SSH

• SSH（Secure Shell）是一种安全通道协议，主要用来实现字符界面的远程登录、远程 复制等功能；
• SSH 协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的用户口令；
• SSH 为建立在应用层和传输层基础上的安全协议。对数据进行压缩，加快传输速度。
• SSH使用传输层TCP协议的22号端口。

SSH客户端<--------------网络---------------->SSH服务端

SSH的优点

远程管理Linux系统基本上都要用到ssh，原因很简单：telnet、FTP等传输方式是以明文传送用户认证信息，本质上是不安全的，存在被网络窃听的危险。SSH（Secure Shell）目前较可靠，是专为远程等； 会话和其他忘了服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题，通过SSH可以对所有传输的数据进行加密，也能够防止DNS欺骗和IP欺骗

• 数据传输是加密的，可以防止信息泄漏
• 数据传输是压缩的，可以提高传输速度

常见的SSH服务软件/工具

客户端软件

Linux 客户端: ssh, scp, sftp，slogin Windows 客户端：xshell, MobaXterm,putty, securecrt, ssh secure shell client

服务端软件

软件名sshd，闭源。 软件名openssh，服务名sshd。CENTOS 7默认安装的是这个软件包。

OpenSSH软件包

服务名称：sshd 服务端主程序：/usr/sbin/sshd 服务端配置文件：/etc/ssh/sshd_config 客户端配置文件：/etc/ssh/ssh.config

ssh服务端主要包括两个服务功能ssh远程连接和sftp服务。

作用：SSHD服务使用SSH协议可以用来进行远程控制，或在计算机之间传输文件。

相比较之前的telnet方式传输文件要安全很多，因为telnet使用明文密码，别人抓包就能看见，非常不安全。

ssh原理

公钥传输原理

• 客户端发起链接请求。
• 服务端返回自己的公钥，以及一个会话ID（这一步客户端得到服务端公钥）。
• 客户端生成密钥对。
• 客户端用自己的公钥异或会话ID，计算出一个值Res，并用服务端的公钥加密。
• 客户端发送加密后的值到服务端，服务端用私钥解密，得到Res。
• 服务端用解密后的值Res异或会话ID，计算出客户端的公钥（这一步服务端得到客户端公钥）。
• 最终：双方各自持有三个秘钥，分别为自己的一对公、私钥，以及对方的公钥，之后的所有通讯都会被加密。

登录

方式一

ssh [远程主机用户名]@[远程服务器主机名或IP地址] [-p port]

方式二

ssh -l [远程主机用户名] [远程服务器主机名或IP 地址] -p port

方式三

有些企业出于安全起见，会做一些安全策略（例如防火墙），不允许主机A直接连接生产服务器D，只允许主机B连接D。此时可以由A先连B，之后由B连接D。

使用命令：ssh -t 跳板连接

方式四

ssh连接时直接跟命令，连接后命令立即生效

known_hosts

ssh会把每个你访问过的服务端的公钥（public key）都记录在known_hosts 文件中。 同时服务端也会记录客户端的公钥。

文件位置：~/.ssh/known_hosts

known_hosts 文件的作用

A通过ssh首次连接到B，B会将公钥1（host key）传递给A，A将公钥1存入known_hosts文件中，以后A再连接B时，B依然会传递给A一个公钥2，OpenSSH会核对公钥，通过对比公钥1与公钥2 是否相同来进行简单的验证，如果公钥不同，OpenSSH会发出警告， 避免你受到DNS Hijack之类的攻击。

客户端首次连接服务端时，系统会询问是否交换公钥，进行安全确认。确认连接后，双方的known_hosts文件都会记录对方的公钥。

客户端的 known_hosts 文件会记录服务端的公钥。

服务端的 known_hosts 文件会记录客户端的公钥。

sshd客户端配置

客户端配置文件

客户端配置文件：/etc/ssh/ssh_config

客户端首次连接服务端时，系统询问是否交换公钥，进行安全确认。这是由客户端配置文件默认的，可以修改配置文件ssh_config取消询问。

sftp命令

SFTP是SSH File Transfer Protocol的缩写，安全文件传送协议。SFTP与FTP有着几乎一样的语法和功能。SFTP为SSH的其中一部分，是一种传输档案至 Blogger 伺服器的安全方式。其实在SSH软件包中，已经包含了一个叫作SFTP的安全文件信息传输子系统，SFTP本身没有单独的守护进程，它必须使用sshd守护进程(端口号默认是22)来完成相应的连接和答复操作，所以从某种意义上来说，SFTP并不像一个服务器程序，而更像是一个客户端程序。

免密登录

sshd服务支持登录验证方式

• 密码验证： 以服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便，但从客户机角度来看，正在连接的服务器有可能被假冒，从服务器角度来看，当遭遇密码暴力破解攻击时防御能力比较弱。

• 密钥对验证： 要求提供相匹配的密钥信息才能通过验证，通常先在客户机中创建一对密钥文件（公钥和私钥），然后将公钥文件放到服务器中的指定位置。远程登录时，系统将使用公钥、私钥进行加密/解密关联验证，增强了远程管理的安全性。

• 公钥和私钥是成对生成的，这两个密钥互不相同，可以互相加密和解密；

• 不能根据一个密码来推算出另一个密钥；

• 公钥对外公开，私钥只有私钥的持有人才知道。

设置免密码登录

在客户端生成一对密钥

将客户端的公钥ssh-copy-id 拷贝到服务端。

远程连接服务器，成功免密

TCP Wrappers

在 Linux 系统中，许多网络服务针对客户端提供了访问控制机制，如 Samba、BIND、 HTTPD、OpenSSH 等。本节将介绍另一种防护机制——TCP Wrappers（TCP 封套），以作 为应用服务与网络之间的一道特殊防线，提供额外的安全保障。TCP Wrappers 将 TCP 服务程序“包裹”起来，代为监听 TCP 服务程序的端口，增加了 一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得许可后才能访问真正 的服务程序。TCP Wrappers 还可以记录所有企图访问被保护服务的行为， 为管理员提供丰富的安全分析资料。

工作原理

TCP_Wrappers有一个TCP的守护进程叫作tcpd。以ssh为例，每当有ssh的连接请求时，tcpd即会截获请求，先读取系统管理员所设置的访问控制文件，符合要求，则会把这次连接原封不动的转给真正的ssh进程，由ssh完成后续工作；如果这次连接发起的ip不符合访问控制文件中的设置，则会中断连接请求，拒绝提供ssh服务。

访问控制策略的配置文件

白名单：/etc/hosts.allow

黑名单：/etc/hosts.deny

• 白名单的优先级高于黑名单
• 不可同时设置一个ip在白黑名单