SSH协议详解

OpenSSH

一、 前言

使用SSH可以在本地主机和远程服务器之间进行加密地传输数据,实现数据的安全。而OpenSSH是SSH协议的免费开源实现,它采用安全、加密的网络连接工具代替了telnet、ftp等古老明文传输工具。

SSH(Secure Shell)是建立在应用层和传输层基础上的安全协议。SSH是目前较可靠,专为远程登陆会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。

SSH可以将所有的传输数据加密,这样“中间人”这种攻击方式就不可能实现了,而且也可以防止DNS和IP欺骗。还有一个额外的好处就是传输的数据经过压缩的,可以加快传输的速度。

二、 SSH工作原理

SSH是由服务端和客户端的软件组成,服务端是一个守护进程,它在后台运行并响应来自客户端的连接请求。

SSH的工作机制大体是:本地客户端发送一个连接请求到远程的服务端,服务端检查申请的包和IP地址再发送密钥给SSH客户端,本地再将密钥发回给服务端,到此为止,连接建立。

启动SSH服务器后,sshd进程运行并在默认的22端口进行监听。安全验证方式:

基于口令的安全验证(账号密码),也有可能受到中间人攻击

基于密钥的安全验证,就是提供一对密钥,把公钥放在需要访问的服务器上,如果连接到SSH服务器上,客户端就会向服务器发出请求,请求用密钥进行安全验证,服务器收到请求之后,先在改服务器的主目录下寻找公钥,然后把它和发送过来的公钥进行比较。如果两个密钥一致,服务器就用公钥加密“质询”并把它发送给客户端。客户端收到“质询”之后就可以用私钥解密再把它发给服务器端。基于这种方式,相对比较安全。

三、OpenSSH服务器安装和配置,客户端一般都有

先查看Linux系统中openssh-server、openssh、openssh-clients、openssh-askpass软件包是否已经安装,如果没有则安装。

SSH协议详解

依赖关系太多了,固用yum方式安装:yum install openssh-askpass -y

SSH协议详解

好了,都装好了。

四、客户端配置

ssh: 配置文件 /etc/ssh/ssh_config

1、客户端程序

ssh [options] [user@]host [COMMAND]
ssh [-l user] [options] host [COMMAND]

常用选项:
-l user:以指定的用户登录远程主机;
-p port:用于指明远程服务器的端口;远程服务器端口可变。
-X:支持 X11 转发;
-Y:支持信任的 X11 转发;
    X:协议; x-window, C/S
    X11 转发的作用:在本地显示远程主机上的图形窗口;
    前提:本地是 X 图形界面,或者提供了 x service;
-o StrictHostKeyChecking=no  是不是要对主机严格检查,建议no。


ssh 支持的用户认证方式:
    基于口令的认证;
    基于密钥的认证;
(1) 在本地主机生成一对儿密钥:
    ssh-keygen [-q] [-b bits] [-t type] [-f output_keyfile] [-P passphrase]

    -t {rsa|ecdsa|dsa}:公钥加密算法类型;
    -b bits:指明密钥长度;
    -P passphrase:私钥加密密码;
    -f output_keyfile:生成密钥的保存位置;

(2) 在本地主机上,将公钥复制到要登录的远程主机的某用户的家目录下的特定文件中(~/.ssh/authorized_keys)

    ssh-copy-id [-i [identity_file]] [-p port] [-o ssh_option][user@]hostname

(3) 测试
    ssh user@host

例子:客户端ip:192.168.1.120 服务端ip:192.168.1.109

SSH协议详解


生成公钥:

SSH协议详解


测试:

SSH协议详解


SSH协议详解


删除密钥 :rm -rf .ssh/id_rsa*

2、scp命令,类似与cp

将本地的/etc/fstab 复制到服务端主机的/tmp目录下

SSH协议详解

SSH协议详解

将远程主机上的的/root/1.sh复制过来

SSH协议详解

3、sftp安全的文件传输程序,类似于ftp,它的所有操作都是加密ssh传输。

连接至远程主机,可以get一些资源

SSH协议详解

五、服务器端配置

sshd:配置文件 /etc/ssh/sshd_config

几个主要的配置如下:

Port 22   服务器监听的端口,默认为22

ListenAddress 0.0.0.0   服务器端的ip地址
Protocol 2              ssh protocol有两个版本,1不安全
PermitRootLogin yes 设置root用户能否使用ssh登陆  建议用no
UseDNS no   要不要反解用户的主机名

限制可登录的用户(配置文件):
    AllowUsers user1 user2 user3 ...   白名单
    AllowGroups grp1 grp2 ...
    DenyUsers user1 user2 ...
    DenyGroups grp1 grp2 ...        黑名单

CentOS 6:
    服务脚本:/etc/rc.d/init.d/sshd
CentOS 7:
    Systemd Unit File:/usr/lib/systemd/system/sshd.service

六、ssh 服务的最佳实践:

1、不要使用默认端口;

2、禁止使用 protocol version 1;

3、限制可登录的用户;

4、设定空闲会话超时时长;

5、利用防火墙设置 ssh 访问策略;

6、仅监听特定的 IP 地址;

7、基于口令认证时,使用强密码策略; tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30 | xargs

8、使用基于密钥的认证;

9、禁止使用空密码;

10、禁止 root 用户直接登录;

11、限制 ssh 的访问频度和并发在线数;

12、做好日志,经常分析; /var/log/secure

原创文章,作者:N24_yezi,如若转载,请注明出处:http://www.178linux.com/63909

(4)
N24_yeziN24_yezi
上一篇 2016-12-16
下一篇 2016-12-17

相关推荐

  • Linux系统启动流程

    对于linux系统的初学者来说,理解并掌握linux系统启动流程能够使你够深入的理解linux系统,还可以通过系统的启动过程来分析问题解决问题。   Linux系统的启动流程   关于linux系统的启动流程可以分为以下步骤:     POST(加电自检)–>加载BIOS(Basic Inp…

    Linux干货 2015-05-18
  • lamp安装配置详细过程(把以前的笔记贴上来)

    准备; 首先进入/usr/local/目录 #cd /usr/local 删除所有安装过的php mysql apache 以及libxml 首先查看目前 /usr/local目录下面的内容 #ls –l 如果看到php5 php apache2 apache mysql mysql5 libxml libxml2字样的目录都将其删除具体命令如下 #rm –…

    Linux干货 2015-05-01
  • M20 – 1- 第三周博客(2):Linux用户、组

    一、Linux用户组详解 Linux系统中的每个用户都有一个用户组,系统能对一个用户组中的所有用户进行集中管理。不同Linux系统对用户组的规定有所不同,如Linux下的用户属于和他同名的用户组,这个用户组在创建用户时同时创建。用户组的管理涉及用户组的添加、删除和修改。组的增加、删除和修改实际上就对/etc/group文件的更新。 用户组(group)就是具…

    Linux干货 2016-08-05
  • vim文本编辑器练习

    1、复制/etc/profile至/tmp/目录,用查找替换命令删除/tmp/profile文件中的行首的空白字符? :%s@^[[:space:]]\+@@gc   2、复制/etc/rc.d/init.d/functions文件至/tmp目录,用查找替换命令为/tmp/functions的每行开头为空白字符的行的行首添加一个#号? :%s@^[…

    Linux干货 2016-08-12
  • Week 1–Linux基础1

    一. 计算机是由什么组成的? 计算机有什么作用呢?  1.计算机是由硬件系统与软件系统两大部分组成的. 那么是什么呢?  硬件系统: 1.1 输入组件(如鼠标,键盘等); 输出组件(显示器,打印机等); 1.2 核心大脑–CPU(里面包含有 算术逻辑、控制、记忆等单元); 1.3 为了与以上2大重要部件连接的,肯定需要一个可以…

    Linux干货 2016-12-05
  • CentOS6 网卡bonding

    Bonding ;理念 将多块网卡绑定同一IP地址对外提供服务,可以实现高可用 或者负载均衡。直接给两块网卡设置同一IP地址是不可以的 。通过bonding,虚拟一块网卡对外提供连接,物理网卡的 被修改为相同的MAC地址 banding工作模式 Mode 0 (balance-rr) 轮转(Round-robin)策略: 从头到尾顺序的在每一个slave 接…

    Linux干货 2017-11-24

评论列表(1条)

  • 马哥教育
    马哥教育 2016-12-23 12:18

    赞,能将上面知识灵活运用于实战会更好~~继续加油~