2.1 SSH远程访问

SSH远程访问

一 SSH远程管理介绍

SSH（Secure Shell）是一种安全通道协议，主要用来实现字符界面的远程登录，远程复制等功能。与早期的telnet、rsh、rcp、等相比，安全性更高

·SSH协议

为客户机提供安全的Shell环境，用于远程管理

默认端口：TCP 22

·OpenSSH

服务名称：sshd

服务端主程序：/usr/sbin/sshd

客户端主程序：/usr/bin/ssh

服务端配置文件：/etc/ssh/sshd_config

客户端配置文件：/etc/ssh/ssh_config

二 配置OpenSSH服务端

在RHEL 5系统中已默认安装了SSHD服务，并已经添加为了标准的系统服务

查看提供服务的安装包，服务端程序由server提供

查看服务运行状态

查看服务的运行级别

打开服务端主配置文件（初学者可以不用修改任何配置项，直接使用默认配置进行远程连接）

·服务监听选项

#Port 22                    默认监听端口号，如果要更改去掉注释修改端口号即可

#Protocol 2,1                默认协议版本为2,2比1更安全，这里默认不修改

#ListenAddress 0.0.0.0        默认监听所有服务器网卡地址，可以指定地址提高隐蔽性

#UseDNS no                默认开启了DNS返向解析，这里要去掉注释并禁用

·用户登录控制

默认是允许拥有合法的登录shell的用户都可以远程登录，很不安全，这里建议禁用root用户，使用普通用户登录后在使用su命令切花到root用户；还可以禁用某些用户或IP的登录

#PermitRootLogin yes            默认允许root用户登录，这里禁用掉

#LoginGraceTime 2m            默认登录验证时间为2分钟，超时后还未登录则断开连接

#MaxAuthTries 6                默认重试登录次数为6次，超过次数后还未登录则断开连接

#PermitEmptyPasswords no        默认不允许空密码用户登录

使用AllowUsers或DenyUers语句可以限制某些用户登录额登录，但是两者不能同时出现如

AllowUsers jerry admin@61.23.24.25        紧允许jerry、admin登录并admin只能使用61.23.2.25时才能登录；多个用户之间使用空格

·登录验证方式

登录验证对象：本地用户

登录验证方式：密码验证、密钥对验证

密码验证：以服务器中的本地用户等用户名和密码进行验证；这样的方式客户端连接时可能连接的服务器会被假冒，从而泄露密码；而服务器会遭到暴力破解的危险，防御力弱

密钥对验证：如果是linux客户端验证的话先在linux客户端创建一对密钥对文件，包括公钥和私钥，然后将公钥放到服务器指定的位置，然后拥有私钥的客户端就可以直接连接上，没有私钥的客户端无法连接；对于安全性较高的用户可以禁用密码验证，只开启密钥验证；默认两者都是开启的，默认即可

#PasswordAuthentication yes                    启用密码验证

#PubkeyAuthentication yes                    启用密钥对验证

#AuthorizedKeysFile .ssh/authorized_keys    指定公钥数据库文件

三 使用SSH客户端程序

RHEL 5系统中，OpenSSH客户端由openssh-client软件包提供，默认已安装；其中包括远程登录命令、远程上传和下载命令；windows系统中也有支持SSH协议的软件提供图形化界面可以使用

·Linux客户端命令程序ssh、scp、sftp

1使用密码验证的ssh远程登录（还没有创建密钥对）

或，两种命令格式都可以远程登录

当用户第一次登陆SSH服务器时必须接受服务器发送来的RSA密钥；接受的密钥信息将被保存在~/.sh/known_hosts文件中；若服务器修改了默认登陆端口，则使用-p指定端口登陆：

2使用 scp命令远程上传和下载

上传：上传使用的登录用户对目标目录必须有写入权限，才能上传；这里上传到用户的宿主目录

下载：下载使用的登录用户对下载的文件必须要有读取权限

3使用sftp命令利用SSH安全连接服务器进行上传和下载

和FTP类似的登录过程和交互式环境

·windows客户端使用图形工具PuTTYCNN、WinSCP

1使用PuTTYCnN远程登录

一款跨平台的Telnet/SSH图形客户端软件；下载网站www.chiark.greenend.org.uk；绿色软件，直接运行主程序putty.exe

输入SSH服务器地址，单机Open

第一次登录会询问是否接受密文传输，选择是；再输入用户名和密码即可登录，退出使用exit命令

2使用WinSCP远程上传和下载

一款Windows平台的SCP、SFTP图形客户端软件；官网http://winscp.net

首先安装程序（也有绿色版）；然后启动桌面上的程序

输入服务器地址，用户名和密码，然后点击登录

第一次登录会询问是否接受密文传输，选择是

连接成功，直接拖拽文件即可上传下载

3使用sftp工具(和linux客户端sftp命令类似)

绿色版的，双击打开程序，输入登录命令；使用ftp上传下载命令即可

程序在哪里运行的，下载目录就是哪里；对于要上传的文件可以放在程序目录下，使用相对路径上传

三 构建密钥对验证的SSH体系

·SSH密钥对验证图解

·linux的SSH密钥对验证操作

1在linux客户端创建密钥对

使用ssh-keygen命令，为当前用户创建密钥对文件，包括公钥和私钥；使用-t选项指定算法类型，可用的算法类型有PSA和DSA；（密钥文件默认保存在当前用户的宿主目录下的隐藏文件.ssh目录下）

确认生成的密钥文件

2将公钥文件上传至服务器指定目录并重命名为authorized_keys（必要条件）

任何方式均可（共享、FTP、Email、SCP、……）

方法一：使用scp命令上传，然后登陆服务器修改文件

方法二：有一条专门的上传命令，以上步骤全部搞定（服务器必须启用密码验证）

3客户端使用密钥对验证登陆

如果没有设置密钥短语，则直接验证登陆

·windows的SSH密钥对验证操作

由于windows客户端创建密钥对没有linux方便，因此如果使用windows密钥对验证登陆，就需要在linux服务器上创建密钥对

1在SSH服务器上切换到普通用户创建密钥对

2将公钥改名为authorized_keys，将私钥拷贝到windows客户端

3使用puttygen工具将私钥转换成windows能识别的文件

1）打开puttygen.exe.点击load

2）选中拷贝过来的私钥文件

3）选中私钥另存为，将转换后的私钥存在自定义位置

4使用PuTTYCNN客户端的密钥验证方式远程登录SSH服务器

1)打开putty.exe，输入服务器地址

2）点击左侧的SSH，展开之后找到auth，然后点击右侧的浏览，选中转换后的私钥

3）然后返回Session界面，点击Open登录；然后输入用户名之后直接会密钥验证登录

转载于:https://blog.51cto.com/itit0/1334754