openssh服务

最新推荐文章于 2024-03-15 10:11:56 发布
最新推荐文章于 2024-03-15 10:11:56 发布
阅读量551 收藏 1
点赞数
文章标签: 运维 shell 网络
原文链接:http://blog.51cto.com/14428084/2416219
版权
  1. 使用 SSH 访问远程命令行
    1.1 OpenSSH 简介
    1.2 SSH 版本
    1.3 SSH 认证方式
    1.4 openSSH 的工作模式
    1.4 Secure Shell 示例
    1.5 SSH 主机密钥
  2. 配置基于 SSH 密钥的身份验证
  3. 自定义 SSH 服务配置
  4. SSH 安全注意事项

1.1 OpenSSH 简介

OpenSSH这一术语指系统中使用的Secure Shell软件的软件实施。用于在远程系统上安全运行shell。如果您在可提供ssh服务的远程Linux系统中拥有用户帐户,则ssh是通常用来远程登录到该系统的命令。ssh命令也可用于在远程系统中运行命令。

常见的远程登录工具有:

telnet
ssh
dropbear
telnet //远程登录协议,23/TCP
认证明文
数据传输明文

ssh //Secure SHell,应用层协议,22/TCP
通信过程及认证过程是加密的,主机认证
用户认证过程加密
数据传输过程加密

dropbear //嵌入式系统专用的SSH服务器端和客户端工具
1.2 SSH 版本

openssh有两个版本,分别为v1和v2,其特点如下:

v1:基于CRC-32做MAC,无法防范中间人(man-in-middle)***
v2:双方主机协议选择安全的MAC方式。基于DH算法做密钥交换,基于RSA或DSA算法实现身份认证
1.3 SSH 认证方式

openssh有两种认证方式,分别是:

基于口令认证
基于密钥认证
1.4 openSSH 的工作模式

openSSH是基于C/S架构工作的。

服务器端 //sshd,配置文件在/etc/ssh/sshd_config
客户端 //ssh,配置文件在/etc/ssh/ssh_config
ssh-keygen //密钥生成器
ssh-copy-id //将公钥传输至远程服务器
scp //跨主机安全复制工具
1.4 Secure Shell 示例

//以当前用户身份创建远程交互式shell,然后在结束时使用exit命令返回到之前的shell
[root@localhost ~]# ssh 172.16.12.138
root@172.16.12.138's password:
Last login: Tue Jul 10 07:34:03 2018 from 172.16.12.136
[root@localhost ~]# exit
logout
Connection to 172.16.12.138 closed.

//以其他用户身份(remoteuser)在选定主机(remotehost)上连接到远程shell
[root@localhost ~]# ssh user1@172.16.12.138
user1@172.16.12.138's password:
[user1@localhost ~]$ exit
logout
Connection to 172.16.12.138 closed.

//以远程用户身份(remoteuser)在远程主机(remotehost)上通过将输出返回到本地显示器的方式来执行单一命令
[root@localhost ~]# ip a s ens33
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:0c:29:0e:70:22 brd ff:ff:ff:ff:ff:ff
inet 172.16.12.136/24 brd 172.16.12.255 scope global dynamic ens33
valid_lft 1422sec preferred_lft 1422sec
inet6 fe80::20c:29ff:fe0e:7022/64 scope link
valid_lft forever preferred_lft forever
[root@localhost ~]# ssh user1@172.16.12.138 '/usr/sbin/ip a s ens33'
user1@172.16.12.138's password:
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:0c:29:f4:5b:87 brd ff:ff:ff:ff:ff:ff
inet 172.16.12.138/24 brd 172.16.12.255 scope global dynamic ens33
valid_lft 1666sec preferred_lft 1666sec
inet6 fe80::20c:29ff:fef4:5b87/64 scope link
valid_lft forever preferred_lft forever

//w命令可以显示当前登录到计算机的用户列表。这对于显示哪些用户使用ssh从哪些远程位置进行了登录以及执行了何种操作等内容特别有用
[root@localhost ~]# w
07:49:18 up 18 min, 2 users, load average: 0.02, 0.02, 0.05
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 172.16.12.1 07:31 6.00s 0.02s 0.00s w
user1 pts/1 172.16.12.136 07:49 5.00s 0.00s 0.00s -bash
1.5 SSH 主机密钥

ssh通过公钥加密的方式保持通信安全。当某一ssh客户端连接到ssh服务器时,在该客户端登录之前,服务器会向其发送公钥副本。这可用于为通信渠道设置安全加密,并可验证客户端的服务器。

当用户第一次使用ssh连接到特定服务器时,ssh命令可在用户的~/.ssh/known_hosts文件中存储该服务器的公钥。在此之后每当用户进行连接时,客户端都会通过对比~/.ssh/known_hosts文件中的服务器条目和服务器发送的公钥,确保从服务器获得相同的公钥。如果公钥不匹配,客户端会假定网络通信已遭劫持或服务器已被***,并且中断连接。

这意味着,如果服务器的公钥发生更改(由于硬盘出现故障导致公钥丢失,或者出于某些正当理由替换公钥),用户则需要更新其~/.ssh/known_hosts文件并删除旧的条目才能够进行登录。

//主机ID存储在本地客户端系统上的 ~/.ssh/known_hosts 中
[root@localhost ~]# cat ~/.ssh/known_hosts
172.16.12.138 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBHpBYg+C0GDiBU9mHsy8S3ju31OdfTq6cr6oprIsE/MM8yZdTrRh4gum8IXiVFchUelPD5R9IuTjsy8Eqy8l+Lc=

//主机密钥存储在SSH服务器上的 /etc/ssh/ssh_host_key
[root@localhost ~]# ls /etc/ssh/key*
/etc/ssh/ssh_host_ecdsa_key /etc/ssh/ssh_host_ed25519_key.pub
/etc/ssh/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_ed25519_key /etc/ssh/ssh_host_rsa_key.pub

  1. 配置基于 SSH 密钥的身份验证

用户可通过使用公钥身份验证进行ssh登录身份验证。ssh允许用户使用私钥-公钥方案进行身份验证。这意味着将生成私钥和公钥这两个密钥。私钥文件用作身份验证凭据,像密码一样,必须妥善保管。公钥复制到用户希望登录的系统,用于验证私钥。公钥并不需要保密。拥有公钥的ssh服务器可以发布仅持有您私钥的系统才可解答的问题。因此,可以根据所持有的密钥进行验证。如此一来,就不必在每次访问系统时键入密码,但安全性仍能得到保证。

使用ssh-keygen命令生成密码。将会生成私钥~/.ssh/id_rsa和公钥~/.ssh/id_rsa.pub。

注意:

生成密钥时,系统将提供指定密码的选项,在访问私钥时必须提供该密码。如果私钥被偷,除颁发者之外的其他任何人很难使用该私钥,因为已使用密码对其进行保护。这样,在***者破解并使用私钥前,会有足够的时间生成新的密钥对并删除所有涉及旧密钥的内容。
生成ssh密钥后,密钥将默认存储在家目录下的.ssh/目录中。私钥和公钥的权限就分别为600和644。.ssh目录权限必须是700。

在可以使用基于密钥的身份验证前,需要将公钥复制到目标系统上。可以使用ssh-copy-id完成这一操作

[root@localhost ~]# ssh-copy-id remoteuser@remotehost
通过ssh-copy-id将密钥复制到另一系统时,它默认复制~/.ssh/id_rsa.pub文件

//SSH密钥演示
//使用 ssh-keygen 创建公钥-私钥对
[root@localhost ~]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:8VyY3c3UEQvk1Pn95tYIF7sx9enlwG78hDjlX0entN0 root@localhost.localdomain
The key's randomart image is:
+---[RSA 2048]----+
| .+.o|
| +o..o|
| . o o...=|
| + . . +|
| S o .o+|
| .=BBB|
| o=XE|
| .*+B|
| . oo|
+----[SHA256]-----+

//使用 ssh-copy-id 将公钥复制到远程系统上的正确位置
[root@localhost ~]# ls .ssh/
id_rsa id_rsa.pub
[root@localhost ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub root@172.16.12.138
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
The authenticity of host '172.16.12.138 (172.16.12.138)' can't be established.
ECDSA key fingerprint is SHA256:JK5WwrX8hynl3dyWO43e6+lcs6zn9oZn74z1H5X8F90.
ECDSA key fingerprint is MD5:01:4f:4f:4b:0e:45:a9:10:bb:d0:c0:dd:19:9a:9f:96.
Are you sure you want to continue connecting (yes/no)? yes
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@172.16.12.138's password:

Number of key(s) added: 1

Now try logging into the machine, with: "ssh 'root@172.16.12.138'"
and check to make sure that only the key(s) you wanted were added.

//使用 ssh 命令无命令登录远程主机
[root@localhost ~]# ssh root@172.16.12.138
Last login: Tue Jul 10 18:37:51 2018 from 172.16.12.1
[root@localhost ~]# ip a s ens33
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:0c:29:f4:5b:87 brd ff:ff:ff:ff:ff:ff
inet 172.16.12.138/24 brd 172.16.12.255 scope global dynamic ens33
valid_lft 1377sec preferred_lft 1377sec
inet6 fe80::20c:29ff:fef4:5b87/64 scope link
valid_lft forever preferred_lft forever

//使用 scp 命令传送文件到远程主机
[root@localhost ~]# scp test.sh root@172.16.12.138:/tmp
root@172.16.12.138's password:
test.sh 100% 45 29.8KB/s 00:00

//使用 scp 命令从远程主机上下载文件到本地
[root@localhost ~]# ls
a anaconda-ks.cfg b nginx-1.12.2 nginx-1.12.2.tar.gz nohup.out outfile test.sh
[root@localhost ~]# rm -f test.sh
[root@localhost ~]# ls
a anaconda-ks.cfg b nginx-1.12.2 nginx-1.12.2.tar.gz nohup.out outfile
[root@localhost ~]# scp root@172.16.12.138:/tmp/test.sh .
root@172.16.12.138's password:
test.sh 100% 45 39.1KB/s 00:00
[root@localhost ~]# ls
a anaconda-ks.cfg b nginx-1.12.2 nginx-1.12.2.tar.gz nohup.out outfile test.sh

//scp命令常用选项
-r //递归复制
-p //保持权限
-P //端口
-q //静默模式
-a //全部复制

  1. 自定义 SSH 服务配置

虽然OpenSSH服务器通常无需修改,但会提供其他安全措施,可以在配置文件/etc/ssh/sshd_config中修改OpenSSH服务器的各个方面。

PermitRootLogin {yes|no} //是否允许root用户远程登录系统
PermitRootLogin without-password //仅允许root用户基于密钥方式远程登录
PasswordAuthentication {yes|no} //是否启用密码身份验证,默认开启

  1. SSH 安全注意事项

密码应该经常换且足够复杂
[root@localhost ~]# tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30 |xargs //生成30位的密码
LYH9cbirdT6E_hbColMFjZNf9Kd6If

[root@localhost ~]# openssl rand 20 -base64
Di9ry+dyV40xVvBHirsc3XpBOzg= //生成20位随机密码
使用非默认端口
限制登录客户端地址
仅监听特定的IP地址
禁止管理员直接登录
仅允许有限制用户登录
AllowUsers
AllowGroups
使用基于密钥的认证
禁止使用空密码
禁止使用SSHv1版本
设定空闲会话超时时长
利用防火墙设置ssh访问策略
限制ssh的访问频度和并发在线数
做好日志的备份,经常分析(集中于某台服务器)
作业.
生成密钥
[root@cq ~]# ssh-keygen -t rsaGenerating public/private rsa key pair.Enter file in which to save the key (/root/.ssh/id_rsa):Enter passphrase (empty for no passphrase):Enter same passphrase again:Your identification has been saved in /root/.ssh/id_rsa.Your public key has been saved in /root/.ssh/id_rsa.pub.The key fingerprint is:SHA256:sDdATqw0SZzVFY3I+/eNaxZTbxtgEdyrOaGRr3LCs3c root@cqThe key's randomart image is:+---[RSA 2048]----+| o.=+o oo+..o |
复制公钥传输到另外一个虚拟机
[root@cq ~]# ssh-copy-id -i ./.ssh/id_rsa.pub root@172.16.195.129/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "./.ssh/id_rsa.pub"The authenticity of host '172.16.195.129 (172.16.195.129)' can't be established.ECDSA key fingerprint is SHA256:GUOljEzf15h07lzVsWBeD7Txv1Eb9OqSFkdxR1+21ts.ECDSA key fingerprint is MD5:82:e2:f8:f5:de:d

caojue0773
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OpenSSH 入门
大怀特的博客
12-17 1063
目录 安装 OpenSSH 使用 Windows 设置来安装 OpenSSH 使用 PowerShell 安装 OpenSSH 启动并配置 OpenSSH 服务器 连接到 OpenSSH 服务器 使用 Windows 设置来卸载 OpenSSH 使用 PowerShell 卸载 OpenSSH 建议的内容 适用于 Windows 的 OpenSSH 服务器配置 适用于 Windows 的 OpenSSH 概述 适用于 Windows 的 OpenSSH 密钥管理 安装 Op.
OpenSSH概念和基本用法——SSH 客户端
肥叔菌的博客
01-04 9033
由于在分布式数据库运维过程中进行脚本自动化必然会涉及SSH登录工具,故摘抄此篇文章以供学习之用。 SSH 是 Linux 系统的登录工具,现在广泛用于服务器登录和各种加密通信。本教程介绍 SSH(主要是它的实现 OpenSSH)的概念和基本用法,也可以当作手册查询。SSH(Secure Shell 的缩写)是一种网络协议,用于加密两台计算机之间的通信,并且支持各种身份验证机制。它主要用于保证远程登录和远程通信的安全,任何网络服务都可以用这个协议来加密。 SSH 是什么 历史上,网络主机之间的通信是不加密的,
openssh
Zhangrl_的博客
10-23 454
openssh1. 使用 SSH 访问远程命令行1.1 OpenSSH 简介1.2 SSH 版本1.3 SSH 认证方式1.4 openSSH 的工作模式1.4 Secure Shell 示例1.5 SSH 主机密钥2. 配置基于 SSH 密钥的身份验证3. 自定义 SSH 服务配置4. SSH 安全注意事项5.密钥认证配置步骤:5.1生成密钥(客户端)5.2复制客户端的公钥到服务端5.3然后在服...
SSH学习之一 OpenSSH基本使用
davidsky的专栏
04-28 1万+
在Linux系统中,OpenSSH是目前最流行的远程系统登录与文件传输应用,也是传统Telenet、FTP和R系列等网络应用的换代产品。其中,ssh(Secure Shell)可以替代telnet、rlogin和rsh,scp(Secure Copy)与sftp(Secure FTP)能后替代ftp。
ubuntu 安装openssh服务器的教程详解
09-15
要启动OpenSSH服务,必须使用其完整路径,例如`/usr/local/sbin/sshd`。运行此命令以启动服务,并检查`systemctl status sshd`或`service ssh status`确认服务是否已启动。 5. **验证连接**: 使用SSH客户端,如...
OpenSSH服务器的20个最佳实践
07-02
OpenSSH 是 SSH 协议的开源实现。 OpenSSH 可进行远程登录、备份、通过 scp 或 sftp 进行远程文件传输等等。 SSH 最完美的确保两个网络...这里我们列出一些重要的事情,你需要作出调整来提高 OpenSSH 服务 器的安全性。
windows 7架设OpenSSH服务器实践
09-30
主要介绍了windows 7架设OpenSSH服务器实践,需要的朋友可以参考下
windows 下openssh服务安装包
08-25
完整的7.7版的openssh服务,支持Windows环境安装使用。
openssh相关源码
09-12
包含了zlib-1.2.2.tar.gz,openssl-1.1.1k.tar.gz,openssh-8.5p1.tar.gz源码,用于交叉编译ssh服务器(openssh),用于远程登陆开发板
openssh 安装包和安装教程
12-04
openssh 安装包和安装教程,里面有安装openssh所需要的zlib,openssl,openssh三个安装包和整个安装过程的教程。
Windows下安装openSSH
热门推荐
nl9788的博客
07-11 2万+
Windows下三种常见方式安装OpenSSH
OpenSSH远程链接工具
最新发布
该学习了a的博客
03-15 412
OpenSSH 是 SSH (Secure SHell) 协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控制和文件传输过程中的数据,并由此来代替原来的类似服务
OpenSSH概念详解以及SSH Agent代理认证进行密钥登陆
知行合一
03-02 536
OpenSSH(Open Secure Shell)是一种加密的通讯协议,用于在网络上安全地进行远程登录和其他网络服务。它提供了多种安全机制,包括基于密钥的认证和密码保护,以保护数据在客户端和服务器之间传输的安全。
openssh常用命令记录
weixin_30561425的博客
03-21 793
command description date ssh [user@]hostname[:port] 登录远程机器 2017-03-21 scp <local_file> <user>@<remote_hostname>:<remote_pathname> 上传本地文件到远程机器的指定路径下 2...
OpenSSH-在远程服务器中执行命令
k4nz
04-14 506
问题描述 为了维护服务器,我们通常使用 SSH 连接到服务器,然后开始敲入命令,回车执行。 但是,有的时候,我们需要在多台远程主机中,执行多条命令。此时,我们总不能 SSH 登录每台机器,然后人工输入执行吧。 该笔记将记录:在远程主机中,如何使用 OpenSSH 非交互式的执行命令的方法,以及常见问题处理。 解决方案 在远程主机中,执行单条命令 执行如下命令,将在远程服务上创建 /tmp/foo 目录: ssh -n root@remote-ip-address 'mkdir -pv /.
ssh和openssh简介及基本用法
qq_39039225的博客
03-26 5350
ssl协议:基于传输层,是为网络通信提供安全及数据完整性的一种安全协议         利用数据加密(Encryption)技术,可确保数据在网络上之传输过程         中不会被截取及窃听         openssl:OpenSSH 是 SSH (Secure SHell) 协议的免费开源实现。        SSH协议族可以用来进行远程控制, 或在计算机之间传送文件连接远程主机:ssh...
Net::OpenSSH 模块使用
zhaoyangjian724的专栏
05-06 600
use Net::OpenSSH; my $host = "$ip"; my $user = 'root'; my $passphrase = 'uxxxxxD'; my $key = '/root/.ssh/id_rsa'; my $cmd="sh $script"; my %param = ( user => $user, passphras
在 iOS 设备上安装和使用 OpenSSH
Rio的博客
09-18 1万+
在 iOS 设备上安装和使用 OpenSSH JAN 15TH, 2014 1:01 PM | 评论 什么是 OpenSSH OpenSSH 是一个在 Linux 下很实用的一个软件。iPhone 本身就是一个运行 BSD 系统(可认为是一种 Liunx)的硬件,因此,Cydia 的作者 Saurik 把 OpenSSH 这一软件移植到了 iOS 平台上,并且简化了安全认证密
Linux安装openssh服务
06-08
好的,以下是在Linux上安装openssh服务的步骤: 1. 打开终端或SSH客户端,以root用户身份登录您的Linux服务器。 2. 输入以下命令来更新软件包列表: ``` sudo apt-get update ``` 3. 输入以下命令来安装...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值