【星海随笔】ssh全解

已于 2024-07-05 15:49:10 修改
阅读量503 收藏 7
点赞数 10
文章标签: ssh 运维
于 2024-07-05 15:20:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41997073/article/details/140059597
版权

发现 ssh 把我卡了很久,自己的文档也没有专门写 ssh 的,这一个文档会持续专精更新 ssh 相关的技术文档。

有些企业是全 BMC 管理平台。没有 ssh 密码登录权限

sudo apt-get install openssh-server

检查SSH配置文件(通常是 /etc/ssh/sshd_config):
确保PermitRootLogin设置不是no,除非你想禁止root登录。
检查PasswordAuthentication是否设置为yes,如果设置为no,将不允许密码认证。
如果需要,可以设置AllowUsers或AllowGroups来限制哪些用户或用户组可以登录。

cat /etc/group

Windows 如何远程连接到不同的 Linux 设备

1安装git

https://git-scm.com/downloads

2安装完成后,右击桌面,点击打开git

输入cd 进入根目录,然后 cd .ssh 进入ssh配置文件中
在这里插入图片描述

输入

ssh-keygen

生成了一个本地编码公钥。
xxx.pub

3查看pub文件,并连接

将之前生成的这个文件里的内容复制到目标端的(linux) authorized_keys 文件中

4远程登录

最后

ssh <user>@<ip>

如果失败,需要检查目标端(linux)的 /etc/ssh/ sshd_config 配置文件

检查SSH服务器配置:
如果你有权限访问SSH服务器,检查/etc/ssh/sshd_config文件,确保没有禁用公钥认证(PubkeyAuthentication yes)
并且AuthorizedKeysFile指向了正确的文件。
确保/.ssh目录和authorized_keys文件的权限设置正确。通常,/.ssh目录的权限应该是700,而authorized_keys文件的权限应该是600。

ssh-keygen 说明

私钥文件

作用:私钥文件是安全的核心,它用于解密由公钥加密的数据,以及在SSH连接中验证用户的身份。私钥必须严格保密,不应泄露给任何人或未经授权的实体。
文件名:默认情况下,私钥文件名为id_rsa(如果使用RSA算法),但可以通过ssh-keygen命令的-f选项指定其他文件名。
存储位置:私钥文件默认保存在用户主目录下的.ssh目录中。
权限设置:为了安全起见,私钥文件的权限应设置为仅允许所有者读写(通常是600)。

公钥文件

作用:公钥文件用于加密数据,以便只有拥有相应私钥的用户才能解密。在SSH连接中,公钥被放置在远程服务器的~/.ssh/authorized_keys文件中,用于验证尝试连接的用户是否拥有与公钥配对的私钥。
文件名:默认情况下,公钥文件名为id_rsa.pub(如果使用RSA算法),但同样可以通过ssh-keygen命令的-f选项指定其他文件名,并添加.pub后缀以表示其为公钥文件。
存储位置:公钥文件默认也保存在用户主目录下的.ssh目录中,但通常会将其内容复制到远程服务器的~/.ssh/authorized_keys文件中以启用免密登录。
权限设置:虽然公钥文件本身不包含敏感信息,但出于安全考虑,其权限也应设置为仅允许所有者读写(通常是644)。然而,在将公钥内容添加到远程服务器的~/.ssh/authorized_keys文件时,该文件的权限应更为严格(通常是600),以确保只有授权用户才能访问。

交互流程

一、密钥生成与交换

密钥生成:
客户端(Client)和服务器(Server)各自生成一对密钥,即公钥(Public Key)和私钥(Private Key)。公钥可以公开,而私钥必须保密。
密钥生成通常使用RSA等非对称加密算法,确保加密和解密过程的安全性。

公钥交换:
在首次建立SSH连接时,服务器会将自己的公钥发送给客户端。
客户端验证服务器的公钥是否可信(通常通过比对公钥的指纹或将其保存在known_hosts文件中)。
客户端也将自己的公钥发送给服务器,服务器将其保存在authorized_keys文件中,用于后续的免密登录验证。

二、认证过程

客户端认证:
客户端使用服务器的公钥加密自己的登录信息(如用户名和密码),然后发送给服务器。
服务器使用自己的私钥解密登录信息,验证客户端的身份。

免密登录(基于公钥的认证):
客户端请求登录时,服务器会生成一个随机字符串(通常称为挑战码),并使用客户端的公钥加密后发送给客户端。
客户端使用自己的私钥解密挑战码,然后将解密后的挑战码与某个会话密钥一起使用哈希算法生成一个摘要(Digest)。
客户端将摘要发送给服务器,服务器使用相同的算法和会话密钥生成摘要,并与客户端发送的摘要进行比对。
如果摘要一致,则认证成功,服务器允许客户端登录,无需再输入密码。

三、会话建立与数据传输

会话建立:
认证成功后,客户端和服务器之间建立SSH会话。
会话过程中,双方协商使用的加密算法、消息认证码和压缩算法等。

数据传输:
在会话期间,客户端和服务器之间传输的所有数据都会使用之前协商的加密算法进行加密和解密。
加密过程确保数据的机密性和完整性,防止数据在传输过程中被窃取或篡改。

四、安全性与风险

安全性:SSH通过非对称加密和密钥交换技术确保了数据传输的机密性和完整性,同时提供了强大的身份认证机制。

风险:尽管SSH具有很高的安全性,但仍存在中间人攻击等风险。中间人攻击者可以截获客户端和服务器之间的通信,并冒充服务器向客户端发送伪造的公钥。为了防范这种风险,客户端应始终验证服务器的公钥是否可信。

活跃的煤矿打工人
关注
星海随笔】ELK优化
weixin_41997073的博客
06-12 1256
ELS 再遇到大的日志文件的时候不会自动进行清理的,我们可以通过logrotate转储工具进行操作。该命令是基于 Cron 实现,由系统执行,当然也可以手动进行执行例如也可以通过split进行手动切割。
星海随笔】云决方案学习日志篇(三) 工作原理篇
weixin_41997073的博客
06-12 891
在Filebeat运行时,每个prospector内存中也会保存的文件状态信息,当重新启动Filebat时,将使用注册文件的数量来重建文件状态,Filebeat将每个harvester在从保存的最后偏移量继续读取。读取每个文件,并将内容发送到配置指定的output,每个文件启动一个harvester, harvester负责打开和关闭文件,这意味着在运行时文件描述符保持打开状态。如果input类型是log,则input查找驱动器上与已定义的log路径匹配的所有文件,并为每个文件启动一个harvester。
密码破SSH
w1304099880的博客
12-13 3615
密码破SSH 在本文中,我们将学习如何通过SSH端口来控制受害者的PC。我们可以通过多种方式破SSH端口的密码。让我们花一些时间来学习所有这些内容,因为有时不同的情况需要采取不同的措施。 包含的内容: Hydra(九头蛇) Medusa(美杜莎) X-Hydra(九头蛇) Metasploit Patator Ncrack 让我们开始密码破吧! Hydra Hydra是并行的登录破程序,它支持多种攻击协议。这是一种非常快速,灵活的方法,易于在攻击中添加新模块。该工具使研究...
星海随笔】MesonBuildAnd
weixin_41997073的博客
05-29 477
【代码】【星海随笔】MesonBuild。
星海随笔】shell
weixin_41997073的博客
03-15 157
shell实现加法运算。
星海随笔】OSPF协议
weixin_41997073的博客
08-05 506
点到点网络(如E1线路、DDN专线)是连接单独的一对路由器的网络,有效邻居总是可以形成邻接关系。可适应大规模的网,路由变化收敛速度块,无路由自环,支持变长子网掩码(VLSM), 支持等值路由,支持区域划分,提供路由分级管理,支持验证,支持以多播地址发送协议报文。DR、BDR有它们自己的多播地址224.0.0.6,DR、BDR 的选举是以路由接口为基础的。广播多路访问型(BMA)、非主播多路访问型(NBMA)、点到点型(Point to Point)和点到多点型(Point to Mutil Point)。
星海随笔】网络运维
weixin_41997073的博客
12-26 1112
在OpenStack底层,路由的创建是通过Linux的路由功能实现的。在OpenStack中,Neutron通过与Linux内核交互,使用ip命令来创建额外的命名空间(namespace),并在其中配置路由表。指出只有实例的所有者才能启动它. 冒号之前的project_id字符串是API属性,即API用户的项目ID. 它将与对象的项目ID(在这种情况下为实例)进行比较. 更准确地说,将其与数据库中该对象的project_id字段进行比较. 如果两个值相等,则授予权限.使用虚拟网卡工具创建一个虚拟网卡。
星海随笔】C++指针
weixin_41997073的博客
10-08 326
C++ 指针合集
星海随笔】PgSQL安装篇
weixin_41997073的博客
11-04 173
PostgreSQL安装PostgreSQL。
星海随笔】依赖问题纪录
weixin_41997073的博客
07-09 261
总是遇到很多奇怪的依赖问题。回头就忘了。所以单独开一个依赖问题纪录文档,持续更新。如果有人遇到什么依赖问题,也可以私信我,我纪录一下。
javaWeb SSH框架简易登录
08-25
JavaWeb SSH框架简易登录是一个适合初学者学习的项目,它主要涵盖了Struts2、Spring和Hibernate这三大流行JavaWeb开发框架的集成应用。这个项目旨在帮助开发者理如何将这三个框架协同工作,实现一个简单的用户登录...
SSH框架传数据给移动端
03-05
在IT行业中,SSH框架通常指的是Struts2、Spring和Hibernate这三个开源框架的组合,它们是Java Web开发中的常用工具,用于构建高效、可扩展的Web应用程序。本文将深入探讨如何在SSH框架下传递数据给移动端,特别是...
【系统配置】信创终端操作系统如何彻底禁用ssh _ 统信 _ 麒麟 _ 方德
鹏大圣运维
11-06 751
Hello,大家好啊!今天带来一篇关于如何在信创终端操作系统中彻底禁用SSH的文章。在某些安全性要求较高的环境中,禁用SSH服务可以防止未经授权的远程访问,避免潜在的入侵风险。SSH虽然便捷,但在不需要远程管理或只有本地操作的场景中,禁用SSH服务是提高系统安全性的有效手段。
智能运维新时代:机器学习模型的部署与管理
Echo_Wish的博客
11-06 515
通过合理的部署方案、版本管理、监控与自动化部署,可以确保模型在生产环境中的稳定运行和持续优化。Flask是一个轻量级的Web框架,适用于小型和中型模型的部署。通过Docker,可以将模型和其依赖打包成一个容器镜像,方便部署和管理。监控与告警:使用监控工具(如Prometheus和Grafana)实时监控模型的运行状态和性能指标,及时发现并处理异常情况。版本管理:通过版本控制系统(如Git)管理模型的版本,确保能够追踪和回滚模型更新。模型部署的方式多种多样,下面介绍几种常用的部署方法。
软设师知识点-计算机网络
loop_nervous的博客
11-04 994
在一台安装好TCP/IP协议的计算机上,当网络连接不可用时,为了测试编写好的网络程序,通常使用的目的主机IP地址127.0.0.1(本地回送地址)
http 从请求到响应的过程中发生了什么
m0_63542260的博客
10-30 451
‌:客户端向服务器发送一个HTTP请求,请求包含请求行、请求头部和请求体。‌:服务器接收到请求后,析请求,查找所需资源,并进行处理。状态行包含HTTP版本、状态码和状态消息,如200 OK表示请求成功,404 Not Found表示资源未找到‌2。服务器监听端口,客户端发送SYN包请求连接,服务器响应SYN+ACK包,客户端再次发送ACK包确认连接建立,完成三次握手后,客户端和服务器进入数据传输状态‌1。HTTP/1.1引入了持久连接,允许一个连接处理多个请求和响应,提高了性能。
Linux磁盘存储
m0_73940847的博客
11-06 897
设备文件是类Unix操作系统(包括Linux)中一种特殊的文件类型,它代表了设备接口,使得用户空间的程序可以通过标准的文件操作来访问和控制硬件设备。设备文件为周边设备提供了简单的接口,如打印机、硬盘等,也可以访问没有连接到任何真实设备的系统资源,如随机数生成器等。
docker-compose命令介绍
最新发布
李习的博客
11-07 431
这个时候使用docker一个个部署好麻烦,使用k8s当然也没有那个环境,此时docker-compose似乎是个好的选择。日常工作也便没有了接触,但是容器化还是开发默认的设定,很多时候还是需要快速部署个测试环境。用于创建服务容器,但不启动它们。主要用于在已经运行的服务中启动一个新的容器来执行一次性任务或命令。用于停止服务并彻底清理所有相关的资源,包括容器、网络和可选的卷。用于启动已经存在的服务容器,但不会创建新的容器。用于暂停运行中的容器,冻结容器内的所有进程。用于除暂停状态,恢复被暂停的容器的执行。
MySQL日志——针对实习面试
清酒伴风的博客
11-03 874
本文针对即将面试的同学,总结了MySQL日志的相关面试题及其知识点,希望对你有所帮助
星海算力so-vits-svc
08-13
星海算力SO-VITS-SVC似乎是一种特定的服务标识符,但它并没有直接关联到常见的技术术语或公开的产品。"星海算力"可能是某家公司或组织提供的云计算或分布式计算服务的名称,而"SOC-VITS-SVC"可能是服务的命名规范,其中"SO"可能是服务运营(Service Operation)、"VITS"可能代表某个版本或者虚拟化基础设施服务(Virtual Infrastructure Technology Service),"Svc"则通常表示服务(service)。 然而,由于缺乏详细的上下文信息,确切含义可能会有所不同,比如这可能是一个内部项目代号或者是定制化的服务名。如果需要了星海算力的具体服务内容,建议查看官方文档或联系相关提供商以获取准确的信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值