ssh远程访问服务与管理登录LINUX服务器_ssh登录和后台管理的区别-CSDN博客

本文链接：https://blog.csdn.net/OSoooo/article/details/118662306

一：SSH 远程管理概述

1.1.ssh远程管理的定义

SSH (Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。

SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。因此ssH协议具有很好的安全性。

1.2 ssh 远程管理的优点

ssh 客户端和 ssh 服务端通过网络连接，他们之间的数据传输是加密，压缩的，可以防止信息泄露，提高传输速度

客户端<-------加密数据------->网络<-----------加密数据--------->服务端

提供 ssh 服务的软软件包
SSH 客户端软件：Putty，XShell ， CRTSSH

SSH服务端软件：Openssh

二：ssh服务端配置

2.1 下载Openssh 软件，并启动

关于openssh 及sshd 服务：

OpenssH是实现SSH协议的开源软件项目,适用于各种UNIX、 Linux操作系统。
Centos 7系统默认已安装openssh相关软件包,并已将sshd服务添加为开机自启动。
执行"systemctl start sshd"命令即可启动sshd服务（centos 7版本）
sshd服务使用的默认端口是TCP 22端口

netstat -natp | grep sshd

可查看tcp端口是否开启
在这里插入图片描述

2.2 sshd服务的配置文件

在 /etc/ssh 目录下，有两个文件，一个是 ssh_config 文件，还有一个是sshd_config 文件

ssh_config 这个是用户配置文件，是针对于客户端的配置文件
sshd_config 这个是系统配置文件，是针对于服务端的配置文件

2.3 sshd 配置文件/etc/ssh/sshd_config 的常用选项设置

Port 22	监听端口 22
ListenAddress 0.0.0.0	监听地址为任意网段,也可以指定OpenssH服务器的具体Ip
LoginGraceTime 2m	登录验证时间为2分钟
PermitRootLogin yes	允许远程登录root 账号（默认yes 允许， no 表示禁止）
MaxAuthTries 6	最大重试次数为 6 （每次账号登录时，允许输入6次账号和密码）
MaxSessions 10	每次连接，最大会话数为10
PermitEmptyPasswords no	禁止空密码登录（默认no 禁止， yes 表示允许）
PasswordAuthentication yes	启用密码验证（默认yes 开启， no表示关闭）
UseDNS no	禁用DNS反向解析,以提高服务器的响应速度（no 表示禁止， yes 表示开启）
PidFile /var/run/sshd.pid	保存sshd 服务进程pid 号文件

注：修改完配置文件需要重新加载配置文件，或者重启sshd 服务。如果设置了某些selinux 或者防护墙策略中不允许的，需要修改selinux 和防火墙策略

[root@host13 ssh]# systemctl reload sshd       #重新加载 sshd 配置文件
[root@host13 ssh]# systemctl restart sshd      #重启 sshd 服务

[root@host13 ssh]# systemctl stop firewalld    #关闭 firewalld 防火墙
[root@host13 ssh]# setenforce 0                # 设置selinux 等级为permissive

防火墙系统默认开机自启， selinux 的设置也是临时的，如果重启操作系统，会失效在这里插入图片描述

2.4 通过系统配置文件，配置登录白名单/黑名单

sshd 服务系统配置文件： /etc/ssh/sshd_config

2.4.1 配置用户登录白名单/黑名单

shd 的系统配置文件 /etc/ssh/sshd_config 最后添加如下任意一行,然后重启sshd服务

AllowUsers 用户远程登录白名单（仅在该配置里的用户可以远程登录，不与黑名单一起用）

DenyUsers 用户远程登录黑名单（在该配置里的用户禁止远程登，不与白名单一起用

AllowUsers zhangsan lisi@192.168.23.10 wangwu@192.168.23.0/24 #允许zhangsan登录，允许lisi在固定ip登录允许wangwu在固定网段登录

三、使用SSH客户端程序

3.1SSH远程登录

ssh [选项] root@192.168.0.5

当用户第一次登录SSH服务器时，必须接受服务器发来的ECDSA秘钥（根据提示输入"yes"）后才能继续验证。接收的秘钥信息将保存到 ~/.ssh/known_hosts 文件中，密码验证成功后，即可登录目标服务器的命令环境中了。

选项说明
-1 强制使用ssh协议版本1
-2 强制使用ssh协议版本2
-4 强制使用IPv4地址
-6 强制使用IPv6地址
-A 开启认证代理连接转发功能
-a 关闭认证代理连接转发功能
-b 使用本机指定的地址作为对位连接的源IP地址
-C 请求压缩所有数据
-F 指定ssh指令的配置文件，默认的配置文件为“/etc/ssh/ssh_config”
-f 后台执行ssh指令
-g 允许远程主机连接本机的转发端口
-i 指定身份文件（即私钥文件）
-l 指定连接远程服务器的登录用户名
-N 不执行远程指令
-o 指定配置选项
-p 指定远程服务器上的端口
-q 静默模式，所有的警告和诊断信息被禁止输出
-X 开启X11转发功能
-x 关闭X11转发功能
-y 开启信任X11转发功能

3.2SCP远程复制

①、下行复制
scp -r root@192.168.0.5:/etc/ /root/
复制192.168.0.5主机的/etc目录下所有内容到本机的/root目录中
②、上行复制
scp -r /etc/ root@192.168.0.6：/root
复制本机的/etc目录中的内容到192.168.0.6主机的/root目录下

3.3sftp 安全 FTP

由于使用了加密/解密技术，所以传输效率比普通的FTP要低，但安全性更高。
sftp root@192.168.226.20
root@192.168.226.20’s password:
Connected to 192.168.226.20.
sftp> ls
sftp> get 文件名 #下载文件
sftp> put 文件名 #上传文件
sftp> exit #退出

四、sshd服务支持两种验证方式

4.1密码验证

对服务器中本地系统用户的登录名称、密码进行验证。简便，但可能会被暴力破解

4.2秘钥对验证

要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件（公钥、私钥），然后将公钥文件放到服务器中的指定位置。远程登录时，系统将使用公钥、私钥进行加密/解密关联验证。能增强安全性，且可以免交互登录。
当密码验证、密钥对验证都启用时，服务器将优先使用密钥对验证。可根据实际情况设置验证方式。
vim /etc/ssh/sshd_config
PasswordAuthentication yes #启用密码验证
PubkeyAuthentication yes #启用密钥对验证
AuthorizedKeysFile .ssh/authorized_keys #指定公钥库文件
在这里插入图片描述
在客户机创建秘钥对
通过ssh-keygen工具为当前用户创建密钥对文件。可用的加密算法为RSA、ECDSA或DSA等（ssh-keygen命令的“-t”选项用于指定算法类型）。

useradd admin
echo “123456” | passwd --stdin admin
su - admin

ssh-keygen -t rsa
Generating public/private ecdsa key pair.
Enter file in which to save the key (/home/ljm/.ssh/id_rsa): #指定私钥位置，直接回车使用默认位置
Created directory ‘/home/admin/.ssh’. #生成的私钥、公钥文件默认存放在宿主目录中的隐藏目录.ssh/下
Enter passphrase (empty for no passphrase): #设置私钥的密码
Enter same passphrase again: #确认输入

ls -l .ssh/id_admin* #id_ecdsa是私钥文件，权限默认为600；id_ecdsa.pub是公钥文件，用来提供给 SSH 服务器
在这里插入图片描述
将公钥文件上传至服务器

scp ~/.ssh/id_r
sa.pub root@192.168.226.20:/opt

或使用下面这条命令直接导入公钥文本至/home/admin/.ssh/

cd ~/.ssh/
ssh-copy-id -i id_rsa.pub zhangsan@192.168.226.20

在服务器中导入公钥文本(第二台)

mkdir .ssh
ls -A
cat /id_rsa.pub >> .ssh/authorized_keys
cat authorized_keys

在这里插入图片描述
在客户端使用秘钥对验证

ssh root@192.168.226.20
@192.168.226.20's password: #输入私钥的密码

在这里插入图片描述
在客户机设置ssh代理功能，实现免交互登录

ssh-agent bash
ssh-add
Enter passphrass for /root/.ssh/id_rsa: #输入私钥的密码
root@192.168.226.20

在这里插入图片描述

三，TCP Wrapper 的访问策略

3.1 TCP Wrappers 机制的保护对象为各种网络服务程序，针对访问服务的客户端地址进行访问控制。

对应的两个策略文件为 /etc/hosts.allow 和 /etc/hosts.deny，分别用来设置允许和拒绝的策略。

格式：

3.2服务程序：客户端地址列表TCP Wrappers 机制基本原则

TCP Wrappers 的匹配原则是自上向下匹配，匹配即停止。

首先检查/etc/hosts.allow文件，如果找到相匹配的策略，则允许访问；

否则继续检查/etc/hosts.deny文件，如果找到相匹配的策略，则拒绝访问；

如果检查上述两个文件都找不到相匹配的策略，则允许访问。

在这里插入图片描述
上图如在白名单中表示允许该网段所有主机访问sshd服务
上图如在黑名单中表示禁止该网段所有主机访问sshd服务
sshd：ALL
表示同意或拒绝所有，取决于你修改那个文件