目录
一、SSH服务
1.1 概念
SSH是一种安全通道协议,主要用来实现远程登录、远程复制等功能。
SSH协议通过双方数据传输并且进行了加密处理,保障了用户在传输过程中的安全性。
1.2 SSH服务的传输
SSH客户端和SSH服务端之间的传输
●传输数据是加密的,以防止信息的泄露
●数据传输是进行压缩传输的可以提高传输的速度
1.3 SSH服务端和客户端
SSH服务端:putty、xshell、CRT、MoBaxterm、Finalshell
SSH客户端:OpenSSH
1.4 SSH服务的功能
①ssh的远程连接
②sftp服务传输数据
sshd服务使用ssh 协议可以用来进行远程控制,或在计算机之间传送文件,相比较之前用Telnet 方
式来传输文件要安全很多,因为Telnet使用明文传输,SSH使用加密传输。
相比telnet、FTP等文件传输方式来说,SSH传输方式较为可靠能够有效的防止传输过程中信息的泄露
1.5 SSH服务
服务的名称:sshd
服务端主程序:/usr/bin/sshd
服务端配置文件:/etc/ssh/sshd_config
客户端配置文件:/etc/ssh/ssh_config
1.6 用SSH远程登录
方法一
ssh 【远程主机用户名】@【远程服务器主机名或IP地址】
还可以提前映射好远程登录的主机IP
方法二
ssh -l 【远程主机用户名】【远程服务器主机名或IP地址】-p port
-l 指定登录名称
-p 指定登录端口
登录故障
在平时工作中,有时候需要ssH登陆到别的Linux主机上去,但有时候ssH登陆会被禁止,并弹出如
下类似提示:
The authenticity of host ‘192.168.10.9 (192.168.10.9)’ can’t be established.
ECDSAfingerprintSHA256;AaGpHeEiRuXMy96oezzV6Toej5nJJmZIe/djqR7qCVk.ECDSA key
fingerprint is MD5:78 :a1:b1:1c:36:76:c7:34:54:87:cc:ea:51:3f:0c:24.Are you sure you want to
continue connecting (yes/no) ? yes
warning: Permanently added ‘192.168.10.9’(ECDSA) to the list of known hosts.Authentication
failed.
解决
删除~/.ssh/known_hosts即可
ssh会把你每次访问计算机的公钥都记录在此
解决办法:
1.使用ssh连接远程主机时加上"-o strictHostKeyChecking=no"的选项,如下:
ssh -o strictHostKeyChecking=no 192.168.xxx.xxx (生产上常用的命令)
2.一个彻底去掉这个提示的方法是,修改/etc/ssh/ssh_config文件(或$HOME/.ssh/config)中的配
置,添加如下两行配置:
strictHostKeychecking no
UserKnownHostsFile /dev/null
3.使用 > /root/.ssh/known_hosts 删除里面的公钥
二、 openssh 服务包
2.1 openssh 服务包的概念
OpenSSH软件包,提供了服务端后台程序和客户端工具,用来加密远程控件和文件传输过程中的
数据,并由此来代替原来的类似服务Telnet或Ftp。
2.2 服务的配置
● ListenAddress监听地址:
ListenAddress 0.0.0.0 设置SSHD服务器绑定的IP地址,0.0.0.0表示监听所有地址
安全建议:如果主机不需要从公网ssh访问,可以把监听地址改为内网地址这个值可以写成本地IP地
址,也可以写成所有地址,即0.0.0.0表示所有IP。
●Protocol 2
设置协议版本为ssh1或ssh2,建议选择ssh2
●UseDns yes
为了确保客户端是否合法通常会通过DNS去反查客户端的主机名,但在内网连接时一般设置为no 可以提高传输的速度
●SyslogFacility AUTHPRIV
当有客户端ssh登录系统是,ssh会记录信息,记录的信息类型为AUTHPRIV,sshd服务器日志存在/var/log/secure下
●LoginGraceTime
指自动断开的时间,当使用SSH登录时超过了该时间还没有登录上去会自动断开
●PermitRootLogin yes
指是否允许root登录 默认为允许,生产环境中时不允许用root用户进行登录的
●PermitEmptyPasswords
是否允许空密码用户登录,默认为no
●PasswordAuthentication yes
是否登陆时密码验证
●PrintLastLog yes
显示上次登录的信息
●MaxAuthTries 6
指定每次连接时最大允许失败的次数
当你连接时如果输入密码错误超过这个数值一半时连接就会被强制断开
●AllowUsers
指定只能某个用户进行登录 ,想让哪个用户登录就在加上用户的名字
拓展
connectTimeout=3 #连接超时时间,3秒
ConnectionAttempts=5 #连接失败后重试次数,5次
PasswordAuthentication=no #不使用密码认证,没有互信直接退出
strictHostKeyChecking=no #自动信任主机并添加到known_hosts文件
三、远程复制和传输
3.1 scp复制(安全性复制)
3.1.1 复制本地文件到服务器
scp 【文件名】服务器主机地址:/放在哪个目录下/
3.1.2 复制服务器的文件到本地
scp -r 服务器主机地址:/文件所在地/ /复制到哪个目录下/
3.2 sftp (安全文件传输协议)
由于sftp是用加密的方式进行传输所以传输的效率要比ftp慢,如果对安全性有着较高要求可以是用
sftp的方式进行传输
●sftp命令:
put上传、get下载、pwd产看所在位置、quit退出sftp
案例:
四、ssh服务密钥对验证
4.1 概念
必须提供相匹配的密钥信息才能通过验证,通常会先在客户端中创建一对密钥(公钥、私钥),然
然后将公钥文件放入服务器中指定的位置。当远程登录时,系统会使用公钥、私钥进行验证,可以
免交互登录
ssh-agent bash 将公钥添加管理在客户端操作ssh-add
4.2 公钥和私钥
私钥是密钥所有者持有的,公钥是持有者给他人的
首先ssh通过加密算法在客户端产生密钥对(公钥和私钥),公钥发送给服务器,自己保留私钥,
如果要想连接到 带有公钥的ssh服务器,客户端ssh就会向ssh服务器发出请求,请求用联机的用户
密钥进行安全验证。ssh服务器收到请求后,会先在该ssh服务器上连接的用户的家目录下寻找事先
放置上去的对应用户的公钥,然后把它和连接的ssh客户端发送过来的公用密钥进行比较如果两个
密钥一致,ssh服务器就会用公钥加密并把它发送给ssh客户端。
4.3 密钥对的构建
4.4 实例操作
4.4.1 客户机创建生成密钥对
4.4.2 将公钥文件上传到服务器
4.4.3 在服务器中导入公钥文件
4.4.4 在客户机设置ssh代理功能,实现免交互登录
五、TCP Wrappers
5.1 TCP Wrappers 访问控制
Linux系统中,许多网络服务针对客户端提供了访问控制的机制,他们将tcp服务程序包裹起来作为
监听tcp服务程序的端口,增加了一个安全检测的过程,外来的连接请求必须通过安全检测才能真
正访问服务
5.2 查看软件是否安装
5.3 查看程序共享库
5.4 TCP Wrappers机制原理
例:
配置deny拒绝访问
总结
ssh服务 可以用来用户登录控制
构建密钥对验证ssh体系
scp复制文件传输,sftp连接主机之间的传输
tcp wrappers访问控制
690
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
