第五章 SSH远程管理服务
第一节 SSH简介
ssh(安全外壳协议)
SSH为Secure Shell的缩写,SSH为建立在应用层和传输层基础上的安全协议
SSH端口
- SSH端口:22
- Linux中守护进程:sshd
安装服务:OpenSSH
- 服务端主程序:/usr/sbin/sshd
- 客户端主程序:/usr/bin/ssh
相关配置文件
- 服务端配置文件:/etc/ssh/sshd_config
- 客户端配置文件:/etc/ssh/ssh_config
网络监听
tcpdump -I 网卡文件名 -nnX port 21
第二节 SSH原理
对称加密算法
采用单钥密码系统的加密方式,同一个密钥可以同时用作信息的加密和解密,这种加密方式称为对称加密,也称为单密钥加密
非对称加密算法
非对称加密算法(asymmetric cryptographic algorithm)又名“公开密钥加密算法”,非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)
SSH安全外壳协议
保护信息安全
第三节 SSH配置文件
服务端配置文件:/etc/ssh/sshd_config
- Port 22 端口
- ListenAddress 0.0.0.0 监听的IP
- Protocol 2 SSH版本选择
- HostKey /etc/ssh/ssh_host_dsa_key 私钥保存位置
- ServerKeyBits 1024 私钥的位数
- SyslogFacility AUTH 日志记录SSH登陆情况
- LogLevel NFO 日志等级
- GSSAPIAuthentication yes GSSAPI认证开启
在Linux远程管理Linux是,如果没有搭建DNS服务,这个建议关闭,把客户端的GSSAPIAuthentication yes 改为no,默认是yes,取消注释即可,否则登陆会异常缓慢
- 客户端配置文件:/etc/ssh/ssh_config
安全设定部分 - PermitRootLogin yes 允许root的ssh登陆
- PubkeyAuthentication yes 是否使用公钥登陆
- AuthorizedKeysFile .ssh/authorized_keys
公钥的保存位置 - PasswordAuthentication yes 允许使用密码验证登陆
- PermitEmptyPasswords no 不允许空密码登陆
第四节 常用SSH命令
-
Linux管理其他Linux
ssh 用户名@IP
可以用来苹果Mac笔记本终端远登陆服务器 -
scp
- 下载
scp root@192.168.44.2:/root/test.txt . - 上传
scp -r /root/123 root@192.168.44.2/root
例子:
scp -r localfile.txt username@192.168.0.1:/home/username/
其中,
1)scp是命令,-r是参数
2)localfile.txt 是文件的路径和文件名
3)username是服务器账号
4)192.168.0.1是要上传的服务器ip地址
5)/home/username/是要拷入的文件夹路径
scp -r /Users/yangyangyang/Desktop/1.txt root@47.95.5.171:/tmp
- 下载
-
Sftp文件传输
sftp root@192.168.4.2- ls 查看服务器端数据
- cd 切换服务器端目录
- lls 查看本地数据
- lcd 切换本地目录
- get 下载
- put 上传
第五节 SSH连接工具
-
butty
-
secureCRT
-
Xshell
-
Mac 自带终端
第六节 秘钥对登陆
密钥对验证
即安全又方便
步骤1:
- Client客户端:
ssh-keygen -t rsa - Sever服务端:
把公钥上传到服务器端
cat id_rsa.pub >> /root/.ssh/authorized_keys
chmod 600 /root/.ssh/authorized_keys
步骤2:
修改服务器端ssh配置文件
- RSAAuthentication yes 开启RSA验证
- PubkeyAuthentication yes 是否使用公钥验证
- AuthorizedKeysFile .ssh/aurhorized_keys
公钥保存位置 - PasswordAuthentication no 禁止使用密码验证登陆
步骤3:
- 服务器端关闭SELinux服务
vim /etc/seliunx/config - 重启系统 reboot
- 服务器端重启ssh服务
service sshd restart