一、什么是SSH?
SSH是可靠的专为远程登录会话提供的安全协议,可以有效封站远程管理过程中信息泄露的问题。分为1.0和2.0两个版本。
OpenSSH:OpenSSH是一个开源的实现SSH协议的软件套件。它包含了用于远程登录和安全文件传输的客户端程序和服务端程序。
通过SSH可以把传输的数据进行加密,能防止中间人、ip欺诈、DNS欺诈。
二、传输文件命令scp
Linux scp
命令用于 Linux 之间复制文件和目录。scp
是 secure copy 的缩写, scp
是 linux 系统下基于 ssh 登陆进行安全的远程文件拷贝命令。
scp 是加密的,rcp 是不加密的,scp 是 rcp 的加强版
scp【本地或远程文件的路径】【服务器用户名】@【服务器地址】:【远程或本地文件的路径】
-1: 强制scp命令使用协议ssh1
-2: 强制scp命令使用协议ssh2
-4: 强制scp命令只使用IPv4寻址
-6: 强制scp命令只使用IPv6寻址
-B: 使用批处理模式(传输过程中不询问传输口令或短语)
-C: 允许压缩。(将-C标志传递给ssh,从而打开压缩功能)
-p:保留原文件的修改时间,访问时间和访问权限。
-q: 不显示传输进度条。
-r: 递归复制整个目录。
-v:详细方式显示输出。scp和ssh(1)会显示出整个过程的调试信息。这些信息用于调试连接,验证和配置问题。
-c cipher: 以cipher将数据传输进行加密,这个选项将直接传递给ssh。
-F ssh_config: 指定一个替代的ssh配置文件,此参数直接传递给ssh。
-i identity_file: 从指定文件中读取传输时使用的密钥文件,此参数直接传递给ssh。
-l limit: 限定用户所能使用的带宽,以Kbit/s为单位。
-o ssh_option: 如果习惯于使用ssh_config(5)中的参数传递方式,
-P port:注意是大写的P, port是指定数据传输用到的端口号
-S program: 指定加密传输时所使用的程序。此程序必须能够理解ssh(1)的选项。
具体用法
1.从本地上传文件至远程服务器
scp [本地文件路径] [username]@ip:拷贝的目录
2.从远程服务器上传文件至本地
scp [username]@i:远程文件路径 本地文件路径
3.SSH远程连接
ssh [username]@[主机ip]
退出: exit
三、安装OpenSSH
CentOS Linux默认安装了OpenSSH,可以通过以下命令查询
kali: dpkg -l | grep openssh
CentOS:rpm -qa | grep openssh
查看服务器的状态/停止/启动
kali:systemctl status/stop/start ssh
CentOS:systemctl status/stop/start sshd
四、配置公钥私钥登录
1、加密算法(了解)
分为对称加密算法和非对称加密算法。
- 对称加密(Symmetric Encryption):
对称加密使用相同的密钥(称为对称密钥)来加密和解密数据。发送方和接收方必须事先共享这个密钥。在加密过程中,原始数据被使用密钥进行加密,生成密文。接收方使用相同的密钥对密文进行解密,还原为原始数据。
优点:
- 处理速度快:对称加密算法通常比非对称加密算法更快。
- 加密解密效率高:加密和解密过程简单,计算资源要求较低。
缺点:
- 密钥管理:对称加密需要确保发送方和接收方安全地共享密钥。
- 缺乏身份验证:对称加密本身无法提供身份验证机制。
常见的对称加密算法有DES(Data Encryption Standard)、3DES、AES(Advanced Encryption Standard)等。
- 非对称加密(Asymmetric Encryption):
非对称加密使用一对密钥,包括公钥和私钥。公钥可以公开分享给任何人,而私钥必须保密。发送方使用接收方的公钥进行加密,生成密文。接收方使用自己的私钥对密文进行解密,还原为原始数据。
优点:
- 密钥管理:不需要事先共享密钥,发送方和接收方都可以拥有自己的密钥对。
- 身份验证:非对称加密可以用于数字签名,验证数据的发送方。
缺点:
- 处理速度慢:非对称加密算法通常比对称加密算法更慢。
- 加密解密效率低:加密和解密过程复杂,计算资源要求较高。
常见的非对称加密算法有RSA(Rivest-Shamir-Adleman)、DSA(Digital Signature Algorithm)、ECC(Elliptic Curve Cryptography)等。
ssh有两种常用登陆模式:密码口令和公私钥
1.ssh服务通过密码登录流程
2.ssh服务公钥登录流程
使用公私钥登录避免每次都输入密码
1.生成密钥对
ssh-keygen
2.密钥对路径
/root/.ssh
id_rsa为私钥
id_rsa.pub为公钥
3.在服务器中修改配置
/etc/ssh/sshd_config
将内容修改为
重启ssh
4.通过命令将密钥拷贝至服务器
ssh-copy-id root@192.162.xxx.xxx
5.进行无密码登录
客户端有私钥 被登陆的服务器有客户端的公钥,公钥与私钥这一密钥对由客户端产生,上面我们使用的是rsa算法生成的密钥对 也可以使用dsa算法
五、OpenSSH配置文件与加固
先删除服务器的公钥以免影响后续实验
恢复配置文件
vim /etc/ssh/sshd_config
六、实验
实验一 修改SSH的默认端口
vim /etc/ssh/sshd_config
重启ssh服务
重新进行登录
sshd_config是服务端配置文件
ssh_config是客户端配置文件
实验二 配置SSH日志
vim /etc/ssh/sshd_config
SyslogFacility 规定了日志的性质,同时规定了默认路径
LogLevel 表示设置记录sshd日志信息级别
AUTHPRIV 表达用户记录的是包含敏感型的用户身份验证消息/var/log/secure
AUTH 表达不包含敏感信息用户的身份验证消息/var/log/secure
ssh配置文件 log部分一般不需要做修改,但是Linux系统其他服务配置文件中,可能SyslogFacility会有这些状态
SyslogFacility
loglevel info 表示设置记录sshd日志的级别,可以理解为日志的详细程度
info 表示日志会报告大部分有用信息,是比较详细的等级
DEBUG
INFO
实验三 禁止root登录
vim /etc/ssh/sshd_config
重启
尝试登陆root
失败 权限被拒绝,请重试
尝试登陆普通用户
成功
实验室 配置长时间无人操作自动断开
vim /etc/ssh/sshd_config
重启
这个选项决定了我们在使用ssh连接 登录的时间
/etc/profile
export TMOUT=10
使配置文件生效 source /etc/profile
实验五 开启空口令登录
vim /etc/ssh/sshd_config
使用空口令登录必须开启密码验证
重启
创建新用户
useradd user111
清除密码
passwd -d user111
实验六 调试访问速度
vim /etc/ssh/sshd_config
关闭GSSAP认证
关闭DNS认证
重启
实验七 启动密码策略
vim /etc/login.defs
PASS_MAX_DAYS 密码过期时间 (默认天)
PASS_MIN_DAYS 修改密码最小间隔时间
PASS_MIN_LEN 密码最短长度
PASS_WARN_AGE 密码过期的前一天内通知用户
**/etc/security/pwquality.conf**
minlen = 9 用户密码的最小长度
minclass= 定义密码必须满足同时有几种字符 大小写字母 数字 符号
maxrepeat = 定义密码中允许几个连续相同的字符
maxclassrepeat 定义用户密码连续字符的最大数目
lcredit 定义用户的密码中必须包含多少小写字母
ucredit 定义用户密码中必须包含多少大写字母
dcredit 定义用户密码中必须包含多少数字
ocredit 定义用户密码中必须包含多少特殊字符
SSH日志
日志位置:/var/log/secure
代表空密码登录成功 用户 ip 端口
代表断开连接
密码错误
使用密码登录成功