RHCE--linux远程连接服务器SSH详解

最新推荐文章于 2021-02-15 17:57:56 发布
最新推荐文章于 2021-02-15 17:57:56 发布
阅读量616 收藏
点赞数 1
分类专栏: RHCE 文章标签: SSH
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangyuCISCO/article/details/89060607
版权
SSH(安全外壳协议)是一种用于安全远程连接的协议,提供加密和身份验证功能,以替代不安全的如Telnet的服务。SSH通过非对称密钥加密系统确保连接安全,包括公钥和私钥的使用。本文详细介绍了SSH的协议内容、安全验证、连接过程,以及如何配置SSH服务,包括修改端口号、禁止root用户远程登录、限制特定用户SSH访问和实现虚拟机间的互信连接。
摘要由CSDN通过智能技术生成

文章目录

SSH

什么是SSH?

传统的网络服务程序,如FTP、Pop和Telnet在传输机制和实现原理上是没有考虑安全机制的,其本质上都是不安全的;因为它们在网络上用明文传送数据、用户帐号和用户口令,别有用心的人通过窃听等网络攻击手段非常容易地就可以截获这些数据、用户帐号和用户口令。而且,这些网络服务程序的简单安全验证方式也有其弱点,那就是很容易受到"中间人"(man-in-the-middle)这种攻击方式的攻击。所谓"中间人"的攻击方式,就是"中间人"冒充真正的服务器接收你的传给服务器的数据,然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被"中间人"一转手做了手脚之后,就会出现很严重的问题。
SSH(安全外壳协议)是英文Secure Shell的简写形式。通过使用SSH,你可以把所有传输的数据进行加密,这样"中间人"这种攻击方式就不可能实现了,而且也能够防止DNS欺骗和IP欺骗。使用SSH,还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替Telnet,又可以为FTP、Pop、甚至为PPP提供一个安全的"通道"。
最初的SSH是由芬兰的一家公司开发的。但是因为受版权和加密算法的限制,现在很多人都转而使用OpenSSH。OpenSSH是SSH的替代软件包,而且是免费的,可以预计将来会有越来越多的人使用它而不是SSH。
最后,SSH在运行方式上也很有特色。不像其他的TCP/IP应用,SSH被设计为工作于自己的基础之上,而不是利用包装(wrappers)或通过Internet守护进程inetd。但是许多人想通过TCP包装来运行SSH守护进程。虽然你可以通过tcpd(从inetd上运行启动)来运行SSH进程,但这完全没有必要。

SSH协议的内容

SSH为创建在应用层传输层基础上的安全协议。它主要由以下三部分组成,共同实现SSH的安全保密机制。
(1)传输层协议,它提供诸如认证、信任和完整性检验等安全措施,此外它还可以任意地提供数据压缩功能。通常情况下,这些传输层协议都建立在面向连接的TCP数据流之上。
(2)用户认证协议层,用来实现服务器的跟客户端用户之间的身份认证,它运行在传输层协议之上。
(3)连接协议层,分配多个加密通道至一些逻辑通道上,它运行在用户认证层协议之上。

当安全的传输层连接建立之后,客户端将发送一个服务请求。当用户认证层连接建立之后将发送第二个服务请求。这就允许新定义的协议可以和以前的协议共存。连接协议提供可用作多种目的通道,为设置安全交互Shell会话和传输任意的TCP/IP端口和X11连接提供标准方法。

SSH的安全验证

从客户端来看,SSH提供两种级别的安全验证。

第一种级别(基于口令的安全验证),只要你知道自己的帐号和口令,就可以登录到远程主机,并且所有传输的数据都会被加密。但是,这种验证方式不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器,也就是受到"中间人"这种攻击方式的攻击。

第二种级别(基于密匙的安全验证),需要依靠密匙,也就是你必须为自己创建一对密匙,并把公有密匙放在需要访问的服务器上。如果你要连接到SSH服务器上,客户端软件就会向服务器发出请求,请求用你的密匙进行安全验证。服务器收到请求之后,先在你在该服务器的用户根目录下寻找你的公有密匙,然后把它和你发送过来的公有密匙进行比较。如果两个密匙一致,服务器就用公有密匙加密"质询"(challenge)并把它发送给客户端软件。客户端软件收到"质询"之后就可以用你的私人密匙解密再把它发送给服务器。

与第一种级别相比,第二种级别不需要在网络上传送用户口令。另外,第二种级别不仅加密所有传送的数据,而"中间人"这种攻击方式也是不可能的(因为他没有你的私人密匙)。但是整个登录的过程可能慢一些。

SSH建立连接的过程

1、首先客户端向服务器发起三次握手,建立连接;服务端会通过非对称加密产生一个公钥和一个私钥,客户端服务端之间开始协商:算法、版本信息,为密钥交换做准备;
2、客户端向服务端发送协议版本、自己支持的加密算法、一个随机数(明文)
3、服务端收到后,选取加密算法然后告诉客户端,除此之外还包含:自己的证书(证书中包含公钥)、一个随机数(明文)
4、客户端验证服务端的证书:验证通过后生成另一个随机数(密文),并用证书中的公钥加密该数,发送给服务端
5、服务端通过自己的私钥解密获得该串随机数
6、双方根据约定好的加密算法对上边三个随机数进行加密,得到一个回话密钥,接下来的通信就用这个回话密钥做对称加密。
在这里插入图片描述

远程连接服务器

什么是远程连接服务器?

远程连接服务器通过文字或图形接口方式来远程登录系统,让你在远程终端前登录linux主机以取得可操作主机接口(shell),而登录后的操作感觉就像是坐在系统前面一样。

远程连接服务器的功能

(1)分享主机运算能力
(2)服务器类型有限度开放连接
(3)工作站类型,只对内网开放

常见的远程管理工具方式

协议 注释
最低0.47元/天 解锁文章
小金鱼钰钰
关注
专栏目录
RHCE-Linux全套学习教程
09-02
它不是一个普通的认证测试,和其他操作系统认证考试相比,RHCE考试需要花费一整天的时间,第1节Linux学习建议第2节Linux学习建议第3节系统结构与终端控制台第4节RHEL5-Linux安装第5节RHEL6安装第6节RHEL6安装-重启后...
RHCE-配置SSH访问
donglingjiu的博客
08-02 263
server和desktop都需要配置,本文档只记录server配置 [root@server0 ~]# systemctl stop firewalld.service ////停止firewalld防火墙服务 [root@server0 ~]# systemctl disable firewalld.service ////关闭firewalld防...
RHCE练习题 2. 配置防火墙对SSH的限制 两种方法
MichaelJScofield的专栏
12-28 3616
题目:配置防火墙对SSH的限制 在server0和desktop0上设置防火墙,对SSH实现访问限制: 允许example.com域的客户对server0和desktop0进行ssh访问。 禁止my133t.org域的客户对server0和desktop0进行ssh访问。 备注:my133t.org是在172.17.10.0/24网段,example.com 在172.25.0
RHCE7参考答案(2)配置SSH访问
weixin_41176080的博客
06-11 253
2.配置SSH访问 按以下要求配置SSH访问: 用户能够从域example.com内的客户端SSH远程访问您的两个虚拟机系统 在域my133t.org内的客户端不能访问您的两个虚拟机系统 [root@serverX ~]# vim /etc/ssh/sshd_config #(两台虚拟机都做) … …. DenyUsers *@*.my133t.org *@172.34.0.* #此题也可由防火墙解决 [root@serverX ~]# systemctl restart sshd [root@server
RHCSA&RHCERHCE7)学习深入--SSH
技术=勤奋+思考
01-18 393
  SSH SSH是一种安全的低层传输协议。它提供了强大的加密、加密主机身份验证和完整性保护。 此协议级别中的身份验证是基于主机的;此协议不执行用户身份验证。可以在此协议的基础上设计更高级别的用户身份验证协议。 该协议设计简单灵活,允许参数协商,并尽量减少交互次数。密钥交换算法、公钥算法、对称加密算法、消息认证算法和哈希算法都进行了协商。在大多数环境中,完成密钥交换、服务器身份验证、服务请...
RHCE8.0-ssh远程连接服务
m0_46289868的博客
02-15 585
远程连接服务器的介绍 什么是远程连接服务器 远程连接服务器通过文字或图形接口方式来远程登录系统,让你在远程终端前登录linux主机以取得可操作主机接口(shell),而登录后的操作感觉就像是坐在系统前面一样。 远程连接服务器的功能 分享主机的运算能力 服务器类型:有限度开放连接 工作站类型:只对内网开放 远程连接服务器的类型(以登录的连接界面来分类) 文字接口 明文传输:Telnet、RSH等,目前非常少用 加密传输:SSH为主,已经取代明文传输 图形接口:XDMCP、VNC、XRDP等 文字接口连接服务器
RHCE实验详解-不断更新
07-23
教程名称:RHCE实验详解-不断更新课程目录:【】BIND+Nginx实现负载均衡【】CE-test1【】CE-test2【】CE-test3【】CE-test4【】CE-test5【】CE-test6【】MySQL主从同步与读写分离详细配置【】Python学习笔记 ...
RHCE -PAM详解
12-14
RHCE -PAM详解 RHCE -PAM详解 RHCE -PAM详解 RHCE -PAM详解 RHCE -PAM详解 RHCE -PAM详解 RHCE -PAM详解
Linux-RHCE8实验环境
最新发布
07-13
作为实现内农大学习linux的环境,有一台主机与两台实验机器(内置于foundtion0中,类似于伪分布式的环境),适合用用于内农大,总文件大小25G,解压是顺序解压,可以从第一个压缩包解压,剩下的会自动解压。...
RHCE253--架设Squid服务器.doc
07-06
RHCE253--架设Squid服务器 一、 Squid 代理服务技术概览 在了解 Squid 代理服务器之前,需要了解代理服务器的基本概念。代理服务器英文全称是 Proxy Server,其功能就是代理网络用户去取得网络信息。形象的说:它...
SSH Secure Shell Client用public key认证登录
04-02
NULL 博文链接:https://xls.iteye.com/blog/1446687
RHCE心得15——文件系统的挂载(NIS NFS Automounter)
weixin_34221276的博客
09-25 193
挂载和自动挂载的使用(实例论证)一、挂载: 挂载是一个非常重要的功能,使用非常频繁。它指将一个设备(通常是存储设备)挂接到一个已存在的目录上。(这个目录可以不为空,但挂载后这个目录下以前的内容将不可用。) 需要理解的是,linux操作系统将所有的设备都看作文件,它将整个计算机的资源都整合成一个大的文件目录。我们要访问存储设备中的文件,必须将文件所在的分区挂载到一个...
RHCE---SSH
qq_43775906的博客
03-01 168
1、远程连接服务器远程连接服务器通过文字或图形接口方式来远程登录系统,让你在远程终端前登录linux主机以取得可操作主机接口(shell),而登录后的操作感觉就像是坐在系统前面一样。 SSH(Secure Shell)安全外壳协议,为建立在应用层基础上的安全协议,它现在是通过互联网访问网络设备和服务器的唯一的主要协议。 2、连接加密技术 非对称密钥加密系统:又称公钥密钥加密。非对称加密为数...
基础学习4-centos7修改防火墙配置SSH访问
自己的专栏
02-20 4716
1、修改selinux配置文件 #vim /etc/sysconfig/selinux # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is en
RHCE(7)iscsi服务
qq_45161607的博客
05-16 2204
SCSI协议:主要是在主机和存储设备之间传送命令,状态和块数据,在各类存储技术中,SCSI协议可谓是最重要的脊梁。 网络存储方式:直连式存储(DAS)、网络接入存储(NAS)、存储区域网络(SAN) iscsi架构主要将存储设备与使用的主机分为两个部分,分别是: iscsi target:就是存储设备端,存放磁盘设备。目的在于提供其他主机使用的磁盘。 iscsi initiator:就是能够使用target的客户端,通常是服务器。也就是说,想要连接到iscsi target的服务器,也必须要安装iscsi.
用实验快速配置Vsftp
永远的勿忘我
12-18 1468
前言,Vsftp是一种相当安全的ftp服务器,而且vsftp成为RH8.0与9.0的标准ftp服务器。本文用实验的方法快速配置Vsftp。[实验目的]1.配置一个允许anonymous用户下载的ftp服务。2.配置一个允许anonymous用户上传的ftp服务。[实验要求]一台RH8.0机,IP:192.168.0.1。如果9.0,配置文件在/etc/vsftpd/vsftpd.conf,
RHCE 学习笔记(10) 远程访问
weixin_34270865的博客
12-31 80
这一节学习了如何在Linux和windows下对RHEL进行远程访问。主要包括了SSH的密码,密钥访问,XShell以及VNC的使用首先来看看Linux下如何远程访问另外一台服务器。现在我有两条服务器 rhce7-00 和 rhce7-01,IP地址如下所示rhce7-01rhce7-00从00上远程访问01,很简单,直接输入 ssh IP地址即可 ,这是以当前用户(root)的身份进行访问。第一...
运维工程师必备技能之操作系统运维(二)
热门推荐
Zhang Sir的科学园地
10-22 2万+
承接上一篇RHCSA,下面我们继续分享RHCE的相关内容 RHCE 以下是我的成绩,险过,自认为复习应该算是很充分了,但是没有发挥好,下面跑下题展开讲讲。 下午的RHCE是13:30开始,真的是很倒霉,考试环境全部出现问题,老师开始排查,我们所有人陷入焦急的等待,经过1.5小时尝试多次无果之后,老师就开始重装所有考试环境,这一等又是1个小时,4点钟才开始正式考试。由于我不在北京工作,本...
RHCE学习<4>SSH、TCP_Wrappers、VNC和磁盘管理
weixin_33874713的博客
05-05 121
一、SSH(Secure Shell,安全的命令解释器) SSH服务为客户机提供安全的Shell环境,用于远程管理,默认端口:TCP 22;SSH是目前应用最为广泛的服务器远程管理方式. 1、SSH用户登陆验证方式分为两种: 密码验证:输入用户名和密码 密钥对验证:在客户机中生成的公钥、私钥 2、服务器端主配置文件:/etc/ssh/sshd_confi...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值