SSH——安全的通信

SSH


·ssh:secure shell, protocol, 22/tcp,  安全的远程登录

·OpenSSH:ssh协议的开源实现

·dropbear:另一个开源实现

·SSH协议版本:

         v1:基于CRC-32做MAC,不安全;man-in-middle

         v2:双方主机协议选择安全的MAC方式

         基于DH算法做密钥交换,基于RSA或DSA实现身份认证

·两种方式的用户登录认证:

         基于password

         基于key

·OpenSSH:

         C/S

                 S: sshd

                 C: ssh, scp, sftp

                         Windows 客户端:

                                 xshell, putty, securecrt, sshsecureshellclient

·ssh服务器端:

         配置文件: /etc/ssh/sshd_config

         常用参数:

                 Port

                 ListenAddress ip :监听的IP地址

                 PermitRootLogin yes

                 ClientAliveInterval 0

                 UseDNS yes :屏蔽DNS解析,提升SSH链接速度

                 限制可登录用户的办法:

                         AllowUsers user1 user2 user3 :在列表里的用户才可以访问,root也没特殊权限

                         DenyUsers :在列表里的用户不能访问,优先级高于AllowUsers,即2个表里都存在的用户,不能访问<有情提示:改变2个语句的相对位置,此时是否有先提取的优先级在里面>

                         AllowGroups

                         DenyGroups

·ssh客户端

         客户端组件:

                 ssh配置文件:/etc/ssh/ssh_config

                 Host PATTERN

                         StrictHostKeyChecking no  首次登录不显示检查提示

                 格式:ssh [user@]host [COMMAND]

                         ssh [-l user] host [COMMAND]

                                 -p port :远程服务器监听的端口

                                 -b: 指定连接的源IP

                                 -v: 调试模式

                                 -C:压缩方式

                                 -X:支持x11转发

                                 -Y:支持信任x11转发

                                         ForwardX11Trusted yes

                                 -t:强制伪tty分配

                                         ssh -t remoteserver1 ssh remoteserver2

        

         允许实现对远程系统经验证地加密安全访问

         当用户远程连接ssh服务器时,会复制ssh 服务器/etc/ssh/ssh_host*key.pub (centos7.0 默认是ssh_host_ecdsa_key.pub)文件中的公钥到客户机的~./ssh/know_hosts 中。下次连接时,会比较两处是否有不同。

         注意:如果某个IP的主机你ssh链接过一次后,该IP被其他主机所使用了,则再次ssh到该主机上,若想要ssh到该IP地址,可以删除~./ssh/know_hosts文件

        

         ssh -t IP1  ssh IP2

                 以IP1的主机为跳板,登录到IP2的主机,跳过防火墙

        

         家目录下.ssh/目录

                 known_hosts中存放的是远程主机的公钥

                 authorized_keys中存放的是远程主机用户的公钥

·基于key认证

         基于密钥的认证:

                 (1)在客户端生成密钥对

                         ssh-keygen -t rsa [-P ''] [-f “/root/.ssh/id_rsa"]

                                  #ssh-keygen –t

                 (2)把公钥文件传输至远程服务器对应用户的家目录

                         ssh-copy-id [-i [identity_file]] [user@]host

                 (3)测试

        

         基于密钥的认证的所有密钥的口令:

                 (1)重设私钥口令:#ssh-keygen –p

                 (2)验证代理 ( authentication agent ) 保密解密后的密钥

                         这样口令就只需要输入一次

                         运行ssh-agent bash

                         在GNOME中,代理被自动提供

                                 # ps aux | grep "ssh-agent bash"

                 (3)钥匙通过命令添加给代理

                         ssh-add

·SSH端口转发

         什么是SSH端口转发?

         SSH会自动加密和解密所有SSH客户端与服务端之间的网络数据。但是,SSH还能够将其他 TCP端口的网络数据通过SSH链接来转发,并且自动提供了相应的加密及解密服务。这一 过程也被叫做“隧道”(tunneling),这是因为SSH为其他TCP链接提供了一个安全的通道来进行传输而得名。例如,Telnet,SMTP,LDAP这些TCP应用均能够从中得益,避免了用户名,密码以及隐私信息的明文传输。而与此同时,如果工作环境中的防火墙限制了一些网络端口的使用,但是允许SSH的连接,也能够将通过将TCP端口转发来使用SSH进行通讯

        

         SSH端口转发能够提供两大功能:

                 加密SSH Client端至SSH Server端之间的通讯数据

                 突破防火墙的限制完成一些之前无法建立的TCP连接

        

         本地转发:

                 ssh -L localport:host:hostport sshserver

                 ssh –L 9527:telnetsrv:23 -N sshsrv

                 telnet 127.0.0.1 9527

                 当访问本机的9527的端口时,被加密后转发到sshsrv的ssh服务,再解密被转发到telnetsrv:23

                 data –> localhost:9527 –> localhost:XXXXX –> sshsrv:22 –> sshsrv:YYYYY  –> telnetsrv:23

                

                 选项:

                         -f:后台启用

                         -N:不开远程shell

                         -g:启用网关功能

        

         远程转发:

                 ssh -R sshserverport:host:hostport sshserver

                 ssh –R 9527:telnetsrv:23 –N sshsrv

                 让sshsrv侦听9527端口的,如有访问,就加密后通过ssh服务转发请求到本机ssh客户端, 再由本机解密后转发到telnetsrv:23

                 Data –> sshsrv:9527 –> sshsrv:22 –> localhost:XXXXX –> localhost:YYYYY –> telnetsrv:23

        

         动态端口转发:

                 当用firefox访问internet时,本机的1080端口做为代理服务器,firefox的访问请求被转发到sshserver上,由sshserver替之访问internet

                         在本机firefox设置代理socket proxy:127.0.0.1:1080

                 #ssh -D 1080 root@sshserve

·scp命令:

         scp [options] SRC… DEST/

                 两种方式:

                         scp [options] [user@]host:/sourcefile /destpath

                                 把远程主机的文件拷贝到本机

                         scp [options] /sourcefile [user@]host:/destpath

                                 把本机的文件拷贝到远程主机

                

                 常用选项:

                         -C:压缩数据流

                         -r:递归复制

                         -p:保持原文件的属性信息

                         -q:静默模式

                         -P PORT:指明remote host的监听的端口

·rsync命令:

         基于ssh和rsh服务实现高效率的远程系统之间复制文件

         使用安全的shell连接做为传输方式

                 rsync –av /etc server1:/tmp  复制目录和目录下文件

                 rsync –av /etc/ server1:/tmp  只复制目录下文件

         比scp更快,只复制不同的文件

         选项:

                 -n:模拟复制过程

                 -v:显示详细过程

                 -r:递归复制目录树

                 -p:保留权限

                 -t:保留时间戳

                 -g:保留组信息

                 -o:保留所有者信息

                 -l:把符号链接文件做为符号文件进行复制(默认)

                 -L:将软链接文件指向文件复制

                 -a:存档模式,相当于 –rlptgoD,但不保留ACL(-A)和SELinux属性(-X)

·sftp命令:

         交互式文件传输工具

         用法能和传统的ftp 工具相似

         利用ssh服务实现安全的文件上传和下载

         使用ls cd mkdir rmdir pwd get put 等指令,可用?获取帮助信息。

         sftp [user@]host

         sftp> help

·X协议转发:

         所有图形化应用程序都是X客户程序

         能够通过tcp/ip 连接远程X 服务器

         数据没有加密机,但是它通过ssh连接隧道安全进行

        

         ssh -X user@remotehost gedit

                 remotehost主机上的gedit工具,将会显示在本机的X服务器上

                 传输的数据将通过ssh 连接加密

·编译安装dropbea

         ssh协议的另一个实现:dropbear

        

         安装准备:

                 1、安装开发包组:

                 2、ftp://172.16.0.1/pub/Sources/sources/dropbear /dropbear-2013.58.tar.bz2

        

         安装:

                 1、tar xf dropbear-2013.58.tar.bz2

                 2、less INSTALL

                 3、./configure

                 4、make PROGRAMS="dropbear dbclient dropbearkey dropbearconvert scp"

                 5、make PROGRAMS="dropbear dbclient dropbearkey dropbearconvert scp" install

        

         启动ssh服务:

                 1、ls /usr/local/sbin/ /usr/local/bin/

                 2、/usr/local/sbin/dropbear -h

                 3、mkdir /etc/dropbear

                 4、dropbearkey -t rsa -f /etc/dropbear/dropbear_rsa_host_key -s 2048

                 5、dropbearkey -t dss -f /etc/dropbear/dropbear_dsa_host_key

                 6、dropbear -p :2222 -F –E # 前台运行

                 dropbear -p :2222 # 后台运行

        

         客户端访问:

                 1、ssh -p 2222 root@127.0.0.1

                 2、dbclient -p 2222 root@127.0.0.1

·AIDE

         当一个入侵者进入了你的系统并且种植了木马,通常会想办法来隐蔽这个木马(除了木马自身的一些隐蔽特性外,他会尽量给你检查系统的过程设置障碍),通常入侵者会修改一些文件,比如管理员通常用ps -aux 来查看系统进程,那么入侵者很可能用自己经过修改的ps程序来替换掉你系统上的ps程序,以使用ps命令查不到正在运行的木马程序。如果入侵者发现管理员正在运行crontab作业,也有可能替换掉crontab程序等等。所以由此可以看出对于系统文件或是关键文件的检查是很必要的。目前就系统完整性检查的工具用的比较多的有两款:Tripwire和AIDE,前者是一款商业软件,后者是一款免费的但功能也很强大的工具。

        

         AIDE(Adevanced Intrusion Detection Environment)

         高级入侵检测环境:是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的那些文件被更改过了

         AIDE 能够构造一个指定文件的数据库,它使用aide.conf作为其配置文件。AIDE 数据库能够保存文件的各种属性,包括:权限(permission)、索引节点序号(inode number) 、所属用户(user)、所属用户组(group) 、文件大小、最后修改时间(mtime) 、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还能够使用下列算法:sha1 、md5 、rmd160 、tiger ,以密文形式建立每个文件的校验码或散列号

        

         这个数据库不应该保存那些经常变动的文件信息,例如:日志文件、邮件、/proc文件系统、用户起始目录以及临时目录

        

         安装

                 yum install aide

        

         修改配置文件

                 vim /etc/aide.conf ( 指定对哪些文件进行检测)

                         /test/chameleon R

                         /bin/ps R+a

                         /usr/bin/crontab R+a

                         /etc PERMS

                         !/etc/mtab # “!” 表示忽略这个文件的检查

                         R=p+i+n+u+g+s+m+c+md5权限+索引节点+链接数+用户+组+大小+最后一次修改时间+ 创建时间+md5校验值

                         NORMAL = R+rmd60+sha256

        

         初始化默认的AIDE的库:

                 /usr/local/bin/aide –init

        

         生成检查数据库(建议初始数据库存放到安全的地方)

                 cd /var/lib/aide

                 mv aide.db.new.gz aide.db.gz

                

         检测:

                 /usr/local/bin/aide –check

        

         更新数据库

                 aide –update

anp

原创文章,作者:megedugao,如若转载,请注明出处:http://www.178linux.com/48906