05.12 架构之ssh-key章节

最新推荐文章于 2022-03-18 09:40:22 发布
最新推荐文章于 2022-03-18 09:40:22 发布
阅读量752 收藏
点赞数
分类专栏: Linux高级运维 文章标签: 远程登录 优化 安全 ssh-key 批量分发密钥
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qunchao_Blog/article/details/75175240
版权

第一章 ssh简介

1. ssh含义
SSH服务端是一个守护进程(daemon),它在后台运行并相应来自客户端的连接请求。SSH服务端的进程名为sshd,负责实时监听远程SSH客户端的连接请求,并进行处理,一般包括公共密钥认证、密钥交换、对称密码加密和非安全连接等。这个SSH服务就是我们前面基础系统优化中保留开机自启动的服务之一。

SSH客户端包含ssh以及像scp(远程拷贝)、slogin(远程登录)、sftp(安全FTP文件传输)等应用程序。

ssh工作机制大致是本地的ssh客户端先发送一个连接请求到远程的ssh服务端,服务端检查连接的客户端发送的数据包和IP地址,如果确认合法,就会发送密钥给SSH的客户端,此时,客户端本地再将密钥发回给服务端,自此连接建立。SSH 1.x和SSH 2.前者为密码后者是密钥

2. 基于口令的安全验证
基与口令的安全验证的方式就是大家现在一直在用的,只要知道服务器的SSH连接账号和口令(当然也要知道对应服务器的IP及开放的SSH端口,默认为22),就可以通过ssh客户端登录到这台远程主机。此时,联机过程中所有传输的数据都是加密的。

[root@nfs01 ~]# ssh -p22 root@10.0.0.41
root@10.0.0.41's password: 
Last login: Fri May 12 11:50:03 2017 from 10.0.0.253
[root@backup ~]# exit
logout
Connection to 10.0.0.41 closed.
[root@nfs01 ~]#

3. 基于密钥(钥匙锁头)的安全验证
基于密钥的安全验证方式是指,需要依靠密钥,也就是必须事先建立一堆密钥对,然后把公用密钥(锁头)放在需要访问的目标服务器,另外,还需要把私有密钥(钥匙)(Private key)放到SSH的客户端或对应的客户端服务器上。
SSH客户端收到质询之后就可以用自己的私钥解密,再把它发送给SSH服务器,使用这种方式,需要知道联机用户的密钥文件。与第一种基于口令验证的方式相比,第二种方式不需要在网络上传送口令密码,所以安全性更高了,这时我们也要注意保护我们的密钥文件,特别是私钥文件,一旦被黑客获取,危险就很大了。

4. SSH配置文件信息
修改SSH服务的运行参数,是通过修改配置文件/etc/ssh/sshd_config实现的。
一般来说SSH服务使用默认的配置已经能够很好的工作了,如果对安全要求不高,仅仅提供SSH服务的情况,可以不需要修改任何配置。

命令参数参数说明
Port指定sshd进程监听的端口号,默认为22。可以使用多条指令监听多个端口,默认将在本机的所有网络接口上监听,但是可以通过ListenAddress指定只在某个特定的接口上进行监听。
PermitEmptyPasswords是否允许密码为空的用户远程登录。默认为“no”
PermitRootLogin是否允许root登录。可用值如下:yes表示允许,NO表示为禁止。Without-password表示禁止使用密码认证登录。Forced-commands-only表示只有在指定了command选项的情况下才允许使用公钥认证登录,同时其它认证方法全部被禁止。这个值常用于做远程备份之类的事情。1.多开一个窗口。2.临时多部署一条连接方式。3给普通用户sudo权限。
UseDNS指定sshd是否应该对远程主机名进行反向解析,以检查此主机名是否与其IP地址真是对应。默认值为yes
ListenAddress指定监听并提供服务相应的网卡地址信息。

5. 钥匙和锁头的使用过程
连接服务的ssh客户端,创建出密钥和锁头
连接服务的ssh客户端,将锁头发送给ssh服务端
连接服务的ssh客户端,发出连接请求
ssh服务端收到连接请求后,会发出质询信息,你想链接我,你能打开我的锁头吗
ssh客户端利用钥匙解密了质询,至此钥匙和锁头就匹配了,将匹配后的结果告知服务器端
ssh服务端认可匹配结果,连接请求建立

第二章 查看端口命令总结

1. ss

[root@nfs01 ~]# ss -lntup |egrep 22
udp    UNCONN     0      0                      *:57343                 *:*      users:(("rpc.statd",1223,7))
udp    UNCONN     0      0              127.0.0.1:975                   *:*      users:(("rpc.statd",1223,4))
udp    UNCONN     0      0                     :::40163                :::*      users:(("rpc.statd",1223,9))
tcp    LISTEN     0      128                   :::22                   :::*      users:(("sshd",1349,4))
tcp    LISTEN     0      128                    *:22                    *:*      users:(("sshd",1349,3))
tcp    LISTEN     0      128                    *:15735                 *:*      users:(("rpc.statd",1223,8))
tcp    LISTEN     0      128                   :::28156                :::*      users:(("rpc.statd",1223,10))

2. netstat

[root@nfs01 ~]# netstat -lntup |egrep 22
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      1349/sshd           
tcp        0      0 0.0.0.0:15735               0.0.0.0:*                   LISTEN      1223/rpc.statd      
tcp        0      0 :::22                       :::*                        LISTEN      1349/sshd           
tcp        0      0 :::28156                    :::*                        LISTEN      1223/rpc.statd      
udp        0      0 0.0.0.0:57343               0.0.0.0:*                               1223/rpc.statd      
udp        0      0 127.0.0.1:975               0.0.0.0:*                               1223/rpc.statd

3. lsof

[root@nfs01 ~]# lsof -i :22
COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd    1349 root    3u  IPv4  11110      0t0  TCP *:ssh (LISTEN)
sshd    1349 root    4u  IPv6  11112      0t0  TCP *:ssh (LISTEN)
sshd    2617 root    3r  IPv4  19684      0t0  TCP 10.0.0.31:ssh->10.0.0.253:54109 (ESTABLISHED)

4. namp

[root@nfs01 ~]# nmap -p 22 10.0.0.41

Starting Nmap 5.51 ( http://nmap.org ) at 2017-05-12 15:07 CST
Nmap scan report for 10.0.0.41
Host is up (0.00028s latency).
PORT   STATE SERVICE
22/tcp open  ssh
MAC Address: 00:0C:29:A0:B1:48 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 0.08 seconds

5. telnet

telnet 10.0.0.41 22

第三章 scp用法

本地nfs客户端推送到rsync服务端

[root@backup ~]# scp /etc/hosts root@172.16.1.31:/data/
root@172.16.1.31's password: 
hosts                                                                   100%  321     0.3KB/s   00:00

[root@nfs01 data]# ll
total 4
-rw-r--r-- 1 root root 321 May 12 16:01 hosts

本地nfs客户端从rsync服务端拉

[root@backup ~]# scp root@172.16.1.31:/etc/hosts   /tmp/
root@172.16.1.31's password: 
hosts                                                                   100%  320     0.3KB/s   00:00

第四章 SSH入侵案例说明

  1. 如何防止SSH登录入侵小结:
  2. 用密钥登录,不用密码登录。
  3. 牤牛阵法:解决SSH安全问题
  4. 防火墙封闭,SSH,,指定源IP限制(局域网、信任公网)
  5. 开启SSH只监听本地内网IP(ListenAddress 172.16.1.61)
  6. 尽量不给服务器外网IP
  7. 最小化(软件安装-授权)
  8. 给系统的重要文件或命令做一个指纹 md5sum /etc/hosts >/tmp/hosts_finger.txt grep XXX
    /tmp/hosts_finger.txt
  9. 给他上锁chattr +i +a

第五章 ssh+key共享密钥部署流程说明

1. 生成钥匙 锁头 (密钥对)

[root@m01 ~]# ssh-keygen -t dsa 
   Generating public/private dsa key pair.                     #生成一对dsa类型的秘钥对(公钥和私钥)
   Enter file in which to save the key (/root/.ssh/id_dsa):    #想要把你的密钥对放在哪里 默认即可
   Enter passphrase (empty for no passphrase):                 #给你的钥匙锁头 加上个密码把。 回车
   Enter same passphrase again:                                #确认   
   Your identification has been saved in /root/.ssh/id_dsa.    #私钥放置的位置(钥匙)
   Your public key has been saved in /root/.ssh/id_dsa.pub.    #公钥放置的位置(锁头)
   The key fingerprint is:
   e8:26:51:ba:ed:f0:00:37:a7:3a:ab:ab:34:83:0a:9e root@m01
   The key's randomart image is:
   +--[ DSA 1024]----+
   |                  |
   |                  |
   |      .           |
   |     o .          |
   |  . = o S         |
   |.  o O            |
   |o+  * +           |
   |= =. B            |
   |*Eoo  o           |
   +-----------------+

[root@m01 ~]# ll ~/.ssh -d
drwx------ 2 root root 4096 2017-04-18 09:42 /root/.ssh
[root@m01 ~]# ls -l /root/.ssh/
total 12
-rw------- 1 root root  668 Jan  5 16:37 id_dsa                     ###私钥 钥匙 
-rw-r--r-- 1 root root  598 Jan  5 16:37 id_dsa.pub                 ####公钥 锁头
-rw-r--r-- 1 root root 1576 Jan  5 14:58 known_hosts

第六章 公钥(锁头)如何传远端端服务端

1. 查看sshd端口

[root@m01 ~]# netstat -lntup |egrep sshd
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      1192/sshd           
tcp        0      0 :::22                       :::*                        LISTEN      1192/sshd

2. 指定公钥文件发送至服务端IP

[root@ansible01-61 ~]# ssh-copy-id -i /root/.ssh/id_dsa.pub 172.16.1.111
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@172.16.1.111's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh '172.16.1.111'"
and check to make sure that only the key(s) you wanted were added.

3. ssh-copy-id是个脚本文件

[root@m01 ~]# file `which ssh-copy-id`
/usr/bin/ssh-copy-id: POSIX shell script text executable

4. 删除远端服务器的公钥文件

[root@m01 ~]# ssh-copy-id -i /root/.ssh/id_dsa.pub "-p52113 root@172.16.1.41"
说明:根据命令脚本,修改$1传参信息,从而实现根据ssh不同端口传送公钥文件 

============================================
#!/bin/bash
until [ $# -eq 0 ]
do
    echo $*
    shift
done
============================================

5. ssh-copy-id执行过程

ssh $1 "exec sh -c 'umask 077; test -d ~/.ssh || mkdir ~/.ssh ; cat >> ~/.ssh/authorized_keys && (test -x /sbin/restorecon && /sbin/restorecon ~/.ssh ~/.ssh/authorized_keys >/dev/null 2>&1 || true)'"

①. 临时设置了一下umask 077 
②. 看目标服务器是否存在 ~/.ssh 目录
③. 如果目录不存在,则创建 mkdir ~/.ssh 
④. 把id_dsa.pub内容 放到了 ~/.ssh/authorized_keys   
authorized_keys文件内容实质上等于id_dsa.pub公钥文件内容

6. ssh服务如何识别公钥文件

[root@m01 ~]# vim /etc/ssh/sshd_config            
49 #AuthorizedKeysFile     .ssh/authorized_keys
说明:利用ssh服务配置文件,识别公钥文件信息

7. 操作后检查直接输入命令

[root@m01 ~]# ssh root@172.16.1.31 hostname
nfs01

8. ssh服务分发公钥实质执行过程

  1. 管理服务器创建私钥和公钥(密钥对)
  2. 将公钥文件远程传送复制到被管理服务器相应用户~/.ssh下,并修改.ssh目录权限为700
  3. 修改公钥文件文件名称为authorized_keys,授权权限为600
  4. 利用ssh服务配置文件的配置参数,进行识别公钥文件authorized_keys
  5. 进而实现基于密钥远程登录服务器(免密码登录/非交互方式登录)

第七章 ssh+key公钥批量分发

1. 生成密钥阻碍因素处理办法(非交互)

[root@m01 script]# ssh-keygen -t dsa -f ~/.ssh/id_dsa  -P '' -q
ssh-dss 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

2. ssh连接密码信息阻碍问题解决方式

#!/bin/bash
for ip in 7 31 41
do
sshpass -p123456 ssh-copy-id -i /root/.ssh/id_dsa.pub "-o StrictHostKeyChecking=no 172.16.1.$ip"
done
qunchao_Blog
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux实现免密码登录
tyj的博客
05-20 377
第一步,生成公钥 先查看本地有没有生成密钥,如果有的话,再次生成会影响前面已经设置好的,用下面这条命令就可以 cat ~/.ssh/id_rsa.pub 如果没有的话,输入下面的命令来在本机上生成公钥和私钥 ssh-keygen -t rsa 第二步,把公钥复制到远程主机上 ssh-copy-id -i ~/.ssh/id_rsa.pub root@你的IP地址 RHEL6中ssh-copy-id出现Ambiguous output redirect.错误 问题现象参见: https://
ssh-keygen&ssh-copy-id详解
最新发布
qq_41768644的博客
07-09 2627
公钥认证登录(免密登录)允许你登录一个远程服务器却不需要输入密码。首先第一步再本地服务器上生成一对公私钥,然后将公钥文件的内容拷贝到你要登录的远程机器上,最后只要你的本地保留由私钥,就可以免密登录远程服务器。ssh-keygen可以用来生成ssh免密登陆的密钥文件,这样在使用ssh登录的时候就可以不输入密码直接登录了。
ssh-copy-id三步实现SSH无密码登录和ssh常用命令
YuenBin128的博客
08-07 1123
转载自https://blog.csdn.net/liu_qingbo/article/details/78383892 sh-keygen  产生公钥与私钥对. ssh-copy-id 将本机的公钥复制到远程机器的authorized_keys文件中,ssh-copy-id也能让你有到远程机器的home, ~./ssh , 和 ~/.ssh/authorized_keys的权利 第一步:...
ssh-copy-id复制公钥到多台服务器脚本
y_zilong的博客
04-27 723
#新建host文件,里面放需要复制公钥IP地址 [root@cent8 data]# cat host.txt 10.0.0.121 10.0.0.133 10.0.0.222 #分发公钥脚本 [root@cent8 data]# cat key.sh #!/bin/bash # set -x passwd=("redhat") #密码不同 passwd=("abc123" "abc1234") PWD_IDX=$((${#passwd[@]}-1)) usage(){ echo.
ssh-copy-id非22端口的使用方法
weixin_33690367的博客
08-16 591
2019独角兽企业重金招聘Python工程师标准>>> ...
cet6真题(05.12-09.6)
12-17
【标题】"cet6真题(05.12-09.6)" 涉及的是大学英语六级考试(College English Test Band 6,简称CET6)的真实试题,时间范围从2005年12月到2009年6月。这些试题集通常包含了这一时间段内所有的CET6考试试卷,旨在...
Razer(雷蛇)RazerSurround音效软件v1.09.05.12
08-06
Razer雷蛇Razer Surround音效软件1.09.05.12版For WinXP-32/WinXP-64/Vista-32/Vista-64/Win7-32/Win7-64/Win8-32/Win8-64(2013年6月28日发布) 日前,著名外设厂商Razer雷蛇发布了一款可以模拟7.1环绕音效的音频...
大全集团简介(05.12.12).pdf
12-08
大全集团简介(05.12.12).pdf
Neko Project II for Dreamcast-开源
05-03
压缩包文件名"**np2-0.13.05.12-dc-sd-plainfiles**"揭示了一些关键信息。首先,"np2"代表Neko Project II的缩写,接着的"0.13.05.12"表示版本号,这表明这是项目的第0.13.05.12次更新。"dc"指代Dreamcast,表明这个...
X millennium for Dreamcast-开源
05-03
在提供的压缩包“xmil-0.13.05.12-dc-sd-plainfiles”中,我们可以找到项目相关的各种文件,包括编译后的可执行程序、文档、资源文件等。用户可以利用这些文件在Dreamcast上安装和运行X millenniuM,体验复古游戏的...
25 条 SSH 命令和技巧
反方向的专栏
11-26 2043
SSH是一个非常伟大的工具,如果你要在互联网上远程连接到服务器,那么SSH无疑是最佳的候选。下面是通过网络投票选出的25个最佳SSH命令,你必须牢记于心。 1、复制SSH密钥到目标主机,开启无密码SSH登录 ssh-copy-id user@host 如果还没有密钥,请使用ssh-keygen命令生成。 2、从某主机的80端口开启到本地主机2001端口的 ssh 隧道 ssh -...
增加ssh-copy-id的端口参数选项
weixin_33907511的博客
07-26 274
基本上對外服務的主機,ssh listen port都會改掉預設的22 port,如此一來可以減少主機被***的機會,更改ssh listen port是最基本的第一道防線,請將設定檔內的 Port 22 進行更改,並且重新啟動ssh的服務。但是當您改掉ssh listen port之後,ssh-copy-id這個好用的指令將無法運用,這樣一來不是很可惜嗎?於是我們就可以對s...
生产中使用ssh-copy-id复制公钥到多台服务器
临江仙我亦是行人
04-09 2151
在系统运维的时候,可能免密码通过ssh方式登录到远程主机,这时就首先需要将本机的公钥复制到远程主机,用 ssh-copy-id 命令可以轻松做到。 对于单台远程主机,直接使用命令就可以了 # 生成密钥 ssh-keygen -t rsa # 复制公钥到远程主机 ssh-copy-id username@host 而在生产中,一般我们拥有很多台主机,如果在一台一台的重复执行 ssh-copy-id username@host 的话,效率就极其低下,以下是结合 pssh 命令,在我们生产中使用的批量分发
SSH服务
Jsben的博客
04-23 522
第一章 远程连接服务概念介绍 SSH: 系统默认配置 22 默认可以使用root用户进行登录 数据信息进行加密 TELNET:网络设备默认开启 23 默认只能使用普通用户进行登录 数据信息显示明文 第二章 远程连接服务连接原理 openssh 远程连接数据包进行加密处理 openssl 网站访问请求信息和响应信息进行加密(HTTPS) 连接示意图: 原理总结: 客户端 - 服务端 请求建立...
RHEL6中ssh-copy-id出现Ambiguous output redirect.错误
懒得打字
06-02 2225
问题现象参见: https://bugzilla.redhat.com/show_bug.cgi?id=1045191 主要原因是另一台主机的SHELL不是sh或者bash造成的 解决方法: 修改/usr/bin/ssh-copy-id,大约41行: { eval "$GET_ID" ; } | ssh $1 "umask 077; test -d ~/.ssh || mkdir ~/.
详解linux文件权限
qq_36417677的博客
10-10 1732
1.文件权限存在的意义 系统最底层安全设定方法之一 保证文件可以被可用的用户做相应的操作 2.文件权限的查看 ls -l file ls -l file 查看文件信息 ls -ld file 查看目录本身的信息 ll file 相当于ls -l file ll -d file 相当于ls -ld dir ls -lR dir 递归显示子目录 3. 文件权...
umask与文件目录权限对照表
qq_46610881的博客
03-14 2459
umask:000 file:666 dir:777 umask:001 file:666 dir:776 umask:002 file:664 dir:775 umask:003 file:664 dir:774 umask:004 file:662 dir:773 umask:005 file:662 dir:772 umask:006 file:660 dir:771 umask:007 file:660 dir:770 umask:010 file:666 dir:767 umask:011 fil
Linux下用shell脚本判断密码,linux – 使用Shell脚本提供密码
weixin_34861332的博客
05-09 875
我设置了我的客户&用于无密码登录的服务器.像无密码登录一样,将服务器的RSA密钥复制到所有客户端的/root/.ssh/id-rsa.pub.但是,我已经手动完成了.我喜欢使用shell脚本自动执行此过程,并通过脚本为机器提供密码.如果此问题得到解决,那么我还想使用rsync自动将推送项目发送到所有服务器.在这方面,任何人都可以帮助我.谢谢解决方法:这个脚本来自Debian(和衍生产品)机...
SSH连接服务器:Could not connect to ‘xxx.xxx.xx.xx‘ (port 22): Connection failed.
panlupeng的博客
03-18 6439
Could not connect to 'xxx.xxx.xx.xx' (port 22): Connection failed
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值