关于远程连接的使用
openssh
常用的远程登陆工具
- ssh 22/tcp 通信和认证过程都是加密的
- telnet 23/tcp 明文认证
- dropbear 嵌入式系统专用的
ssh版本
v1:无法防范中间人攻击
v2:双方主机协议选择安全的MAC方式,比较安全
openssh认证方式
基于口令的认证
基于密钥的认证
openssh工作模式
openssh是基于c/s架构工作的:
服务器端 sshd,配置文件在 /etc/ssh/sshd_config
客户端 ssh,配置文件在 /etc/ssh/ssh_config
ssh-keygen 密钥生成器
ssh-copy-id 将公钥传至远程服务器
scp 跨主机安全复制工具
Secure Shell的运用实例
- 当前用户创建交互式shell,结束时用exit返回到原来的shell
[root@zlb9 ~]# ssh 192.168.26.10
root@192.168.26.10's password:
Last login: Mon Jan 7 15:20:33 2019 from 192.168.26.9
[root@zlb10 ~]#
[root@zlb10 ~]# exit
logout
Connection to 192.168.26.10 closed.
[root@zlb9 ~]#
- 以远程用户(remoteuser)身份在远程主机(remotehost)上将输出返回到本地显示器的方式执行单一进程(用于相同的用户之间)
这里的用法主要是使用另一个用户执行某一个操作
[root@zlb9 ~]# ssh tom@192.168.26.10 '/bin/echo "23456"'
tom@192.168.26.10's password:
23456
[root@zlb9 ~]#
[root@zlb9 ~]# ssh 192.168.26.10 '/usr/bin/echo "qwe"'
root@192.168.26.10's password:
qwe
- w命令可以查看当前登录到计算机的用户列表,这个命令对于哪个用户在什么位置登陆,以及做了什么操作比较重要
[root@zlb10 ~]# w
16:01:24 up 1:15, 2 users, load average: 0.00, 0.01, 0.05
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root tty1 14:46 39:40 0.38s 0.38s -bash
root pts/0 192.168.26.1 15:55 4.00s 0.06s 0.03s w
[root@zlb10 ~]#
ssh主机密钥
当用户第一次使用ssh连接到特定服务器时,ssh命令可在用户的/.ssh/known_hosts文件中存储该服务器的公钥。在此之后每当用户进行连接时,客户端都会通过对比/.ssh/known_hosts文件中的服务器条目和服务器发送的公钥,确保从服务器获得相同的公钥。如果公钥不匹配,客户端会假定网络通信已遭劫持或服务器已被入侵,并且中断连接。
这意味着,如果服务器的公钥发生更改(由于硬盘出现故障导致公钥丢失,或者出于某些正当理由替换公钥),用户则需要更新其~/.ssh/known_hosts文件并删除旧的条目才能够进行登录
- 主机的ID存储在本地客户端的.ssh/known_hosts 上
[root@zlb10 ~]# cat .ssh/known_hosts
192.168.26.9 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBCk9jy+VSD0NoDU140d9QWCmTkEsjHFaLrZz/4DyIk3TaGICYTPfP2sv/dL9NeMVFCdOTgqVu0O+JYnbXuDHX6E=
[root@zlb10 ~]#
- 主机密钥存放在ssh服务器上的/etc/ssh/ssh_host_key上
[root@zlb10 ~]# ls /etc/ssh/*key*
/etc/ssh/ssh_host_ecdsa_key /etc/ssh/ssh_host_ed25519_key.pub
/etc/ssh/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_ed25519_key /etc/ssh/ssh_host_rsa_key.pub
[root@zlb10 ~]#
基于ssh的密钥身份验证
使用ssh-keygen生成密码就将会生成私钥id_rsa和公钥id_rsa.pub
生成ssh密钥后,密钥将默认存储在家目录下的.ssh/目录中。私钥和公钥的权限就分别为600和644。.ssh目录权限必须是700。
在可以使用基于密钥的身份验证前,需要将公钥复制到目标系统上。可以使用ssh-copy-id完成这一操作
密钥演示操作:
//创建公钥-私钥对
[root@zlb10 ~]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
/root/.ssh/id_rsa already exists.
Overwrite (y/n)? y
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:R4USyRXNZvsPoaaz8dbHtPSk7iErBZxRBdodLe/u9Qg root@zlb10
The key's randomart image is:
+---[RSA 2048]----+
| ..+o*+oo. |
| + o+=....|
| oo=...o |
| .+ . . .|
| S .. o o |
| . + o.+|
| .+E.oO+|
| +o.+o+O|
| .=oo+oo|
+----[SHA256]-----+
[root@zlb10 ~]#
[root@zlb10 ~]# ls .ssh/
id_rsa id_rsa.pub known_hosts
[root@zlb10 ~]#
//使用ssh-copy-id将公钥复制到远程系统的正确位置
[root@zlb10 ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.26.11
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
The authenticity of host '192.168.26.11 (192.168.26.11)' can't be established.
ECDSA key fingerprint is SHA256:vahEal/LMAHupWicwXPlRyV5g+bBiVmETmHulR5Pfuk.
ECDSA key fingerprint is MD5:95:b9:f3:58:77:44:04:1a:01:76:fa:7e:05:c9:33:bd.
Are you sure you want to continue connecting (yes/no)? yes
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.26.11's password:
Number of key(s) added: 1
Now try logging into the machine, with: "ssh 'root@192.168.26.11'"
and check to make sure that only the key(s) you wanted were added.
[root@zlb10 ~]#
//可以直接ssh登陆到远程主机
[root@zlb10 ~]# ssh root@192.168.26.11
Last login: Mon Jan 7 23:19:05 2019
[root@zlb11 ~]#
//使用scp命令把文件传送到远程主机
[root@zlb10 ~]# touch qwe
[root@zlb10 ~]# scp qwe root@192.168.26.11:/tmp/
qwe 100% 0 0.0KB/s 00:00
[root@zlb10 ~]#
[root@zlb11 ~]# ls /tmp/
ks-script-aO0P6y
qwe
systemd-private-ffd10501f683413f848ad0567f8a4bd3-vgauthd.service-PTNf6A
systemd-private-ffd10501f683413f848ad0567f8a4bd3-vmtoolsd.service-riMPbi
yum.log
[root@zlb11 ~]#
//使用scp从远程主=主机上下载文件到本地
[root@zlb11 ~]# ls /tmp/
asd
ks-script-aO0P6y
qwe
systemd-private-ffd10501f683413f848ad0567f8a4bd3-vgauthd.service-PTNf6A
systemd-private-ffd10501f683413f848ad0567f8a4bd3-vmtoolsd.service-riMPbi
yum.log
zxc
[root@zlb11 ~]#
[root@zlb10 ~]# ls
anaconda-ks.cfg qwe
[root@zlb10 ~]#
[root@zlb10 ~]# scp root@192.168.26.11:/tmp/asd . //注意这里最后有一个点,代表的是本地
asd 100% 0 0.0KB/s 00:00
[root@zlb10 ~]# ls
anaconda-ks.cfg asd qwe
在使用scp的时候有一些参数可以使用
- -r 递归复制
- -p 保持权限
- -P 端口
- -q 静默模式
- -a 全部复制
ssh安全注意事项
密码应该比较复杂并且经常换
[root@zlb10 ~]# openssl rand 100 -base64
+gjvFIB5LzCHFLmZei1VievuCDwEpebSqxvg7d6W6r4GbJAGZb7Ad1a4pcialkzo
y61p3kPi8fsCGy8QN9kAbLB59Mgkk6hLr+UYQKq5AR+QEeRlnt40c+KpQl2jPYTH
lKnOjA==
[root@zlb10 ~]#
使用非默认端口
限制登录客户端地址
仅监听特定的IP地址
禁止管理员直接登录
使用基于密钥的认证
禁止使用空密码
关于防火墙的使用
关闭iptables和ebtables
[root@zlb11 ~]# systemctl stop iptables ebtables
Failed to stop iptables.service: Unit iptables.service not loaded.
[root@zlb11 ~]# systemctl disable iptables ebtables
Failed to execute operation: No such file or directory
[root@zlb11 ~]# systemctl mask ebtables
Created symlink from /etc/systemd/system/ebtables.service to /dev/null.
[root@zlb11 ~]#
查看防火墙规则
[root@zlb11 ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens32
sources:
services: ssh dhcpv6-client
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
[root@zlb11 ~]#
//删除原有的规则
[root@zlb11 ~]# firewall-cmd --remove-service=ssh --permanent
success
//添加新的规则
[root@zlb11 ~]# firewall-cmd --add-rich-rule 'rule family=ipv4 source address=192.168.26.9/32 service name=ssh accept' --permanent
success
//必须重新加载,不然新的规则不会生效
[root@zlb11 ~]# firewall-cmd --reload
success
//重新查看一下规则
[root@zlb11 ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens32
sources:
services: dhcpv6-client
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule family="ipv4" source address="192.168.26.9/32" service name="ssh" accept
[root@zlb11 ~]#
//没有加入的不能登录上去
[root@zlb10 ~]# ssh root@192.168.26.11
ssh: connect to host 192.168.26.11 port 22: No route to host
[root@zlb10 ~]#
//添加了的可以登录上去
[root@zlb9 ~]# ssh root@192.168.26.11
The authenticity of host '192.168.26.11 (192.168.26.11)' can't be established.
ECDSA key fingerprint is SHA256:vahEal/LMAHupWicwXPlRyV5g+bBiVmETmHulR5Pfuk.
ECDSA key fingerprint is MD5:95:b9:f3:58:77:44:04:1a:01:76:fa:7e:05:c9:33:bd.
Are you sure you want to continue connecting (yes/no)? es^H^H
Please type 'yes' or 'no': yes
Warning: Permanently added '192.168.26.11' (ECDSA) to the list of known hosts.
root@192.168.26.11's password:
Last login: Tue Jan 8 03:08:07 2019 from 192.168.26.1
[root@zlb11 ~]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens32: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:0c:29:95:df:84 brd ff:ff:ff:ff:ff:ff
inet 192.168.26.11/24 brd 192.168.26.255 scope global ens32
valid_lft forever preferred_lft forever
inet6 fe80::9025:67ac:9c8a:9b6f/64 scope link
valid_lft forever preferred_lft forever
[root@zlb11 ~]#
第一次博客书写完成
有问题可以向作者反馈:QQ 1397255792
欢迎使用Markdown编辑器
你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。
新的改变
我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客:
- 全新的界面设计 ,将会带来全新的写作体验;
- 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式 进行展示;
- 增加了 图片拖拽 功能,你可以将本地的图片直接拖拽到编辑区域直接展示;
- 全新的 KaTeX数学公式 语法;
- 增加了支持甘特图的mermaid语法1 功能;
- 增加了 多屏幕编辑 Markdown文章功能;
- 增加了 焦点写作模式、预览模式、简洁写作模式、左右区域同步滚轮设置 等功能,功能按钮位于编辑区域与预览区域中间;
- 增加了 检查列表 功能。
功能快捷键
撤销:Ctrl/Command + Z
重做:Ctrl/Command + Y
加粗:Ctrl/Command + B
斜体:Ctrl/Command + I
标题:Ctrl/Command + Shift + H
无序列表:Ctrl/Command + Shift + U
有序列表:Ctrl/Command + Shift + O
检查列表:Ctrl/Command + Shift + C
插入代码:Ctrl/Command + Shift + K
插入链接:Ctrl/Command + Shift + L
插入图片:Ctrl/Command + Shift + G
合理的创建标题,有助于目录的生成
直接输入1次#,并按下space后,将生成1级标题。
输入2次#,并按下space后,将生成2级标题。
以此类推,我们支持6级标题。有助于使用TOC语法后生成一个完美的目录。
如何改变文本的样式
强调文本 强调文本
加粗文本 加粗文本
标记文本
删除文本
引用文本
H2O is是液体。
210 运算结果是 1024.
插入链接与图片
链接: link.
图片: 
带尺寸的图片:
居中的图片: 
居中并且带尺寸的图片:
当然,我们为了让用户更加便捷,我们增加了图片拖拽功能。
如何插入一段漂亮的代码片
去博客设置页面,选择一款你喜欢的代码片高亮样式,下面展示同样高亮的 代码片.
// An highlighted block
var foo = 'bar';
生成一个适合你的列表
- 项目
- 项目
- 项目
- 项目
- 项目1
- 项目2
- 项目3
- 计划任务
- 完成任务
创建一个表格
一个简单的表格是这么创建的:
| 项目 | Value |
|---|---|
| 电脑 | $1600 |
| 手机 | $12 |
| 导管 | $1 |
设定内容居中、居左、居右
使用:---------:居中
使用:----------居左
使用----------:居右
| 第一列 | 第二列 | 第三列 |
|---|---|---|
| 第一列文本居中 | 第二列文本居右 | 第三列文本居左 |
SmartyPants
SmartyPants将ASCII标点字符转换为“智能”印刷标点HTML实体。例如:
| TYPE | ASCII | HTML |
|---|---|---|
| Single backticks | 'Isn't this fun?' | ‘Isn’t this fun?’ |
| Quotes | "Isn't this fun?" | “Isn’t this fun?” |
| Dashes | -- is en-dash, --- is em-dash | – is en-dash, — is em-dash |
创建一个自定义列表
-
Markdown
- Text-to- HTML conversion tool Authors
- John
- Luke
如何创建一个注脚
一个具有注脚的文本。2
注释也是必不可少的
Markdown将文本转换为 HTML。
KaTeX数学公式
您可以使用渲染LaTeX数学表达式 KaTeX:
Gamma公式展示 Γ ( n ) = ( n − 1 ) ! ∀ n ∈ N \Gamma(n) = (n-1)!\quad\forall n\in\mathbb N Γ(n)=(n−1)!∀n∈N 是通过欧拉积分
Γ ( z ) = ∫ 0 ∞ t z − 1 e − t d t   . \Gamma(z) = \int_0^\infty t^{z-1}e^{-t}dt\,. Γ(z)=∫0∞tz−1e−tdt.
你可以找到更多关于的信息 LaTeX 数学表达式here.
新的甘特图功能,丰富你的文章
- 关于 甘特图 语法,参考 这儿,
UML 图表
可以使用UML图表进行渲染。 Mermaid. 例如下面产生的一个序列图::
这将产生一个流程图。:
- 关于 Mermaid 语法,参考 这儿,
FLowchart流程图
我们依旧会支持flowchart的流程图:
- 关于 Flowchart流程图 语法,参考 这儿.
导出与导入
导出
如果你想尝试使用此编辑器, 你可以在此篇文章任意编辑。当你完成了一篇文章的写作, 在上方工具栏找到 文章导出 ,生成一个.md文件或者.html文件进行本地保存。
导入
如果你想加载一篇你写过的.md文件或者.html文件,在上方工具栏可以选择导入功能进行对应扩展名的文件导入,
继续你的创作。
注脚的解释 ↩︎
扫一扫
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
