Linux(二十六) 深入了解基础服务OPENSSH

最新推荐文章于 2023-02-16 09:34:26 发布
最新推荐文章于 2023-02-16 09:34:26 发布
阅读量498 收藏 3
点赞数
文章标签: linux 运维 ssh 服务器 centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18343913/article/details/117247917
版权

目录

 

一、SSH基础知识

   1.1.ssh协议

   1.2.OpenSSH

二、openssh服务的配置文件解析

  2.1.安装方式

 2.2.配置文件位置

 2.3.查看修改配置

 2.4.设置黑白名单 (服务端配置)

 2.5 重启服务

 2.6.链接服务端通信

三、免密登录

3.1.加密算法

3.1.2.对称加密

3.1.3.非对称加密

3.2 如图所示如何加密解密

3.3.免密制作过程

3.3.1.密钥存放位置

3.3.2.免密登录验证

四、SCP命令

五、SFTP命令

六、TCP Wrappers

   6.1.TCP的保护机制

   6.2.访问控制策略的配置文件

   6.3.策略格式

   6.3.通过以下方式,查看是否支持TCP的限制

   6.4.修改TCP允许及策略配置

一、SSH基础知识

   1.1.ssh协议

  •     是一种安全通道协议

  •     对通信数据进行了加密处理,用于远程管理

   1.2.OpenSSH

  •      服务名称:sshd
  •      服务端主程序:/usr/sbin/sshd
  •      服务端配置文件:/etc/ssh/sshd_config

 

二、openssh服务的配置文件解析

 

  2.1.安装方式

yum -y install openssh-server

 2.2.配置文件位置

rpm -qc openssh-server

 2.3.查看修改配置

 客户端配置文件:/etc/ssh/ssh_config

å¨è¿éæå¥å¾çæè¿°

注意:UseDNS yes 开启反向解析 开启后会导致服务自动去找DNS解析服务器。
            /var/run/sshd.pid文件为存放sshd服务的PID进程号,如果删除,如同kill -9 进程号
            最大登录次数最好修改到客户端和服务端都一致,不然登录时以设置最小登录次数为准

#配置文件修改后,需要进行检查
sshd -t

2.4.设置黑白名单 (服务端配置)

 

设置只允许tom 使用某个ip地址登录

2.5 重启服务

systemctl restart sshd

2.6.链接服务端通信

#1.端口为默认端22
ssh root@192.168.1.22

#2.端口修改为10022,而客户端没有跟着变化
ssh -p 10022 root@192.168.1.22

#3.端口修改为10022 ,客户端也跟着修改为10022
ssh root@192.168.1.22

三、免密登录

3.1.加密算法

3.1.2.对称加密

       采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,由于其速度快,对称性加密通常在消息发送方需要加密大量数据时使用。
       弊端:公钥容易被劫持,信息被其他人解密盗取

3.1.3.非对称加密

       非对称加密算法需要两个密钥:公开密钥和私有密钥。公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。

3.1.4.非对称加密解密过程
SSH:
       客户端和服务端各产生一对公钥和私钥,第一次连接,客户端发送自己的公钥给客户端,服务端保存客户端的公钥。然后客户端发起连带公钥的连接请求,服务端根据之前客户端发送的公钥进行对比,如果一致,服务端会拿客户端的公钥加密一段随机数据发回给客户端,客户端拿自己的私钥解密这个数据,发送会服务端。然后服务端收到客户端解密的数据发现就是自己之前加密的数据,这时就认为此客户端是受信任的,连接建立。

RSA:
       有发送方A和接受方B ,A通过B公钥加密发送给B,B通过自己的私钥解开。B也可以通过A公钥加密发送给A,A通过自己的私钥解开。但是由于公钥在网上容易流传,所以不安全。所以A通过自己的私钥在外做一层签名,证明是来自A的消息,而私密不可再往上流传,所以增加了安全性。

3.2 如图所示如何加密解密

 

 

 

 

 

3.3.免密制作过程

#第一步:在客户端生成公钥和私钥
   [root@localhost ~]# ssh-keygen -t RSA
Generating public/private RSA key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): #加密后密钥存放位置
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase):  # 设置密码,此处不做设置
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:AYfSQw6qqBnfKYD8UMS6fOWni3YCMTY+UXtVa11t4WY root@localhost.localdomain
The key's randomart image is:
+---[RSA 2048]----+
|  ...oo.o.   ....|
|  .+.o++  o . .o |
|  +...o..o .  .E |
|+O.. o  ..    o  |
|Xo* +   S        |
|.@oo o .         |
|o *.o o          |
|   +.o           |
|  ..o..          |
+----[SHA256]-----+


#第二步:将公钥传输到服务端
ssh-copy-id root@192.168.1.20
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
The authenticity of host '192.168.1.20 (192.168.1.20)' can't be established.
ECDSA key fingerprint is SHA256:/xHHOcYyLpVrBwce3DDn32fz9HhOlU4Di1NhbvP3Je4.
ECDSA key fingerprint is MD5:1e:e1:e3:87:b0:12:de:18:44:77:c1:38:92:b8:66:77.
Are you sure you want to continue connecting (yes/no)? yes
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.1.20's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'root@192.168.1.20'"
and check to make sure that only the key(s) you wanted were added.

3.3.1.密钥存放位置

查看 /root/.ssh/

查看 cat /root/.ssh/authorized_keys

3.3.2.免密登录验证

四、SCP命令

#把本地文件传到对端opt文件夹下(上传)
scp ks.cfg root@192.168.1.20:/opt 
#把对端的文件传到本地(下载)     
scp root@192.168.1.20:/opt/anaconda-ks.cfg /tmp   
#-r 对目录使用  -p 对属性 
scp -rp  
#端口修改后   -P(大写的P)
scp -P 10022 -rp xx/ root@192.168.1.20:/opt

五、SFTP命令

 

[root@localhost ~]# sftp root@192.168.1.20 #通过sftp连接
The authenticity of host '192.168.1.20 (192.168.1.20)' can't be established.
ECDSA key fingerprint is SHA256:/xHHOcYyLpVrBwce3DDn32fz9HhOlU4Di1NhbvP3Je4.
ECDSA key fingerprint is MD5:1e:e1:e3:87:b0:12:de:18:44:77:c1:38:92:b8:66:77.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.20' (ECDSA) to the list of known hosts.
root@192.168.1.20's password: 
Connected to 192.168.1.20.
sftp> 
sftp> 
sftp> 
sftp> ls #查看连接后1.20的服务器的内容
-e                                       0                                        117015233?spm=1001.2014.3001.5501        117035614?spm=1001.2014.3001.5501        20210505-215905.httpd.tar.gz             
Playtes.sh                               anaconda-ks.cfg                          cc.sh                                    fa2                                      fw.sh                                    
httpd-ym.sh                              httpd-youh.sh                            httpd-yum.sh                             httpd.sh                                 httpd.sh.gz                              
httpd.tar.gz                             initial-setup-ks.cfg                     network.sh                               networkTest.sh                           read1                                    
sed.txt                                  test.txt                                 test1.sh                                 test1.sh.bz2                             test11.sh.bz2                            
thread2.sh                               thread3.sh                               threadT.sh                               threadTH.sh                              xx.sh                                    
下载                                   公共                                   图片                                   文档                                   桌面                                   
模板                                   视频                                   音乐                                   
sftp> lls # 查看本机的内容
0				   20210505-215905.httpd.tar.gz  -e	httpd.sh      httpd-ym.sh    initial-setup-ks.cfg  Playtes.sh  test11.sh.bz2  test.txt	  threadTH.sh  公共  图片  音乐
117015233?spm=1001.2014.3001.5501  anaconda-ks.cfg		 fa2	httpd.sh.gz   httpd-youh.sh  network.sh		   read1       test1.sh       thread2.sh  threadT.sh   模板  文档  桌面
117035614?spm=1001.2014.3001.5501  cc.sh			 fw.sh	httpd.tar.gz  httpd-yum.sh   networkTest.sh	   sed.txt     test1.sh.bz2   thread3.sh  xx.sh        视频  下载

sftp> put /root/Playtes.sh /root/ #将本机的Playtest.sh 文件上传到服务端
Uploading /root/Playtes.sh to /root/Playtes.sh
/root/Playtes.sh 
sftp> get /root/network.sh  /root/ #从服务端下载文件
Fetching /root/network.sh to /root/network.sh
/root/network.sh

六、TCP Wrappers

   6.1.TCP的保护机制

       方式1:通过tcpd程序对其他服务程序进行包装
       方式2:由其他服务程序调用libwrap.so.*链接库

   6.2.访问控制策略的配置文件

[root@localhost ~]# vim /etc/hosts.allow     #设置允许策略的配置文件
[root@localhost ~]# vim /etc/hosts.deny      #设置拒绝策略的配置文件

6.3.策略格式

  • 服务程序列表:客户端地址列表
  • 服务程序列表

多个服务以逗号分隔,ALL表示所有服务

  • 客户端地址列表

      多个地址以逗号分隔,ALL表示所有地址
      允许使用通配符﹖和*
      网段地址,如192.168.4.或者192.168.4.0/255.255.255.0
      区域地址,如.benet.com
 

 

6.3.通过以下方式,查看是否支持TCP的限制

6.4.修改TCP允许及策略配置

[root@localhost ~]# vim /etc/hosts.allow
sshd:192.168.1.20 #放开192.168.1.20
[root@localhost ~]# vim /etc/hosts .deny
sshd:ALL  #拒绝所有

 

 

 

 

 

 

云来云去-起飞
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linuxopenssh
qq_47529104的博客
02-04 1219
服务端主程序:/usr/sbin/sshd 客户端主程序:/usr/bin/ssh /etc/ssh/sshd_config ssh服务端主配置文件 /etc/ssh/ssh_config ssh服务端主配置文件 服务器端的sshd_config文件的常见配置项 port 22 :配置监听端口 ListenAddress 【192.168.0.1 | 0.0.0.0】:配置监听地址,0.0.0.0是代表所有地址 protocol 2 :版本选择,默认选择2 HostKey /etc/ssh/
Linux----------Openssh介绍以及用法
weixin_30642267的博客
04-01 185
一、OpenSSH介绍 OpenSSH这一术语指系统中使用的Secure Shell软件的软件实施。用于在远程系统上安全运行shell。如果您在可提供ssh服务的远程Linux系统中拥有用户帐户,则ssh是通常用来远程登录到该系统的命令。ssh命令也可用于在远程系统中运行命令。 1.1 常见的远程登录工具有三种: telnet ssh dropbear telnet-...
openssh服务
hanyuce的博客
07-02 135
配置基于 SSH 密钥的身份验证 配置客户端密钥 [root@hanyuce ~]# ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase...
(笔记)Linux openssh免密登录配置
calvinzhang82的博客
05-25 447
笔记一: Linux openssh免密登录配置 登陆机上的配置: "公私钥"认证方式简单的解释:首先在客户端上创建一对公私钥 (公钥文件:~/.ssh/id_rsa.pub; 私钥文件:~/.ssh/id_rsa)。然后把公钥放到服务器上(~/.ssh/authorized_keys), 自己保留好私钥.在使用ssh登录时,ssh程序会发送私钥去和服务器上的公钥做匹配.如果匹配成功就可以登录了1) 进入到用户HOME目录下的.ssh子目录:cd ~/.ssh 2) 生成私钥和公钥...
Openssh服务Openssh服务的实验环境,基本信息,sshd用户控制,sshd安全配置,远程执行命令,登录信息的显示)
lijua9794的博客
06-07 1289
一.实验环境 client: localcast.localdomain 172.25.254.10 server: westcp.localdomain 172.25.254.11 ifconfig 查看IP地址 nm-connection-editor 设定IP地址 hostnamectl set-hostname 设定主机名称 二.Openssh服务的基本信息 Openssh 作用: 在企业中的运维工作,不是1V1的运维 运维工程师可能要1Vn 在运维工程师对服...
openssh-8.5p1-1.el6.tar.gz
05-07
首先,让我们深入了解一下OpenSSH的核心组件: 1. **openssh-server-8.5p1-1.el6.x86_64.rpm**:这是OpenSSH服务器端程序,它监听网络上的连接请求,处理来自客户端的登录尝试,并管理用户会话。服务器端配置文件...
离线升级openssh所需要的依赖包
07-08
总的来说,离线升级OpenSSH是一个涉及多个步骤的过程,需要对Linux系统和软件编译有深入的理解。正确处理依赖关系和遵循适当的步骤是成功完成离线升级的关键。通过这种方法,即使在无网络环境下,也能确保系统的安全...
linux的各种组建的安装流程
02-16
本篇文章将深入探讨Linux下安装组件的基本流程,主要关注“Linux运维”和“服务器”相关的组件。 首先,了解Linux发行版的包管理系统是关键。常见的有Debian/Ubuntu系列的`apt`,Red Hat/CentOS系列的`yum`(新版本...
openssh-server-9.4
最新发布
10-08
本文将深入探讨openssh-server-9.4版本,解析其功能特性、安装过程以及安全配置要点。 一、OpenSSH服务基础 OpenSSH服务器(openssh-server)基于SSH协议,为用户提供加密的网络通信,以防止数据在传输过程中被...
openssh-4.2
01-15
OpenSSH 4.2:稳定、安全的远程连接利器》 OpenSSH 4.2 是一个里程碑式的版本,以其出色的稳定性和易用性在...因此,深入学习和了解OpenSSH 4.2 及其相关知识,对于每一个IT专业人士来说都是一项必不可少的技能。
ARM架构和X86_64架构rpmbuild制作openssh和openssl的rpm包
09-27
在IT领域,构建软件包是确保软件在不同操作系统和硬件平台上的兼容性和一致性的重要环节。本文将深入探讨如何使用`...同时,对`openssh`和`openssl`这两个核心组件的深入理解和使用,也是保障网络服务安全的基础
第06章 基础架构服务1
08-03
守护进程是Linux系统中不可或缺的一部分,它们在后台持续运行,不与任何终端直接关联,用于提供各种系统服务。比如,网络服务、打印服务...通过学习这些内容,IT管理员可以更有效地管理和维护Linux系统的基础架构服务
基于Linux操作系统的SSH.rar
07-25
1. **安装SSH服务**:在大多数Linux发行版中,SSH服务器(通常称为`openssh-server`)默认并未预装。你可以通过包管理器(如`apt`或`yum`)来安装它。例如,在Ubuntu/Debian上运行`sudo apt-get install openssh-...
linux集群安装
09-12
以上步骤是搭建Linux集群的基础,后续还需要根据具体的服务(如Jenkins, Maven, Hadoop)进行相应的配置和安装。例如,对于Jenkins,你需要安装Jenkins服务器,配置插件,创建Job;对于Maven,需要配置Maven的`...
基于Linux系统的远程控制技术研究.pdf
09-06
【基于Linux系统的远程控制技术研究】 ...通过深入了解SSH的工作原理和特点,用户可以根据自身需求选择合适的远程控制策略,提高系统的安全性和管理效率。SSH的研究和应用对于系统开发和维护具有重要的参考价值。
服务器远程控制之Linux中的Openssh服务器部署(sshd服务)
weixin_43215948的博客
05-27 376
Linux中的Openssh服务器部署 一.实验环境的搭建 需要两台主机: client:westos.client.westos.com 172.25.254.10 server: westos.node1.westos.com 172.25.254.20 命令nm-connection-editor 设定IP地址 ifconfig 查看IP地址 hostnamectl set-hostn...
TCP Wrappers部分使用说明
M.Chow98的博客
06-26 1235
yum -y install tap_wrappers要检查系统中的某一项服务是否支持TCP Wrappers,可以使用ldd命令ldd /usr/sbin/sshd | grep libwrap                            libwrap.so.0 => /lib/libwrap.so.0(0x00d22000)ldd /usr/sbin/httpd | grep...
linux服务deamon
垃圾桶丁
03-03 1414
1、分两类:stand alone,super daemon(由xinetd这个deamon来负责) 2、相关目录: /etc/init.d/* :启动脚本放置处 /etc/sysconfig/* :各服务的初始化环境设定档 /etc/xinetd.conf, /etc/xinetd.d/* :super daemon 设定档 /etc/* :各服务各自的设定档 /var/lib/*
解决Qt提示xxx.so not found( using -rpath or -rpath-link)问题
有问题或资源连接有缺失的可以私信公众号新潮看世界获取
02-16 803
上述问题虽然说的很明白,try using -rpath or -rpath-link,要使用rpath指定so动态库的位置。可是,在QtCreator里面,我上哪去指定so的位置呢?这里so文件可以通过源码编译或者直接下载的方式搞到。我这里是aarch64,其他环境类似即可。可以在项目的编译参数里面加入。但这样子,似乎不够通用。
Linux安装openssh服务
06-08
好的,以下是在Linux上安装openssh服务的步骤: 1. 打开终端或SSH客户端,以root用户身份登录您的Linux服务器。 2. 输入以下命令来更新软件包列表: ``` sudo apt-get update ``` 3. 输入以下命令来安装...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值