SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。SSH 协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。与早期的 Telent(远程登录)、RSH(Remote Shell,远程执行命令)、RCP(Remote File Copy,远程文件复制)等应用相比,SSH 协议提供了更好的安全性
SSH协议
- 一种安全通道协议
- 对通信数据进行了加密处理,用于远程管理
OpenSSH软件包
- 服务名称:sshd
- 服务端主程序:/usr/sbin/sshd
- 服务端配置文件:/etc/ssh/sshd_config
sshd 服务使用的默认端口号为 22,必要时建议修改此端口号,并指定监听服务的具体IP 地址,以提高在网络中的隐蔽性。除此之外,SSH 协议的版本选用 V2 比 V1 的安全性要更好,禁用 DNS 反向解析可以提高服务器的响应速度
SSH配置文件选项与配置
#ssh配置文件
vi /etc/ssh/sshd_config
#内容如下
# $OpenBSD: sshd_config,v 1.100 2016/08/15 12:32:04 naddy Exp $
# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.
...... //-----省略部分内容
# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER
#
Port 22 //ssh服务端口号
#AddressFamily any
#ListenAddress 0.0.0.0 //监听地址为 172.16.16.22
#ListenAddress ::
...... //-----省略部分内容
#LogLevel INFO
# Authentication:
#LoginGraceTime 2m //登录验证时间
PermitRootLogin yes //root用户登录选项,yes允许登录,no禁止登录
#StrictModes yes
#MaxAuthTries 6 //密码最大重试次数,默认为3次
#MaxSessions 10
...... //-----省略部分内容
#MaxStartups 10:30:100
PermitTunnel no //禁止空密码用户登录
#ChrootDirectory none
#VersionAddendum none
...... //-----省略部分内容
# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes //启用密码验证
#PermitEmptyPasswords no //启用密钥对验证
...... //-----省略部分内容
#登录用户限制,禁止和允许两个命令只能使用一个进行配置不能同时使用Allow和Deny
AllowUsers k1 k2 //允许的用户登录 ,只允许k1,k2用户登录
#DenyUsers k2 k3 //禁止的用户登录,禁止k1,k2用户登录
#重启服务
systemctl restart sshd
客户端连接
#ssh服务 root用户@服务端IP
ssh root@192.168.78.129 //使用root用户远程连接服务端 22号端口不需要指定端口如果是其他端口则需要指定端口; -p 端口 指定端口号上传与下载文件
#上传文件
scp /root/k1.txt root@192.168.78.129:/root //将root目录下的k1.txt文件上传到服务器根下的root目录下
#下载文件
scp root@192.168.78.129:/root/k3.txt /root/ //将服务端root下的k3.txt文件下载到本机密钥对登录设置与验证
1、在客户端生成密钥对文件
新生成的密钥对文件中,私钥文件权限默认为 600,对于私钥文件必须妥善保管,不能泄露给他人;公钥文件用来提供给 SSH 服务器
#生成密钥对文件,生成当前用户的密钥文件
ssh-keygen
#内容如下
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): //指定私钥位置,直接回车即可
Enter passphrase (empty for no passphrase): //设置私钥短语(保持默认不用设置直接回车即可)
Enter same passphrase again: //确认短语(保持默认不用设置直接回车即可)
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:Y0logugB4K+9RUbw25ID7iXdsvrTyrl7vVBO1u150wg root@test02
The key's randomart image is:
+---[RSA 2048]----+
|+ . |
|o. .o . |
|.o...oo . |
|. + +o=. .. . |
| . + @ oS+ .E. |
| + = =.=. .....|
| . o o.... o.o.|
| =..o.. . .|
| o.B* .. |
+----[SHA256]-----+
#查看密钥文件
ls ~/.ssh/ //文件默认在用户家目录下的.ssh
#内容如下
id_rsa id_rsa.pub //id_rsa私钥 id_rsa.pub公钥2、公钥文件上传给服务器
#“-i”选项指定公钥文件,“user”是指目标主机的用户。验证密码后,会将公钥自动添加到目标主机 user 宿主目录下的.ssh/authorized_keys 文件结尾
ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.78.1293、客户端测试密钥对验证
上传密钥对的两个用户(服务端与客户端)进行远程连接时便不需要密码
#zhangsan客户端用户生成密钥对文件
[zhangsan@test02 ~]$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/zhangsan/.ssh/id_rsa):
Created directory '/home/zhangsan/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/zhangsan/.ssh/id_rsa.
Your public key has been saved in /home/zhangsan/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:zk80zz1EJFiY+sW+7aoi3PrnT7dUZvIZpAIv/JT3cZw zhangsan@test01
The key's randomart image is:
+---[RSA 2048]----+
| =o . |
| + o |
| o . .. |
| o o +.o..|
| S+oB ooE*|
| o .=++o.*=|
| . .o ..+o=o.|
| o oo...o.o |
| .+.++oooo |
+----[SHA256]-----+
#将公钥上传到服务器
[zhangsan@test02 ~]$ sudo ssh-copy-id -i /home/zhangsan/.ssh/id_rsa.pub lisi@192.168.78.129
/bin/ssh-copy-id: INFO: Source of key(s) to be installed:
lisi@192.168.78.129's password:
Permission denied, please try again.
lisi@192.168.78.129's password:
Number of key(s) added: 1
Now try logging into the machine, with: "ssh 'lisi@192.168.78.129'"
and check to make sure that only the key(s) you wanted were added.
#免密登录
[zhangsan@test02 ~]ssh lisi@192.168.78.129
Last login: Mon Jun 10 23:06:50 2024 from 192.168.78.1
扫一扫
7万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
