1.ssh: secure shell, protocol, 22/tcp, 安全的远程登录
(1)具体的软件实现:
OpenSSH: ssh协议的开源实现,CentOS默认安装
dropbear:另一个开源实现
(2)SSH协议版本
v1: 基于CRC-32做MAC,不安全;man-in-middle
v2:双方主机协议选择安全的MAC方式
基于DH算法做密钥交换,基于RSA或DSA实现身份认证
(3)两种方式的用户登录认证:
基于password
基于key
2.Openssh软件组成
相关包:
openssh
查看:
rpm -ql openssh-clients客户端/usr/bin/ssh
rpm -ql openssh-server服务器端/usr/sbin/sshd
工具:
基于C/S结构
Client: ssh, scp, sftp,slogin
Windows客户端:
xshell, putty, securecrt, sshsecureshellclient
Server: sshd
3.ssh客户端
配置文件:/etc/ssh/ssh_config
Host PATTERN
StrictHostKeyChecking no 首次登录不显示检查提示
格式:ssh [user@]host [COMMAND]
ssh [-l user] host [COMMAND]
-p port:远程服务器监听的端口
-b:指定连接的源IP(就是说你自己主机上有多个IP,用你要用的连接)
-v:调试模式
-C:压缩方式
-X: 支持x11转发,打开对方图形界面
-Y:支持信任x11转发ForwardX11Trusted yes
(就是说如果A要连接C,但是C只能用B来连接,就可以通过B来连接C eg:A#ssh B ssh C)
ForwardX11Trusted yes
-t: 强制伪tty分配
ssh -t remoteserver1 ssh remoteserver2
允许实现对远程系统经验证地加密安全访问
ss -nt 查看
当用户远程连接ssh服务器时,会复制ssh服务器 /etc/ssh/ssh_host*key.pub(CentOS7默认是ssh_host_ecdsa_key.pub)文件中的公钥到客户机的~./ssh/know_hosts中。下次连接时,会自动匹配相应私钥 ,不能匹配,将拒绝连接
第一次连接别的主机时,把对方的公要复制过来,然后和对方的私钥解密,所以要冒充链接要知道对方的私钥,私钥文件在/etc/ssh/ssh_host_rsa_key
4.ssh服务登录验证
两种方式:
(1)基于用户和口令登录验证
1 客户端发起ssh请求,服务器会把自己的公钥发送给用户
2 用户会根据服务器发来的公钥对密码进行加密
3 加密后的信息回传给服务器,服务器用自己的私钥解密,如果密码正确,则用户登录成功
(2)基于密钥的登录方式
1.首先在客户端生成一对密钥(ssh-keygen)
2.并将客户端的公钥ssh-copy-id 拷贝到服务端
3.当客户端再次发送一个连接请求,包括ip、用户名
4.服务端得到客户端的请求后,会到authorized_keys中查找,如果有响应的IP和用户,就会随机生成一个字符串,例如:acdf
5.服务端将使用客户端拷贝过来的公钥进行加密,然后发送给客户端
6.得到服务端发来的消息后,客户端会使用私钥进行解密,然后将解密后的字符串发送给服务端
7.服务端接受到客户端发来的字符串后,跟之前的字符串进行对比,如果一致,就允许免密码登录
5.基于密钥的认证:
(1) 在客户端生成密钥对
ssh-keygen -t rsa [-P ''] [-f “~/.ssh/id_rsa"]
-t 指定要用的算法 rsa/dsa
-P加口令
-f指定密钥文件路径
(2) 把公钥文件传输至远程服务器对应用户的家目录
ssh-copy-id [-i [identity_file]] [user@]host
-i指定复制的文件,生成的文件默认放在.ssh下
如果不指定复制到对方的文件,默认放在 .ssh/authorized_keys
Paste_Image.png
(3) 测试
在客户机端再用ssh连接服务器就可以不输入密码或者只用输入私钥密码
(4) 在SecureCRT或Xshell实现基于key验证
在SecureCRT工具—>创建公钥—>生成Identity.pub文件
转化为openssh兼容格式(适合SecureCRT,Xshell不需要转化
格式),并复制到需登录主机上相应文件authorized_keys中,
注意权限必须为600,在需登录的ssh主机上执行:
ssh-keygen -i -f Identity.pub >> .ssh/authorized_keys
(5)重设私钥口令:
ssh-keygen –p
Paste_Image.png
(6)验证代理(authentication agent)保密解密后的密钥
• 这样口令就只需要输入一次
• 在GNOME中,代理被自动提供给root用户
• ssh-agent bash 启动代理
(7)钥匙通过命令添加给代理
ssh-add
把口令托管给代理,以后再连接就不需要口令了,但是一注销终端,就需要重新登录
6.scp命令
scp [options] SRC... DEST/
两种方式:
scp [options] [user@]host:/sourcefile /destpath把远程主机文件复制到本地
scp [options] /sourcefile [user@]host:/destpath把本地文件复制到远程
scp不适合网站更新
常用选项:
-C: 压缩数据流
-r: 递归复制
-p: 保持原文件的属性信息
-q: 静默模式
-P PORT: 指明remote host的监听的端口
7.rsync命令
基于ssh和rsh服务实现高效率的远程系统之间复制文件
使用安全的shell连接做为传输方式
比scp更快,只复制不同的文件,可以实现增量备份
• rsync –av /etc server1:/tmp 复制目录和目录下文件
• rsync –av /etc/ server1:/tmp 只复制目录下文件
选项:
-n 模拟复制过程
-v 显示详细过程
-r 递归复制目录树
-p 保留权限
-t 保留时间戳
-g 保留组信息
-o 保留所有者信息
-l 将软链接文件本身进行复制(默认)
-L 将软链接文件指向的文件复制
-a 存档,相当于–rlptgoD,但不保留ACL(-A)和SELinux属性(-X)
8.sftp命令
交互式文件传输工具
用法和传统的ftp工具相似
利用ssh服务实现安全的文件上传和下载
使用ls cd mkdir rmdir pwd get put等指令,可用?或help
获取帮助信息
sftp [user@]host
sftp> help
9.SSH端口转发
SSH 会自动加密和解密所有 SSH 客户端与服务端之间的网络数据。 但是,SSH 还能够将其他 TCP 端口的网络数据通过 SSH 链接来转发 ,并且自动提供了相应的加密及解密服务。这一过程也被叫做“隧道” (tunneling),这是因为 SSH 为其他 TCP 链接提供了一个安全的通 道来进行传输而得名。例如,Telnet,SMTP,LDAP 这些 TCP 应用均能够从中得益,避免了用户名,密码以及隐私信息的明文传输。而与此同时,如果工作环境中的防火墙限制了一些网络端口的使用,但是允许SSH 的连接,也能够通过将 TCP 端口转发来使用 SSH 进行通讯
(1)SSH 端口转发能够提供两大功能:
• 加密 SSH Client 端至 SSH Server 端之间的通讯数据
• 突破防火墙的限制完成一些之前无法建立的 TCP 连接
远程连接到本地
(2)本地转发:
-L localport:remotehost:remotehostport sshserver
选项:
-f 后台启用
-N 不打开远程shell,处于等待状态
-g 启用网关功能
eg:
ssh –L 9527:telnetsrv:23 -N sshsrv
telnet 127.0.0.1 9527 当访问本机的9527的端口时,被加密后转发到sshsrv的ssh服务,再解密被转发到telnetsrv:23
data localhost:9527 localhost:XXXXX
sshsrv:22 sshsrv:YYYYY telnetsrv:23
(3)远程转发:
-R sshserverport:remotehost:remotehostport sshserver
eg:
ssh –R 9527:telnetsrv:23 –N sshsrv
让sshsrv侦听9527端口的访问,如有访问,就加密后通过ssh
服务转发请求到本机ssh客户端,再由本机解密后转发到
telnetsrv:23
Data sshsrv:9527 sshsrv:22
localhost:XXXXX localhost:YYYYY telnetsrv:23
(3)动态端口转发:
当用firefox访问internet时,本机的1080端口做为代理服务器,firefox的访问请求被转发到
sshserver上,由sshserver替之访问internet在本机firefox设置代理socket proxy:127.0.0.1:1080
ssh -D 1080 root@sshserver
10.X 协议转发
所有图形化应用程序都是X客户程序
• 能够通过tcp/ip连接远程X服务器
• 数据没有加密机,但是它通过ssh连接隧道安全进行
ssh -X user@remotehost gedit
remotehost主机上的gedit工具,将会显示在本机的X服务器上传输的数据将通过ssh连接加密
11.ssh服务器
服务器端:sshd, 配置文件: /etc/ssh/sshd_config
常用参数:
Port
ListenAddress ip
LoginGraceTime 2m
PermitRootLogin yes
StrictModes yes
MaxAuthTries 6
MaxSessions 10 同一个连接最大会话
PubkeyAuthentication yes
PermitEmptyPasswords no
PasswordAuthentication yes
GatewayPorts no
ClientAliveInterval(单位:秒)
ClientAliveCountMax(默认3)
UseDNS yes
GSSAPIAuthentication yes 提高速度可改为no
MaxStartups 未认证连接最大值,默认值10
Banner /path/file
限制可登录用户的办法:
AllowUsers user1 user2 user3
DenyUsers
AllowGroups
DenyGroups
ssh服务的最佳实践
不要使用默认端口
禁止使用protocol version 1
限制可登录用户
设定空闲会话超时时长
利用防火墙设置ssh访问策略
仅监听特定的IP地址
基于口令认证时,使用强密码策略
tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30| xargs
使用基于密钥的认证
禁止使用空密码
禁止root用户直接登录
限制ssh的访问频度和并发在线数
做好日志,经常分析
