一、SSH基础

1、什么是SSH协议？

• SSH（Secure Shell）是一种安全通道协议，主要用来实现字符界面的远程登录、远程 复制等功能；
• SSH 协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的用户口令；
• SSH 为建立在应用层和传输层基础上的安全协议。对数据进行压缩，加快传输速度。
• SSH使用传输层TCP协议的22号端口。

SSH客户端<--------------网络---------------->SSH服务端

2、SSH的优点

远程管理Linux系统基本上都要失业到ssh，原因很简单：telnet、FTP等传输方式是以明文传送用户认证信息，本质上是不安全的，存在被网络窃听的危险。SSH（Secure Shell）目前较可靠，是专为远程等； 会话和其他忘了服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题，通过SSH可以对所有传输的数据进行加密，也能够防止DNS欺骗和IP欺骗

• 数据传输是加密的，可以防止信息泄漏
• 数据传输是压缩的，可以提高传输速度

3 常见的SSH服务软件/工具

客户端软件：

• Linux 客户端: ssh, scp, sftp，slogin
• Windows 客户端：xshell, MobaXterm,putty, securecrt, ssh secure shell client

服务端软件：

• 软件名sshd，闭源。
• 软件名openssh，服务名sshd。CENTOS 7默认安装的是这个软件包。

OpenSSH软件包

• 服务名称：sshd
• 服务端主程序：/usr/sbin/sshd
• 服务端配置文件：/etc/ssh/sshd_config
• 客户端配置文件：/etc/ssh/ssh.config

 OpenSSH 是实现SSH协议的开源软件项目，适用于各种UNIX、 Linux 操作系统。    Centos 7系统默认已安装openssh相关软件包，并将sshd 服务添加为开机自启动。

 执行"systemctl start sshd"命令即可启动sshd 服务

 sshd 服务默认使用的是TCP的22端口，安全协议版本sshv2，除了2之外还有1（有漏洞）。 复制代码

ssh服务端主要包括两个服务功能ssh远程连接和sftp服务。

作用：SSHD服务使用SSH协议可以用来进行远程控制，或在计算机之间传输文件。

相比较之前的telnet方式传输文件要安全很多，因为telnet使用明文密码，别人抓包就能看见，非常不安全。

二、ssh原理

1、公钥传输原理

• 客户端发起链接请求。
• 服务端返回自己的公钥，以及一个会话ID（这一步客户端得到服务端公钥）。
• 客户端生成密钥对。
• 客户端用自己的公钥异或会话ID，计算出一个值Res，并用服务端的公钥加密。
• 客户端发送加密后的值到服务端，服务端用私钥解密，得到Res。
• 服务端用解密后的值Res异或会话ID，计算出客户端的公钥（这一步服务端得到客户端公钥）。
• 最终：双方各自持有三个秘钥，分别为自己的一对公、私钥，以及对方的公钥，之后的所有通讯都会被加密。

2、登录

登录方式一：

 ssh  [远程主机用户名]@[远程服务器主机名或IP地址]  [-p port]
复制代码

示例：

1）当在 Linux 主机上远程连接另一台 Linux 主机时，如当前所登录的用户是 root 的话，当连接另一台主机时也是用 root 用户登录时，可以直接使用 ssh IP，端口默认即可，如果端口不是默认的情况下，需要使用-p 指定端口。

命令格式：ssh 地址 -p 端口号

 [root@localhost ~]# ssh 192.168.37.101
 The authenticity of host '192.168.37.101(192.168.72.129)' can't be established.
 ECDSA key fingerprint is SHA256:m2RXC9LWWMV4LvTmIhHz2an/uoO2x6TIEZnkJmcfyek.
 ECDSA key fingerprint is MD5:99:3c:95:b7:53:06:19:7e:30:76:57:9b:e1:d4:4e:b1.
 Are you sure you want to continue connecting (yes/no)? yes
 Warning: Permanently added '192.168.72.101' (ECDSA) to the list of known hosts.
 root@192.168.72.101's password: 

2）以用户1122的身份进行登录访问

 [root@localhost ~]# ssh 1122@192.168.37.101
 lulu@192.168.37.101's password: 
 [1122@localhost root]$

登录方式二：

 ssh -l [远程主机用户名] [远程服务器主机名或IP 地址] -p port
 ​
 -l：指定登录名称。
 -p：指定登录端口。（当服务端的配置文件/etc/ssh/sshd-config中修改了端口后，即非默认端口22时，需要使用-p 指定端口进行登录）

登录方式三：跳板连接

有些企业出于安全起见，会做一些安全策略（例如防火墙），不允许主机A直接连接生产服务器D，只允许主机B连接D。此时可以由A先连B，之后由B连接D。

使用命令：ssh -t 跳板连接

 # 服务端模拟防火墙
 [root@192 ~]# iptables -A INPUT -s 192.168.72.102 -j REJECT  //服务端拒绝所有来自192.168.72.102的访问
 ​
 # 客户端借助 192.168.72.150 跳板连接
 [root@localhost ~]]# ssh -t 192.168.72.150 ssh 192.168.72.150   //方便跳板连接

登录方式四：

ssh连接时直接跟命令，连接后命令立即生效。例如跟 ls 命令：

3、known_hosts 文件

ssh会把每个你访问过的服务端的公钥（public key）都记录在known_hosts 文件中。 同时服务端也会记录客户端的公钥。

文件位置：~/.ssh/known_hosts

known_hosts 文件的作用：

A通过ssh首次连接到B，B会将公钥1（host key）传递给A，A将公钥1存入known_hosts文件中，以后A再连接B时，B依然会传递给A一个公钥2，OpenSSH会核对公钥，通过对比公钥1与公钥2 是否相同来进行简单的验证，如果公钥不同，OpenSSH会发出警告， 避免你受到DNS Hijack之类的攻击。。

举例说明：

如果主机A的known_hosts 文件，已经记录了主机B（IP地址为192.168.37.101）的公钥，下次主机C将IP地址修改成了和B的一样假冒B，那么A使用ssh连接192.168.37.101时，就会出现冲突警告，因为C的公钥和 known_hosts 文件中记录的不一致，系统不允许连接。

示例：

客户端：192.168.37.10

服务端：192.168.37.101

1）客户端首次连接服务端时，系统会询问是否交换公钥，进行安全确认。确认连接后，双方的known_hosts文件都会记录对方的公钥。

 [root@localhost ~]# ssh 192.168.37.101
 The authenticity of host '192.168.37.101 (192.168.72.129)' can't be established.
 ECDSA key fingerprint is SHA256:m2RXC9LWWMV4LvTmIhHz2an/uoO2x6TIEZnkJmcfyek.
 ECDSA key fingerprint is MD5:99:3c:95:b7:53:06:19:7e:30:76:57:9b:e1:d4:4e:b1.
 Are you sure you want to continue connecting (yes/no)? yes     //系统询问是否交换公钥，进行安全确认
 Warning: Permanently added '192.168.37.101' (ECDSA) to the list of known hosts.
 root@192.168.37.101's password: 

2）客户端的 known_hosts 文件会记录服务端的公钥。

 [root@localhost ~]# cat ~/.ssh/known_hosts    //查看客户段的known_hosts文件，记录下服务端的公钥
 192.168.37.101 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBHSbQ2JSmHEibvy2if6kLTKZeeFoshUggYoVMcGhdpZG0ZGH2Kaue8g69fEVhM4pVmisXBNLgocyG3PaY6ZO30o=
 [root@localhost ~]#

3）服务端的 known_hosts 文件会记录客户端的公钥

 [root@localhost]# cat ~/.ssh/known_hosts  //服务端的known——hosts文件也会记录客户端的公钥
 192.168.37.10 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBBpLAWZdK1dmCqzq0I6v90JcwuwiWxOpH44n1b04JrBnRkQCN+mOMeWZwVXdkOzdwISfsF+5WlSpC3+XTSyF8bY=
 [root@localhost]# 

三、sshd服务端配置

sshd服务端配置文件：/etc/ssh/sshd_config

服务监听选项：

• 端口号、协议版本、监听IP地址
• 禁用反向解析

常用参数说明：

 [root@localhosts]# cat /etc/ssh/sshd_config
 --------------------
  17 #Port 22                   //端口号，生产环境建议修改端口号
  18 #AddressFamily any
  19 #ListenAddress 0.0.0.0
  20 #ListenAddress ::
 ​
  38 #LoginGraceTime 2m         //发起连接后多少时间内必须登录，超时断开连接
  39 #PermitRootLogin yes       //是否允许root用户登录，ubantu不允许root远程ssh登录
  40 #StrictModes yes           //检查.ssh/文件的所有者，权限等
  41 #MaxAuthTries 6            //最多允许输错几次密码（centos7默认3次，修改也无效）
  42 #MaxSessions 10            //同一时间最多允许10个远程连接
 ​
  65 #PermitEmptyPasswords no    //是否允许空密码用户登录
  66 PasswordAuthentication yes  //基于用户和密码验证
 ​
 116 #UseDNS no                //禁用反向解析，提高速度可设置为no
 ​
 ​
 #设置黑白名单
 #llowUsers yuji@192.168.37.10  lisi   //只允许yuji用户从192.168.37.10访问，允许lisi从所有地址访问
 #enyUsers liwu    //不允许使用liwu用户登录
 ​
 #白名单的优先级高于黑名单。如果一个用户同时加入了白名单和黑名单，那么该用户是可以访问的。
 #如果不设置白名单，则所有用户都可以登录访问。一旦设置了白名单，那么只有白名单内的用户可以访问。

示例：

修改端口号，将默认端口22修改为9527。

 [root@localhost ~]# vim /etc/ssh/sshd_config
 --------------------
  17 #Port 9527                  //将端口号改为9527
 ​
 [root@localhost ~]# ssh 192.168.72.129 -p 9527  //连接时，需要使用-p指定端口

四、sshd客户端配置

1 客户端配置文件

客户端配置文件：/etc/ssh/ssh_config

客户端首次连接服务端时，系统询问是否交换公钥，进行安全确认。这是由客户端配置文件默认的，可以修改配置文件ssh_config取消询问

2、sftp命令

SFTP是SSH File Transfer Protocol的缩写，安全文件传送协议。SFTP与FTP有着几乎一样的语法和功能。SFTP为SSH的其中一部分，是一种传输档案至 Blogger 伺服器的安全方式。其实在SSH软件包中，已经包含了一个叫作SFTP的安全文件信息传输子系统，SFTP本身没有单独的守护进程，它必须使用sshd守护进程(端口号默认是22)来完成相应的连接和答复操作，所以从某种意义上来说，SFTP并不像一个服务器程序，而更像是一个客户端程序。

sftp命令格式：

sftp [用户名@]IP地址  
sftp -oPort=220 [用户名@]IP地址   //修改了默认端口的情况下，需要指定端口号

sftp连接后的常用命令：

 get        #下载文件
 get -r     #下载目录
 put        #上传文件
 put -r     #上传目录
 quit、exit、bye      #退出

sftp和ftp的区别：

• 连接方式：FTP使用TCP端口21上的控制连接建立连接。而，SFTP是在客户端和服务器之间通过SSH协议(TCP端口22)建立的安全连接来传输文件。
• 安全性：SFTP使用加密传输认证信息和传输的数据，所以使用SFTP相对于FTP是非常安全。
• 效率：SFTP这种传输方式使用了加密解密技术，所以传输效率比普通的FTP要低得多。

五、免密码登录

1、sshd服务支持登录验证方式

• 密码验证： 以服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便，但从客户机角度来看，正在连接的服务器有可能被假冒，从服务器角度来看，当遭遇密码暴力破解攻击时防御能力比较弱。

• 密钥对验证： 要求提供相匹配的密钥信息才能通过验证，通常先在客户机中创建一对密钥文件（公钥和私钥），然后将公钥文件放到服务器中的指定位置。远程登录时，系统将使用公钥、私钥进行加密/解密关联验证，增强了远程管理的安全性。

  • 公钥和私钥是成对生成的，这两个密钥互不相同，可以互相加密和解密；
  • 不能根据一个密码来推算出另一个密钥；
  • 公钥对外公开，私钥只有私钥的持有人才知道。

2、设置免密码登录

免密码原理流程：

1. 首先在客户端生成一对密钥（ssh-keygen）。
2. 并将客户端的公钥ssh-copy-id 拷贝到服务端。
3. 当客户端再次发送一个连接请求时，包括ip、用户名。
4. 服务端得到客户端的请求后，会到 authorized_keys 文件中查找，如果有相应的IP和用户，就会随机生成一个字符串，例如：kfc。
5. 服务端将使用客户端拷贝过来的公钥进行加密，然后发送给客户端。
6. 得到服务端发来的消息后，客户端会使用私钥进行解密，然后将解密后的字符串发送给服务端。
7. 服务端接受到客户端发来的字符串后，跟之前的字符串进行对比，如果一致，就进行免密码登录。

相关命令：

 ssh-keygen -t ecdsa
 ssh-copy-id -i id_ecdsa.pub zhangsan@192.168.72.129
 ssh-add 

操作步骤：

1、客户端使用命令生成密钥文件。

家目录 ~/.ssh/ 下会生成两个密钥文件，一个公钥一个私钥，.pub结尾的是公钥

ssh-keygen -t ecdsa

 [root@localhost ~]# ssh-keygen -t ecdsa     //生成密钥文件
 Generating public/private ecdsa key pair.
 Enter file in which to save the key (/root/.ssh/id_ecdsa): 
 Enter passphrase (empty for no passphrase): 
 Enter same passphrase again: 
 Your identification has been saved in /root/.ssh/id_ecdsa.
 Your public key has been saved in /root/.ssh/id_ecdsa.pub.
 The key fingerprint is:
 SHA256:7chFnJIV8f9fOJhVCk1U+F+3EtGX1NqCWaX5rZZnQEI root@localhost.localdomain
 The key's randomart image is:
 +---[ECDSA 256]---+
 |          +oE.===|
 |         + + +o=o|
 |        o + ++*+o|
 |         +  o*o+*|
 |        S o   *.B|
 |       . +   = B.|
 |        o . o B =|
 |             . +o|
 |                .|
 +----[SHA256]-----+
 [root@localhost ~]# cd ~/.ssh          //切换到sshd服务的家目录下
 [root@localhost .ssh]# ls 
 id_ecdsa  id_ecdsa.pub  known_hosts    //同时生成公钥和私钥文件

2、将客户端的公钥文件拷贝到服务端

ssh-copy-id -i .ssh/id_rsa.pub 地址

[root@localhost ~]# ssh-copy-id -i .ssh/id_rsa.pub 192.168.37.133
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: ".ssh/id_rsa.pub"
The authenticity of host '192.168.37.133 (192.168.37.133)' can't be established.
ECDSA key fingerprint is SHA256:ITlMaRTOx+GiZ/3S32i7uzQJ9f1FAHrAGdY6XkHLIlQ.
ECDSA key fingerprint is MD5:24:c1:07:e3:b3:6b:c3:42:63:36:6f:dd:10:2f:c1:76.
Are you sure you want to continue connecting (yes/no)? yes
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.37.133's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh '192.168.37.133'"
and check to make sure that only the key(s) you wanted were added.

3、测试远程连接服务端时，是否免密码

[root@localhost .ssh]# ssh 192.168.37.133
 Last failed login: Wed Oct 17 16:18:09 CST 2022 from 192.168.72.101 on ssh:notty
 There were 13 failed login attempts since the last successful login.
 Last login: Tue Oct 16 23:57:20 2022 from 192.168.72.10

六、TCP Wrappers 访问控制

TCP_Wrappers是一个工作在第四层（传输层）的的安全工具，对有状态连接的特定服务进行安全检测并实现访问控制，凡是包含有libwrap.so库文件的的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问，常见的程序有 rpcbind、vsftpd、sshd、telnet。

有些进程不受tcp_wrappers管理，例如 httpd、smb、squid等。

1、工作原理

TCP_Wrappers有一个TCP的守护进程叫作tcpd。以ssh为例，每当有ssh的连接请求时，tcpd即会截获请求，先读取系统管理员所设置的访问控制文件，符合要求，则会把这次连接原封不动的转给真正的ssh进程，由ssh完成后续工作；如果这次连接发起的ip不符合访问控制文件中的设置，则会中断连接请求，拒绝提供ssh服务。

保护机制实现方式：

• 方式1：通过tcpd程序对其他服务程序进行包装
• 方式2：由其他服务程序调用libwrap.so.*链接库

2 访问控制策略的配置文件

白名单：/etc/hosts.allow

黑名单：/etc/hosts.deny

示例：

1）设置白名单

 [root@192 ~]# vim /etc/hosts.allow
 ---------------
 sshd:192.168.72.10，192.168.72.20    //允许这两个地址使用sshd服务进行访问
 ​
 sshd：192.168.4.0/255.255.255.0      //允许该网段的所有地址使用sshd服务进行访问
 ​

2）设置黑名单

[root@192 ~]# vim /etc/hosts.deny  ---------------  
sshd:ALL           //禁止所有地址使用sshd服务进行访问  ​  
sshd：192.168.0.0/255.255.255.0 EXCEPT 192.168.0.10   //禁止该网段的所有地址使用sshd服务进行访问，除了192.168.0.10

ps：

1. 白名单的优先级高于黑名单，如果一个地址既在白名单也在黑名单中，该地址是可以访问的。
2. 实际工作中一般通过防火墙的方式来实现同样功能。