【Linux网络服务】SSH远程登录协议

末离时光的搁浅
192 阅读9分钟

SSH服务

一、什么是SSH

SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程 复制等功能。SSH 协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令,SSH 为建立在应用层和传输层基础上的安全协议。对数据进行压缩,加快传输速度。

1.SSH的优点

  • 数据传输是加密的,可以防止信息泄漏
  • 数据传输是压缩的,可以提高传输速度

2.常见的ssh协议

  • OpenSSH 是实现SSH协议的开源软件项目,适用于各种UNIX、 Linux 操作系统。

  • Centos 7系统默认已安装openssh相关软件包,并将sshd 服务添加为开机自启动。

  • 执行"systemctl start sshd"命令即可启动sshd 服务

  • sshd 服务默认使用的是TCP的22端口,安全协议版本sshv2,出来2之外还有1(有漏洞)ftp 20 21

  • sshd服务的默认配置文件是/etc/ssh/sshd_config

  • ssh_config和sshd_config都是ssh服务器的配置文件,二者区别在于前者是针对客户端的配置文件,后者则是针对服务端的配置文件。

3.常见的SSH服务软件/工具

客户端软件

Linux 客户端: ssh, scp, sftp,slogin Windows 客户端:xshell, MobaXterm,putty, securecrt, ssh secure shell client

服务端软件

软件名sshd,闭源。 软件名openssh,服务名sshd。CENTOS 7默认安装的是这个软件包。

OpenSSH软件包

服务名称:sshd 服务端主程序:/usr/sbin/sshd 服务端配置文件:/etc/ssh/sshd_config 客户端配置文件:/etc/ssh/ssh.config

ssh服务端主要包括两个服务功能ssh远程连接和sftp服务。

作用:SSHD服务使用SSH协议可以用来进行远程控制,或在计算机之间传输文件

相比较之前的telnet方式传输文件要安全很多,因为telnet使用明文密码,别人抓包就能看见,非常不安全。

SSH原理

一、公钥传输原理

  • 客户端发起链接请求

  • 服务端返回自己的公钥,以及一个会话ID(这一步客户端得到服务端公钥)

  • 客户端生成密钥对

  • 客户端用自己的公钥异或会话ID,计算出一个值Res,并用服务端的公钥加密

  • 客户端发送加密值到服务端,服务端用私钥解密,得到Res

  • 服务端用解密后的值Res异或会话ID,计算出客户端的公钥(这一步服务端得到客户端公钥)

  • 最终:双方各自持有三个秘钥,分别为自己的一对公、私钥,以及对方的公钥,之后的所有通讯都会被加密

二、用户登录的方法

方法一:ssh [远程主机用户名]@[远程服务器主机名或IP地址] -p port

image.png

方法二:ssh -l [远程主机用户名] [远程服务器主机名或IP 地址] -p port

指定登录名称:-l 指定登录名称

image.png

方法三:有些企业出于安全起见,会做一些安全策略(例如防火墙),不允许主机A直接连接生产服务器D,只允许主机B连接D。此时可以由A先连B,之后由B连接D。

使用命令:ssh -t 跳板连接

方法四:ssh连接时直接跟命令,连接后命令立即生效

image.png

三、known_hosts 文件

ssh会把每个你访问过的服务端的公钥(public key)都记录在known_hosts 文件中。 同时服务端也会记录客户端的公钥。

文件位置:~/.ssh/known_hosts

known_hosts 文件的作用

A通过ssh首次连接到B,B会将公钥1(host key)传递给A,A将公钥1存入known_hosts文件中,以后A再连接B时,B依然会传递给A一个公钥2,OpenSSH会核对公钥,通过对比公钥1与公钥2 是否相同来进行简单的验证,如果公钥不同,OpenSSH会发出警告, 避免你受到DNS Hijack之类的攻击。

客户端首次连接服务端时,系统会询问是否交换公钥,进行安全确认。确认连接后,双方的known_hosts文件都会记录对方的公钥

image.png

客户端的 known_hosts 文件会记录服务端的公钥

image.png

服务端的 known_hosts 文件会记录客户端的公钥

image.png

1. shd客户端配置

客户端配置文件:/etc/ssh/ssh_config

客户端首次连接服务端时,系统询问是否交换公钥,进行安全确认。这是由客户端配置文件默认的,可以修改配置文件ssh_config取消询问。

image.png

image.png

2. shd服务端配置

常用参数说明

[root@192t ~]# cat /etc/ssh/sshd_config

#Port 22                   //端口号,生产环境建议修改端口号
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

#LoginGraceTime 2m         //发起连接后多少时间内必须登录,超时断开连接
#PermitRootLogin yes       //是否允许root用户登录,ubantu不允许root远程ssh登录
#StrictModes yes           //检查.ssh/文件的所有者,权限等
#MaxAuthTries 6            //最多允许输错几次密码(centos7默认3次,修改也无效)
#MaxSessions 10            //同一时间最多允许10个远程连接

#PermitEmptyPasswords no    //是否允许空密码用户登录
PasswordAuthentication yes  //基于用户和密码验证

#UseDNS no                //禁用反向解析,提高速度可设置为no


 #设置黑白名单
 #llowUsers lhey@192.168.1.30  lhey   //只允许yuji用户从192.168.72.10访问,允许lisi从所有地址访问
 #enyUsers lhey    //不允许使用lhey用户登录

 #白名单的优先级高于黑名单。如果一个用户同时加入了白名单和黑名单,那么该用户是可以访问的。
 #如果不设置白名单,则所有用户都可以登录访问。一旦设置了白名单,那么只有白名单内的用户可以访问。

image.png

image.png

image.png

image.png

四、SFTP安全文件传送协议

SFTP是SSH File Transfer Protocol的缩写,安全文件传送协议。SFTP与FTP有着几乎一样的语法和功能。SFTP为SSH的其中一部分,是一种传输档案至 Blogger 伺服器的安全方式。其实在SSH软件包中,已经包含了一个叫作SFTP的安全文件信息传输子系统,SFTP本身没有单独的守护进程,它必须使用sshd守护进程(端口号默认是22)来完成相应的连接和答复操作,所以从某种意义上来说,SFTP并不像一个服务器程序,而更像是一个客户端程序。

五、免密码登录

免密码原理流程

  1. 首先在客户端生成一对密钥(ssh-keygen)。

  2. 并将客户端的公钥ssh-copy-id 拷贝到服务端。

  3. 当客户端再次发送一个连接请求时,包括ip、用户名。

  4. 服务端得到客户端的请求后,会到 authorized_keys 文件中查找,如果有相应的IP和用户,就会随机生成一个字符串,例如:kfc。

  5. 服务端将使用客户端拷贝过来的公钥进行加密,然后发送给客户端。

6 得到服务端发来的消息后,客户端会使用私钥进行解密,然后将解密后的字符串发送给服务端。

  1. 服务端接受到客户端发来的字符串后,跟之前的字符串进行对比,如果一致,就进行免密码登录。

1. shd服务支持登录验证方式

  • 密码验证: 以服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便,但从客户机角度来看,正在连接的服务器有可能被假冒,从服务器角度来看,当遭遇密码暴力破解攻击时防御能力比较弱。

  • 密钥对验证: 要求提供相匹配的密钥信息才能通过验证,通常先在客户机中创建一对密钥文件(公钥和私钥),然后将公钥文件放到服务器中的指定位置。远程登录时,系统将使用公钥、私钥进行加密/解密关联验证,增强了远程管理的安全性。

  • 公钥和私钥是成对生成的,这两个密钥互不相同,可以互相加密和解密;

  • 不能根据一个密码来推算出另一个密钥;

  • 公钥对外公开,私钥只有私钥的持有人才知道

2.设置免密码登录实验

步骤1:在客户端生成一对密钥

image.png

步骤2:将客户端的公钥ssh-copy-id 拷贝到服务端

image.png

步骤3:远程连接服务器,成功免密

image.png

3.免密码登录脚本

#!/bin/bash
PASS=123123
#设置网段最后的地址,4-255之间,越小扫描越快
END=254

IP=`ip a s ens33 | awk -F'[ /]+' 'NR==3{print $3}'`
NET=${IP%.*}.

rm -f /root/.ssh/id_rsa
[ -e ./SCANIP.log ] && rm -f SCANIP.log
for((i=3;i<="$END";i++));do
ping -c 1 -w 1  ${NET}$i &> /dev/null  && echo "${NET}$i" >> SCANIP.log &
done
wait

ssh-keygen -P "" -f /root/.ssh/id_rsa
rpm -q sshpass || yum -y install sshpass
sshpass -p $PASS ssh-copy-id -o StrictHostKeyChecking=no $IP

AliveIP=(`cat SCANIP.log`)
for n in ${AliveIP[*]};do
sshpass -p $PASS scp -o StrictHostKeyChecking=no -r /root/.ssh root@${n}:
done

六、TCP Wrappers

在 Linux 系统中,许多网络服务针对客户端提供了访问控制机制,如 Samba、BIND、 HTTPD、OpenSSH 等。本节将介绍另一种防护机制——TCP Wrappers(TCP 封套),以作 为应用服务与网络之间的一道特殊防线,提供额外的安全保障。TCP Wrappers 将 TCP 服务程序“包裹”起来,代为监听 TCP 服务程序的端口,增加了 一个安全检测过程,外来的连接请求必须先通过这层安全检测,获得许可后才能访问真正 的服务程序。TCP Wrappers 还可以记录所有企图访问被保护服务的行为, 为管理员提供丰富的安全分析资料。

TCP_Wrappers的工作原理

TCP_Wrappers有一个TCP的守护进程叫作tcpd。以ssh为例,每当有ssh的连接请求时,tcpd即会截获请求,先读取系统管理员所设置的访问控制文件,符合要求,则会把这次连接原封不动的转给真正的ssh进程,由ssh完成后续工作;如果这次连接发起的ip不符合访问控制文件中的设置,则会中断连接请求,拒绝提供ssh服务。

访问控制策略的配置文件

白名单:/etc/hosts.allow

黑名单:/etc/hosts.deny

注意

  • 白名单的优先级高于黑名单

  • 不可在白黑名单同时设置一个ip

image.png

image.png

avatar
文章
阅读
粉丝