Linux中远程登陆与控制（ssh）

最新推荐文章于 2025-08-02 23:21:34 发布

原创最新推荐文章于 2025-08-02 23:21:34 发布 · 3.2k 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#linux #ssh #tcp/ip

Linux 专栏收录该内容

25 篇文章

订阅专栏

本文详细介绍了SSH的配置与管理，包括OpenSSH服务器的设置，多种远程登录方法，以及如何修改监听端口和进行安全调优。此外，还探讨了密钥对验证的SSH体系，讲解了公钥和私钥的关系、创建与配置过程，以及如何通过SSH客户端进行安全的文件传输。最后，文章提到了TCPWrappers访问控制，阐述了其作用、保护机制和访问控制的基本原则，帮助提升远程管理的安全性。

前言

生产环境中，都是通过远程方式管理，比如ssh，既能将在传输的时候进行加密，防止信息泄漏，也能够将数据压缩传输，提高传输速度，使远程维护的方式更加便捷高效

一、SSH远程管理

配置OpenSSH服务端
使用SSH客户端程序
密钥对验证的SSH体系

1.OPenSSH服务器

openSSH是实现ssh协议的开源软件项目，适用于各种UNIX、 Linux操作系统。
Centos 7系统默认已安装openssh相关软件包，并将sshd 服务添加为开机自启动。

1.1 SSH（Secure Shell）协议

是一种安全通道协议
对通信数据进行了加密处理，用于远程控制

SSH (Secure Shell)是一种安全通道协议，主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的用户口令，SSH为建立在应用层和传输层基础上的安全协议。

[root@c7-3 ~]# systemctl start sshd
# 执行"systemctl start sshd"命令即可启动sshd 服务

sshd 服务默认使用的是TCP的22端口，安全协议版本sshv2，除了2之外还有1(有漏洞)

[root@c7-3 ~]# ls /etc/ssh/
ssh_config   
sshd_config  

# sshd服务的默认配置文件是/etc/ssh/sshd_config
# ssh_config和sshd_config都是ssh服务器的配置文件，二者区别在于前者是针对客户端的配置文件，后者则是针对服务端的配置文件。

1.2 OpenSSH

服务名称：sshd
服务端主程序： /usr/sbin/sshd
服务端配置文件：/etc/ssh/sshd_config

ssh服务端主要包括两个服务功能ssh远程链接和sftp服务
作用：SSHD服务使用SSH协议可以用来进行远程控制，或在计算机之间传送文件。
相比较之前用relnet方式来传输文件要安全很多，因为Telnet使用明文传输，sSH是加密传输。

在这里插入图片描述

2.ssh远程登陆方式

2.1 登陆方法一

ssh [远程主机用户名] @[远程服务器主机名或IP地址] -p port

用户登录时，可以直接使用ssh IP，端口默认即可，如果端口不是默认的情况下，需要使用-p 指定端口。

[root@c7-3 ~]# ssh root@192.168.3.3

The authenticity of host '192.168.3.3 (192.168.3.3)' can't be established.
ECDSA key fingerprint is SHA256:iuZzGoeW4HqcBSFSqfwypUbvilxbvDX9iHIBKzqQK6c.
ECDSA key fingerprint is MD5:16:89:bf:f8:09:0d:2b:8a:81:2f:98:51:7f:20:fb:cc.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.3.3' (ECDSA) to the list of known hosts.
root@192.168.3.3's password: 
Last login: Tue Aug 31 11:02:39 2021 from 192.168.3.1


#第一次登录服务器时系统没有保存远程主机的信息，
#为了确认该主机身份会提示用户是否继续连接，输入yes后登录，
#这时系统会将远程服务器信息写入用户主目录下的$HOME/.ssh/known_hosts文件中，
#下次再进行登录时因为保存有该主机信息就不会再提示了

[root@c7-3 ~]# cat /root/.ssh/known_hosts 
192.168.3.3 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAA
ABBBD/Qh1FhQERSlVtxsis9PFm3noXHBi+yJK2k+ADh9t4IgL4eMsn9Lot/+hI2D2XvldtoXObe5bQJjYzJ0q37KnM=

2.2 登陆方法二

ssh -l [远程主机用户名][远程服务器主机名或IP地址] -p port
-l : -l 选项，指定登录名称。
-p: -p 选项，指定登录端口（当服务端的端口非默认时，需要使用-p 指定端口进行登录

[root@c7-3 ~]# ssh -l root 192.168.3.3
root@192.168.3.3's password: 
Last login: Tue Aug 31 14:13:39 2021 from 192.168.3.101

3.服务配置与管理

关闭防火墙和增强型安全功能
[root@c7-1 ~]# systemctl stop firewalld
[root@c7-1 ~]# setenforce 0

3.1 修改监听端口为2566

[root@c7-1 ~]# vim /etc/ssh/sshd_config 

#       $OpenBSD: sshd_config,v 1.100 2016/08/15 12:32:04 naddy Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/bin:/usr/bin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options override the
# default value.

# If you want to change the port on a SELinux system, you have to tell
# SELinux about this change.
# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER
#
#Port 22						//预设使用22这个port，也可以使用多个port，即重复使用port这个设定项
Port 2566                       //例如想要开放sshd端口为22和2566，则多加一行内容为: Port 22566即可
#AddressFamily any				
#ListenAddress 0.0.0.0			//设置SSHD服务器绑定的IP地址，0.0.0.0表示侦听所有地址
#ListenAddress ::

#Protocol 2						//设置协议版本为SSH1或SSH2，SSH1存在漏洞与缺陷，选择SSH2

#UseDNS yes						//一般来说，为了要判断客户端来源是正常合法的，因此会使用DNS去反查客户端的主机名，但通常在内网互连时，设置为no，因此使联机速度会快些

#注:禁用DNS反向解析，以提高服务器的响应速度

#syslogFacility AUTHPRIV
当有人使用SSH登入系统的时候，SSH会记录信息，这个信息要记录的类型为AUTHPRIV,
sshd服务日志存放在:/var/log/secure。

然后重新启动sshd这样就好了。建议大家修改port number为其它端口，防止别人暴力破解。

3.1.1 测试能否以22端口登陆

[root@c7-3 ~]# ssh root@192.168.3.3
ssh: connect to host 192.168.3.3 port 22: Connection refused
#以22端口登录失败

[root@c7-3 ~]# ssh root@192.168.3.3 -p 2566   
The authenticity of host '[192.168.3.3]:2566 ([192.168.3.3]:2566)' can't be established.
ECDSA key fingerprint is SHA256:iuZzGoeW4HqcBSFSqfwypUbvilxbvDX9iHIBKzqQK6c.
ECDSA key fingerprint is MD5:16:89:bf:f8:09:0d:2b:8a:81:2f:98:51:7f:20:fb:cc.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[192.168.3.3]:2566' (ECDSA) to the list of known hosts.
root@192.168.3.3's password: 
Last login: Tue Aug 31 15:25:58 2021 from 192.168.3.1
[root@c7-1 ~]# 
#以2566端口登陆成功

3.2 安全调优

[root@c7-1 ~]# vim /etc/ssh/sshd_config 

#LoginGraceTime 2m				
#grace意思是系统给与多少秒来进行登录。（默认2分钟，0表示无限制)
当使用者连上 SSH server之后，会出现输入密码的画面，在该画面中。
在多久时间内没有成功连上ssHserver就强迫断线!若无单位则默认时间为秒。可以根据实际情况来修改实际

#PermitRootLogin no			
#是否允许root登入，默认是允许的，但是建议设定成no，真实的生产环境服务器，是不允许root账号直接登陆的，仅允许普通用户登录，需要用到root 用户再切换到root用户。

测试：
[root@c7-1 ~]# systemctl restart sshd  //重启服务
[root@c7-3 ~]# ssh root@192.168.3.3   //登陆root用户
root@192.168.3.3's password: 
Permission denied, please try again.  //登陆失败

[root@c7-3 ~]# ssh zhangsan@192.168.3.3  //登陆zhangsan用户
zhangsan@192.168.3.3's password: 
[zhangsan@c7-1 ~]$                       //登陆成功

#PasswordAuthentication yes
密码验证当然是需要的!所以这里写yes，也可以设置为no，
在真实的生产服务器上，根据不同安全级别要求，有的是设置不需要密码登陆的，通过认证的秘钥来登陆。

#PermitEmptyPasswords no
是否允许空密码的用户登录，默认为no，不允许空密码登录

#PrintLastLog yes
显示上次登入的信息!默认为yes

#MaxAuthTries 6
指定每个连接最大允许的认证次数。默认值是6 。
如果失败认证的次数超过这个数值的一半，连接将被强制断开，且会生成额外的失败日志消息

#AllowUsers
当希望只允许或禁止某些用户登录时，可以使用AllowUsers或DenyUsers 配置，两者用法类似（注意不要同时使用)。配置AllowUsers
例如，若只允许zhangsan、wangwu用户登录,其他（lisi）用户
AllowUsers ahangsan@192.168.10.10 wangwu

4.构建密钥对验证的SSH

4.1 公钥和私钥的关系：

在非对称加密技术中，有两种密钥，分为私钥和公钥；私钥是密钥对所有者持有，不可公布，公钥是密钥对持有者公布给他人的。
公钥用来给数据加密，用公钥加密的数据只能使用私钥解

4.2 构建密钥对验证的SSH原理

首先ssh通过加密算法在客户端产生密钥对(公钥和私钥)，公钥发送给服务器端，自己保留私钥，如果要想连接到带有公钥的ssh服务器，客户端ssh软件就会向ssh服务器发出请求，请求用联机的用户密钥进行安全验证。sse服务器收到请求之后，会先在该ssE服务器上连接的用户的家目录下寻找事先放上去的对应用户的公用密钥，然后把它和连接的ssu客户端发送过来的公用密钥进行比较。如果两个密钥一致，ssh服务器就用公钥加密"质询"( challenge)并把它发送给ssh客户端。

4.3 验证方式

当密码验证、密钥对验证都启用时，服务器将优先使用密钥对验证。可根据实际情况设置验证方式

[root@c7-1 ~]# vim /etc/ssh/sshd_config 

PasswordAuthentication yes   #启用密码验证

PubkeyAuthentication yes    #启用密钥对验证

AuthorizedKeysFile .ssh/ authorized_keys    #指定公钥库文件

4.4 配置密钥对验证

4.4.1 在客户端创建秘钥对

[root@localhost ~]#useradd admin                     //创建用户admin
[root@localhost ~]#passwd admin
[root@localhost ~]#su - admin       
               
[admin@localhost ~]$ssh-keygen -t ecdsa              //生成基于ecdsa算法的密钥对
Generating public/private ecdsa key pair.
Enter file in which to save the key (/home/admin/.ssh/id_ecdsa): //指定私钥位置，直接回车
Created directory '/home/admin/.ssh'.               //生成的私钥、公钥文件默认存放在宿主目录中的隐藏目录.ssh/下
Enter passphrase (empty for no passphrase):        //设置私钥密码
Enter same passphrase again:                       //确认所设置的密码
Your identification has been saved in /home/admin/.ssh/id_ecdsa.
Your public key has been saved in /home/admin/.ssh/id_ecdsa.pub.
The key fingerprint is:
SHA256:64rqsm3zUpsrVAbGWUVsymIJRTA4mGZfYhPY8H9j4K4 admin@localhost.localdomain
The key's randomart image is:
+---[ECDSA 256]---+
|=B*+o+o          |
|*=*= .o          |
|o+o=++           |
|  +.B .          |
| . + o +S        |
|  . o o ..       |
| . . +  .        |
|..= +. .         |
|.=+E+....        |
+----[SHA256]-----+

[admin@localhost ~]$cd .ssh/                
[admin@localhost ~/.ssh]$ls -a                     #查看生成的密钥对
.  ..  id_ecdsa  id_ecdsa.pub
#id_ecdsa是私钥文件，权限默认为600; id_ecdsa.pub是公钥文件，用来提供给ssh服务器将公钥文件上传至服务器

4.4.2 将公钥上传至服务器

[admin@localhost ~/.ssh]$ssh-copy-id -i id_ecdsa.pub zhangsan@192.168.3.101   //导入公钥文本到张三用户中
/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "id_ecdsa.pub"
The authenticity of host '192.168.3.101 (192.168.3.1101)' can't be established.
ECDSA key fingerprint is SHA256:z7ldhBdpDDw5ui84Yp2MVyk7GfDzPzmluoeMma5x9RE.
ECDSA key fingerprint is MD5:50:23:f8:ba:23:a1:ba:58:24:12:63:72:7d:dd:e7:7b.
Are you sure you want to continue connecting (yes/no)? yes              //yes确认
/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.3.101's password:                                         //输入张三用户的密码

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'root@192.168.3.101'"
and check to make sure that only the key(s) you wanted were added.

4.4.3 查看导入的公钥

[root@localhost ~/.ssh]#su - zhangsan
上一次登录：二 8月 31 21:39:21 CST 2021pts/0 上
[zhangsan@localhost ~]$ls -a
 .ssh
[zhangsan@localhost ~]$cd .ssh
[zhangsan@localhost ~/.ssh]$ll
total 4
-rw------- 1 root root 171 Aug 31 40:14 authorized_keys
[zhangsan@localhost ~/.ssh]$cat authorized_keys           //查看公钥文件
ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBLQEiM/EQb/j/FtFtWmRxA/AmYIbWpE+CDMYjvb0QMASUXsyoiwmG45M1C4Wbaov9bF/HeexvEZQqV/PMidXpIs= admin@localhost.localdomain

4.4.4 在客户端使用密钥对验证

[admin@localhost ~/.ssh]$ssh zhangsan@192.168.8.128
Enter passphrase for key '/home/admin/.ssh/id_ecdsa':    //输入密码
Last login: Tue Aug 31 :39:21 2021                    //成功登入

4.4.5 客户机配置，实现免交互

[admin@localhost ~]$ssh-agent bash                      //开启代理
[admin@localhost ~]$ssh-add                             //添加密钥信息到agent缓存中
Enter passphrase for /home/admin/.ssh/id_ecdsa:         //输入密码
Identity added: /home/admin/.ssh/id_ecdsa (/home/admin/.ssh/id_ecdsa)
[admin@localhost ~]$ssh zhangsan@192.168.8.128          //无需密码
Last login: Tue Aug 31 23:55:21 2021 from 192.168.3.101

4.5 scp复制（安全性复制）

scp: scp是secure copy的简写，用于在Linux下进行远程拷贝文件的命令，而且scp传输是加密的。

本地文件复制到服务器

scp /home/a.txt root@192.168.3.101:/opt/

复制服务器的文件到本地

scp root@192.168.3.3:/home/a.txt/ ./

scp -r /var/log/ root@192.168.:/home/

5.安全性传输sftp

sftp是Secure File Transfer Protocol的缩写，安全文件传送协议。可以为传输文件提供一种安全的网络的加密方法。

sftp与ftp有着几乎一样的语法和功能。SFTP为SSH的其中一部分，其实在SSH软件包中，已经包含了一个叫作SFTP(Secure FileTransfer Protocol)的安全文件信息传输子系统，SFTP本身没有单独的守护进程，它必须使用sshd守护进程(端口号默认是22）来完成相应的连接和笞复操作，所以使用SFTP是非常安全的。但是由于这种传输方式使用了加密/解密技术，所以传输效率比普通的FTP要低得多，如果您对网络安全性要求更高时，可以使用SFTP代替FTP。

sftp root@192.168.3.3 //登陆到服务器
sftp> put a.txt /home   //上传文件
sftp> put -r /home/log /opt/    //上传目录
sftp> get /home/b.txt /opt/   //下载文件
sftp> get -r /home/log /opt/   //下载目录

二、TCP Wrappers 访问控制

1. TCP Wrappers 的作用

TCP Wrappers 将 TCP 服务程序 “包裹” 起来，代为监听 TCP 服务程序的端口，增加了一个安全监测过程，外来的连接请求必须先通过这层安全监测，获得许可后才能访问真正的服务程序。TCP Wrappers 作为应用服务与网络之间的一道特殊防线，提供了额外的安全保障。

[root@localhost ~]# rpm -q tcp_wrappers    //一般系统会默认安装
tcp_wrappers-7.6-77.el7.x86_64   #该软件包提供了执行程序tcpd 和共享链接库文件libwrap.so.*

2. TCP Wrapper保护机制及两种实现方法

通常由其他网络服务程序调用libwrap.so.*链接库比如sshd

[root@localhost ~]#ldd /usr/sbin/sshd | grep "libwrap”#使用ldd 命令可以查看程序的共享库
 
ldd $(which ssh)
 
libwrap.so.0 => /lib64/libwrap.so.0 (0x00007fc35d8f8000)

2.1 方法一

直接使用tcpd程序对其他服务程序进行保护，需要运行tcpd程序。

2.2 方法二

由其他网络服务程序调用libwrap.so.*链接库，不需要运行tcpd程序。此方式的应用更加广泛，也更有效率。

3.语法格式

3.1 服务程序列表

可以分为以下几类

ALL：代表所有的服务
单个服务程序：如"vsftpd"
多个服务程序组成的列表：如"vsftpd，sshd"

3.2 客户端地址列表

ALL：代表任何客户端地址。
LOCAL：代表本机地址。
多个地址以逗号分隔
允许使用通配符"*“和”?"，前者代表任意长度字符，后者仅代表一个字符
网段地址，如"192.168.80.”或者
192.168.30.0/255.255.255.0

区域地址，如". dashiji. com"匹配dashiji. com域中的所有主机。

4.访问控制的基本原则

首先检查/etc/hosts.allow文件，如果找到相匹配的策略，则允许访问：否则继续检查/etc/hosts.deny文件，如果找到相匹配的策略，则拒绝访问；如果检查上述两个文件都找不到相匹配的策略，则允许访问。

允许所有，拒绝个别
只需在/etc/hosts.deny 文件中添加相应的拒绝策略

允许个别，拒绝所有
除了在/etc/hosts.allow中添加允许策略之外，还需要在/etc/hosts.deny文件中设置"ALL:ALL"的拒绝策略。

4.1 例

若只希望从IP地址为12.0.0.1的主机或者位于192.168.80.0/24网段的主机访问ssthd服务，其他地址被拒绝。

vi /etc/hosts.allow
sshd:12.0.0.1,192.168.80.*
vi /etc/hosts.deny
sshd:ALL

sshd,httpd:ALL

总结

配置OpenSSH服务端
-监听选项、用户登陆控制、登录验证方式
使用SSH客户端程序
-ssh、scp、sftp、Xshell
构建秘钥对验证的SSH体系的步骤
TCP Wrappers访问控制