11.ssh

最新推荐文章于 2024-01-03 00:04:26 发布
最新推荐文章于 2024-01-03 00:04:26 发布
阅读量162 收藏
点赞数
文章标签: 运维 shell
原文链接:http://blog.51cto.com/10983441/2425703
版权

1.1ssh介绍

1.SSH远程登录服务介绍说明
SSH是Secure Shell Protocol的简写,由 IETF 网络工作小组(Network Working Group)制定;
在进行数据传输之前,SSH先对联机数据包通过加密技术进行加密处理,加密后在进行数据传输。
确保了传递的数据安全。
SSH是专为远程登录会话和其他网络服务提供的安全性协议。
利用SSH协议可以有效的防止远程管理过程中的信息泄露问题,在当前的生产环境运维工作中,
绝大多数企业普遍采用SSH协议服务来代替传统的不安全的远程联机服务软件,如telnet(23端口,非加密的)等。
在默认状态下,SSH服务主要提供两个服务功能:

2.SSH远程登录服务功能作用
a 一是提供类似telnet远程联机服务器的服务,即上面提到的SSH服务;
b 另一个是类似FTP服务的sftp-server,借助SSH协议来传输数据的,提供更安全的SFTP服务(vsftp,proftp)。

3.SSH远程登录服务排错思路
01. 检查链路是否通畅---ping(icmp)/tracert/traceroute
02. 检查链路是否阻断---将防火墙功能关闭
03. 检查服务是否开启---ss/netstat -lntup(服务端检查)    /telnet/nmap/nc(客户端检查)

11.ssh

1.2ssh与telnet对比

SSH
1.SSH服务端口号信息为22
2.SSH服务采用密文方式传输数据
3.SSH服务默认支持root用户进行远程登录

Telnet
1.telnet服务端口号信息为23
2.telnet服务采用明文方式传输数据
3.telnet服务默认不支持root用户进行远程登录

11.ssh
11.ssh

1.3telnet 服务安装及操作

[root@backup ~]# cat /etc/xinetd.d/telnet 
# default: on
# description: The telnet server serves telnet sessions; it uses \
#   unencrypted username/password pairs for authentication.
service telnet
{
    flags       = REUSE
    socket_type = stream        
    wait        = no
    user        = root
    server      = /usr/sbin/in.telnetd
    log_on_failure  += USERID
    disable     = no
}
[root@backup ~]# service xinetd start

Xshell:\> telnet 10.0.0.41 23

Connecting to 10.0.0.41:23...
Connection established.
Escape character is '^@]'.
CentOS release 6.9 (Final)
Kernel 2.6.32-696.el6.x86_64 on an x86_64
backup login: oldboy
Password: 
[oldboy@backup ~]$

1.4基于口令的验证

①. ssh客户端发出连接请求
>/root/.ssh/known_hosts
②. ssh服务端会发出确认信息,询问客户端你是否真的要连接我
③. ssh客户端输入完成yes,会等到一个公钥信息
cat /root/.ssh/known_hosts
④. ssh服务端将公钥信息发送给ssh客户端
⑤. ssh客户端利用密码进行登录
基于口令的登录验证过程
[root@backup .ssh]# >known_hosts 
[root@backup .ssh]# ll
total 0
-rw-r--r-- 1 root root 0 Mar 11 15:33 known_hosts
[root@backup .ssh]# ssh 10.0.0.31
The authenticity of host '10.0.0.31 (10.0.0.31)' can't be established.
RSA key fingerprint is c3:74:5f:6a:ad:14:fa:a0:c1:6d:09:3a:4b:08:51:d6.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '10.0.0.31' (RSA) to the list of known hosts.
root@10.0.0.31's password: 
Last login: Mon Mar 11 13:56:13 2019 from 10.0.0.1
[root@nfs01 ~]# exit
logout
Connection to 10.0.0.31 closed.
[root@backup .ssh]# ll
total 4
-rw-r--r-- 1 root root 391 Mar 11 15:33 known_hosts
[root@backup .ssh]# cat known_hosts 
10.0.0.31 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAuDdWcY22UWC5I/bDAvNBw2ZxMMdG7pK1NsboILsFl1IETeSiZeTvSHRkq4L2bwXuGSmV7Ym7vET2Hdv0YZC/IY9mNd9nEXMVSafjNmZdQ3R064QQ+mRaKQWsiu/RXOZyQ6VxfsNC+BJv9oqskRXehb5sT+cZTIdzS8DYHhrSywIMTkcZvMOEtilioc9osnzixtQ3p+iDt3z+dLEsUHMlxXdiE2snnTJJWFNjygb7B+RlUNH5XiDvyIShdLnFhG4fD5ATPntbfLRZrs0XPPNSPxaO1Jgzg6l/btpYy6F4rh6/ZDtiia/3X9uk93ZGzy/OR//ZE5ukdxjhi3MUQRMtjw==

[root@backup .ssh]# ssh 10.0.0.31
root@10.0.0.31s password: 
Permission denied, please try again.
root@10.0.0.31s password: 
Last login: Mon Mar 11 15:33:48 2019 from 10.0.0.41
[root@nfs01 ~]# logout
Connection to 10.0.0.31 closed.
[root@backup .ssh]# 
加密技术分为v1和v2两个版本 
sshv1版本不会经常更换锁头和钥匙,因此会有安全隐患
sshv2版本会经常更换锁头和钥匙,因此提高了远程连接安全性

1.5基于密钥方式实现远程登录

①. ssh管理服务器上创建密钥对信息(公钥 私钥)
②. ssh管理服务器上将公钥发送给被管理服务器
③. ssh管理服务器向被管理服务器发送连接请求
④. ssh被管理服务器向管理服务器发送公钥质询
⑤. ssh管理服务器处理公钥质询请求,将公钥质询结果发送给被管理主机![](https://s1.51cto.com/images/blog/201908/01/ddc98bd3ecea1a6e688aca19cf0a2121.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
⑥. ssh被管理服务器接收公钥质询响应信息,从而确认认证成功
⑦. ssh管理服务端可以和被管理服务端建立基于密钥连接登录

11.ssh

基于密钥登录方式部署流程
第一个里程:在管理主机上创建密钥对信息
ssh-keygen -t dsa      <-- 创建密钥对命令 -t dsa表示指定密钥对加密类型
Generating public/private dsa key pair.
Enter file in which to save the key (/root/.ssh/id_dsa):      <-- 确认私钥文件所保存的路径
/root/.ssh/id_dsa already exists.
Overwrite (y/n)? y                                            <-- 如果已经存在了密钥对信息,是否进行覆盖
Enter passphrase (empty for no passphrase):                   <-- 确认是否给私钥设置密码信息(一般为空)
Enter same passphrase again:                                  
Your identification has been saved in /root/.ssh/id_dsa.
Your public key has been saved in /root/.ssh/id_dsa.pub.
The key fingerprint is:
46:c8:21:b9:99:6e:0c:59:39:66:38:7a:97:29:51:76 root@m01
The key's randomart image is:
+--[ DSA 1024]----+
|   o+oE          |
|  +.B+ o         |
| . B Bo .        |
|. = B  .         |
| . *    S        |
|    +  .         |
|   .             |
|                 |
|                 |
+-----------------+

第二个里程:将管理主机上公钥信息发送给被管理主机
ssh-copy-id -i /root/.ssh/id_dsa.pub 172.16.1.31
root@172.16.1.31's password: 
Now try logging into the machine, with "ssh '172.16.1.31'", and check in:

  .ssh/authorized_keys

to make sure we haven't added extra keys that you weren't expecting.

第三个里程:进行远程管理测试(基于密钥的方式进行远程管理)   
ssh 172.16.1.31        <-- 可以不用输入密码信息,就能登陆成功
ssh 172.16.1.31 uptime <-- 可以不用登陆到远程主机,就可以直接查看远程主机信息

普通用户操作过程
[root@nfs01 ~]# su - oldboy
[oldboy@nfs01 ~]$ ssh-
ssh-add      ssh-agent    ssh-copy-id  ssh-keygen   ssh-keyscan  
[oldboy@nfs01 ~]$ ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/home/oldboy/.ssh/id_dsa): 
Created directory '/home/oldboy/.ssh'.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/oldboy/.ssh/id_dsa.
Your public key has been saved in /home/oldboy/.ssh/id_dsa.pub.
The key fingerprint is:
bb:b4:59:30:de:4d:91:a4:45:c8:3f:53:ca:2e:3d:c6 oldboy@nfs01
The key's randomart image is:
+--[ DSA 1024]----+
|         . o+    |
|          o+ ..  |
|          .ooo   |
|            *.   |
|        S  +.o   |
|       . =.oE    |
|        + oo..   |
|       . =       |
|        +        |
+-----------------+
[oldboy@nfs01 ~]$ ssh-key
ssh-keygen   ssh-keyscan  
[oldboy@nfs01 ~]$ ssh-copy-id -i /home/oldboy/.ssh/id_dsa.pub oldboy@10.0.0.41
The authenticity of host '10.0.0.41 (10.0.0.41)' can't be established.
RSA key fingerprint is c3:74:5f:6a:ad:14:fa:a0:c1:6d:09:3a:4b:08:51:d6.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '10.0.0.41' (RSA) to the list of known hosts.
oldboy@10.0.0.41's password: 
Now try logging into the machine, with "ssh 'oldboy@10.0.0.41'", and check in:

  .ssh/authorized_keys

to make sure we haven't added extra keys that you weren't expecting.

[oldboy@nfs01 ~]$ ssh oldboy@10.0.0.41 pwd
/home/oldboy
[oldboy@nfs01 ~]$

11.ssh

1.6SSH服务端配置文件信息说明(/etc/ssh/sshd_config)

Port 52113                   <- 修改ssh服务端口号信息            
ListenAddress 0.0.0.0        <- 主要作用提升网络连接安全性,此时如果有多个网卡,配置了多个Ip,可以通过这些Ip登录服务器
PS:监听地址只能配置为服务器网卡上拥有的地址  
#ListenAddress 172.16.1.31  只能通过172.16.1.31来登录服务器 
PermitRootLogin no           <- 是否允许root用户远程登录  
PermitEmptyPasswords no      <- 是否允许空密码
UseDNS no                    <- 是否进行DNS反向解析(提升ssh远程连接效率)                    
GSSAPIAuthentication no      <- 是否进行远程GSSAPI认证(提升ssh远程连接效率)

1.7SSH远程管理服务***防范

①. 利用密钥登录提高安全性
②. 利用牤牛阵法提高安全性
安全设备策略阻止访问,只放开少量服务端口
开启SSH监听地址功能,只监听内网网卡地址
③. 利用服务器不配置外网IP提高安全性
④. 利用授权与系统安装最小化提高安全性
⑤. 利用指纹信息对系统重要文件进行加密处理
⑥. 利用系统重要文件加锁功能提高安全性

1.8SSH远程管理服务连接功能

1.ssh远程连接
①. SSH远程连接方法--linux客户端连接
ssh -p22 oldboy@10.0.0.61
②. SSH远程连接方法--windows客户端连接
利用xshell/SecureCRT/Putty软件连接
③. SSH远程连接不登录服务器执行命令方法
ssh -p22 oldboy@10.0.0.61 "free -m"

2.SSH远程管理服务复制功能
①. SSH远程复制方法--scp
scp -P22 -rp /tmp/oldboy oldboy@10.0.0.41:/tmp

3.sftp
bye             Quit sftp                             <-- 表示退出sftp传输模式
cd path         Change remote directory to 'path'     <-- 改变远程目录信息
pwd             Display remote working directory      <-- 显示远程主机当前目录信息
lcd path        Change local directory to 'path'      <-- 改变本地目录路径信息
lpwd            Print local working directory         <-- 输出本地目录路径信息
get [-P] remote-path [local-path]  
                Download file                         <-- 下载文件命令
put [-P] local-path [remote-path]                     <-- 上传文件命令
                Upload file 

[root@nfs01 ~]# sftp -oPort=22 10.0.0.41
Connecting to 10.0.0.41...
root@10.0.0.41's password: 
sftp> mkdir /oldboy/sftp
sftp> ls -l /oldboy/
drwxr-xr-x    2 root     root         4096 Mar 11 17:55 sftp
sftp> cd /oldboy/sftp
sftp> pwd
Remote working directory: /oldboy/sftp
sftp> touch file
Invalid command.
sftp> lpwd
Local working directory: /root
sftp> lls -l 
total 48
-rw-------. 1 root root  1061 Feb 18 12:24 anaconda-ks.cfg
-rw-r--r--  1 root root   285 Mar 11 17:44 back.sh
-rw-r--r--  1 root root     0 Mar 11 09:11 inotify
-rw-r--r--. 1 root root 21736 Feb 18 12:24 install.log
-rw-r--r--. 1 root root  5890 Feb 18 12:22 install.log.syslog
-rw-r--r--  1 root root    21 Mar  7 21:14 [root@backup
-rw-r--r--  1 root root    20 Mar 11 17:43 test.log
sftp> put back.sh
Uploading back.sh to /oldboy/sftp/back.sh
back.sh                                                                                    100%  285     0.3KB/s   00:00    
sftp> pwd
Remote working directory: /oldboy/sftp
sftp> get back.sh
Fetching /oldboy/sftp/back.sh to back.sh
/oldboy/sftp/back.sh                                                                       100%  285     0.3KB/s   00:00    
sftp> lpwd
Local working directory: /oldboy
sftp> lls -l
total 12
-rw-r--r-- 1 root   root    285 Mar 11 17:59 back.sh
-rw-r--r-- 1 oldboy oldboy   20 Mar 11 17:39 test.log
drwxr-xr-x 3 root   root   4096 Mar  7 17:11 tmp
sftp>
bisounie3680
关注
CC00006.LinuxNetwork——|Linux&SshTcpRoot.V03|
yanqi_vip
03-25 132
一、禁止root密码登录 ### --- 禁止root密码登录 [root@server14 ~]# vim /etc/ssh/sshd_config PasswordAuthentication no // 默认是yes生效状态,改为no关闭;禁止使用密码登录 [root@server14 ~...
Xshell配置SSH密钥登录Linux服务器
itcomputer12的专栏
12-04 5248
我的用的是CentOS6.4,默认是开启selinux的,请把setenforce 0 关闭selinux,配置步骤完全正确(已验证). 百度文库地址: http://wenku.baidu.com/link?url=96LXUWOidQi6jBeqGp8zdzpkNFE5fUsbDX2-zh3B-wLaG8saJR06jkM9jCLtORWjAr9Z 引言 使用SSH客户端来登陆Li
2.1 ssh服务
weixin_34228617的博客
09-15 85
SSH服务 ssh: secure shell, protocol, 22/tcp, 安全的远程登录 1 SSH是标准的网络协议,可用于大多数UNIX操作系统,能够实现字符界面的远程登录管理,它默认使用22号端口,采用密文的形式在网络中传输数据,相对于通过明文传输的Telnet,具有更高的安全性。 2 SSH协议版本v1: 基于CRC-32做MAC,不安全;man-in-middlev2:双方主机...
利用 sftp 在本地和服务器之间传输文件
热门推荐
gzxdale的博客
07-21 5万+
目录 NO.0 xShell5 利用 sftp 在本地和服务器之间传输文件: NO.1 通过SecureCRTPortable利用sftp本地与服务器互相传输文件 NO.2 Java通过SFTP连接、上传、下载、删除文件 NO.0 xShell5 利用 sftp 在本地和服务器之间传输文件: sftp是Secure File TransferProtocol的缩写,安全文件传送协议。可以...
【Linux学习笔记】3:目录与文件处理命令
LauZyHou的笔记
08-23 906
Linux中一切皆文件,目录也是文件(目录文件),用来保存文件,相当于windows中的文件夹的概念。[1]mkdir建立目录 (词汇:make directory)mkdir [-p] [目录名]选项:-p表示递归创建(先建立上级再建立下级),可以建立嵌套的目录。[root@bogon ~]# mkdir -p test1/test2 [root@bogon ~]# ls anaconda-ks
day4-ssh
最新发布
m0_59519985的博客
01-03 454
ssh相关用法
SSH(二)
weixin_42182922的博客
11-14 144
一:基于密钥的登录方式 (1)首先在客户端生成一对密钥(公钥、私钥) (2)客户端将生成的公钥拷贝到需要访问的服务端机器上 (3)当客户端再此发送一个连接请求,包括IP,用户名 (4)服务端得到客户端的请求后,会到authroized_keys中查找,如果有相应的IP和用户,就会随机生成一个字符串,例如:qwer; (5)服务端将使用客户端拷贝过来的公钥对随机字符串“qwer”,进行加密然后发送给...
24.SSH远程服务管理
weixin_46760148的博客
02-14 706
Linux基础学习-SSH远程服务管理第二十八节SSH远程服务管理1728.1ssh交互式远程执行命令28.1.1搭建Linux服务器端ssh28.1.2搭建Linux客户端28.1.3服务器连接客户端28.1.4客户端连接服务器28.2非交互式远程执行命令28.3运程传输文件scp(secure copy)28.4免密登录28.4.1公私钥28.4.2实验:自己上传自己的公钥 第二十八节SSH远程服务管理17 Ssh(secure shell)安全的shellssh就是一种支持远程连接unix/Lin
x11-ssh-askpass-1.2.4.1.tar.gz
11-26
标题中的"x11-ssh-askpass-1.2.4.1.tar.gz"是一个开源软件包,主要用于在没有图形界面的远程服务器上提供SSH密码输入功能。这个软件包是X11 SSH Askpass的1.2.4.1版本,它是一个用于SSH连接的安全凭证助手,特别适用...
SSH服务端 Apache SSHD
06-06
Apache SSHD是一个开源项目,由Apache软件基金会维护,它提供了实现Secure Shell (SSH)协议的服务器端实现。SSH是一种网络协议,用于安全地在不同主机之间进行远程登录和其他网络服务,如文件传输。Apache SSHD使得...
ssh配置文件和密钥文件分析
m0_61817986的博客
01-09 460
SSH:是一种安全通道协议,主要用来实现字符界面的远程登录,远程复制等功能。 在RHEL系统中SSH使用的是OpenSSH服务器,由opensh,openssh-server等软件包提供的。 sshd服务配置文件默认位置/etc/ssh/sshd_config。 一、常见的SSH服务器监听的选项如下: 1 Port 22 //监听的端口号为22 2 Protocol 2 //使用SSH V2协议 3 ListenAdderss 0.0.0.0 //监听的地址为所有的地
Bad owner or permissions on C:\\Users\\atrist/.ssh/config
暮阳的博客
12-12 650
vscode 远程连接服务器错误 详细错误: [15:11:38.023] > Bad owner or permissions on C:\\Users\\atrist/.ssh/config > [15:11:38.032] > 过程试图写入的管道不存在。 > [15:11:38.358] "install" terminal command done [15:11:38.359] Install terminal quit with output: 过程试图写入的管道不存在
SSH_day02
zb_tjw的博客
04-13 213
1.项目部署运行问题 这个地方必须配置上,这里就相当于eclipse中的项目部署,如果不做部署,那么访问http://localhost:8080/看到的就是一个空白网页没有任何的东西 *2.如何在Struts.xml中自定义常量 3.$符号:EL表达式
-----> SSH
程序员,从骨子里就有一种迎难而上的精神。
10-21 137
1 SSH在开发中的位置 现在J2EE的开源框架多的数不清楚,目前(已经、正在)比较流行的常用框架大概有 struts,spring,hibernate,jsf,webwork,而 struts+spring+hibernate(SSH)这种轻量级架构被誉为“黄金组合”。spring和hibernate更是被许多人认为是未来五年内不会被淘汰的技术,犹如当年的struts,今天的开发中依然被广泛采...
Python库 | pymongo-ssh-0.0.11.tar.gz
03-07
《Python库pymongo-ssh-0.0.11:连接MongoDB的SSH隧道解决方案》 在Python的开发环境中,我们经常会遇到需要通过安全ShellSSH)隧道访问远程资源的情况,特别是在处理数据库连接时。`pymongo-ssh`是一个Python库...
Linux - 配置SSH免密登入 - “ssh-keygen”的基本用法
weixin_46232508的博客
05-28 988
1.配置SSH免密登录 说明: 这里演示所用的服务器操作系统是Cent OS 7. 我们的目标是: A服务器(192.168.140.110) 能免密登录 B服务器 (192.168.140.120). 注意: ssh连接是单向的, A能免密登录B, 并不能同时实现B能免密登录A. 2.安装必需的软件 在操作之前, 先确保所需要的软件已经正常安装. 这里我们需要安装ssh-keygen和ssh-copy-id, 安装方式如下: [root@localhost ~]# yum install -y ssh-k
【愚公系列】2023年06月 网络安全高级班 015.SSH协议
时光隧道
05-09 8092
SSH是Secure Shell的缩写,是一种加密的网络协议,用于在不安全的网络中安全地远程登录和执行命令。它使用公钥加密(RSA、DSA等)和对称密钥加密(AES、Blowfish、3DES等)以确保数据的安全。SSH协议分为版本1和版本2两种,其中版本2是目前广泛使用的标准。SSH协议包括三个组件:SSH客户端、SSH服务器和SSH协议本身。在建立连接之前,SSH服务器会要求SSH客户端提供其公钥,用于加密后续交换的密钥。然后,双方使用公钥加密算法交换协商使用的对称密钥,该对称密钥用于加密后续数据流。
基础服务练习与讲解-1.ssh远程连接
qq_46112068的博客
01-23 1288
SSH远程连接 文章目录SSH远程连接一、ssh是什么二、ssh简介1.ssh介绍2.安装ssh服务三、客户端软件四、ssh的基本操作1.ssh远程连接2.执行远程命令3.远程拷贝文件五、加密原理1.ssh怎么实现加密?1)数据加密2)数据加密算法3)非对称加密2.对称加密算法3.非对称加密算法六、免密ssh1.配置免密生成秘钥对查看秘钥文件自动将公钥拷贝到对方服务器用户家目录验证七、ssh服务配置1.SSH客户端配置文件2.SSH服务端配置文件 一、ssh是什么 前言介绍:SSH是专门为了远程登录会话和其
Centos7使用ssh进行x11图形界面转发.doc
02-07
Secure Shell (SSH)是一种加密协议,可以在不安全的网络上安全地传输数据。X11- forwarding是一个安全的shell特性,它允许通过现有的SSH shell会话转发X11连接,用于在服务器上运行X11程序,而ssh-client通过用户的...
SSH(一)
有幸添砖java
09-03 212
SSH(一)整体架构图web.xmlstruts.xmlapplicationContext.xmlProduct.javaProduct.hbm.xmlProductAction.javaProductService.javaProductServiceImpl.javaProductDAO.javaProductDAOImpl.javalist.jsp目录结构(注意这四个文件的位置)运行效果 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值