1 SSH基础
1.1 什么是SSH协议?
- SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程 复制等功能;
- SSH 协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令;
- SSH 为建立在应用层和传输层基础上的安全协议。对数据进行压缩,加快传输速度。
- SSH使用传输层TCP协议的22号端口。
SSH客户端<--------------网络---------------->SSH服务端
1.2 SSH的优点
远程管理Linux系统基本上都要失业到ssh,原因很简单:telnet、FTP等传输方式是以明文传送用户认证信息,本质上是不安全的,存在被网络窃听的危险。SSH(Secure Shell)目前较可靠,是专为远程等; 会话和其他忘了服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题,通过SSH可以对所有传输的数据进行加密,也能够防止DNS欺骗和IP欺骗
- 数据传输是加密的,可以防止信息泄漏
- 数据传输是压缩的,可以提高传输速度
1.3 常见的SSH服务软件/工具
客户端软件:
- Linux 客户端: ssh, scp, sftp,slogin
- Windows 客户端:xshell, MobaXterm,putty, securecrt, ssh secure shell client
服务端软件:
- 软件名sshd,闭源。
- 软件名openssh,服务名sshd。CENTOS 7默认安装的是这个软件包。
OpenSSH软件包
- 服务名称:sshd
- 服务端主程序:/usr/sbin/sshd
- 服务端配置文件:/etc/ssh/sshd_config
- 客户端配置文件:/etc/ssh/ssh.config
OpenSSH 是实现SSH协议的开源软件项目,适用于各种UNIX、 Linux 操作系统。 Centos 7系统默认已安装openssh相关软件包,并将sshd 服务添加为开机自启动。 执行"systemctl start sshd"命令即可启动sshd 服务 sshd 服务默认使用的是TCP的22端口,安全协议版本sshv2,除了2之外还有1(有漏洞)。 复制代码
ssh服务端主要包括两个服务功能ssh远程连接和sftp服务。
作用:SSHD服务使用SSH协议可以用来进行远程控制,或在计算机之间传输文件。
相比较之前的telnet方式传输文件要安全很多,因为telnet使用明文密码,别人抓包就能看见,非常不安全。
2 ssh原理
2.1公钥传输原理
- 客户端发起链接请求。
- 服务端返回自己的公钥,以及一个会话ID(这一步客户端得到服务端公钥)。
- 客户端生成密钥对。
- 客户端用自己的公钥异或会话ID,计算出一个值Res,并用服务端的公钥加密。
- 客户端发送加密后的值到服务端,服务端用私钥解密,得到Res。
- 服务端用解密后的值Res异或会话ID,计算出客户端的公钥(这一步服务端得到客户端公钥)。
- 最终:双方各自持有三个秘钥,分别为自己的一对公、私钥,以及对方的公钥,之后的所有通讯都会被加密。
2.2 登录
登录方式一:
ssh [远程主机用户名]@[远程服务器主机名或IP地址] [-p port] 复制代码
示例:
1)当在 Linux 主机上远程连接另一台 Linux 主机时,如当前所登录的用户是 root 的话,当连接另一台主机时也是用 root 用户登录时,可以直接使用 ssh IP,端口默认即可,如果端口不是默认的情况下,需要使用-p 指定端口。
[root@localhost ~]# ssh 192.168.72.129 The authenticity of host '192.168.72.129 (192.168.72.129)' can't be established. ECDSA key fingerprint is SHA256:m2RXC9LWWMV4LvTmIhHz2an/uoO2x6TIEZnkJmcfyek. ECDSA key fingerprint is MD5:99:3c:95:b7:53:06:19:7e:30:76:57:9b:e1:d4:4e:b1. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '192.168.72.129' (ECDSA) to the list of known hosts. root@192.168.72.129's password: Last login: Tue Mar 22 23:16:12 2022 from 192.168.72.1 复制代码
2)以用户lulu的身份进行登录访问。
[root@localhost ~]# ssh lulu@192.168.72.129 lulu@192.168.72.129's password: [lulu@192 ~]$ 复制代码
登录方式二:
ssh -l [远程主机用户名] [远程服务器主机名或IP 地址] -p port -l:指定登录名称。 -p:指定登录端口。(当服务端的配置文件/etc/ssh/sshd-config中修改了端口后,即非默认端口22时,需要使用-p 指定端口进行登录) 复制代码
示例:
[root@localhost ~]# ssh -l root 192.168.72.129 root@192.168.72.129's password: Last login: Tue Mar 22 23:16:40 2022 from 192.168.72.10 [root@192 ~]# 复制代码
登录方式三:跳板连接
有些企业出于安全起见,会做一些安全策略(例如防火墙),不允许主机A直接连接生产服务器D,只允许主机B连接D。此时可以由A先连B,之后由B连接D。
使用命令:ssh -t 跳板连接
# 服务端模拟防火墙 [root@192 ~]# iptables -A INPUT -s 192.168.72.10 -j REJECT //服务端拒绝所有来自192.168.72.10的访问 # 客户端借助 192.168.72.88 跳板连接 [root@localhost ~]]# ssh -t 192.168.72.88 ssh 192.168.72.129 //方便跳板连接 复制代码
登录方式四:
ssh连接时直接跟命令,连接后命令立即生效。例如跟 ls 命令:
[root@localhost ~]# ssh 192.168.72.129 ls root@192.168.72.129's password: anaconda-ks.cfg initial-setup-ks.cfg 公共 模板 视频 图片 文档 下载 音乐 桌面 复制代码
2.3 known_hosts 文件
ssh会把每个你访问过的服务端的公钥(public key)都记录在known_hosts 文件中。 同时服务端也会记录客户端的公钥。
文件位置:~/.ssh/known_hosts
known_hosts 文件的作用:
A通过ssh首次连接到B,B会将公钥1(host key)传递给A,A将公钥1存入known_hosts文件中,以后A再连接B时,B依然会传递给A一个公钥2,OpenSSH会核对公钥,通过对比公钥1与公钥2 是否相同来进行简单的验证,如果公钥不同,OpenSSH会发出警告, 避免你受到DNS Hijack之类的攻击。。
举例说明:
如果主机A的known_hosts 文件,已经记录了主机B(IP地址为192.168.72.129)的公钥,下次主机C将IP地址修改成了和B的一样假冒B,那么A使用ssh连接192.168.72.129时,就会出现冲突警告,因为C的公钥和 known_hosts 文件中记录的不一致,系统不允许连接。
示例:
客户端:192.168.72.10
服务端:192.168.72.129
1)客户端首次连接服务端时,系统会询问是否交换公钥,进行安全确认。确认连接后,双方的known_hosts文件都会记录对方的公钥。
[root@localhost ~]# ssh 192.168.72.129 The authenticity of host '192.168.72.129 (192.168.72.129)' can't be established. ECDSA key fingerprint is SHA256:m2RXC9LWWMV4LvTmIhHz2an/uoO2x6TIEZnkJmcfyek. ECDSA key fingerprint is MD5:99:3c:95:b7:53:06:19:7e:30:76:57:9b:e1:d4:4e:b1. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '192.168.72.129' (ECDSA) to the list of known hosts. root@192.168.72.129's password: Last login: Tue Mar 22 23:29:24 2022 from 192.168.72.10 [root@192 ~]# 复制代码
2)客户端的 known_hosts 文件会记录服务端的公钥。
[root@localhost ~]# cat ~/.ssh/known_hosts 192.168.72.129 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBHSbQ2JSmHEibvy2if6kLTKZeeFoshUggYoVMcGhdpZG0ZGH2Kaue8g69fEVhM4pVmisXBNLgocyG3PaY6ZO30o= [root@localhost ~]# 复制代码
3)服务端的 known_hosts 文件会记录客户端的公钥。
[root@192 ~]# cat ~/.ssh/known_hosts 192.168.72.10 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBBpLAWZdK1dmCqzq0I6v90JcwuwiWxOpH44n1b04JrBnRkQCN+mOMeWZwVXdkOzdwISfsF+5WlSpC3+XTSyF8bY= [root@192 ~]# 复制代码
思考:
- 我们登录时如何确认对方是不是我需要连接的服务器?
- 方法:A的known_hosts 文件中已经记录了B的公钥,那么A在连接B之前,B可以使用”ssh 127.0.0.1“命令连接自己,之后B查看本地known_hosts文件中自己的公钥,和A中记录的进行核对。
3 sshd服务端配置
sshd服务端配置文件:/etc/ssh/sshd_config
服务监听选项:
- 端口号、协议版本、监听IP地址
- 禁用反向解析
常用参数说明:
[root@192t ~]# cat /etc/ssh/sshd_config -------------------- 17 #Port 22 //端口号,生产环境建议修改端口号 18 #AddressFamily any 19 #ListenAddress 0.0.0.0 20 #ListenAddress :: 38 #LoginGraceTime 2m //发起连接后多少时间内必须登录,超时断开连接 39 #PermitRootLogin yes //是否允许root用户登录,ubantu不允许root远程ssh登录 40 #StrictModes yes //检查.ssh/文件的所有者,权限等 41 #MaxAuthTries 6 //最多允许输错几次密码(centos7默认3次,修改也无效) 42 #MaxSessions 10 //同一时间最多允许10个远程连接 65 #PermitEmptyPasswords no //是否允许空密码用户登录 66 PasswordAuthentication yes //基于用户和密码验证 116 #UseDNS no //禁用反向解析,提高速度可设置为no #设置黑白名单 #llowUsers yuji@192.168.72.10 lisi //只允许yuji用户从192.168.72.10访问,允许lisi从所有地址访问 #enyUsers liwu //不允许使用liwu用户登录 #白名单的优先级高于黑名单。如果一个用户同时加入了白名单和黑名单,那么该用户是可以访问的。 #如果不设置白名单,则所有用户都可以登录访问。一旦设置了白名单,那么只有白名单内的用户可以访问。 复制代码
示例:
修改端口号,将默认端口22修改为9527。
[root@localhost ~]# vim /etc/ssh/sshd_config -------------------- 17 #Port 9527 //将端口号改为9527 [root@localhost ~]# ssh 192.168.72.129 -p 9527 //连接时,需要使用-p指定端口 复制代码
