sshd服务

已于 2024-04-08 09:44:03 修改
阅读量3.9k 收藏 14
点赞数 2
分类专栏: ssh Windows 文章标签: ssh 服务器 linux
于 2022-06-29 10:29:36 首次发布
《署名-非商业性使用-禁止演绎 4.0 国际》许可协议 https://creativecommons.org/licenses/by-nc-nd/4.0/
本文链接:https://blog.csdn.net/omaidb/article/details/125515711
版权
Windows 同时被 2 个专栏收录
42 篇文章 1 订阅
订阅专栏
ssh
17 篇文章 1 订阅
订阅专栏

sshd服务

Linux安装sshd

sshd命令 是openssh软件套件中的服务器守护进程

 # ubuntu/debian安装ssh
sudo apt install ssh openssh-server
 
# Centos安装ssh
sudo yum install openssh-server -y

# 启动sshd并设置sshd开机自启
sudo systemctl enable --now sshd

# 单独安装ssh-client
yum install openssh-clients -y
apt install openssh-client -y
dnf install openssh-clients -y

openssh套件提供交互算法使用的素数模数(/etc/ssh/moduli),生成主机认证公私密钥的工具(/usr/bin/ssh- keygen)


调整SELinux和防火墙策略

请勿照搬

# 永久关闭SELinux
# 修改SELinux的配置为disabled
vi /etc/selinux/config
## 将SELINUX=enforcing改为SELINUX=disabled

# 关闭SELinux
setenforce 0

# 清空防火墙策略(非必须)
iptables -F

# 启动sshd并设置sshd开机自启
sudo systemctl enable --now sshd


# 查看ssh服务是否启动
ps -ef|findstr sshd

## 需要依赖grep
ps -ef|grep sshd 
 
# A和B分别测试下可用性
ssh localhost

Windows安装sshd服务

Win32-openssh项目:https://github.com/PowerShell/Win32-OpenSSH


手动安装openssh

参考:https://github.com/Dream4ever/Knowledge-Base/issues/84
先去Releases页面下载最新版本的OpenSSH,注意要下载64位版本的,并将压缩包里的文件解压至C:\Program Files\OpenSSH目录下

# 执行安装脚本
powershell.exe -ExecutionPolicy Bypass -File install-sshd.ps1

# windows防火墙放行22端口
New-NetFirewallRule -Name sshd -DisplayName 'OpenSSH Server (sshd)' -Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22

# 启动sshd服务
net start sshd

# 设置sshd服务自动启动
Set-Service sshd -StartupType Automatic

choco安装openssh

安装openssh套件ssh-copy-id

# 安装openssh和ssh-copy-id
choco install openssh ssh-copy-id -y

启动sshd服务

# 进入sshd目录
cd "C:\Program Files\OpenSSH-Win64"

# 执行install-sshd.ps1脚本
.\install-sshd.ps1

# 重启sshd服务
Restart-Service sshd

# 重启ssh-agent服务(ssh认证服务)
Restart-Service ssh-agent

# 将sshd服务设置开机自启动
Set-Service -Name sshd -StartupType Automatic

# 将ssh-agent服务设置开机自启动
Set-Service -Name ssh-agent -StartupType Automatic

# 查看sshd服务
Get-Service sshd

# 查看ssh认证服务
Get-Service ssh-agent

在这里插入图片描述


查看22端口是否处于监听状态

# 查看22端口是否处于监听状态
netstat -ano|findstr 22
netstat -ano|grep 22

# telnet测试本地22端口是开放
telnet 127.0.0.1 22

配置Win10的sshd服务–(必须配置)

sshd的配置文件在C:\ProgramData\ssh\sshd_config

vim C:\ProgramData\ssh\sshd_config

# 允许密钥登录
PubkeyAuthentication yes

# 指定授权密钥文件
# AuthorizedKeysFile  .ssh/authorized_keys

# 密码认证(需要将默认的yes改为no,才能密钥登录)
PasswordAuthentication no

必须要注释文件最后几行

 #Match Group administrators
       #AuthorizedKeysFile __PROGRAMDATA__/ssh/administrators_authorized_keys

在这里插入图片描述

修改完配置一定要重启sshd服务

# 重启sshd服务
Restart-Service sshd

# 重启ssh认证服务
Restart-Service ssh-agent

设置ssh登录后默认的shell

设置ssh登录后的shell的主目录

New-ItemProperty -Path "HKLM:\SOFTWARE\OpenSSH" -Name DefaultShellCommandOption -Value "/c" -PropertyType String -Force

设置ssh登录后的shellpowershell

New-ItemProperty -Path "HKLM:\SOFTWARE\OpenSSH" -Name DefaultShell -Value "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -PropertyType String -Force

设置ssh登录后的shellpwsh7

New-ItemProperty -Path "HKLM:\SOFTWARE\OpenSSH" -Name DefaultShell -Value "C:\Program Files\PowerShell\7\pwsh.exe" -PropertyType String -Force

设置ssh登录后的shellmsysbash

# 先安装cmder--必须
choco install cmder -y

# 设置shell
New-ItemProperty -Path "HKLM:\SOFTWARE\OpenSSH" -Name DefaultShell -Value "C:\tools\msys64\usr\bin\bash.exe" -PropertyType String -Force

在这里插入图片描述


配置ssh密钥免密登录

https://blog.csdn.net/omaidb/article/details/120028143

# 生成密钥对
ssh-keygen

# 将私钥加载到ssh-agent
ssh-add ~\.ssh\id_rsa

sshd服务器创建authorized_keys文件

Widnows的sshd服务默认没有authorized_keys文件

# 上传私钥到ssh服务器
scp ~\.ssh\id_rsa.pub username@windows服务器ip:~\.ssh\authorized_keys

ssh-copy-id上传公钥到ssh服务器

ssh-copy-id没成功,报错umask问题

# 配置ssh免密登录
ssh-copy-id username@hostip

# ssh登录Windows-sshd服务器
ssh username@windows服务器ip

sshd服务详解

sshd命令 是openssh软件套件中的服务器守护进程。


sshd配置文件

/etc/ssh/ssh_config客户端配置文件
/etc/ssh/sshd_config服务端配置文件

# 编辑sshd配置文件
vim /etc/ssh/sshd_config

只监听IPV4

# 查看AddressFamily配置
grep AddressFamily /etc/ssh/sshd_config

在这里插入图片描述

# 只监听IPv4
AddressFamily inet

在这里插入图片描述


指定ssh协议版本

https://developer.aliyun.com/article/269860

# 指定ssh协议版本为2
Protocol 2

自定义sshd端口

vim /etc/ssh/sshd_config

# 取消sshd_config第17行第注释
Port 3389  # 将22修改为3389

修改完配置后重启sshd服务

# 修改完ssh_config配置,重启sshd服务后配置才会生效
systemctl restart sshd

sshd安全配置


禁止使用密码登陆ssh

# 大约65行 或 78行
## yes打开密钥认证 | no 关闭密钥认证
PasswordAuthentication yes

## yes开启密码认证 | no 关闭密钥认证
PubkeyAuthentication no

##输入密码次数限制 6代表输错六次就退出     
MaxAuthTries 6

修改完配置后重启sshd服务

# 修改完ssh_config配置,重启sshd服务后配置才会生效
systemctl restart sshd

不允许root登录

默认为prohibit-password(没有密码)。建议配置为no,即禁止root远程登录
如果未禁止root账号远程登录,那么攻击者获取到root口令之后就可以从网络上远程登录服务器进行攻击行为,否则只能从服务器机房内部近端登录,可大幅减小攻击面

# 是否允许root登录
## no 禁止root登录
PermitRootLogin no

不允许空密码

# 允许空密码,默认为no。
## 应禁止配置该字段为yes,避免无密码用户登录。
PermitEmptyPasswords no

使用PAM策略

# 使用PAM策略,默认为no。
## PAM策略对用户认证和管理,有登录次数限制,超次锁定用户,到时解锁用户功能。 
## sshd_config的MaxAuthTries仅有登录次数限制。该字段应配置为yes,使用PAM策略,可以起到防暴力破解。
UsePAM no

系统日志设施

该配置表示,可通过rsyslog服务的设施分类规则记录日志。在 /etc/rsyslog.conf已有规则authpriv.* /var/log/secure用于记录安全日志。建议对照该规则配置SyslogFacilityAUTHPRIV, 这样可以记录SSH服务日志,比如用户的认证鉴权日志登入登出日志等,为安全事件提供日志支撑。

# 系统日志设施,默认为AUTH。
SyslogFacility AUTH

# 记录ssh日志到rsyslog
# SyslogFacility AUTHPRIV

忽略Rhosts

Rlogin协议中,Rhosts配置表示授权远程访问,由于Rlogin协议已不安全,所 以应禁止使用Rhosts配置。建议配置为yes

# 忽略Rhosts,默认为yes
IgnoreRhosts yes

指定SSH强加密算法

https://eulixos.com/docs/2.0/SecHarden/%E7%B3%BB%E7%BB%9F%E6%9C%8D%E5%8A%A1.html#%E5%8A%A0%E5%9B%BA-ssh-%E6%9C%8D%E5%8A%A1

推荐:AES-256SHA-512加密算法。

# 列出支持的密码
ssh -Q cipher
# 列出支持的 MAC
ssh -Q mac
# 列出支持的公钥类型
ssh -Q key

# 客户端获取支持密钥交换算法列表
ssh -Q kex

在这里插入图片描述

# 服务端获取支持算法列表
sshd -T | grep kex

在这里插入图片描述

修改/etc/ssh/sshd_config文件,将下列语句直接加到该文件后面
https://www.openssh.com/legacy.html

# 指定`Ciphers`采用强加密算法--SSH数据传输的加密算法
Ciphers aes256-ctr,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com

# 设置SSH数据校验的哈希算法--用于检测流量修改的消息验证码
MACs hmac-sha2-512,hmac-sha2-512-etm@openssh.com

# 用于生成每个连接密钥的密钥交换算法
KexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256

# SSH 服务器接受的公钥算法,用于向 SSH 客户端验证自身身份
# HostkeyAlgorithms ssh-ed25519-cert-v01@openssh.com,ssh-rsa-cert-v01@openssh.com,ssh-ed25519,ssh-rsa

当然,最后要重启ssh服务才能使配置生效。

# 客户端验证ssh加密算法
ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 -v  10.0.1.220

ssh登录优化

ssh登录速度慢,可以通过下列配置优化。


判断客户端是否合法-UserDNS

# 使用dns反查客户端的主机名,会导致登陆变慢
UserDNS yes

# 一般内网时设置为no,连接速度会加快
UserDNS no

在sshd服务端上查看ssh客户端的ip

# 在sshd服务端上查看ssh客户端的ip地址
env|grep -i ssh

在这里插入图片描述


-vvv显示登陆详情–debug时使用

https://wangchujiang.com/linux-command/c/sshd.html
ssh客户端debug模式

# debug模式--显示登陆时的所有信息,方便调试诊断
## -v -vv -vvv
ssh -vvv 用户名@服务器地址

ssh系统登录提示

Linux 系统通过 /etc/issue/etc/issue.net/etc/motd 以及 /run/motd.dynamic 来显示登录后的提示信息,通常用于向用户提示系统版本、硬件信息等,

  • /etc/issue/etc/issue.net 通常在未登录终端前显示,
  • /etc/motd/run/motd.dynamic 则是在成功登录终端后显示。
  • 此外还有 /etc/profile/etc/profile.d/,在登录后会运行其中的脚本。

ssh登录后欢迎语

/etc/motd/run/motd.dynamic文件里面保存的是ssh登录后欢迎语

# 插入  你好吗
echo '你好吗'> /etc/motd
# 登陆后会打印 你好吗

在这里插入图片描述


sshd服务无法启动错误排查

可能导致ssh错误的原因:

  • 升级内核
  • 升级sshd服务
  • 配置sshd服务
  • 修改iptables策略
  • 配置hosts.deny
  • 修改内核参数
  • 修改limits.conf
  • 配置SElinux
  • 配置PAM认证机制
  • 系统负载过高
  • 安装第三方安全防护软件

sshd故障排查步骤

分析sshd日志

# 从最后500条日志中过滤sshd关键字
tail -500 /var/log/secure | grep 'sshd'

测试sshd是否可以启动

https://wangchujiang.com/linux-command/c/sshd.html

# 对sshd进行测试,并给出错误提示
sshd -t

调试模式启动sshd

# 调试模式启动sshd
sshd -d

# 详细调试模式启动sshd
sshd -ddd

查看sshd的ssh协议版本

https://developer.aliyun.com/article/269860

# 安装scanssh
## 安装epel源
yum install -y epel-release

## yum安装scanssh
yum install -y scanssh

# 扫描sshd协议版本
## -n 指定ssh服务端的端口
scanssh -s ssh -n 端口 ip或ip段

在这里插入图片描述


sshd常见故障


ssh证书登陆失败

错误提示: ssh Permission denied (publickey)

解决办法参考


ssh启动错误提示:Missing privilege separation directory: /run/sshd

原因分析: openssh-Server的Bug


临时解决办法1:

# 创建缺失的目录
mkdir -p /run/sshd

# 修改权限
chmod -R 0755 /run/sshd
chown -R root:root /run/sshd

解决方法2:

修改配置文件
修改/usr/lib/tmpfiles.d/sshd.conf,修改d /var/run/sshd 0755 rootd /run/sshd 0755 root root
在这里插入图片描述


解决办法3–建议:

升级openssh可以解决此Bug

识途老码
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ssh-copy-id.exe
09-02
ssh-copy-id for Windows
Windows安装sshd服务
石牌桥网管笔记
04-29 1936
Windows安装sshd服务
Windows安装SSH教程:进阶配置选项详解
学海无涯苦作舟的博客
03-08 1353
在本文中,我们将深入探讨一些高级的SSH配置选项,这些选项可以帮助您更好地定制SSH体验,提高安全性和性能。通过了解和利用这些高级的SSH配置选项,您可以更好地定制和优化您的SSH体验,同时提高安全性和性能。请记住,安全是一个持续的过程,需要定期审查和更新您的配置以应对新的安全威胁。SSH代理是一个程序,可以存储和管理您的私钥,并在需要时自动提供私钥进行认证。:在您的SSH客户端配置文件中,指定使用SSH代理进行认证。:保持您的Windows系统和OpenSSH组件的更新,以获取最新的安全修复和改进。
Windows下配置SSH实现免密访问和远程端口转发
向往的是:佛祖堂前的鱼,静静听禅。
03-16 9610
最近想要配置自家的电脑用作服务器,方便自己远程访问。由于没有静态IP,最开始想使用DDNS,从花生壳注册了一个域名,然后在路由配置端口转发,配置完成后,发现家里网络是光猫拨号的,路由器自动获取ip,转发的依然是内网ip,局域网可以访问,但是外网仍然访问不了,后面改成路由器拨号,依然没有公网ip。后面就想着通过一个公网上的服务器做跳板,网上找了一圈,决定使用ssh技术进行转发连接,本路记录ssh实现过程中的一些问题。window下有自动OpenSSH工具可以实现ssh连接管理。
Window之SSH,安装OpenSSH客户端及服务
崔小猿的博客
10-26 1424
此教程适用于win7、win10、win11等系列windows系统,下面以win7为例。
使用windows电脑SSH客户端链接Iphone手机的sshd服务(免越狱)
诸葛小猿
02-01 3237
使用windows电脑SSH客户端链接Iphone手机的sshd服务(免越狱)
SSH服务
2302_76824193的博客
04-20 4095
ssh 密文传输、ssh密钥对配置、ssh密钥对面交互登录、TCP Wrappers,图文详解
linuxsshd是什么(ssh服务无法启动解决办法)
萌兔兔MMQ!!
08-16 7620
linux中,sshd是一个客户端软件,是可以通过网络在主机中开启shell的服务sshd服务使用SSH协议可以用来进行远程控制,或在计算机之间传送文件,sshd使用加密传输,比使用明文传输的telnet传输文件要安全很多。sshd服务使用SSH协议可以用来进行远程控制, 或在计算机之间传送文件。sshd使用加密传输,较之使用明文传输的telnet传输文件要安全很多。SSH 协议:Secure Shell,安全的shell协议。如果井号开头的和后面参数没有空格的,表示默认值,是生效的。...
Linux服务篇-sshd服务
热门推荐
浅水鲤鱼的博客
09-21 1万+
SSHD服务详细讲解,配置文件说明 如何防止暴力破解 fail2ban的使用 如何利用SSH发送数据
Linux基础服务sshd简介
SunMy的博客
09-08 8748
sshd由OpenSSH来提供 SSH 协议:Secure Shell,安全的shell协议。 SSH 为建立在应用层和传输层基础上的安全协议。 sshd服务使用SSH协议可以用来进行远程控制, 或在计算机之间传送文件。 sshd使用加密传输,较之使用明文传输的telnet传输文件要安全很多。 sshd配置文件 /etc/ssh/sshd_config 如果井号开头的和后面参数没有空格的,表示默认值,是生效的 如果井号开头和后面有空格的,表示纯注释 调优参数 端口 默认端口22,外网生产环境需要修
Windows系统配置SSH服务
sunnygirl's house
04-04 4307
选择【OpenSSH 服务端】,切记不是【OpenSSH 客户端】(如果安装一个不行,就都安装,我都安装了可以用),然后点击下载即可。新增连接,填入主机的IP就行,然后点击连接,会弹出用户名和密码的输入框,填入即可。右键-属性,启动类型选择:【自动】,这样就实现了开机自启。按下【win】+R键,输入【services.msc】搜索到【OpenSSH SSH Server】服务。下载完成后会自动安装,安装成功会出现在列表中。打开【设置】-【应用】选择【管理可选功能】点击【添加可选功能】
Linux sshd服务搭建管理和防止暴力破解
04-27
Linux sshd服务搭建管理和防止暴力破解,非常不错,很好
ubuntu18.04.2下sshd服务安装包
11-30
ubuntu18.04.2下sshd服务安装包
基于sshd构建sftp服务器
10-10
该包基于Apache的sshd搭建sftp服务器,可以实现登录密钥验证,支持sftp操作和linux命令操作
Android 类sshd服务
03-26
Android下类sshd服务,支持Root授权,提供SSH和SFTP服务
sshd服务器搭建和配置
05-28
文档中详细记录了sshd服务器搭建过程以及应该注意的一些问题和相关的一些配置。
WinForms 应用程序中使用 SignalR 连接到服务器
最新发布
一个专注于技术研究创新的程序员
04-29 298
假设您已经在服务器端实现了名为 SignalRHub 的 SignalR Hub,并且该 Hub 包含了一个名为 SendMessage 的方法,用于接收来自客户端的消息,并将其广播给所有连接的客户端。客户端在收到消息时调用名为 ReceiveMessage 的方法来处理。
3节点ubuntu24.04服务器docker-compose方式部署高可用elk+kafka日志系统并接入nginx日志
qq_41905051的博客
04-23 1302
3节点ubuntu24.04服务器docker-compose方式部署高可用elk+kafka日志系统并接入nginx日志
【勒索病毒恢复】.svh勒索病毒介绍及恢复方案
safe130的博客
04-23 853
halo,.360,.faust,.eking,.wis,.mkp,.malox,.rmallox,.mallox,ma1x0,.live,.carver,.locked,_locked,.locked1,.svh , lockbit, .datah等等,请注意,恢复被勒索病毒加密的数据并非总是成功,且过程中可能存在数据丢失或损坏的风险。为了防范svh勒索病毒的感染,用户应该保持警惕,不轻易打开未知来源的邮件附件或点击不明链接,同时定期更新和修补电脑上的软件漏洞,使用强密码,并启用防火墙等安全防护措施。
怎么开启sshd服务
01-23
要开启sshd服务,可以按照以下步骤进行操作: 1. 检查是否已安装sshd服务: ```shell systemctl status sshd ``` 如果显示"sshd.service"为"Loaded: loaded"且"Active: inactive",则表示sshd服务未安装。 2. 如果未安装sshd服务,可以使用以下命令安装: ```shell sudo apt-get install openssh-server # Ubuntu/Debian sudo yum install openssh-server # CentOS/RHEL ``` 3. 安装完成后,可以使用以下命令启动sshd服务: ```shell sudo systemctl start sshd ``` 4. 若要设置sshd服务开机自启动,可以使用以下命令: ```shell sudo systemctl enable sshd ``` 5. 确认sshd服务已经启动: ```shell systemctl status sshd ``` 如果显示"sshd.service"为"Loaded: loaded"且"Active: active",则表示sshd服务已成功启动。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

识途老码

赞赏是第一生产力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值