一.SSH服务
1.1SSH基础
是一种安全通道协议,主要实现字符界面的远程登录,远程复制等功能。SSH 协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令,SSH 为建立在应用层和传输层基础上的安全协议。对数据进行压缩,加快传输速度。
客户端<--------------网络---------------->SSH服务端
优点:
- 数据传输是加密的,可以防止信息泄漏
- 数据传输是压缩的,可以提高传输速度
1.2常见的ssh协议
-
OpenSSH 是实现SSH协议的开源软件项目,适用于各种UNIX、 Linux 操作系统。
-
Centos 7系统默认已安装openssh相关软件包,并将sshd 服务添加为开机自启动。
-
执行"systemctl start sshd"命令即可启动sshd 服务
-
sshd 服务默认使用的是TCP的22端口,安全协议版本sshv2,出来2之外还有1(有漏洞)ftp 20 21
-
sshd服务的默认配置文件是/etc/ssh/sshd_config
-
ssh_config和sshd_config都是ssh服务器的配置文件,二者区别在于前者是针对客户端的配置文件,后者则是针对服务端的配置文件。
1.3 常见的SSH服务软件/工具
客户端软件:
-
Linux 客户端: ssh, scp, sftp,slogin
-
Windows 客户端:xshell, MobaXterm,putty, securecrt, ssh secure shell client
服务端软件:
-
软件名sshd,闭源。
-
软件名openssh,服务名sshd。CENTOS 7默认安装的是这个软件包。
OpenSSH软件包
- 服务名称:sshd
- 服务端主程序:/usr/sbin/sshd
- 服务端配置文件:/etc/ssh/sshd_config
- 客户端配置文件:/etc/ssh/ssh.config
OpenSSH 是实现SSH协议的开源软件项目,适用于各种UNIX、 Linux 操作系统。
Centos 7系统默认已安装openssh相关软件包,并将sshd 服务添加为开机自启动。
执行"systemctl start sshd"命令即可启动sshd 服务
sshd 服务默认使用的是TCP的22端口,安全协议版本sshv2,除了2之外还有1(有漏洞)。
ssh服务端主要包括两个服务功能
`ssh远程连接`
`sftp服务 `
作用:SSHD服务使用SSH协议可以用来进行远程控制,或在计算机之间传输文件。
相比较之前的telnet方式传输文件要安全很多,因为telnet使用明文密码,别人抓包就能看见,非常不安全。
ssh原理
公钥传输原理
-
客户端发起链接请求。
-
服务端返回自己的公钥,以及一个会话ID(这一步客户端得到服务端公钥)。
-
客户端生成密钥对。
-
客户端用自己的公钥异或会话ID,计算出一个值Res,并用服务端的公钥加密。
-
客户端发送加密后的值到服务端,服务端用私钥解密,得到Res。
-
服务端用解密后的值Res异或会话ID,计算出客户端的公钥(这一步服务端得到客户端公钥)。
-
最终:双方各自持有三个秘钥,分别为自己的一对公、私钥,以及对方的公钥,之后的所有通讯都会被加密。
登录
登录方式一:
ssh [远程主机用户名]@[远程服务器主机名或IP地址] 示例:[-p port]
示例:
1 当在 Linux 主机上远程连接另一台 Linux 主机时,如当前所登录的用户是 root 的话,当连接另一台主机时也是用 root 用户登录时,可以直接使用 ssh IP,端口默认即可,如果端口不是默认的情况下,需要使用-p 指定端口。
2.以用户lulu的身份进行登录访问。
登录方式二:
ssh -l [远程主机用户名] [远程服务器主机名或IP 地址] -p port
-l:指定登录名称。
-p:指定登录端口。(当服务端的配置文件/etc/ssh/sshd-config中修改了端口后,即非默认端口22时,需要使用-p 指定端口进行登录)
登录方式三:跳板连接
有些企业出于安全起见,会做一些安全策略(例如防火墙),不允许主机A直接连接生产服务器D,只允许主机B连接D。此时可以由A先连B,之后由B连接D。
使用命令:ssh -t 跳板连接
-
服务端模拟防火墙
-
[root@192 ~]# iptables -A INPUT -s 192.168.72.10 -j REJECT //服务端拒绝所有来自192.168.72.10的访问
-
客户端借助 192.168.72.88 跳板连接
-
[root@localhost ~]]# ssh -t 192.168.72.88 ssh 192.168.72.129 //方便跳板连接
登录方式四:
ssh连接时直接跟命令,连接后命令立即生效。例如跟 ls 命令:
known_hosts 文件
ssh会把每个你访问过的服务端的公钥(public key)都记录在known_hosts 文件中。 同时服务端也会记录客户端的公钥
文件位置:~/.ssh/known_hosts
known_hosts 文件的作用:
A通过ssh首次连接到B,B会将公钥1(host key)传递给A,A将公钥1存入known_hosts文件中,以后A再连接B时,B依然会传递给A一个公钥2,OpenSSH会核对公钥,通过对比公钥1与公钥2 是否相同来进行简单的验证,如果公钥不同,OpenSSH会发出警告, 避免你受到DNS Hijack之类的攻击。
举例说明:
如果主机A的known_hosts 文件,已经记录了主机B(IP地址为192.168.72.129)的公钥,下次主机C将IP地址修改成了和B的一样假冒B,那么A使用ssh连接192.168.72.129时,就会出现冲突警告,因为C的公钥和 known_hosts 文件中记录的不一致,系统不允许连接。
示例:
客户端:192.168.47.100
服务端:192.168.47.741)客户端首次连接服务端时,系统会询问是否交换公钥,进行安全确认。确认连接后,双方的known_hosts文件都会记录对方的公钥。
服务端的主机
客户端的主机
同样 服务端的 known_hosts 文件会记录客户端的公钥
cat ~/.ssh/knowe_hosts查看即可
sshd服务端配置
sshd服务端配置文件:/etc/ssh/sshd_config
服务监听选项:
端口号 - 协议版本 -监听IP地址
禁用反向解析
常用参数说明:
**示例:
**修改端口号,将默认端口22修改为9527。
sshd客户端配置
客户端配置文件
客户端首次连接服务端时,系统询问是否交换公钥,进行安全确认。这是由客户端配置文件默认的,可以修改配置文件ssh_config取消询问。
注:
这种做法只在内网中使用,如果服务器暴露在外网中,不建议这样操作,非常危险。
sftp命令
SFTP是SSH File Transfer Protocol的缩写,安全文件传送协议。SFTP与FTP有着几乎一样的语法和功能。SFTP为SSH的其中一部分,是一种传输档案至 Blogger 伺服器的安全方式。其实在SSH软件包中,已经包含了一个叫作SFTP的安全文件信息传输子系统,SFTP本身没有单独的守护进程,它必须使用sshd守护进程(端口号默认是22)来完成相应的连接和答复操作,所以从某种意义上来说,SFTP并不像一个服务器程序,而更像是一个客户端程序
sftp命令格式:
默认端口的情况下,需要指定端口号
使用root登录,则sftp连接后进入的是/root/目录. #文件的上传和下载,不能使用绝对路径。文件必须位于当前目录下。 sftp连接后的常用命令:
- get #下载文件
- get -r #下载目录
- put #上传文件
- put -r #上传目录
- quit、exit、bye #退出
sftp和ftp的区别:
-
连接方式:FTP使用TCP端口21上的控制连接建立连接。而,SFTP是在客户端和服务器之间通过SSH协议(TCP端口22)建立的安全连接来传输文件。
-
安全性:SFTP使用加密传输认证信息和传输的数据,所以使用SFTP相对于FTP是非常安全。
-
效率:SFTP这种传输方式使用了加密解密技术,所以传输效率比普通的FTP要低得多。
SSH免密实验操作
1.先生成密钥文件
2.不需要改文件位置的话直接三次回车,加密文件就生成了
3.cd过去查看文件是否被建立
4.将公钥文件发送给你想直接免密登录的主机
5.输入密码验证,即可完成
6.再连就不需要密码了
