ssh: secure shell, protocol, 22/tcp, 安全的远程登录
具体的软件实现：
OpenSSH : ssh 协议的开源实现，CentOS 默认安装
dropbear ：另一个开源实现SSH
协议版本
v1: 基于CRC-32 做MAC ，不安全；man-in-middle
v2 ：双方主机协议选择安全的MAC 方式
基于DH 算法做密钥交换，基于RSA 或DSA 实现身份认证
两种方式的用户登录认证：
基于password
基于key

OpenSSH 介绍
相关包：
openssh
openssh-clients
openssh-server
工具：
基于C/S 结构
Client: ssh, scp, sftp
Windows 客户端：
xshell, putty, securecrt, sshsecureshellclient
Server: sshd

客户端组件：
ssh, 配置文件：/etc/ssh/ssh_config
Host PATTERN
StrictHostKeyChecking no 首次登录不显示检查提示
首次登陆公钥存放位置：/root/.ssh/known_hosts
格式：ssh [user@]host [COMMAND]
ssh root@172.18.12.14 ‘uname -r’ #默认同当前用户

ssh [-l user] host [COMMAND]
-p port ：远程服务器监听的端口 #默认22端口
更改端口文件：/etc/ssh/sshd_config 里面的port，
更改后需要重启服务，需要关闭selinux
-b: 指定连接的源IP
ip addr add 192.168.33.15./24 dev etho #给网卡加别名
ssh -b
-v: 调试模式
-C ：压缩方式
-X: 支持x11 转发 #使用远程主机图形工具
-Y ：支持信任x11 转发 #默认都支持的
ForwardX11Trusted yes
-t: 强制伪tty 分配
ssh -t remoteserver1 ssh remoteserver2

允许实现对远程系统经验证地加密安全访问
当用户远程连接ssh 服务器时，会复制ssh 服务器
/etc/ssh/ssh_host*key.pub （centos7 默认是 ssh_host_ecdsa_key.pub ）
文件中的公钥到客户机的~./ssh/know_hosts 中。
下次连接时，会自动匹配相应私钥，不能匹配，将拒绝连接

基于密钥的认证：
(1) 在客户端生成密钥对
ssh-keygen -t rsa [-P ”] [-f “~/.ssh/id_rsa”]
#[]都可以省略,直接ssh-keygen,该命令可以补全
(2) 把公钥文件传输至远程服务器对应用户的家目录
ssh-copy-id [-i [identity_file]] [user@]host
#ssh-copy-id -i ~/.ssh/id_rsa shewei@172.18.12.11
默认自动拷贝公钥，路径要选择文件所在目录
(3) 测试
(4) 在SecureCRT ，Xshell 或实现基于key 验证
在SecureCRT 工具—> 创建公钥—> 生成Identity.pub 文件
转化为openssh 兼容格式（适合SecureCRT ，Xshell 不需要转化
格式），并复制到需登录主机上相应文件authorized_keys 中,
注意权限必须为600 ，在需登录的ssh 主机上执行：
ssh-keygen -i -f Identity.pub >> .ssh/authorized_keys
(5) 重设私钥口令：#ssh-keygen –p
(6) 验证代理（authentication agent ）保密解密后的密钥
• 这样口令就只需要输入一次
• 在在GNOME 中，代理被自动提供给root 用户
• 否则运行ssh-agent bash
(7) 钥匙通过命令添加给代理
ssh-add #先用6验证代理，然后7添加到代理，每次重启失效

scp 命令：
scp [options] SRC… DEST/
两种方式：
scp [options] [user@]172.18.12.12 : /sourcefile /destpath
远程到本地
scp [options] /sourcefile [user@]172.18.12.12:/destpath
本地到远程
常用选项：
-C: 压缩数据流
-r: 递归复制 #复制目录需要递归
-p: 保持原文件的属性信息
-q: 静默模式
-P PORT: 指明remote host 的监听的端口

rsync 命令：
基于ssh 和rsh 服务实现高效率的远程系统之间复制文件
使用安全的shell 连接做为传输方式
• rsync –av /etc 172.18.12.11:/tmp 复制目录和目录下文件
• rsync –av /etc/ 172.18.12.11:/tmp 只复制目录下文件
目标地址，注意 / 有区别
比scp 更快，只复制不同的文件，
选项：
-n 模拟复制过程
-v 显示详细过程
-r 递归复制目录树
-p 保留权限
-t 保留时间戳
-g 保留组信息
-o 保留所有者信息
-l 把把符号链接文件做为符号文件进行复制（默认）
-L 将软链接文件指向文件复制
-a 存档，相当于–rlptgoD ，但不保留ACL （-A ）和SELinux 属性（-X））

交互式文件传输工具sftp 命令：
用法和传统的ftp 工具相似
利用ssh 服务实现安全的文件上传和下载
使用ls cd mkdir rmdir pwd get put 等指令，可用？或help获取帮助信息
sftp [user@]host #sftp 172.18.12.11
sftp> help

什么是SSH 端口转发？
SSH 会自动加密和解密所有 SSH 客户端与服务端之间的网络数据。
但是，SSH 还能够将其他 TCP 端口的网络数据通过 SSH 链接来转发\
并且自动提供了相应的加密及解密服务。这一过程也被叫做“隧道”
（tunneling ），这是因为 SSH 为其他 TCP 链接提供了一个安全的通
道来进行传输而得名。例如，Telnet ，SMTP ，LDAP 些这些 TCP 应用均
能够从中得益，避免了用户名，密码以及隐私信息的明文传输。而与此同时，
如果工作环境中的防火墙限制了一些网络端口的使用，但是允许
SSH的连接，也能够通过将 TCP 端口转发来使用 SSH 进行通讯
SSH 端口转发能够提供两大功能：
• 加密 SSH Client 端至 SSH Server 端之间的通讯数据
• 突破防火墙的限制完成一些之前无法建立的 TCP 连接
本地转发：
-L localport:remotehost:remotehostport sshserver
选项：
-f 后台启用
-N 不打开远程shell ，处于等待状态
-g 启用网关功能
示例： #需要再客户端运行
ssh -L 9527:172.18.12.11:23 172.18.12.12
开启本地9527端口到目标主机23端口，同时开启本地随机端口到
跳板机ssh端口22，经过跳板机172.17.12.12
然后访问本机的9527 的端口时，被加密后转发到跳板机的ssh 服务，
在本机打开另外客户端：访问 #telnet 127.0.0.1 9527 可到达目标
可这样理解： Data ——sshsrv:9527 ——–sshsrv:22——-
localhost:XXXXX ——localhost:YYYYY——-telnetsrv:23

远程转发:
-R sshserverport:remotehost:remotehostport sshserver
示例：
ssh –R 9527:telnetsrv:23 –N sshsrv

ssh -R 9527:目标主机地址：23 -N 客户端地址

# ssh -R 9527:172.182.12.11:23 -N 客户端地址

然后客户端运行： #telnet 127.0.0.1 9527 可到达目标
让sshsrv 侦听9527 端口的访问，如有访问，就加密后通过ssh
服务转发请求到本机ssh 客户端，再由本机解密后转发
到telnetsrv:23
Data —–sshsrv:9527 ——–sshsrv:22——-
localhost:XXXXX —–localhost:YYYYY——– telnetsrv:23

动态端口转发：
当用firefox 访问internet 时，本机的1080 端口做为代理服务器，
firefox 的访问请求被转发到sshserver 上，由sshserver替之访问internet
在本机firefox 设置代理socket proxy:127.0.0.1:1080
#ssh -D 1080 root@sshserver
ssh -D 9527 172.18.12.12 #打开本地端口9527，指定代理地址
然后在linux浏览器中高级设置网络中填写127.0.0.1 9527，保存访问

服务器端：sshd, 配置文件: /etc/ssh/sshd_config
服务器软件包：openssh-server
常用参数：
Port
ListenAddress ip
PermitRootLogin yes
ClientAliveInterval 和ClientAliveCountMax
UseDNS #反向解析域名 no 不允许
MaxStartups 最大允许保持多少个未认证连接。默认值10
MaxSessions 同一个连接最大会话最大默认100
限制可登录用户的办法：
AllowUsers user1 user2 user3 #白名单
DenyUsers #黑名单
AllowGroups #组的白名单
DenyGroups #组的黑名单

ssh 服务的最佳实践
要使用默认端口
禁止使用protocol version 1
限制可登录用户
设定空闲会话超时时长
利用防火墙设置ssh 访问策略
仅监听特定的IP地址
基于口令认证时，使用强密码策略
tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30| xargs
使用基于密钥的认证
禁止使用空密码
禁止root 用户直接登录
限制ssh 的访问频度和并发在线数
做好日志，经常分析

ssh 协议的另一个实现：dropbear #抛弃的狗熊..
安装准备：
• 1 、安装开发包组:
• 2 、ftp://172.16.0.1/pub/Sources/sources/dropbear
• /dropbear-2013.58.tar.bz2
安装：
• 3 、tar xf dropbear-2013.58.tar.bz2,
• 4 、less INSTALL #建议查看安装文件
• 5 、./configure
• 6 、make PROGRAMS=”dropbear dbclient dropbearkey
dropbearconvert scp” #安装的功能，直接make都安装
• 7 、make PROGRAMS=”dropbear dbclient dropbearkey
dropbearconvert scp” install
启动ssh 服务：
• 8 、ls /usr/local/sbin/ /usr/local/bin/
• 9 、/usr/local/sbin/dropbear -h #查看帮助
• 10 、mkdir /etc/dropbear #此文件需要手动生成
• 11 、dropbearkey -t rsa -f #生成秘钥对，文件名帮助里有
/etc/dropbear/dropbear_rsa_host_key -s 2048
• 12 、dropbearkey -t dss -f #这是另外一种加密
/etc/dropbear/dropbear_dsa_host_key
• 13 、dropbear -p 2222 -FE # 前台运行
dropbear -p 2222 # 后台运行
客户端访问：
• 14 、ssh -p 2222 root@127.0.0.1
• 15 、dbclient -p 2222 root@127.0.0.1

AIDE: #高级的入侵检测环境
当一个入侵者进入了你的系统并且种植了木马，通常会想
办法来隐蔽这个木马（除了木马自身的一些隐蔽特性外，
他会尽量给你检查系统的过程设置障碍），通常入侵者会
修改一些文件，比如管理员通常用ps -aux 来查看系统进
程，那么入侵者很可能用自己经过修改的ps 程序来替换掉
你系统上的ps 程序，以使用ps 命令查不到正在运行的木马
程序。如果入侵者发现管理员正在运行crontab 作业，也
有可能替换掉crontab 程序等等。所以由此可以看出对于
系统文件或是关键文件的检查是很必要的。目前就系统完
整性检查的工具用的比较多的有两款：Tripwire 和AIDE
，前者是一款商业软件，后者是一款免费的但功能也很强
大的工具
AIDE(Adevanced Intrusion Detection Environment)
• 高级入侵检测环境) 是一个入侵检测工具，主要用途是检查文件的
完整性，审计计算机上的那些文件被更改过了。
• AIDE 能够构造一个指定文件的数据库，它使用aide.conf 作为其配
置文件。AIDE 数据库能够保存文件的各种属性，包括：权限
(permission) 、索引节点序号(inode number) 、所属用户(user)、
所属用户组(group) 、文件大小、最后修改时间(mtime) 、创建时间
(ctime) 、最后访问时间(atime) 、增加的大小以及连接数。AIDE
还能够使用下列算法：sha1 、md5 、rmd160 、tiger ，以密文形式
建立每个文件的校验码或散列号.
• 这个数据库不应该保存那些经常变动的文件信息，例如：日志文件
、邮件、/proc 文件系统、用户起始目录以及临时目录.

安装
yum install aide
修改配置文件
vim /etc/aide.conf ( 指定对哪些文件进行检测)
例如：
# matches. e.g. Put file matches before directories.
/app DATAONLY #监控此目录后面是监控的内容
!/app/f1 #这表示不监控此文件
注意：默认 matches下面有很多监控目录，建议删除，自己选择目录监控
更改完成后生成数据库：aide –init
然后找到对应的数据库目录/var/lib/aide/ 把文件改名，删除其中的new
使用aide –check 检测，
中途做了修改可以更新数据库或者重新生成，使用时需要重命名，删除new

技巧：export EDITOR=vim #设置模式编辑器vim，
sudo:
sudo 能够授权指定用户在指定主机上运行某些命令,
如果未授权用户用尝试使用sudo
sudo 可以提供日志，记录每个用户使用sudo
sudo 为系统管理员提供配置文件，允许系统管理员集中地
管理用户的使用权限和使用的主机
sudo 使用时间戳文件来完成类似“检票”的系统，默认存
活期为5 分钟的 “入场券”
通过visudo 命令编辑配置文件，具有语法检查功能
配置文件：/etc/sudoers, /etc/sudoers.d/
时间戳文件：/var/db/sudo
日志文件：/var/log/secure
配置文件支持使用通配符glob：：
？: 任意单一字符
* ：匹配任意长度字符
[wxc]: 匹配其中一个字符
[!wxc]: 除了这三个字符的其它字符
\x : 转义
[[alpha]] : 字母：示例： /bin/ls [[alpha]]*
配置文件规则有两类；
1 、别名定义: 不是必须的
2 、授权规则: 必须的

授权规则格式： #使用：visudo命令，更改规则
用户登入主机=( 代表用户) 命令
示例：
root ALL=(ALL) ALL #其中命令需要绝对匹配，少个/都不行
exam： shewei ALL=/bin/cat /etc/shadow,/bin/mount /dev/sr0/ /mnt/
注意：这里的root是个安全漏洞，如果root是普通用户，可以代替管理员操作
su -u 管理员 passwd 管理员 #可以直接运行管理员命令
格式说明：
user: 运行命令者的身份
host: 通过哪些主机
(runas) ：以哪个用户的身份
command: 运行哪些命令 #这里可以直接选择目录/bin
用户和命令都支持别名定义：
User_Alias NETADMIN= netuser1,netuser2
Cmnd_Alias NETCMD = /usr/sbin/ip
NETADMIN ALL= （root）） NETCMD
!/usr/bin/passwd root #排除此命令
注意： %wheel ALL=(ALL) ALL #这个组里的用户权限也大

sudo 命令：