SSH基础

什么是SSH协议

SSH（Secure Shell）是一种安全通道协议，主要用来实现字符界面的远程登录、远程 复制等功能。

SSH 协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的用户口令，SSH 为建立在应用层和传输层基础上的安全协议。

对数据进行压缩，加快传输速度。

SSH客户端<--------------网络---------------->SSH服务端

优点

• 数据传输是加密的，可以防止信息泄漏
• 数据传输是压缩的，可以提高传输速度

SSH原理

公钥传输原理

• 客户端发起链接请求
• 服务端返回自己的公钥，以及一个会话ID（这一步客户端得到服务端公钥）
• 客户端生成密钥对
• 客户端用自己的公钥异或会话ID，计算出一个值Res，并用服务端的公钥加密
• 客户端发送加密值到服务端，服务端用私钥解密，得到Res
• 服务端用解密后的值Res异或会话ID，计算出客户端的公钥（这一步服务端得到客户端公钥）
• 最终：双方各自持有三个秘钥，分别为自己的一对公、私钥，以及对方的公钥，之后的所有通讯都会被加密

登录

方式一

 ssh  [远程主机用户名]@[远程服务器主机名或IP地址]  [-p port]

当在 Linux 主机上远程连接另一台 Linux 主机时，如当前所登录的用户是 root 的话，当连接另一台主机时也是用 root 用户登录时，可以直接使用 ssh IP，端口默认即可，如果端口不是默认的情况下，需要使用-p 指定端口。

方式二：

 ssh -l [远程主机用户名] [远程服务器主机名或IP 地址] -p port
 
 -l：指定登录名称。
 -p：指定登录端口。（当服务端的配置文件/etc/ssh/sshd-config中修改了端口后，即非默认端口22时，需要使用-p 指定端口进行登录）

方式三：

有些企业出于安全起见，会做一些安全策略（例如防火墙），不允许主机A直接连接生产服务器D，只允许主机B连接D。此时可以由A先连B，之后由B连接D。

使用命令：ssh -t 跳板连接

方式四：

ssh连接时直接跟命令，连接后命令立即生效。

known_hosts 文件

ssh会把每个你访问过的服务端的公钥（public key）都记录在known_hosts 文件中。 同时服务端也会记录客户端的公钥。

位置：~/.ssh/known_hosts

作用：

通过ssh首次连接到B，B会将公钥1（host key）传递给A，A将公钥1存入known_hosts文件中，以后A再连接B时，B依然会传递给A一个公钥2，OpenSSH会核对公钥，通过对比公钥1与公钥2 是否相同来进行简单的验证，如果公钥不同，OpenSSH会发出警告， 避免你受到DNS Hijack之类的攻击。

[root@localhost ~]# cat ~/.ssh/known_hosts
192.168.10.90 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBKNGu8Fh1rsgKRyPyVNwepBHZl7s5EVYdhLU7rRG2ywLUZNNLPnAZEw7fA2Psxb5EqbZzJYKkrfn/Px2pcwCd34=

• 我们登录时如何确认对方是不是我需要连接的服务器？

• 方法：A的known_hosts 文件中已经记录了B的公钥，那么A在连接B之前，B可以使用”ssh 127.0.0.1“命令连接自己，之后B查看本地known_hosts文件中自己的公钥，和A中记录的进行核对。

常用配置项

1.修改默认端口

[root@localhost ssh]# vim /etc/ssh/sshd_config
----------------------
 17 #Port 22                //修改自己的端口号
 18 #AddressFamily any
 19 #ListenAddress 0.0.0.0
----------------------

2.禁止root用户登录

[root@localhost ssh]#vim  /etc/ssh/sshd_config
#开启38 行 并改为 no，默认注释并写的yes
38 PermitRootLogin no

3.白名单黑名单列表

[root@localhost ssh]#vim /etc/ssh/sshd_config
#手动添加
AllowUsers zhangsan@192.168.10.100  km   
#允许所有有的主机访问我的km用户
#只允许 zhangsan 从192.168.10.80上访问

4 输错密码限制

[root@localhost ssh]#vim /etc/ssh/sshd_config
#取消注释 默认注释了
40 MaxAuthTries 2

[root@localhost ~]#ssh km@192.168.10.100 -p 9527
#默认次数3
km@192.168.91.100's password: 
Permission denied, please try again.
km@192.168.91.100's password: 
Received disconnect from 192.168.10.100 port 9527:2: Too many authentication failures
Authentication failed.

提高安全性的策略

1. 建议使用非默认端口22
2. 禁止使用protocol version 1
3. 限制可登录用户（白名单）
4. 设定空闲会话超时时长
5. 利用防火墙设置ssh访问策略
6. 仅监听特定的IP地址 公网 内网
7. 基于口令认证时，使用强密码策略
8. 使用基于密钥的认证
9. 禁止使用空密码
10. 禁止root用户直接登录
11. 限制ssh的访问频度和并发在线数
12. 经常分析日志分离

免密登录

1.生成公私钥

2.将自己的公钥导给服务端

原理流程：

1. 首先在客户端生成一对密钥（ssh-keygen）
2. 并将客户端的公钥ssh-copy-id 拷贝到服务端
3. 当客户端再次发送一个连接请求，包括ip、用户名
4. 服务端得到客户端的请求后，会到authorized_keys（）中查找，如果有响应的IP和用户，就会随机生成一个字符串
5. 服务端将使用客户端拷贝过来的公钥进行加密，然后发送给客户端
6. 得到服务端发来的消息后，客户端会使用私钥进行解密，然后将解密后的字符串发送给服务端
7. 服务端接收到客户端发来的字符串后，跟之前的字符串进行对比，如果一致，就允许免密码登录

相关命令

 ssh-keygen -t ecdsa
 ssh-copy-id -i id_ecdsa.pub zhangsan@192.168.72.129
 ssh-add 

实验流程

禁止服务端登录

关闭防火墙

[root@localhost ~]# setenforce 0
[root@localhost ~]# systemctl stop firewalld.service

修改配置文件

vim /etc/ssh/sshd_config
------------
Port 10086
------------
PermitRootLogin no

vim /etc/pam.d/su

生成密钥文件

[root@localhost ~]# ssh-keygen

将客户端的公钥文件拷贝到服务端，重启服务

[root@localhost ~]# ssh-copy-id -i .ssh/id_rsa.pub 192.168.10.80
[root@localhost ~]# systemctl restart sshd

服务端生成密钥，并测试是否成功

[root@localhost ~]# ssh-keygen
[root@localhost ~]# ssh lucas@192.168.10.90 -p 10086