Linux07-OpenSSH

最新推荐文章于 2023-08-22 13:34:19 发布
最新推荐文章于 2023-08-22 13:34:19 发布
阅读量287 收藏
点赞数
分类专栏: # Linux基础 Linux 文章标签: linux centos redhat openssh ssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qpeity/article/details/106958763
版权

目录

一、使用SSH访问远程主机

1.1、什么是OpenSSH Secure Shell(SSH)

1.2、SSH主机密钥

二、配置基于SSH密钥的身份验证

2.1、基于SSH密钥的身份验证

2.2、自定义SSH服务配置

2.3、sftp传输文件

一、使用SSH访问远程主机

1.1、什么是OpenSSH Secure Shell(SSH)

OpenSSH指系统中使用的Secure Shell软件。OpenSSH Secure Shell(以下称ssh)用于在远程系统上安全的运行shell。

我们可以当前身份创建远程交互式shell, ssh  remotehost,然后在结束时用exit命令返回到当前shell。比如我们可以以student的身份从desktop远程登录server。也可以以其他身份登录远程主机, ssh remoteuser@remotehost。

我们先以student身份从desktop登录server,再以root身份从desktop登录server。

[student@desktop0 ~]$ ssh server0
The authenticity of host 'server0 (172.25.0.11)' can't be established.
ECDSA key fingerprint is 65:4d:ac:8a:c9:58:82:b5:0c:91:c4:ef:a5:e6:f6:65.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'server0,172.25.0.11' (ECDSA) to the list of known hosts.
student@server0's password:
Last login: Fri Jun 26 10:50:36 2020 from desktop0.example.com
[student@server0 ~]$ exit
logout
Connection to server0 closed.
[student@desktop0 ~]$
[student@desktop0 ~]$ ssh root@server0
root@server0's password:
Last login: Fri Jun 26 10:50:06 2020 from 172.25.0.250
[root@server0 ~]#
[root@server0 ~]# exit
logout
Connection to server0 closed.

1.2、SSH主机密钥

SSH通过公钥加密的方式保障通信安全。当某一ssh客户端连接到ssh服务器时,在该客户端登录之前,服务器会向客户端发送公钥副本。第一次远程登录server时,提示将server0 172.25.0.11加入known host里面。

当用户第一次使用ssh连接到特定服务器时,ssh命令可以在用户的 ~/.ssh/known_hosts 文件中存储该服务器的公钥。在此之后每当用户进行连接时,客户端都会通过对比 ~/.ssh/known_hosts 文件中的服务器条目和服务器发送的公钥,确保从服务器获得相同的公钥。如果公钥不匹配,客户端会假定网络通信遭到劫持或服务器已被入侵,并中断连接。

也就是说,如果服务器的公钥发生更改,用户需要更新起 ~/.ssh/known_hosts 文件并删除旧的条目才能登录。

服务器ID存储在本地客户端的 ~/.ssh/known_hosts 中。

[student@desktop0 ~]$ ll .ssh/known_hosts
-rw-r--r--. 1 student student 181 Jun 26 10:51 .ssh/known_hosts
[student@desktop0 ~]$ cat .ssh/known_hosts
server0,172.25.0.11 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBBwmqCDZ/R1sMbPrZgHARIeL+RYPJ0CVt9AJRzJt4cHk4Ky4tmNjRx6FKJjhlcQJMDb+8CZjveJrgmOHxANvSgE=
[student@desktop0 ~]$

服务器主机密钥存储在服务器/etc/ssh/目录下的ssh_host_*key*文件中。非对称加密,私钥没有扩展名,公钥带.pub扩展名。

[root@server0 ~]# ll /etc/ssh/*key*
-rw-r-----. 1 root ssh_keys  227 Jan  7  2015 /etc/ssh/ssh_host_ecdsa_key
-rw-r--r--. 1 root root      162 Jan  7  2015 /etc/ssh/ssh_host_ecdsa_key.pub
-rw-r-----. 1 root ssh_keys 1675 Jan  7  2015 /etc/ssh/ssh_host_rsa_key
-rw-r--r--. 1 root root      382 Jan  7  2015 /etc/ssh/ssh_host_rsa_key.pub

 

二、配置基于SSH密钥的身份验证

2.1、基于SSH密钥的身份验证

之前远程连接时,都需要用户输入密码,这既不方便也不安全。ssh允许用户使用私钥-公钥方式进行身份验证。私钥文件用作身份验证的凭据,需要妥善保管。公钥并不苞米,将公钥复制到用户希望登录的系统,用于验证私钥。

使用命令ssh-keygen来生成密钥。这样就生成了私钥 ~/.ssh/id_rsa 和 公钥 ~/.ssh/id_rsa.pub。私钥和公钥的权限应该分别为600和644。

[student@desktop0 ~]$ ll .ssh/
total 8
-rw-------. 1 student student 1651 Jan  7  2015 authorized_keys
-rw-r--r--. 1 student student  181 Jun 26 10:51 known_hosts
[student@desktop0 ~]$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/student/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/student/.ssh/id_rsa.
Your public key has been saved in /home/student/.ssh/id_rsa.pub.
The key fingerprint is:
4e:4e:73:3c:9d:3a:9f:7c:d6:f5:b5:13:8e:08:9a:9f student@desktop0.example.com
The key's randomart image is:
+--[ RSA 2048]----+
|                 |
|                 |
|                 |
|         . . .   |
|        S + o    |
|       = + o   .o|
|        = + . o.*|
|       o  .= oo+o|
|        .E  +o  .|
+-----------------+
[student@desktop0 ~]$ ll .ssh/
total 16
-rw-------. 1 student student 1651 Jan  7  2015 authorized_keys
-rw-------. 1 student student 1679 Jun 26 11:11 id_rsa
-rw-r--r--. 1 student student  410 Jun 26 11:11 id_rsa.pub
-rw-r--r--. 1 student student  181 Jun 26 10:51 known_hosts

通过ssh-copy-id命令将密钥复制到目标系统上,它默认复制的是~/.ssh/id_rsa.pub,也可以用-i选项指定复制哪个公钥ssh-copy-id -i FILE remoteuser@remotehost。

比如将student在desktop上生成的公钥复制到server上的root用户,会提示输入root@server的密码,复制成了以后student再远程登录root@server0就不再需要密码了。

那么公钥放在远程主机哪里呢?放在远程主机远程用户目录下的文件authorized_keys里面。我们是ssh-copy-id  root@server0,那么公钥就放~root/.ssh/authorized_keys文件里面。

[student@desktop0 ~]$ ssh-copy-id root@server0
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@server0's password:

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'root@server0'"
and check to make sure that only the key(s) you wanted were added.

[student@desktop0 ~]$ ssh root@server0
Last login: Fri Jun 26 11:03:52 2020 from desktop0.example.com
[root@server0 ~]#
[root@server0 ~]# tail -n 1 .ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDqhQdZKRa7iHuCYAVRyLZ6MAHVQgeHhm8UCAn0JGA99PRR+llg7hnP3TRtD25z1PleDHZ1CWbTNYbROGxfeQ/vIfLQBQgfvJs47FMn8ggEPrEaFLX2g9GVk9RrxGdQPVcMCDRpPlbH1oyFPix3dihOyKbmOR6R89+EQWulstLFaxGTaT+BIhC1KgXCsECMAlONlcHiYbA+RH2MxS5UYHtQ/TN4wEdHa+4D2DOb+dfwzrfkG45MPv2GSp0onjMvaGGGD8w4SlMA0AjNxB+NQbCC3/hy1+4VcWIHDRJqZF6GOOc5cGfZICMi4YAOK/ibJB9FjHwiDV5m+NnJCzfMvSNr student@desktop0.example.com

远程注意和本地并不一定有相同用户名的用户,那么ssh远程连接的时候优先选择哪个用户呢?做个试验,在desktop上建立zhangsan用户,在server上配置user1、user2用户,并且zhangsan可以用密钥验证的方式以root、student、user1、user2身份远程登录server。假如我们不指定用户名会怎么样呢?是zhangsan@server,但是server上没有zhangsan啊!这个默认的用户就是由~zhangsan/.ssh/config 文件来控制的。文件里面可以设置多个主机。每个主机的设置由4行构成。

  • Host指对哪个主机生效。
  • StrictHostKeyChecking是对主机密钥是否强制检查。
  • PreferredAuthentications是默认使用哪个认证方式,publickey或者password。
  • User是默认登录的用户。
[zhangsan@desktop0 ~]$ cd .ssh
[zhangsan@desktop0 .ssh]$ vim config
[zhangsan@desktop0 .ssh]$ cat config
Host *.example.com *
    StrictHostKeyChecking no
    PreferredAuthentications publickey
    User user1
[zhangsan@desktop0 .ssh]$ ssh server0
Last login: Fri Jun 26 13:16:17 2020 from desktop0.example.com
[user1@server0 ~]$

2.2、自定义SSH服务配置

可以在/etc/ssh/sshd_config中修改OpenSSH服务。

限制root用户使用ssh登录。为了安全起见,禁止root用户通过ssh直接登录系统。将配置文件中的 PermitRootLogin yes 行去掉注释改为PermitRootLogin no,重启sshd服务使之生效,即可禁止root登录系统。另外,还可以改为PermitRootLogin without-password,只允许root进行密钥认证的登录,这个配置非常有用。

建议在 /etc/ssh/sshd_config 如下面配置时,配置密钥认证,用ssh-copy-id将密钥配置好。

PasswordAuthentication yes
PubkeyAuthentication yes
PermitRootLogin yes

密钥认证配置完成后,修改 /etc/ssh/sshd_config 配置文件为:禁止密码验证、允许密钥验证、只允许root密钥验证登录。重启sshd服务使之生效。

PasswordAuthentication no
PubkeyAuthentication yes
PermitRootLogin without-password

另外,/etc/ssh/sshd_config 还有其它和sshd相关的配置。比如,修改ssh的端口、主机密钥、用户公钥存储也不一定在 ~/.ssh/authorized_keys文件等等。查看man 5 sshd_config知道更多。

Port 22

# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key

# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
# but this is overridden so installations will only check .ssh/authorized_keys
AuthorizedKeysFile .ssh/authorized_keys

2.3、sftp传输文件

sftp登录,可以上传下载文件,非常方便。主要用到的命令是put和get。

[student@server0 ~]$ echo "test sftp" > f1
[student@server0 ~]$ ll
total 4
-rw-rw-r--. 1 student student 10 Jun 26 14:53 f1
[student@server0 ~]$ sftp root@server0
Connected to server0.
sftp> put ./f1
Uploading ./f1 to /root/f1
./f1                                            100%   10     0.0KB/s   00:00
sftp> get f2
Fetching /root/f2 to f2
/root/f2                                        100%    5     0.0KB/s   00:00
sftp> exit
[student@server0 ~]$ ll
total 8
-rw-rw-r--. 1 student student 10 Jun 26 14:53 f1
-rw-r--r--. 1 student student  5 Jun 26 14:54 f2
[student@server0 ~]$ cat f2
down
[student@server0 ~]$

 

苦行僧(csdn)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Linux7配置和保护SSH
weixin_43915060的博客
07-18 226
配置和保护SSH SSH简介 在日常管理中,远程访问常应用于以下场景: 管理数据中心服务器 访问云服务器的场景 远程故障排查 远程访问的常用方式: telnet:明文传输的远程访问,不安全。某些企业甚至明令禁止使用 telnet。 ssh:也称 stelnet,是一种协议,提供加密的远程访问方式。在 linux 中,ssh 协议由软件包 openssh 提供,而 ssh 服务就是 sshd.service。 SSH加密图示 在这里插入图片描述 SSH加密中间人攻击 SSH 虽然传输过程中很安全,但是在首
Linux系统中Openssh服务的部署及安全优化
chaos_oper的博客
12-05 1253
一.openssh-server 功能:让远程主机可以通过网络访问sshd服务,开始一个安全shell 二.客户端连接方式 ssh 远程主机用户@远程主机ip ssh root@172.25.77.117 可以在server虚拟机桌面下touch file,发现可以建立。但是gedit file2时发现报错。 ssh 远程主机用户@远程主机ip -X ##调用远程主机图形工具 ssh ro...
linux服务器openssh7.7升级安装
12-27
openssh7.7升级包,可适用radhet、centOS等;安装升级包包括openssh7.7、openssl-1.0.2o、zlib-1.2.11
linux 7安装ssh,CentOS 7安装和配置ssh
weixin_28890693的博客
05-12 139
1、安装openssh-serveryum install -y openssl openssh-server2、修改配置文件用vim打开配置文件/etc/ssh/sshd_config1602581233(1).jpg将上图的PermitRootLogin,RSAAuthentication,PubkeyAuthentication的设置打开。3、启动ssh服务#启动ssh服务systemctl...
Linux 基础之 OpenSSH
热门推荐
高飞的博客
01-17 31万+
OpenSSH OpenSSHSSH(SecureSHell) 协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控制和文件传输过程中的数据,并由此来代替原...
bclinux升级ssh-openssh 9.5
01-16
openssh-9.5p1-1.el8.bclinux.x86_64.rpm openssh-clients-9.5p1-1.el8.bclinux.x86_64.rpm openssh-server-9.5p1-1.el8.bclinux.x86_64.rpm update.sh
麒麟Linux升级openssh-9.7p1脚本
最新发布
03-21
进入openssh目录 修改脚本权限 chmod 777 update_ssh.sh 运行脚本就可以升级openssh至9.7 如果报错,先对脚本进行转码:dos2unix openssh/update_ssh.sh 在运行脚本 操作系统: Operating System:Kylin Linux ...
统信UOS1050e -openssh 9.6p1升级包
03-07
1. `openssh-clients-9.6p1-1.aarch64.rpm`:这是OpenSSH客户端软件包,包含了ssh、scp、sftp等命令行工具,用于与远程服务器进行安全通信。 2. `openssh-9.6p1-1.aarch64.rpm`:这是OpenSSH服务器和库文件,提供SSH...
undate-openssh-9.6p1
02-19
在这个场景中,我们关注的是一个名为"undate-openssh-9.6p1"的项目,它是一个将现有OpenSSH服务升级到版本9.6p1的RPM包脚本。了解如何正确地进行OpenSSH升级对于系统管理员和网络安全专家至关重要。 OpenSSH是...
update-openssh-8.6p1.7z
08-19
标题 "update-openssh-8.6p1.7z" 暗示这是一个更新版本的 OpenSSH 软件包,版本号为 8.6p1,并且被压缩成 7z 格式。OpenSSH 是一个用于在类 Unix 系统上提供安全远程登录和其他网络服务的开源软件套件。它包括 ssh ...
openssh7.8.zip
06-30
安装包包含了64位、32位rpm包,可用于离线升级openssh,用于解决openssh漏洞问题,安装步骤请看博客,已亲测过(centos6.6-64/centos6.7-86)。
Linux权限维持—OpenSSH&PAM后门&SSH软连接&公私钥登录
剁椒鱼头没剁椒的博客
08-22 2908
由于密码日志文件是被隐藏的,所以可以直接使用cat去查看,这里只要管理者使用ssh进行连接就会记录密码,而这些操作都是无感的,当然若管理员会去定期排查,那么该被发现还是会被发现的,这些都是基于管理员不会定期去排查才能够持久。这里要注意一个问题就是,不一定编译就能够成功,有时候根本无法编辑,从网上找的很多资料中,都跳过直接给命令,所以这里我就提前说一下,不一定能够编译成功,不成功再次重新测试,若还是不行,就拉到吧。这里重启也可能存在问题,这个实验有时候很莫名其妙的,有时候能够测试成功,有时候测试是不成功的。
CentOS 7 Linux源码安装OpenSSH
象在舞的技术专栏
03-30 5020
最近安全攻防演练中Linux系统报了openSSH版本过低的漏洞,要将OpenSSH的版本升级到7.6或以上,但是使用yum进行升级,升级后的版本达不到7.6,故而思考使用源码进行安装,以下是OpenSSH升级的过程,记录于此,以供参考~ 注意:升级过程中OpenSSL和OpenSSH无需卸载以前的版本!!! 1、首先将下载好的tar包上传到Linux上,我的t...
Linux学习笔记(八):通过 OpenSSH 远程访问 linux 系统
秋忆夏伤的博客
05-17 581
一、SSH 简介 传统的网络服务程序,FTP、POP、telnet 本质上都是不安全的,因为它们在网络上通过明文传送口令和数据,这些数据非常容易被截获。SSH 是Secure Shell 的缩写,由 IETF 的网络工作小组(Network Working Group)所制定;SSH 为建立在应用层和传输层基础上的安全协议。通过 SSH,可以把传输数据进行加密,预防攻击,传输的数据进行了压缩,可以加快传输速度。 SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。常用于远程登录,以及用.
如何解决linux用户密码过期的问题 Your password has expired.
wgz7747147820的博客
06-06 9193
今天在dbca创建db的时候,发现两个节点的cluster只显示一个节点,随想ssh到另外一个node查看GI情况,发现如下错误。Your password has expired.使用chage -M -1 crsusr可以解决这个问题 crsusr@slcz01db03 bin]$ ssh slcz01db04 You are required to change your password immediately (password aged) Last login: Fri Jun 5 20:30
linux redhat8.0 搭建openssh服务
zhangzc0408的博客
12-06 1698
ssh服务搭建
Linuxopenssh
qq_47529104的博客
02-04 1235
服务端主程序:/usr/sbin/sshd 客户端主程序:/usr/bin/ssh /etc/ssh/sshd_config ssh服务端主配置文件 /etc/ssh/ssh_config ssh服务端主配置文件 服务器端的sshd_config文件的常见配置项 port 22 :配置监听端口 ListenAddress 【192.168.0.1 | 0.0.0.0】:配置监听地址,0.0.0.0是代表所有地址 protocol 2 :版本选择,默认选择2 HostKey /etc/ssh/
centos7.3升级openssh到7.7p1后root用户无法登陆的问题
kadwf123的专栏
05-19 2万+
主机系统centos7.3.1161升级openssh到当前最新版7.7p1以后使用root用户无法登陆,一直提示用户名密码错误(实际上用户名密码是对的)。下面对这个坑进行说明。step 1 、升级前提说明:1、升级OpenSSH后,原有公钥失效,信任关系需要重新配置;2、升级过程需要停止sshd服务,会导致ssh和sftp无法使用;3、升级OpenSSH影响的业务有:QDG同步、Mediatio...
centos7下openssh升级
万一起飞了呢
11-04 1万+
参考网站 官方安装文档: http://www.linuxfromscratch.org/blfs/view/svn/postlfs/openssh.html 网上相关安装文档: http://www.cnblogs.com/biaopei/p/9267262.html openssl官方网站 https://www.openssl.org/ zlib官方网站 http://www....
linux安装openssh-server
08-19
### 回答1: 要在Linux安装OpenSSH服务器,可以按照以下步骤操作: 1. 打开终端窗口并以root用户身份登录。 2. 输入以下命令以更新软件包列表: apt-get update 3. 输入以下命令以安装OpenSSH服务器: apt-get install openssh-server 4. 安装完成后,输入以下命令以启动OpenSSH服务器: service ssh start 5. 如果您希望OpenSSH服务器在系统启动时自动启动,请输入以下命令: update-rc.d ssh defaults 6. 现在,您可以使用SSH客户端连接到您的Linux系统并远程管理它了。 希望这些步骤对您有所帮助! ### 回答2: 在Linux系统上安装OpenSSH服务器很简单。以下是一些基本步骤: 1. 打开终端并以管理员身份登录。 2. 使用适用于您的发行版的软件包管理器在系统上安装OpenSSH服务器。例如,如果您使用的是Debian或Ubuntu,可以使用以下命令: ``` sudo apt-get install openssh-server ``` 3. 安装过程中,您可能需要提供管理员密码以确认安装。在安装完成后,OpenSSH服务器将自动启动并在系统上运行。 4. 您可以通过检查OpenSSH服务器的状态来验证安装是否成功。在终端中运行以下命令: ``` sudo systemctl status ssh ``` 5. 如果看到类似于"Active: active (running)"的输出,这表示OpenSSH服务器正在运行。如果输出显示服务未运行,则可以使用以下命令手动启动它: ``` sudo systemctl start ssh ``` 6. 完成安装后,您可以使用SSH客户端通过网络连接到您的Linux系统。使用以下命令来连接到您的服务器: ``` ssh username@ip_address ``` 其中,username是您的用户名,ip_address是您的服务器IP地址。您将被要求输入密码来进行身份验证。 总之,安装OpenSSH服务器只需几个简单的步骤,就可以为您的Linux系统提供安全的远程访问。 ### 回答3: 在Linux安装OpenSSH Server非常简便。以下是Linux安装OpenSSH Server的步骤: 1. 打开命令终端。 2. 确保系统处于root或具有管理员权限的用户下。 3. 使用适用于你的Linux发行版的软件包管理器,如apt-get、yum、dnf、zypper或者pacman等,来安装openssh-server软件包。例如: 对于Debian/Ubuntu系统,可以使用以下命令: ``` sudo apt-get install openssh-server ``` 对于RHEL/CentOS系统,可以使用以下命令: ``` sudo yum install openssh-server ``` 对于Fedora系统,可以使用以下命令: ``` sudo dnf install openssh-server ``` 对于openSUSE系统,可以使用以下命令: ``` sudo zypper install openssh-server ``` 对于Arch Linux系统,可以使用以下命令: ``` sudo pacman -S openssh ``` 4. 安装过程可能需要一些时间,软件包管理器将自动下载所需的文件并进行安装。 5. 安装完成后,可以使用以下命令来启动OpenSSH Server服务: ``` sudo systemctl start sshd ``` 6. 若要确保OpenSSH Server服务在系统启动时自动启动,请使用以下命令: ``` sudo systemctl enable sshd ``` 7. 可以使用以下命令来检查OpenSSH Server服务的运行状态: ``` sudo systemctl status sshd ``` 如果输出显示服务正在运行,则表示安装和启动OpenSSH Server成功。 OpenSSH Server安装完成后,你的Linux系统就可以充当SSH服务器,允许远程访问和管理。你可以使用其他设备上的SSH客户端连接到你的Linux系统,并通过安全的加密通道进行远程访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

苦行僧(csdn)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值