SSH基本概述

SSH服務協議說明

SSH 是 Secure Shell Protocol 的簡寫，由 IETF 網路作業小組（Network Working Group )制定
在進行資料傳輸之前，SSH先對聯機資料包通過加密技術進行加密處理，加密后在進行資料傳輸，確保了傳遞的資料安全，
SSH是專為遠程登錄會話和其他網路服務提供的安全性協議，利用 SSH 協議可以有效的防止遠程管理程序中的資訊泄露問題，在當前的生產環境運維作業中，絕大多數企業普遍采用SSH協議服務來代替傳統的不安全的遠程聯機服務軟體，如telnet(23埠，非加密的)等，
在默認狀態下，SSH服務主要提供兩個服務功能：
一是提供類似telnet遠程聯機服務器的服務，即上面提到的SSH服務，
另一個是類似FTP服務的sftp-server,借助SSH協議來傳輸資料的.提供更安全的SFTP服務(vsftp，proftp)，

SSH遠程服務主要功能

提供遠程連接服務器的服務
對傳輸的資料進行加密

遠程連接方式有哪些

ssh屬于密文連接方式 監聽在本地22/tcp埠
telnet屬于明文連接方式 監聽在本地23/tcp埠

ssh知識要點

ssh是安全的加密協議，用于遠程鏈接linux服務器
ssh 默認埠是22，安全協議版本sshv2，出來2之外還有1（有漏洞）
ssh服務端主要包括兩個服務功能 ssh遠程鏈接和sftp服務
linux ssh 客戶端包括ssh 遠程鏈接命令，以及遠程拷貝scp命令等

私鑰和公鑰

ssh實作安全鏈接建立，利用鑰匙和鎖頭
1. 鑰匙=私鑰 鎖頭=公鑰，私鑰可以解密公鑰
2. 公鑰可以再網路中傳輸，私鑰再本地主機保存

SSH相關命令

SSH是典型的客戶端和服務端的互動模式, 客戶端廣泛的支持各個平臺
WIndows有很多工具可以支持SSH連接功能, 建議使用Xshell

openssh軟體分析

（與資料加密相關的軟體--openssl）

[root@backup ~]# rpm -ql openssh-server
/etc/ssh/sshd_config    --- ssh服務組態檔
/usr/sbin/sshd          --- ssh服務行程啟動命令
[root@backup ~]# rpm -ql openssh-clients
/usr/bin/scp            --- 遠程拷貝命令
/usr/bin/sftp           --- 遠程檔案傳輸命令
/usr/bin/slogin         --- 遠程登錄命令
/usr/bin/ssh            --- 遠程連接登錄命令
/usr/bin/ssh-copy-id    --- 遠程分發公鑰命令

ssh客戶端包含ssh以及像scp（遠程拷貝）、slogin（遠程登陸）、sftp（安全FTP檔案傳輸）等應用程式，

ssh遠程登錄服務器命令

ssh -p22 [email protected] [命令]
# SSH連接遠程主機命令的基本語法;
# ssh 命令
# -p(小寫), 用于指定遠程主機埠，默認22埠可省略
# nfsnobody@remotehost
# "@"前面為用戶名，如果用當前用戶連接，可以不指定用戶
# "@"后面為要連接的服務器的IP

scp命令詳解

scp復制資料至遠程主機命令(全量復制)

SSH連接遠程主機命令的基本語法;
 scp 命令
 -P(大寫) 指定埠，默認22埠可不寫
 -r 表示遞回拷貝目錄
 -p 表示在拷貝檔案前后保持檔案或目錄屬性不變
 -l 限制傳輸使用帶寬(默認kb)

推：PUSH,上傳

# scp -P22 -rp /tmp/nfsnobody [email protected]:/tmp
# /tmp/nfsnobody為本地的目錄，
# “@”前為用戶名
# “@”后為要連接的服務器的IP，
# IP后的:/tmp目錄，為遠端的目標目錄，
# 說明: 以上命令作用是把本地/tmp/nfsnobody推送至遠端服務器10.0.0.150的/tmp目錄

拉：PULL,下載

# scp -P22 -rp [email protected]:/tmp/nfsnobody /opt/
# 還可以將遠端目錄或檔案拉取至本地

SCP命令結論

scp通過加密進行遠程拷貝檔案或目錄的命令，
scp拷貝權限為連接的用戶對應的權限，
scp支持資料的推送和拉取，但每次都是全量拷貝，效率低下，

Sftp命令詳解

Sftp遠程資料傳輸命令
sftp連接遠程
sftp [email protected]
sftp -oPort=52113 [email protected] <-sftp的特殊埠連接
下載檔案, 至于本地服務器
sftp> get conf.txt /tmp/
上傳本地服務器檔案, 至遠程服務器
sftp> put /root/t1.txt /root/
sftp-->XFTP
    1.支持批量上傳檔案
    2.支持單個檔案超過4G
    3.支持斷點續傳

SSH服務軟體詳細說明

什么是ssh服務

SSH服務端是一個守護講程 (daemon).他在后臺運行并回應來自客戶端的連接請求， SSH服務端的講程名為sshd，負責實時監聽遠程SSH客戶端的遠程連接請求，并進行處理，一般包括公共密鑰認證、密鑰交換、對稱密鑰加密和非安全連接等，這個SSH服務就是我們前面基礎系統優化中保留開機自啟動的服務之，
ssh客戶端包含ssh以及像scp(遠程拷貝） slogin(遠程登陸) sftp(安全FTP檔案傳輸）等應用程式，
ssh的作業機制大致是本地的ssh客戶端先發送一個連接請求到遠程的ssh服務端，服務端檢查連接的客戶端發送的資料包和IP地址，如果確認合法，就會發送密鑰給 SSH的客戶端，此時，客戶端本地再將密鑰發回給服務端，自此連接建立，

ssh軟體安裝

客戶端

[root@nfs01 ~]# rpm -qf `which ssh`
openssh-clients-5.3p1-122.el6.x86_64

服務端軟體

[root@nfs01 ~]# rpm -qf `which sshd`
openssh-server-5.3p1-122.el6.x86_64
注意：使用sshd采用絕對路徑進行啟動
[root@test ~]# sshd
sshd re-exec requires execution with an absolute path

SSH連接方式

基于賬戶密碼遠程登錄

基于口令的安全驗證的方式就是大家現在一直在用的，只要知道服務器的SSH連接帳號和口令(當然也要知道對應服務器的 IP及開放的 SSH埠，默認為22 ),就可以通過 ssh客戶端登錄到這臺遠程主機，此時，聯機程序中所有傳輸的資料都是加密的，
知道服務器的IP埠,賬號密碼, 即可通過ssh客戶端登陸遠程主機, 遠程主機聯機程序中傳輸資料庫都是加密的，

~ ssh -p22 [email protected]
[email protected]'s password:
[root@m01 ~]#

ssh分發公鑰實質執行程序

①. 管理服務器創建私鑰和公鑰（密鑰對）
②. 將公鑰檔案遠程傳送復制到被管理服務器相應用戶~/.ssh/id_dsa.pub下，并修改.ssh目錄權限為700
③. 修改公鑰檔案檔案名稱為authorized_keys，授權權限為600
④. 利用ssh服務組態檔的配置引數，進行識別公鑰檔案authorized_keys
⑤. 進而實作基于密鑰遠程登錄服務器（免密碼登錄/非互動方式登錄）

基于秘鑰遠程登錄

默認情況下,通過ssh客戶端登陸遠程服務器, 需要提供遠程系統上的帳號與密碼,但為了降低密碼泄露的機率和提高登陸的方便性, 建議使用密鑰驗證方式.

1.在管理服務器上生成密鑰,-t密鑰型別, -C指定用戶郵箱
[root@m01 ~]# ssh-keygen -t rsa -C [email protected]
...
默認一路回車即可, 當然也可以根據不同需求進行修改
...
2.將A服務器上的公鑰推送至B服務器
命令示例: ssh-copy-id [-i [identity_file]] [user@]machine
ssh-copy-id 命令
-i          指定下發公鑰的路徑
[user@]     以什么用戶身份進行公鑰分發（root）,如果不輸入，表示以當前系統用戶身份分發公鑰
machine     下發公鑰至那臺服務器, 填寫遠程主機IP地址
秘鑰分發, [會將A服務器的公鑰寫入B服務器~/.ssh/authorized_keys檔案中]
[root@m01 ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub [email protected]
3.A服務器通過密鑰方式連接B服務器
遠程登錄對端主機方式
[root@m01 ~]# ssh [email protected]
[root@nfs ~]#

不登陸遠程主機執行命令
[root@m01 ~]# ssh [email protected] "hostname -i"
172.16.1.41

可能遇到錯誤
1.no route to host  防火墻
2.Connection refused  防火墻或服務未啟用

telnet連接

telnet連接 不加密  無法使用root用戶連接

安裝telnet服務，然后使用root登錄測驗
[root@web01 ~]# yum install telnet-server -y
[root@web01 ~]# systemctl start telnet.socket
使用xshell的新建標簽，輸入如下指令[登錄不上]
[e:\~]$ telnet 10.0.0.7
Kernel 3.10.0-862.el7.x86_64 on an x86_64
web01 login: root
Password: 
Login incorrect
創建一個普通用戶，再次使用telnet登錄測驗
[root@web01 ~]# useradd od
[root@web01 ~]# echo "1" | passwd --stdin od

[e:\~]$ telnet 10.0.0.7
web01 login: od
Password: 
Last login: Mon Sep 10 09:57:39 from ::ffff:10.0.0.1
[od@web01 ~]$

SSH服務密鑰分發實戰

1.實作m01服務器通過密鑰登錄backup和nfs服務器
2.實作m01服務器查看backup和nfs的服務器的狀態資訊(無需密碼)
在m01控制端生成密鑰
[root@m01 ~]# ssh-keygen -t rsa -C A-Server.com
分發密鑰,如果SSH不是使用默認22埠, 使用-P指定對應埠
[root@m01 ~]# ssh-copy-id  -i /root/.ssh/id_rsa.pub "-p6666 [email protected]"
[root@m01 ~]# ssh-copy-id  -i /root/.ssh/id_rsa.pub "-p6666 [email protected]"
在m01管理機上測驗是否成功登陸兩臺服務器
[root@m01 ~]# ssh -p6666 [email protected]
[root@nfs01 ~]#

[root@m01 ~]# ssh -p6666 [email protected]
[root@backup ~]# 

SSH練習案例

1.使用root用戶完成一把鑰匙開多把鎖A鑰匙，BC鎖
創建公鑰和私鑰（A）
[root@manager ~]# ssh-keygen 
分發A公鑰至（BC）
[root@manager ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub [email protected]
[root@manager ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub [email protected]
2.在不破壞題1的前提下，完成多把鑰匙開一把鎖BC鑰匙，A鎖
1.生成公鑰和私鑰（B）
[root@nfs01 ~]# ssh-keygen 
2.B下發公鑰給A
[root@nfs01 ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub  [email protected]

3.生成公鑰和私鑰（C）
[root@nfs01 ~]# ssh-keygen 
4.C下發公鑰給A
[root@backup ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub [email protected]
3.如何實作從A指定目錄或檔案分發到BC服務器
[root@manager ~]# scp manager-web [email protected]:/tmp
manager-web                 100%    0     0.0KB/s   00:00    
[root@manager ~]# scp manager-web [email protected]:/tmp
manager-web                 100%    0     0.0KB/s   00:00  
4.如何快速查看所有機器的load，CPU，Memory等資訊(思考:如果服務器數量多，如何并發查看和分發資料)
[root@manager ~]# cat test.sh 
#!/usr/bin/bash
[ $# -ne 1 ] && echo "請輸入執行的命令" && exit 1

for i in 31 41
do
    echo "#########172.16.1.$i#####"
    ssh [email protected].$i "$1"
done

SSH訪問控制

遠程服務訪問控制手段

1.更改SSH服務遠程登錄埠
2.更改SSH服務監聽本地內網IP
3.更改SSH服務禁止ROOT管理員登錄
4.更改SSH服務密碼登錄認證為密鑰登錄
5.重要服務器都不使用公網IP地址
6.使用防火墻限制來源IP地址

SSH入侵網友案例

1.SSH服務登錄防護手段組態檔/etc/ssh/sshd_config
Port 6666                   # 變更SSH服務遠程連接埠
ListenAddress 10.0.0.61     # 系結本地內網地址
PermitRootLogin             # 是否允許root用戶遠程登錄
PasswordAuthentication      # 是否允許使用密碼登錄
UseDNS                      # 是否進行dns反向決議，影響ssh連接效率引數
GSSAPIAuthentication        # 是否進行認證，影響ssh連接效率引數

SSH配置實體, 添加如下配置至/etc/ssh/sshd_config, 根據業務需求調整配置
###SSH###
Port 6666
ListenAddress 10.0.0.61
#PasswordAuthentication no
#PermitRootLogin no
GSSAPIAuthentication no
UseDNS no

###END###

ssh服務組態檔

組態檔中所有注釋資訊，表示默認引數配置
組態檔中#空格 后面內容表示說明資訊
              #引數 表示配置引數資訊
組態檔引數資訊修改后，一旦變為注釋，即還原為默認配置

ssh服務的組態檔路徑

vim  /etc/ssh/sshd_config
修改SSH服務的運行引數，是通過修改組態檔/etc/ssh/sshd_config實作的，
一般來說SSH服務使用默認的配置已經能夠很好的作業了，如果對安全要求不高，僅僅提供SSH服務的情況，可以不需要修改任何配置，

組態檔中常用配置說明

[root@backup ~]# vim /etc/ssh/sshd_config
#       $OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $
 
# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.
 
# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin
 
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.
 
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.
 
Port 25113                   #埠
ListenAddress 10.0.0.41      #監聽地址（本地網卡地址），指定本地網卡那個網卡提供服務
PermitRootLogin no           #是否允許root用戶登陸
#PermitEmptyPasswords no     #禁止空密碼登陸
#UseDNS no                   #不使用DNS
GSSAPIAuthentication no      #API認證
連接慢的解決
#AddressFamily any         #指定監聽ipv4地址，或是ipv6地址，或者所有都監聽

組態檔內容說明：
井號(#)注釋的引數資訊為默認配置
井號(#)后面有空格的為描述資訊
井號(#)后面沒有空格的為引數資訊
另外：組態檔引數資訊修改后，一旦變為注釋，即還原為默認配置

組態檔語法檢查方法

使用sshd -t 命令 對組態檔的語法進行檢查

正確↓
[root@backup ~]# sshd -t /etc/ssh/sshd
Extra argument /etc/ssh/sshd.
語法格式有錯誤↓
[root@test ~]# sshd -t /etc/ssh/sshd_config
/etc/ssh/sshd_config: line 50: Bad configuration option: uthorizedKeysFile
/etc/ssh/sshd_config: terminating, 1 bad configuration options

SSH組態檔相關引數

標籤：Linux

上一篇：Nginx：基本概念

下一篇：安裝包RPM包或原始碼包