议

  • 是一种安全通道协议
  • 对通信数据进行了加密处理,用于远程管理

OpenSSH

  • 服务名称:sshd
  • 服务端主程序:/usr/sbin/sshd
  • 服务端配置文件:/etc/ssh/sshd_config

ssh -V查看版本

远程管理 Linux 系统基本上都要使用到 ssh ,原因很简单:telnet 、FTP 等传输方式是“ ?”以明文传送用户认证信息,本质上是不安全的,存在被网络窃听的危险。SSH(Secure Shell)目前较可靠,是专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄霞问题,透过 SSH 可以对所有传输的数据进行加密,也能够防止 DNS 欺骗和 IP 欺骗。

OpenSSH:常用配置文件有两个/etc/ssh/ssh_config 和/etc/sshd_config。
ssh_config:为客户端配置文件,设置与客户端相关的应用可通过此文件实现。
sshd_contig:为服务器端配置文件,设置与服务端相关的应用可通过此文件实现。

版本升级越高,越没有BUG
版本越低,BUG就越多

服务监听选项

  • 端口号、协议版本、监听IP地址
  • 禁用反向解析

用户登录控制

  • 禁用 root 用户、空密码用户
  • 限制登录验证时间、重试次数
  • AllowUsers、DenyUsers

登录验证方式

  • 密码验证:核对用户名、密码是否匹配
  • 秘钥对验证:核对客户的私钥、服务端公钥是否匹配

SSH远程登录方式

①:ssh [远程主机用户名] @[远程服务器主机名或IP地址] -p port
当在 Linux 主机上远程连接另一台 Linux 主机时,如当前所登录的用户是 root 的话,当连接另一台主机时也是用 root 用户登录时,可以直接使用 ssh IP,端口默认即可,如果端口不是默认的情况下,需要使用 -p 指定端口。

RSA 算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但是想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密秘钥。

②:ssh -l [远程主机用户名] [远程服务器主机名或 IP 地址] -p port
-l:-l 选项,指定登录名称。
-p:-p 选项,指定登录端口(当服务端的端口非默认时,需要使用 -p 指定端口进行登录)

PS:第一次登录服务器时系统没有保存远程主机的信息,为了确认该主机身份会提示用户是否继续连接,输入 yes 后登录,这时系统会将远程服务器信息写入用户主目录下的 $HOME/.ssh/known_hosts 文件中,下次再进行登录时因为保存有该主机信息就不会再提示了。

故障集

在平常工作中,有时候需要 SSH 登陆到别的 Linux 主机上去,但有时候 SSH 登陆会被禁止,并弹出如下类似提示:
The authenticity of host ‘ 192.168.10.9(192.168.10.9) ’ can’t be established.
ECDSA key fingerprint is SHA256:AaGpHeEiRuXMy96oezzV6TOej5nJJmZIe/djqR7qCVk.
ECDSA key fingerprint is MD5:78:a1:b1:1c:36:76:c7:34:54:87:cc:ea:51:3f:0c:24.
Are you sure you want to continue connecting (yes/no)? yes
Warning :Permanently added ‘ 192.168.10.9 ’ (ECDSA) to the list of know hosts.
Authentication failed.

扩展命令

ssh会把你每个你访问过计算机的公钥(public key)都记录在~/.ssh/know_hosts。当下次访问相同计算机时,OpenSSH会核对公钥。如果公钥不同,OpenSSH会发出警告,避免你受到DNS Hijack之类的攻击。

解决方法

1)使用 ssh 连接远程主机时加上“ -o StrictHostKeyChecking=no ”的选项,如下:

ssh -o StrictHostKeyChecking=no 192.168.xxx.xxx

2)一个彻底去掉这个提示的方法,修改 /etc/ssh_config 文件(或 $HOME/.ssh/config)中的配置,添加两行配置,如下:
StrictHostKeyChecking no
UserKnowHostFile /dev/null

原因:一台主机上有太多个 Linux 系统,会经常切换,那么这些系统使用同一 IP ,登录过一次后就会把ssh 信息记录在本地的 ~/.ssh/known_hosts文件中,切换该系统后再用 ssh 访问这台主机就会出现冲突警告,需要手动删除修改 know_hosts 里面的内容。

OpenSSH服务包

要安装 OpenSSH 四个软件包。
OpenSSH 软件包,提供了服务端后台程序和客户端工具,用来加密远程控件和文件传输过程中的数据,并由此来代替原来的类似服务 Telnet 或 Ftp。

安装包:
OpenSSH服务需要4个软件包。
openssh-5.3p1-114.el6_7.x86_64 ——包含OpenSSH服务器及客户端需要的核心文件。

openssh-clients-5.3p1-114.el6_7.x86_64 ——OpenSSH客户端软件包。

openssh-server-5.3p1-114.el6_7.x86_64 ——OpenSSH服务器软件包。

openssh-askpass-5.3p1-114.el6_7.x86_64 ——支持对话框窗口的显示,是一个基于X系统的演示下远程登录的方法。

安全机制

1、pam
2、用户安全
3、sshd安全
4、shell脚本编辑配置安全

服务配置与管理

服务配置

  • 监听端口修改
    设置 SSHD 监听端口号。
  • SSH 预设使用 22 这个 port ,也可以使用多个 port ,即重复使用 port 这个设定项!
  • 例如想要开放 SSHD 端口为 22 和 222 ,则多加一行内容为:Port 222即可。
  • 然后重新启动 SSHD 这样就好了。建议打架修改 port number 为其他端口,防止别人暴力破解。

安全调优

LoginGraceTime 2m

  • grace 意思是系统给与多少秒来进行登录。(默认2分钟,0表示无限制)
  • 当使用者连上 SSH server 之后,会出现输入密码的画面,在该画面中。
  • 在多久时间内没有成功连上 SSHserver 就强迫断线!若无单位则默认时间为秒。可以根据实际情况来修改实际。

公钥传输原理

在这里插入图片描述

  • 客户端发起链接请求
  • 服务端返回自己的公钥,以及一个会话 ID (这一步客户端得到服务端公钥)
  • 客户端生成秘钥对
  • 客户端用自己的公钥异或会话 ID ,计算出一个值 Res ,并用服务端的公钥加密
  • 客户端发送加密后的值到服务端,服务端用私钥解密,得到 Res。
  • 服务端用解密后的值 Res 异或会话 ID ,计算出客户端的公钥(这步服务端得到客户端公钥)

查看可用命令
help ——查看 sftp 可使用的命令和用途

打印服务器当前位置
pwd ——打印当前服务器所在位置
lpwd ——答应当前本地位置

切换目录、查看文件
cd ——切换服务器上的目录
ls ——查看当前目录下文件列表

下载文件、退出 sftp
get ——下载文件
get -r ——下载目录
quit ——退出sftp
put ——上传文件
退出命令:quit、exit、bye都可以

  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值