SSH访问远程系统

已于 2023-04-03 16:10:40 修改
阅读量1.7k 收藏 2
点赞数
分类专栏: linux 文章标签: linux
于 2022-08-31 07:47:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YSEasi/article/details/126616163
版权

文章目录


简介:SSH是一种协议,主要使用客户端—服务器架构在两个系统之间提供加密登录会话的安全通信,会阻止入侵者从连接中手机未加密的密码。基本的OpenSSH软件包包含:通用的openssh软件包、openssh-server软件包以及openssh-clients软件包。OpenSSH软件包也需要OpenSSH软件包openssl-libs,它会安装重要的加密库来启用OpenSSH对通讯进行加密。

一、SSH和OpenSSH的关系与区别

  • SSH(shell)是登录远程机器并在该机器上执行命令的程序。

  • SSH(协议)通过不安全的网络在两个不可信主机间提供安全加密的通讯。

主机密钥验证是使用SSH协议的主机。密钥是首次安装OpenSSH,或者主机第一次引导时自动生成的加密密钥。

OpenSSH是Linux、Uninx和类操作系统支持SSH协议的实现。主要组件由以下工具组成:

工具说明
ssh远程登录程序(SSH客户端)
sshdOpenSSH SSH守护进程
scp安全的远程文件复制程序
sftp安全的文件传输程序
ssh-agent用于缓存私钥的身份验证代理
ssh-add为ssh-agent添加私钥身份
ssh-keygen生成、管理并转换ssh验证密钥
ssh-copy-id将本地公钥添加到远程SSH服务器上的authorized_keys文件的脚本
ssh-keyscan手机SSH公共主机密钥

二、示例:配置OpenSSH服务

配置并启动OpenSSH服务器。

先决条件

  1. 查看系统中是否已经安装openssh-server软件包。
[xiaoshen@ssh-server ~]$ rpm -qa openssh-server
openssh-server-8.0p1-13.el8.x86_64
  1. 如果没有安装,请执行以下命令安装openssh-server。
[xiaoshen@ssh-server ~]$ sudo dnf install openssh-server

流程

  1. 在当前系统会话中启动sshd守护进程,并设置系统引导时自启。
[xiaoshen@ssh-server ~]$ sudo systemctl enable --now sshd
[xiaoshen@ssh-server ~]$ systemctl status sshd
● sshd.service - OpenSSH server daemon
   Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)
   Active: active (running) since Sat 2022-08-06 13:57:56 CST; 3h 51min ago
     Docs: man:sshd(8)
           man:sshd_config(5)
...
  1. 改变客户端登录验证前和登录后验证后后的欢迎信息。(可选)

登录前

[xiaoshen@ssh-server ~]$ sudo vim /etc/issue
Welcome to ssh-server host.

确保/etc/ssh/sshd_config中未注释掉Banner选项,并且其值包含/etc/issue。

[xiaoshen@ssh-server ~]$ sudo less /etc/ssh/sshd_config | grep Banner
Banner /etc/issue

登录后

[xiaoshen@ssh-server ~]$ sudo vim /etc/motd
Login Successful!

确保/etc/ssh/sshd_config中的Banner选项包含/etc/motd。

[xiaoshen@ssh-server ~]$ sudo less /etc/ssh/sshd_config | grep Banner
Banner /etc/issue
Banner /etc/motd
  1. 重新载入systemd配置,并重启sshd以应用修改。
[xiaoshen@ssh-server ~]$ sudo systemctl daemon-reload
[xiaoshen@ssh-server ~]$ sudo systemctl restart sshd
  1. 验证。
[xiaoshen@ssh-server ~]$ sudo systemctl status sshd
● sshd.service - OpenSSH server daemon
   Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)
   Active: active (running) since Sat 2022-08-06 18:26:18 CST; 48s ago
     Docs: man:sshd(8)
           man:sshd_config(5)
 Main PID: 3056 (sshd)
    Tasks: 1 (limit: 23645)
   Memory: 1.1M
   CGroup: /system.slice/sshd.service
           └─3056 /usr/sbin/sshd -D -oCiphers=aes256-gcm@openssh.com,chacha20-poly1305@openssh>

Aug 06 18:26:18 ssh-server systemd[1]: Starting OpenSSH server daemon...
Aug 06 18:26:18 ssh-server sshd[3056]: Server listening on 0.0.0.0 port 22.
Aug 06 18:26:18 ssh-server sshd[3056]: Server listening on :: port 22.
Aug 06 18:26:18 ssh-server systemd[1]: Started OpenSSH server daemon.
  1. 使用SSH客户端连接到SSH服务器。
[student@controller ~]$ ssh xiaoshen@ssh-server
Welcome to ssh-server host.
xiaoshen@ssh-server's password:
Login Successful!
......
生成SSH密钥对

在本地系统中生成SSH密钥对,并将生成的公钥复制到OpenSS服务器中。注意:请以要使用密钥远程登录的用户操作,不要使用root用户生成密钥对,然后使用其他用户登录是不可以,错误的操作。

流程

  1. 为SSH协议的版本2生成ECDSA密钥对。
[xiaoshen@serverb ~]$ ssh-keygen -t ecdsa
Generating public/private ecdsa key pair.
Enter file in which to save the key (/home/xiaoshen/.ssh/id_ecdsa):
Created directory '/home/xiaoshen/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/xiaoshen/.ssh/id_ecdsa.
Your public key has been saved in /home/xiaoshen/.ssh/id_ecdsa.pub.
The key fingerprint is:
SHA256:QwH1R1VGmfBUNJixv3pyyTzUeoeiT7dU8isalRn4P2I xiaoshen@serverb.lab.example.com
The key's randomart image is:
+---[ECDSA 256]---+
|      .oo   .+**X|
|         o ..o++.|
|        . ...o . |
|       .   .. =  |
|        S    =..o|
|         .  . .=o|
|           ..E**o|
|           .+==O=|
|          .+oo*oo|
+----[SHA256]-----+
  1. 将公钥复制到远程机器中。
[xiaoshen@serverb ~]$ ssh-copy-id xiaoshen@ssh-server
......
Welcome to ssh-server host.
xiaoshen@ssh-server's password:

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'xiaoshen@ssh-server'"
and check to make sure that only the key(s) you wanted were added.

如果重新安装系统希望保留之前用户生成的密钥对,值需要备份/.ssh目录,重新安装后,将其复制到主目录中即可,可以为系统中所有用户执行此操作,包括root。

设置只基于密钥的身份验证

要提高系统安全性,通过在OpenSSH服务器上禁用密码身份验证来强制进行基于密钥的身份验证。

流程:

  1. 在文本编辑器中打开/etc/ssh/sshd_config配置,将 PasswordAuthentication 选项设置为 no 。(注意:如果是要进行远程连接,而不是使用控制台或带外访问,在禁用密码验证前,请先实现基于密钥的登录。)
[xiaoshen@ssh-server ~]$ sudo vim /etc/ssh/sshd_config
PasswordAuthentication no

默认安装以外或者是新安装的的系统中,检查PubkeyAuthentication已被注释(#);并且将ChallengeResponseAuthentication指令设为no。

#PubkeyAuthentication yes

ChallengeResponseAuthentication no
  1. 要在NFS挂载的主目录中使用基于密钥的验证,需启用use_nfs_home_dirs SELinuux布尔值。
[xiaoshen@ssh-server ~]$ sudo setsebool -P use_nfs_home_dirs 1
  1. 重新载入sshd守护进程以应用更改。
[xiaoshen@ssh-server ~]$ sudo systemctl reload sshd
  1. 验证:在不提供任何密码的情况下登录到OpenSSH服务器。
[xiaoshen@serverb ~]$ ssh xiaoshen@ssh-server
Welcome to ssh-server host.
Login Successful!
......
[xiaoshen@ssh-server ~]$
配置更安全的OpenSSH

  • 禁止通过 ssh 直接以 root 身份登录。

    [xiaoshen@serverb ~]$ sudo vim /etc/ssh/sshd_config
...
PermitRootLogin prohibit-password
......
[xiaoshen@serverb ~]$ sudo systemctl reload sshd

  • 启用基于密钥的身份验证并禁用基于密码的身份验证。

    [xiaoshen@serverb ~]$ sudo vim /etc/ssh/sshd_config
...
PasswordAuthentication no
......
[xiaoshen@serverb ~]$ sudo systemctl reload sshd

  • 限制对特定用户、组群或者域的访问

    /etc/ssh/sshd_config配置文件中的AllowUsers和AllowGroups指令可以只允许某些用户、域或组连接到您的OpenSSH服务器。

    [xiaoshen@serverb ~]$ sudo vim /etc/ssh/sshd_config
...
AllowUsers *@192.168.1.*,*@172.25.192.*,!*@192.168.1.233
AllowGroups example-group
......

    接受来自192.168.1.* 和172.25.192.* 子网中所有用户的连接,但192.168.1.233地址的系统除外。所有用户都必须在example-group组中。

  • 使用非默认端口

    默认情况下sshd守护进程侦听TCP端口22。更改此端口可降低系统因自动网络扫描而收到攻击的风险,并可以提高安全性。

    [xiaoshen@serverb ~]$ sudo semanage port -a -t ssh_port_t -p tcp PORT_NUMBER
[xiaoshen@serverb ~]$ sudo firewall-cmd --add--port PORT_NUMBER/tcp
[xiaoshen@serverb ~]$ sudo firewall-cmd --runtime-to-permanent

  • 使用更安全的密钥类型

    ssh-keygen命令默认生成一组RSA密钥,使用-t选项可以指定它生成ECDSA或者Ed25519密钥。

    ECDSA(Eliptic Curve Digital Signature Algorithm)能够在同等的对称密钥强度下,提供比RSA更好的性能。还会生成较短的密钥。

    Ed25519公钥算法是一种变形的Edwards曲线的实现,比RSA、DSA和ECDSA更安全,也更快。

  1. 使用sshd_keygen@.service实例化服务,禁用自动创建RSA密钥类型。
[xiaoshen@serverb ~]$ sudo systemctl mask sshd-keygen@rsa.service
  1. 注释/etc/ssh/sshd_confing中的相关行,排除SSH连接的特定密钥类型,只允许Ed25519主机密钥,并重新载入sshd服务。
[xiaoshen@serverb ~]$ sudo vim /etc/ssh/sshd_config
...
# HostKey /etc/ssh/ssh_host_rsa_key
# HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
......
[xiaoshen@serverb ~]$ sudo systemctl reload sshd
  1. 生成SSH密钥对。
孙晓神
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OpenSSH(允许Windows通过SSH方式访问
11-08
该软件基于OpenSSH修改。 安装该软件后可以使用SSH方式访问Windows服务器,用户名密码不变。 该软件在Windows Server 2012 R2 Standard版本下测试通过。 如果安装过程中提示没有权限,请以管理员身份运行。
所有默认端口对应表
yp120yp的专栏
02-28 5615
<br /># GoSH portlist compiled by Julian Assange - [email protected]<br />#<br /># Please send any additions / clarifications to [email protected]<br />#<br />reserved            0/tcp Reserved [JBP]<br />reserved            0/udp Reserved [JBP]<br />t
Linux中的远程连接服务器(SSH)---详解
最新发布
qq_64302290的博客
03-26 1409
远程连接服务器也就是可以提供远程连接的功能,并且能够登录到该服务器上使用该服务器的资源。远程连接服务器通过文字或图形接口方式来远程登录系统,让你在远程终端前登录linux主机以取得可操作主机接口(shell),而登录后的操作感觉就像是坐在系统前面一样。SSH(Secure Shell Protocol,安全的壳程序协议)它可以通过数据包加密技术将等待传输的数据包加 密后再传输到网络上。
win2008下openssh安装配置(sftp服务器)
wklnewlife的专栏
12-06 4256
安装配置参考安装目录下doc的quickstart.txt或者readme.txt文件。 配置: --摘自quickstart.txt--------- Configuration ------------- 1.  Open a command prompt and change to the installation directory (Program Files\OpenSSH
【OpenSSH】Windows系统使用OpenSSH搭建SFTP服务器
qq_43800904的博客
03-18 1787
选择添加,在查找对象名称里面输入SFTP这个用户,点击检查名称,然后点击确定,这时我们可以发现出现了很多权限的列表,这就是我们所需要的!第1步,我们右键服务器的根目录,右键,属性,点击安全标签页,点击编辑,增加我们之前创建的SFTP这个SFTP专用用户。这时我们可以选择拒绝所有具有写或者修改操作的权限,如:创建权限、删除权限、更改权限,注意这里不要把读取的属性给禁用了!我们可以看见SFTP这个用户目前已经拥有的权限了,我们先选中SFTP这个用户,再点击更改权限。windows设置-账户-其他用户。
CentOS中SSH远程连接配置
weixin_34332905的博客
07-17 112
1.配置IP #setup   选择 NetWork configuration   选择 Device configuration   选择 eth0   Use DHCP [*] 改 为 [ ]   用空格键将*去除   Static IP 输入 192.168.1.112   Netmask 输入 255.255.255.0   Default  gateway IP 输入 ...
ssh连接服务器相关问题
qq_37692458的博客
12-07 1945
ssh连接服务器出现:ssh: connect to host 192.168.1.107 port 22: Connection refused 的解决方法 1 说明遇到问题场景 1、我的系统环境 windows10 连接的服务器系统为:Mint19.3 2、我使用windows,在局域网下通过ssh连接服务器报错:ssh: connect to host 192.168.1.107 port 22: Connection refused shl@shliangPC MINGW64 ~ $ s
linux设置密钥登录(只允许密钥登录)
weixin_30687051的博客
09-16 3560
一.root用户使用这条命令看看家目录有没有(.ssh文件夹),cd .ssh,如果存在就会进入这个文件夹,不存在就(makedir .ssh),修改.ssh这个文件夹权限(chmod 700 .ssh),查看.ssh文件夹下是否有这个文件(authorized_keys),没有就(vim authorized_keys,然后保存退出),修改这个文件权限(chmod 700 authorized_...
ssh远程登录服务
weixin_43880061的博客
06-01 8161
1.ssh简介 SSH(Secure Shell,安全的外壳)是一种能够以安全的方式提供远程登录的协议。 它是专为远程登录会话(甚至可以用Windows远程登录Linux服务器进行文件互传)和其他网络服务提供安全性的协议,可有效弥补网络中的漏洞,ssh协议属于应用层协议。同时ssh服务也是一种对数据进行加密传输的服务。 ssh服务为客户机提供安全的shell环境,用于远程管理。ssh的默认端口号是22号端口 ssh服务主要是在HP_UX,LINUX,AIX,UNIX系统上都有但是Windows上没有
SSH简介及两种远程登录的方法
顺其自然~专栏
02-01 9344
Secure Shell(SSH) 是由 IETF(The Internet Engineering Task Force) 制定的建立在基础上的。它是专为(甚至可以用Windows远程登录Linux服务器进行文件互传)和提供安全性的协议,可有效弥补网络中的漏洞。,既有商业实现,也有开源实现。本文主要介绍OpenSSH免费开源实现在Ubuntu中的应用,如果要在Windows中使用SSH,需要使用另一个软件PuTTY。SSH之所以能够保证安全,原因在于它采用了非对称加密技术(RSA)加密了所有传输的数据。
ssh远程登录
qq_46056407的博客
06-13 2877
安全外壳协议(Secure Shell,简称SSH)是一种在不安全网络上用于安全远程登录和其他安全网络服务的协议. SSH是建立在应用层基础上的安全协议,SSH是较可靠,专业为远程登录会话和其他网络服务提供安全性的协议.利用SSH协议可以有效防止远程管理过程中的信息泄露问题.
SecureCRT远程访问linux系统
04-20
CRT是一款SSH客户端软件,用于在Windows系统远程访问Linux/Unix服务器。它可以提供可靠的加密连接和管理多个会话、窗口和协议的功能,支持SSH、Telnet、Rlogin、Serial等多种连接协议。 CRT具有用户友好的界面和...
ssh 远程连接Linux工具
01-19
ssh工具 用于连接远程服务器 linux 系统 解压 安装即可使用
SSH设置别名访问远程服务器详细介绍
01-10
一般使用ssh访问远程服务器的命令是:ssh username@ip地址, 例如:ssh [email protected],然后输入密码即可访问。 以Mac OS为例,其他操作系统,根据目录自行查找 设置如下: 使用cd ~/.ssh/ 进入ssh目录,会...
通过SSH访问远程Linux服务器的四个安全策略.pdf
09-06
通过SSH访问远程Linux服务器的四个安全策略.pdf
SSH连接远程服务器失败
01-20
我真的佛了,我把电脑都重装系统了,没想到还是有问题,最终我找到了解决方案。 (我指的重装系统就是win10自带的功能,可能用词有些不严谨) 问题描述 当我使用 putty 或者 Moba... 原创文章 6获赞 8访问量 726 关注
SSH远程连接配置
舜岳的博客
05-30 995
SSH远程连接到阿里云服务器 1. 生成SSH公私钥: # 生成公钥密钥 默认生成的 密钥文件是: id_rsa | 公钥文件是: id_rsa.pub ssh-keygen -t rsa -C "[email protected]" # 生成 PEM 类型的公钥、密钥,同时自定义文件名 (推荐生成 PEM 类型,不然公钥密钥会在某些情况无效) ssh-keygen -t rsa -m PEM -b 4096 -f ~/.ssh/id_rsa -C "[email protected]" # 注意window下创建方法: (这里
关于opensshssh的一些认识
weixin_58692240的博客
09-30 2352
1、ssh 是协议,基于22端口的安全协议 2、openssh 是实现这种协议的一个工具,有客户端和服务端,用在linux系统中可以直接使用ssh客户端来登录到服务端,用在win系统中也可以直接用ssh客户端来登录到服务端,但是win环境下有图形化的工具来实现,比如x-shell、CRT等等 3、ssh中文解释是安全的shell,shell是一个壳或者称为解释器,把用户的请求通过shell解释器来解释为计算机能识别的二进制语言 ...
SSH客户端连接远程服务器
热门推荐
久绊A的博客
07-16 3万+
当我们说"客户端连接到远程服务器"时,指的是在网络环境下,通过使用特定的协议(如SSH、HTTP、FTP等)从一个计算机或设备(称为客户端)与另一个计算机或设备(称为远程服务器)建立连接。将Linux作为SSH服务器,并允许其他计算机通过SSH协议连接到该服务器,您需要安装SSH服务器软件包。在这种情况下,客户端是发起连接并发出请求的一方,而远程服务器则是接受连接并提供所需服务或资源的一方。使用命令,(“ ip address show”),就可以查看,也可以简写(“ ip a”);
ubuntu系统设置ssh远程访问
10-11
要在Ubuntu系统上设置SSH远程访问,可以按照以下步骤操作: 1. 确认ssh是否已安装。在终端中输入命令:`sudo apt-get install ssh`,如果ssh未安装,则会自动安装。 2. 修改sshd_config文件。在终端中输入命令:`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值