ssh远程登录协议SSH（Secure Shell是一种安全通道协议，主要用来实现字符界面的远程登录、远程复制等功能。

什么是SSH服务器？

SSH（Secure Shell是一种安全通道协议，主要用来实现字符界面的远程登录、远程复制等功能。
SSH 协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的用户口令，SSH 为建立在应用层和传输层基础上的安全协议。
对数据进行压缩，加快传输速度。
优点：

数据传输是加密的，可以防止信息泄露
数据传输是压缩的，可以提高传输速度

ssh服务端主要包括两个服务功能 ssh远程链接和sftp服务（文件传输功能）
作用：SSHD 服务使用 SSH 协议可以用来进行远程控制，或在计算机之间传送文件。相比较之前用 Telnet 方式来传输文件要安全很多，因为 Telnet 使用明文传输，SSH 是加密传输
远程管理linux系统基本上都要使用到ssh，原因很简单：telnet、FTP等传输方式是?以明文传送用户认证信息，本质上是不安全的，存在被网络窃听的危险。SSH（Secure Shell）目前较可靠，是专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题，通过SSH可以对所有传输的数据进行加密，也能够防止DNS欺骗和IP欺骗。

ssh原理

客户端发起链接请求
服务端返回自己的公钥，以及一个会话ID（这一步客户端得到服务端公钥）
客户端生成密钥对
客户端用自己的公钥异或会话ID，计算出一个值Res，并用服务端的公钥加密
客户端发送加密值到服务端，服务端用私钥解密，得到Res
服务端用解密后的值Res异或会话ID，计算出客户端的公钥（这一步服务端得到客户端公钥）
最终：双方各自持有三个秘钥，分别为自己的一对公、私钥，以及对方的公钥，之后的所有通讯都会被加密

ssh加密通讯原理
对称加密
1、概念采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密，这种加密方法称为对称加密，由于其速度快，对称性加密通常在消息发送方需要加密大量数据时使用

2、常用算法在对称加密算法中常用的算法有：DES、3DES、TDEA、Blowfish、RC2、RC4、RC5、IDEA、SKIPJACK等。

3、特点

加密方和解密方使用同一个密钥；
加密解密的速度比较快，适合数据比较长时的使用；
密钥传输的过程不安全，且容易被破解，密钥管理也比较麻烦；

4、优缺点对称加密算法的优点是算法公开、计算量小、加密速度快、加密效率高。对称加密算法的缺点是在数据传送前，发送方和接收方必须商定好秘钥，然后使双方都能保存好秘钥。其次如果一方的秘钥被泄露，那么加密信息也就不安全了。另外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的独一秘钥，这会使得收、发双方所拥有的钥匙数量巨大，密钥管理成为双方的负担
非对称加密
1、概念非对称加密算法需要两个密钥：公开密钥（publickey:简称公钥）和私有密钥（privatekey:简称私钥）。公钥与私钥是一对，如果用公钥对数据进行加密，只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。
2、常用算法

RSA（RSA algorithm）：目前使用最广泛的算法
DSA（Digital Signature Algorithm）：数字签名算法，和 RSA 不同的是 DSA仅能用于数字签名，不能进行数据加密解密，其安全性和RSA相当，但其性能要比RSA快
ECC（Elliptic curve cryptography，椭圆曲线加密算法）
ECDSA：Elliptic Curve Digital Signature Algorithm，椭圆曲线签名算法，是ECC和 DSA的结合，相比于RSA算法，ECC 可以使用更小的密钥，更高的效率，提供更高的安全保障

3、原理首先ssh通过加密算法在客户端产生密钥对（公钥和私钥），公钥发送给服务器端，自己保留私钥，如果要想连接到带有公钥的SSH服务器，客户端SSH软件就会向SSH服务器发出请求，请求用联机的用户密钥进行安全验证。SSH服务器收到请求之后，会先在该SSH服务器上连接的用户的家目录下
4、优缺点相比于对称加密技术，非对称加密技术安全性更好，但性能更慢

ssh实际操作

ssh [用户名]@[目标主机名或IP地址] -p port（端口号） 默认使用22端口 root（登录对方的用户）加IP 地址，首次登录会询问，并要求输入密码
ssh -l [远程主机用户名] [远程服务器主机名或IP 地址] -p port
-l ：-l 选项，指定登录名称。
-p： -p 选项，指定登录端口（当服务端的端口非默认时，需要使用-p 指定端口进行登录）
-t： -t 选项，跳板，如目标端不允许他人连接时，跳板进入后门以访问

服务端配置
vim /etc/ssh/sshd_config

ListenAddress ip
监听地址设置SSHD服务器绑定的IP 地址，0.0.0.0 表示侦听所有地址安全建议：如果主机不需要从公网ssh访问，可以把监听地址改为内网地址这个值可以写成本地IP地址，也可以写成所有地址，即0.0.0.0 表示所有IP。

LoginGraceTime 2m
用来设定如果用户登录失败，在切断连接前服务器需要等待的时间，单位为秒

PermitRootLogin yes
默认 ubuntu不允许root远程ssh登录

StrictModes yes
检查.ssh/文件的所有者，权限等

MaxAuthTries
用来设置最大失败尝试登陆次数为6

MaxSessions 10
同一个连接最大会话
PubkeyAuthentication yes
基于key验证

PermitEmptyPasswords no 密码验证，这里写 yes，也可以设置为 no，在真实的生产服务器上，根据不同安全级别要求，有的是设置不需要密码登陆的，通过认证的密钥来登陆。

PasswordAuthentication yes
基于用户名和密码连接
GatewayPorts no
ClientAliveInterval 10
单位:秒
ClientAliveCountMax 3
默认3
UseDNS yes
提高速度可改为no 内网改为no 禁用反向解析
可以限制可登录用户的办法：白名单黑名单
AllowGroups
DenyGroups

ssh服务的最佳实践

建议使用非默认端口 22
禁止使用protocol version 1
限制可登录用户白名单
设定空闲会话超时时长
利用防火墙设置ssh访问策略
仅监听特定的IP地址公网内网
基于口令认证时，使用强密码策略，比如：tr -dc A-Za-z0-9_ < /dev/urandom | head -c 12| xargs
使用基于密钥的认证
禁止使用空密码
禁止root用户直接登录
限制ssh的访问频度和并发在线数
经常分析日志分离

使用秘钥对及免交互验证登录

原理：

客户端发起ssh请求，服务器会把自己的公钥发送给用户
用户会根据服务器发来的公钥对密码进行加密
加密后的信息回传给服务器，服务器用自己的私钥解密，如果密码正确，则用户登录成功

基于密钥的登录方式

首先在客户端生成一对密钥（ssh-keygen）
并将客户端的公钥ssh-copy-id 拷贝到服务端
当客户端再次发送一个连接请求，包括ip、用户名
服务端得到客户端的请求后，会到authorized_keys（）中查找，如果有响应的IP和用户，就会随机生成一个字符串，例如：kgc
服务端将使用客户端拷贝过来的公钥进行加密，然后发送给客户端
得到服务端发来的消息后，客户端会使用私钥进行解密，然后将解密后的字符串发送给服务端
服务端接收到客户端发来的字符串后，跟之前的字符串进行对比，如果一致，就允许免密码登录

免密实操

命令：ssh-keygen
ssh-copy-id -i id_ecdsa.pub 目标用户@IP地址