openssh

最新推荐文章于 2024-07-09 09:30:26 发布
最新推荐文章于 2024-07-09 09:30:26 发布
阅读量170 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44434664/article/details/86008680
版权

1. 使用 SSH 访问远程命令行

OpenSSH这一术语指系统中使用的Secure Shell软件的软件实施。用于在远程系统上安全运行shell。如果您在可提供ssh服务的远程Linux系统中拥有用户帐户,则ssh是通常用来远程登录到该系统的命令。ssh命令也可用于在远程系统中运行命令。

常见的远程登录工具有:

  • telnet
  • ssh
  • dropbear

telnet : 远程登录协议,23/TCP
认证明文
数据传输明文

ssh :Secure SHell,应用层协议,22/TCP
通信过程及认证过程是加密的,主机认证
用户认证过程加密
数据传输过程加密

dropbear :嵌入式系统专用的SSH服务器端和客户端工具

1.2 SSH 版本

openssh有两个版本,分别为v1和v2,其特点如下:

  • v1:基于CRC-32做MAC,无法防范中间人(man-in-middle)攻击
  • v2:双方主机协议选择安全的MAC方式。基于DH算法做密钥交换,基于RSA或DSA算法实现身份认证

1.3 SSH 认证方式

openssh有两种认证方式,分别是:

  • 基于口令认证
  • 基于密钥认证

1.4 openSSH 的工作模式

openSSH是基于C/S架构工作的。

服务器端 :sshd,配置文件在/etc/ssh/sshd_config
客户端 :ssh,配置文件在/etc/ssh/ssh_config
  ssh-keygen :密钥生成器
  ssh-copy-id :将公钥传输至远程服务器
  scp :跨主机安全复制工具

1.5 Secure Shell 示例

以当前用户身份创建远程交互式shell,然后在结束时使用exit命令返回到之前的shell

[root@ye ~]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens32: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:0c:29:19:f7:dc brd ff:ff:ff:ff:ff:ff
    inet 192.168.26.123/24 brd 192.168.26.255 scope global ens32
       valid_lft forever preferred_lft forever
    inet6 fe80::e972:7102:7684:80a7/64 scope link 
       valid_lft forever preferred_lft forever
[root@ye ~]# ssh root@192.168.26.121
The authenticity of host '192.168.26.121 (192.168.26.121)' can't be established.
ECDSA key fingerprint is SHA256:ZnFFi8bK1B+aLegZjaRTexys6jeq9ntPmHifIeb+GFw.
ECDSA key fingerprint is MD5:21:39:9c:bd:b7:11:35:13:bf:66:db:59:8a:ae:1d:31.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.26.121' (ECDSA) to the list of known hosts.
root@192.168.26.121's password: 
Last login: Mon Jan  7 14:35:55 2019 from 192.168.26.1
[root@peng ~]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens32: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:0c:29:c2:93:9c brd ff:ff:ff:ff:ff:ff
    inet 192.168.26.121/24 brd 192.168.26.255 scope global ens32
       valid_lft forever preferred_lft forever
    inet6 fe80::196b:b9c7:7962:9b05/64 scope link 
       valid_lft forever preferred_lft forever

以其他用户身份(remoteuser)在选定主机(remotehost)上连接到远程shell

[root@ye ~]# useradd 111
[root@ye ~]# passwd 111
Changing password for user 111.
New password: 
BAD PASSWORD: The password is shorter than 8 characters
Retype new password: 
passwd: all authentication tokens updated successfully.
[root@ye ~]# ssh 111@192.168.26.121
111@192.168.26.121's password: 
[111@peng ~]$ 
[111@peng ~]$ exit
logout
Connection to 192.168.26.121 closed.

以远程用户身份(remoteuser)在远程主机(remotehost)上通过将输出返回到本地显示器的方式来执行单一命令

[root@ye ~]# ip a s ens32
2: ens32: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:0c:29:19:f7:dc brd ff:ff:ff:ff:ff:ff
    inet 192.168.26.123/24 brd 192.168.26.255 scope global ens32
       valid_lft forever preferred_lft forever
    inet6 fe80::e972:7102:7684:80a7/64 scope link 
       valid_lft forever preferred_lft forever
[root@ye ~]# ssh 111@192.168.26.121 '/usr/sbin/ip a s ens32'
111@192.168.26.121's password: 
2: ens32: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:0c:29:c2:93:9c brd ff:ff:ff:ff:ff:ff
    inet 192.168.26.121/24 brd 192.168.26.255 scope global ens32
       valid_lft forever preferred_lft forever
    inet6 fe80::196b:b9c7:7962:9b05/64 scope link 
       valid_lft forever preferred_lft forever

w命令可以显示当前登录到计算机的用户列表。这对于显示哪些用户使用ssh从哪些远程位置进行了登录以及执行了何种操作等内容特别有用

[root@ye ~]# w
 02:38:24 up  1:24,  2 users,  load average: 0.00, 0.01, 0.05
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
root     tty1                      01:14    1:20m  0.37s  0.37s -bash
root     pts/0    192.168.26.1     01:19    0.00s  0.18s  0.04s w

1.6 SSH 主机密钥

ssh通过公钥加密的方式保持通信安全。当某一ssh客户端连接到ssh服务器时,在该客户端登录之前,服务器会向其发送公钥副本。这可用于为通信渠道设置安全加密,并可验证客户端的服务器。

当用户第一次使用ssh连接到特定服务器时,ssh命令可在用户的/.ssh/known_hosts文件中存储该服务器的公钥。在此之后每当用户进行连接时,客户端都会通过对比/.ssh/known_hosts文件中的服务器条目和服务器发送的公钥,确保从服务器获得相同的公钥。如果公钥不匹配,客户端会假定网络通信已遭劫持或服务器已被入侵,并且中断连接。

这意味着,如果服务器的公钥发生更改(由于硬盘出现故障导致公钥丢失,或者出于某些正当理由替换公钥),用户则需要更新其~/.ssh/known_hosts文件并删除旧的条目才能够进行登录。

//主机ID存储在本地客户端系统上的 ~/.ssh/known_hosts 中
[root@ye ~]# cat ~/.ssh/known_hosts
192.168.26.121 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBAzYkfrKZ/KQatfDW7JrJEGpeW+aZ6vNDX6Nj4Cw4i14+kym4tc32HiCsN9f90RMvqWWOJLSoSjheDIbA5jTsEA=

//主机密钥存储在SSH服务器上的 /etc/ssh/ssh_host_key* 中
[root@ye ~]# ls /etc/ssh/*key*
/etc/ssh/ssh_host_ecdsa_key      /etc/ssh/ssh_host_ed25519_key      /etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_ecdsa_key.pub  /etc/ssh/ssh_host_ed25519_key.pub  /etc/ssh/ssh_host_rsa_key.pub

2. 配置基于 SSH 密钥的身份验证

用户可通过使用公钥身份验证进行ssh登录身份验证。ssh允许用户使用私钥-公钥方案进行身份验证。这意味着将生成私钥和公钥这两个密钥。私钥文件用作身份验证凭据,像密码一样,必须妥善保管。公钥复制到用户希望登录的系统,用于验证私钥。公钥并不需要保密。拥有公钥的ssh服务器可以发布仅持有您私钥的系统才可解答的问题。因此,可以根据所持有的密钥进行验证。如此一来,就不必在每次访问系统时键入密码,但安全性仍能得到保证。

使用ssh-keygen命令生成密码。将会生成私钥/.ssh/id_rsa和公钥/.ssh/id_rsa.pub。

注意

生成密钥时,系统将提供指定密码的选项,在访问私钥时必须提供该密码。如果私钥被偷 ,
除颁发者之外的其他任何人很难使用该私钥,因为已使用密码对其进行保护。这样,在攻击   
者破解并使用私钥前,会有足够的时间生成新的密钥对并删除所有涉及旧密钥的内容。

生成ssh密钥后,密钥将默认存储在家目录下的.ssh/目录中。私钥和公钥的权限就分别为600和644。.ssh目录权限必须是700。

在可以使用基于密钥的身份验证前,需要将公钥复制到目标系统上。可以使用ssh-copy-id完成这一操作

[root@localhost ~]# ssh-copy-id remoteuser@remotehost

通过ssh-copy-id将密钥复制到另一系统时,它默认复制~/.ssh/id_rsa.pub文件

SSH密钥演示:

1.使用 ssh-keygen 创建公钥-私钥对

[root@ye ~]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:4Zgup+fNo+fTgfsAHdMH6pYPzGVcwMyoEWX/UitJYTQ root@ye
The key's randomart image is:
+---[RSA 2048]----+
|      .oo*E..    |
|      ...*+=     |
|       o= B o    |
|      .O O = .   |
|      + S.+ o    |
|     . o.o.o     |
|    . o .o..     |
|     +.o=..      |
|    .oo+++.      |
+----[SHA256]-----+

2.使用 ssh-copy-id 将公钥复制到远程系统上的正确位置

[root@ye ~]# ssh-copy-id root@192.168.26.121
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.26.121's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'root@192.168.26.121'"
and check to make sure that only the key(s) you wanted were added.

3.使用 ssh 命令无命令登录远程主机

[root@ye ~]# ssh 192.168.26.121
Last login: Mon Jan  7 15:28:31 2019 from 192.168.26.123
[root@peng ~]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens32: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:0c:29:c2:93:9c brd ff:ff:ff:ff:ff:ff
    inet 192.168.26.121/24 brd 192.168.26.255 scope global ens32
       valid_lft forever preferred_lft forever
    inet6 fe80::196b:b9c7:7962:9b05/64 scope link 
       valid_lft forever preferred_lft forever

scp命令常用选项
 -r  递归复制
 -p 保持权限
 -P 端口
 -q 静默模式
 -a 全部复制

使用 scp 命令传送文件到远程主机

[root@ye ~]# ls
anaconda-ks.cfg
[root@ye ~]# scp anaconda-ks.cfg root@192.168.26.121:/tmp/222
anaconda-ks.cfg                                                          100% 1760   119.2KB/s   00:00

查看:

[root@peng ~]# ls /tmp/
222
ks-script-YPIVOQ
systemd-private-e9870619d4f94ec2afacc33cb630fa0f-chronyd.service-jmXnsf
systemd-private-e9870619d4f94ec2afacc33cb630fa0f-vgauthd.service-7PuPFT
systemd-private-e9870619d4f94ec2afacc33cb630fa0f-vmtoolsd.service-nqPfcz
yum.log

使用 scp 命令从远程主机上下载文件到本地

[root@ye ~]# ls
anaconda-ks.cfg
[root@ye ~]# scp root@192.168.26.121:/tmp/222 .
222                                                                      100% 1760   758.8KB/s   00:00    
[root@ye ~]# ls
222  anaconda-ks.cfg

3. 自定义 SSH 服务配置

虽然OpenSSH服务器通常无需修改,但会提供其他安全措施,可以在配置文件/etc/ssh/sshd_config中修改OpenSSH服务器的各个方面。

PermitRootLogin {yes|no}    //是否允许root用户远程登录系统
PermitRootLogin without-password    //仅允许root用户基于密钥方式远程登录
PasswordAuthentication {yes|no}     //是否启用密码身份验证,默认开启

4. SSH 安全注意事项

  • 密码应该经常换且足够复杂
生成30位的密码:
[root@ye ~]# tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30 |xargs 
0IxduQ7huBUsm2pgheMeUUflzVJz_X

生成20位随机密码:
[root@ye ~]# openssl rand 20 -base64
BIeeF+LK3ErJFxnD4tLVdgVLBg8=
  • 使用非默认端口
  • 限制登录客户端地址
  • 仅监听特定的IP地址
  • 禁止管理员直接登录
  • 仅允许有限制用户登录
    • AllowUsers
    • AllowGroups
  • 使用基于密钥的认证
  • 禁止使用空密码
  • 禁止使用SSHv1版本
  • 设定空闲会话超时时长
  • 利用防火墙设置ssh访问策略
  • 限制ssh的访问频度和并发在线数
  • 做好日志的备份,经常分析(集中于某台服务器)
微笑Y
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
3.1 openssh
Yusyang_的博客
10-22 599
openssh目录1. 使用 SSH 访问远程命令行1.1 OpenSSH 简介1.2 SSH 版本1.3 SSH 认证方式1.4 openSSH 的工作模式1.5 Secure Shell 示例1.6 SSH主机密钥2. 配置基于 SSH 密钥的身份验证2.1 密钥认证配置步骤2.1.1 官方配置步骤2.1.2 第三方配置步骤 1. 使用 SSH 访问远程命令行 1.1 OpenSSH 简介 O...
openssh firewalld
weixin_44437026的博客
01-07 517
1. 使用 SSH 访问远程命令行 1.1 OpenSSH 简介 OpenSSH这一术语指系统中使用的Secure Shell软件的软件实施。用于在远程系统上安全运行shell。如果您在可提供ssh服务的远程Linux系统中拥有用户帐户,则ssh是通常用来远程登录到该系统的命令。ssh命令也可用于在远程系统中运行命令。 常见的远程登录工具有: telnet ssh dropbear telnet ...
OpenSSH远程代码执行漏洞 (CVE-2024-6387)
qq_33163046的博客
07-02 5222
OpenSSH是一套基于安全外壳(SSH)协议的安全网络实用程序,它提供强大的加密功能以确保隐私和安全的文件传输,使其成为远程服务器管理和安全数据通信的必备工具。OpenSSH 自 1995 年问世近 20 年来,首次出现了未经验证的远程执行(RCE)漏洞,攻击者可以提权至 root 最高权限,在不需要用户交互的情况下执行任意代码。该漏洞是由于OpenSSH服务器 (sshd) 中的信号处理程序竞争问题,未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码。
四:使用openSSH的客户端
小小关的博客
01-01 1483
openssh 客户端有openssh-clients 软件包提供,默认已安装,其中包括(ssh 远程登录及远程命令执行,scp 远程复制命令,sftp远程文件传输命令等) 一:命令程序 1:ssh命令(远程安全登录) 格式:ssh user@host (若客户机登录用户与用户名相同,可省去user@) 格式:ssh user@host command 端口选项: -p 22 《1》:hostsname 11111 #修改主机名 《2》:hostname 222...
Windows系统安装OpenSSH客户端,实现ssh远程连接云服务器
hkl_Forever的博客
02-17 2543
1、新建 SSH_HOME 环境变量,C:\windows\System32\OpenSSH\。2、把新建的 SSH_HOME 变量加入到 Path 变量中。1、启动ssh服务之后,打开 cmd 窗口已支持连接。
使用dynDNS+openSSH+putty突破公司防火墙
weixin_34392435的博客
12-06 348
使用dynDNS+openSSH+putty突破公司防火墙1. dynDNS 是一个免费动态域名解析网站https://www.dyndns.com/,可以申请一个域名,下载客户端后可以自动更新你的ip和域名对应关系2.openSSH是一个免费ssh服务器软件,在http://sshwindows.sourceforge.net/可以下载windows版本,具体使用可参考安装后的Quick Sta...
OpenSSH
m0_60072944的博客
09-26 1550
文章目录OpenSSHopenssh简介SSH认证的方式openSSH的工作模式连接示例:SSH主机密钥配置基于SSH密钥的身份验证scp自定义SSH服务配置SSH需要注意的事项 OpenSSH openssh简介 ​ OpenSSH是 Secure SHell(安全外壳协议,简称SSH)协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的,并且会使用明文传送密
openssh相关源码
09-12
OpenSSH是SSH协议的开源实现,它提供了多种服务,包括ssh客户端、ssh服务器、scp、sftp等。本篇文章将深入探讨OpenSSH的源码分析,以及如何使用提供的源码进行交叉编译以在开发板上搭建SSH服务器。 首先,我们来看...
OpenSSH升级openssh-9.3p2程序包
01-15
OpenSSH是广泛使用的安全协议,用于在不同网络主机之间提供加密通信。它的最新版本openssh-9.3p2带来了多项改进和安全修复,对于任何依赖于SSH服务的系统来说,保持OpenSSH的更新至关重要。本文将深入探讨升级...
OpenSSH9.5p1
11-12
OpenSSH 9.5p1 是一个安全的网络连接工具,用于在不同计算机之间建立加密的通信通道。它是OpenSSH项目的最新版本,旨在提供安全的远程登录和其他网络服务,如文件传输。OpenSSH是SSH(Secure SHell)协议的开源实现...
openSSH安装包
05-22
openSSH安装包,亲测可用,好用希望给个好评 谢谢谢谢
openssh最新rpm包openssh-9.4p1openssh9.4p1
08-21
最新 openssh rpm 包资源,亲测可用 修复关键漏洞:OpenSSH ssh-agent 组件存在远程代码 执行漏洞(CVE-2023-38408) 漏洞影响范围: 5.5 < OpenSSH ≤ 9.3p1 建议升级9.3p2或者9.4p1 openssh-9.4p1-1.el7.x86_64.rpm...
升级openssh到8.3
06-29
升级 OpenSSH 到 8.3 OpenSSH 是一个开源的 SSH 服务器实现,广泛应用于 Linux 和 Unix 系统中。在本文中,我们将介绍如何升级 OpenSSH 到 8.3 版本。 为什么升级 OpenSSH OpenSSH 是一个基于 SSH协议的安全远程...
windows 10 内置 OpenSSH客户端
热门推荐
YYtomorrow
08-09 5万+
目标:windows连接linux服务器,通过SSH将数据库端口映射本地 win10在1709版本以后加入了OpenSSH客户端,windows用户就可以直接使用这个ssh客户端连接服务器了。 当然OpenSSH也需要安装: 1.windows设置中点击应用 2.在“应用和功能”菜单栏中选择 “管理可选功能” 3.然后选择添加功能,将OpenSSH添加进来,等待安装。。。。 ...
openssh服务和iptabels、firewalld防火墙
R972965的博客
01-07 481
1.使用ssh服务管理远程主机 1.1 什么是openssh openssh指系统中使用的SSH(SecureSHell)软件的软件实施。SSH协议簇可以用来进行远程控制,或在计算机之间传送文件。而openssh提供了服务端后台程序和客户端工具,用来加密远程控制和文件传输过程中的数据,并由此来代替原来的类似服务。 常见的远程登录工具有: ssh telnet dropbear ssh //...
在 Windows 中安装 OpenSSH 客户端和/或服务器
最新发布
m0_54623392的博客
07-09 1132
3首次连接时,会要求你输入密码。按照这些步骤,你的 Windows 就能通过 SSH 协议接受连接了。4选择好后点击「下一步」,然后点击「安装」开始安装过程。6(可选)如果要修改配置,如设置用户访问权限,可以编辑。快捷键打开「设置」,依次选择「系统」>「可选功能」。以管理员权限打开 PowerShell 窗口。7根据需要修改配置文件,保存后关闭记事本。使用 OpenSSH 客户端连接远程服务器。安装 OpenSSH 客户端或服务器组件。以管理员权限打开 PowerShell。
Window安装OpenSSH客户端及服务,实现web项目的自动化部署。
iOS逆向与安全
05-08 439
此教程适用于win7、win10、win11等系列windows系统,下面以win7为例。SSH远程操作:SSH执行远程命令,实现多节点自动化部署项目(ssh/scp无交互方式)在服务中找到OpenSSH SSH Server,并选择启动类型为自动,并启动服务。实现方式:通过微软提供的OpenSSH,给windows安装一个ssh服务。ssh 用户名@127.0.0.1,如果提示输入密码,则表示ssh可用。run+msconfig,查看sshd服务状态。切换到工具,选择计算机管理,选择服务和应用程序。
ssh(安全外壳协议)
weixin_34348174的博客
05-18 164
SSH 为Secure Shell 的缩写,由 IETF 的网络工作小组(Network Working Group)所制定;SSH 为建立在应用层和传输层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值