1 SSH

1.1 SSH 概念

• SSH（Secure Shell）是一种安全通道协议，主要用来实现字符界面的远程登录、远程复制等功能
• SSH 协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的用户口令
• SSH 为建立在应用层和传输层基础上的安全协议。对数据进行压缩，加快传输速度。

1.2 SSH 优点

SSH客户端<--------------网络---------------->SSH服务端

• 数据传输是加密的，可以防止信息泄漏
• 数据传输是压缩的，可以提高传输速度

2 SSH 远程管理

2.1 SSH 远程登录方式

方法一
首先确定你连接的真正的IP地址，IP地址可以造假

ssh [远程主机用户名] @ [远程服务器主机名或IP地址] -p port当在 Linux 主机上远程连接另一台 Linux 主机时，如当前所登录的用户是 root 的话，
当连接另一台主机时也是用 root 用户登录时，可以直接使用 ssh IP，端口默认即可，
如果端口不是默认的情况下，需要使用-p 指定端口。例子：
[root@ky15 ~]#ssh root@192.168.16.16
#默认使用22端口 root（登录对方的用户）加IP地址，首次登录会询问，并要求输入密码

方法二

ssh -l [远程主机用户名] [远程服务器主机名或IP地址] -p port
-l ：-l 选项，指定登录名称
-p：-p 选项，指定登录端口（当服务端的端口非默认时，需要使用 -p 指定端口进行登录）例子：
[root@ky15 ~]# ssh -l root 192.168.16.16

注意：第一次登录服务器时系统没有保存远程主机的信息，为了确认该主机身份会提示用户是否继续连接，输入 yes 后登录，这时系统会将远程服务器信息写入用户主目录下的 $HOME/.ssh/known_hosts 文件中，下次再进行登录时因为保存有该主机信息就不会再提示了

2.2 故障集

在平时工作中，有时候需要 SSH 登陆到别的 Linux 主机上去，但有时候 SSH 登陆会被禁止，并弹出如下类似提示：

The authenticity of host '192.168.16.16 (192.168.16.16)' can't be established.
ECDSA key fingerprint is SHA256:WvoQ0ThSrtx8piMJBPFqTgfMiSPxD1NqUoN6WPme7f8.
ECDSA key fingerprint is MD5:d4:6c:04:3e:67:da:44:e8:c7:9c:77:b9:dd:d5:36:88.
Are you sure you want to continue connecting (yes/no)?yes
Warning：Permanently added'192.168.16.16'（ECDSA）to the list of known hosts.
Authentication failed.

ssh 会把你每个你访问过计算机的公钥（public key）都记录在 ~/.ssh/known_hosts。当下次访问相同计算机时，OpenSSH 会核对公钥。如果公钥不同，OpenSSH 会发出警告，避免你受到 DNS Hijack 之类的攻击

原因
一台主机上有多个Linux系统，会经常切换，那么这些系统使用同一 ip，登录过一次后就会把 ssh 信息记录在本地的 ~/.ssh/known hsots文件中，切换该系统后再用ssh访问这台主机就会出现冲突警告，需要手动删除修改 knownhsots 里面的内容。

解决办法

方法一：
使用ssh连接远程主机时加上 "-o StrictHostKeyChecking=no" 的选项，如下：
ssh -o StrictHostKeyChecking=no 192.168.xxx.xxx方法二：
一个彻底去掉这个提示的方法是，修改 /etc/ssh/ssh_config 文件（或SHOME/.ssh/config）中的配置，添加如下两行配置（不建议）：
StrictHostKeyChecking=no
UserKnownHostsFile /dev/null
StrictHostKeyChecking（新建主机）

2.3 OpenSSH 服务器

主要包括两个服务功能 ssh 远程连接和 sftp 服务

作用：SSHD 服务使用 SSH 协议可以用来进行远程控制，或在计算机之间传送文件。
相比较之前用Telnet方式来传输文件要安全很多，因为 Telnet 使用明文传输，SSH 是加密传输

服务名称：sshd
服务端主程序：/usr/sbin/sshdOpenSSH常用配置文件
服务端配置文件：/etc/ssh/sshd_config
#为服务器端配置文件，设置与服务端相关的应用可通过此文件实现
客户端配置文件：/etc/ssh/ssh_config
#为客户端配置文件，设置与客户端相关的应用可通过此文件实现

SSH 客户端：Putty、Xshell、CRT、Mobaxterm、Finalshell
SSH 服务端：OpenSSH
OpenSSH 是实现 SSH 协议的开源软件项目，适用于各种 UNIX、Linux 操作系统

Centos 7 系统默认已安装 openssh 相关软件包，并将 sshd 服务添加为开机自启动
执行 “systemctl start sshd” 命令即可启动 sshd 服务 sshd 服务默认使用的是 TCP 的 22 端口，安全协议版本 sshv2，出来 2 之外还有1（有漏洞）

sshd 服务的默认配置文件是 /etc/ssh/sshd_config
ssh_config 和 sshd config 都是 ssh 服务器的配置文件，二者区别在于前者是针对客户端的配置文件，后者则是针对服务端的配置文件

远程管理 linux 系统基本上都要使用到 ssh，原因很简单：telnet、FTP 等传输方式是以明文传送用户认证信息，本质上是不安全的，存在被网络窃听的危险。SSH（SecureI Shell）目前较可靠，是专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题，透过 SSH 可以对所有传输的数据进行加密，也能够防止 DNS 欺骗和 IP 欺骗

2.4 OpenSSH 服务包

要安装 OpenSSH 四个安装包：
OpenSSH 软件包，提供了服务端后台程序和客户端工具，用来加密远程控件和文件传输过程中的数据，并由此来代替原来的类似服务 Telnet 或 Ftp安装包：
OpenSSH 服务需要4个软件包
Openssh-5.3pl-114.e16_7.x86_64   //包含openss日服务器及客户端需要的核心文件
Openssh-clients-5.3pl-114.e16_7.x86_64   openSSH客户端软件包
Openssh-server-5.3pl-114.e16_7.x86_64   //opensSH服务器软件包
Openssh-askpass-5.3pl-114.e16_7.x86_64  //支持对话框窗口的显示，是一个基于x系统的

3 配置 OpenSSH 服务端

3.1 监听端口修改实验

#设置 SSHD 监听端口号
SSH 预设使用 22 这个port，也可以使用多个port，即重复使用 port 这个设定项！例如:
想要开放 SSHD 端口为 22 和 222，则多加一行内容为：Port 222即可
然后重新启动 SSHD 这样就好了,建议大家修改 port number为其它端口，防止别人暴力破解

#ListenAddress  监听地址
ListenAddress 0.0.0.0
设置 SSHD 服务器绑定的 IP 地址，0.0.0.0表示侦听所有地址
安全建议：如果主机不需要从公网 ssh 访问，可以把监听地址改为内网地址
这个值可以写成本地 IP 地址，也可以写成所有地址，即0.0.0.0表示所有 IP#Protocol2
设置协议版本为 SSH1 或 SSH2，SSH1存在漏洞与缺陷，选择SSH2#UseDNS yes
一般来说，为了要判断客户端来源是正常合法的，因此会使用 DNS 去反查客户端的
主机名，但通常在内网互连时，该基设置为 no，因此使联机速度会快些
注：禁用 DNS 反向解析，以提高服务器的响应速度

3.2 安全调优

#LoginGraceTime 2m
grace 意思是系统给与多少秒来进行登录。（默认2分钟，0表示无限制）
当使用者连上 SSH server 之后，会出现输入密码的画面，在该画面中
在多久时间内没有成功连上 SSHserver 就强迫断线！若无单位则默认时间为秒。可以根据实际情况来修改实际#PermitRootLogin yes
是否允许 root 登入，默认是允许的，但是建议设定成 no，真实的生产环境服务器，是不允许 root 账号直接登陆的，仅允许普通用户登录，需要用到 root 用户再切换到 root 用户

改成no后不允许root 账号直接登陆的

允许普通用户登录

#PasswordAuthentication yes
密码验证当然是需要的！所以这里写 yes，也可以设置为 no，在真实的生产服
务器上，根据不同安全级别要求，有的是设置不需要密码登陆的，通过认证的秘钥来登陆#PermitEmptyPasswords no
是否允许空密码的用户登录，默认为 no，不允许空密码登录#PrintLastLog yes
显示上次登入的信息！默认为 yes#MaxAuthTries 6
指定每个连接最大允许的认证次数。默认值是 6
如果失败认证的次数超过这个数值的一半，连接将被强制断开，且会生成额外的失败日志消息默认3次
验证 ssh -o NumberOfPasswordPrompts=8 lisi@192.168.16.16#AllowUsers
当希望只允许或禁止某些用户登录时，可以使用 AllowUsers 或 DenyUsers 配置，
两者用法类似（注意不要同时使用）
配置AllowUsers

例如，若不允许 zhangsan用户登录

• 扩展命令参数

ssh -o ConnectTimeout=3 -o ConnectionAttempts=5 -o PasswordAuthentication=no -o StrictHostKeyChecking=no $ip "command"ConnectTimeout=3   //连接超时时间，3秒
ConnectionAttempts=5    //连接失败后重试次数，5次
PasswordAuthentication=no    //不使用密码认证，没有互信直接退出
StrictHostKeyChecking=no   //自动信任主机并添加到known_hosts文件

3.3 sshd 服务支持登录验证方式

密码验证
以服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便，但从客户机角度来看，正在连接的服务器有可能被假冒，从服务器角度来看，当遭遇密码暴力破解攻击时防御能力比较弱

密钥对验证
要求提供相匹配的密钥信息才能通过验证，通常先在客户机中创建一对密钥文件（公钥和私钥），然后将公钥文件放到服务器中的指定位置。远程登录时，系统将使用公钥、私钥进行加密/解密关联验证，增强了远程管理的安全性

• 公钥和私钥是成对生成的，这两个密钥互不相同，可以互相加密和解密
• 不能根据一个密码来推算出另一个密钥
• 公钥对外公开，私钥只有私钥的持有人才知道

当密码验证、密钥对验证都启用时，服务器将优先使用密钥对验证。对于安全性要求较高的服务器，建议将密码验证方式禁用，只允许启用密钥对验证方式；若没有特殊要求，则两种方式都可启用

3.3.1 SSH 公钥传输原理

• 客户端发起链接请求
• 服务端返回自己的公钥，以及一个会话 ID（这一步客户端得到服务端公钥）
• 客户端生成密钥对
• 客户端用自己的公钥异或会话 ID，计算出一个值 Res，并用服务端的公钥加密
• 客户端发送加密后的值到服务端，服务端用私钥解密，得到 Res
• 服务端用解密后的值 Res 异或会话 ID，计算出客户端的公钥（这一步服务端得到客户端公钥）
• 最终：双方各自持有三个秘钥，分别为自己的一对公、私钥，以及对方的公钥，之后的所有通讯都会被加密

3.3.2 构建密钥对验证的 SSH

• 公钥和私钥的关系
  在非对称加密技术中，有两种密钥，分为私钥和公钥，私钥是密钥对所有者持有，不可公布，公钥是密钥对持有者公布给他人的。
  公钥用来给数据加密，用公钥加密的数据只能使用私钥解

• 构建密钥对验证的 SSH 原理
  首先 SSH 通过加密算法在客户端产生密钥对（公钥和私钥），公钥发送给服务器端，自己保留私钥，如果要想链接到带有公钥的 SSH 服务器，客户端 SSH 软件就会向 SSH 服务器发出请求，请求用联机的用户密钥进行安全验证。SSH 服务器收到请求之后，会先在该 SSH 服务器上连接的用户的家目录下寻找事先放上去的对应用户的公用密钥，然后把它和连接的 SSH 客户端发送过来的公用密钥进行比较。如果两个密钥一致，SSH 服务器就用公钥加密"质询"（challenge）并把它发送给 SSH 客户端

当密码验证、密钥对验证都启用时，服务器将优先使用密钥对验证。可根据实际情况设置验证方式。
vim /etc/ssh/sshd_config PasswordAuthentication yes   //启用密码验证
PubkeyAuthentication yes    //启用密钥对验证
AuthorizedKeysFile.ssh/authorized_keys   //指定公钥库文件

3.3.3 配置密钥对验证

方法一

1.在客户端创建密钥对
通过 ssh-keygen.具为当前用户创建密钥对文件。可用的加密算法
为 RSA、ECDSA或DSA等（ssh-keygen命令的 "-t" 选项用于指定算法类型）[root@localhost home]# useradd lisi
[root@localhost home]# echo "123123" | passwd --stdin lisi
[root@localhost ~]# ssh-keygen -t rsa

2.将公钥文件,上传至服务器
[root@localhost .ssh]# scp ~/.ssh/id_rsa.pub root@192.168.16.16：/opt
或
此方法可直接在服务器的/home/root/.ssh/目录中导入公钥文本cd ~/.ssh/
[root@localhost .ssh]# ssh-copy-id -i id rsa.pub root@192.168.16.16

3.在客户机设置ssh代理功能,实现免交互登录
[root@localhost .ssh]# ssh-agent bash    //开启ssh代理功能
[root@localhost .ssh]# ssh-add        //添加大秘钥到ssh-agent缓存
Enter passphrase for /home /admin/.ssh/id_ecdsa:     //输入私钥的密码
[root@localhost .ssh]# ssh root@192.168.16.16

3.3.4 密钥常用配置项

#生成密钥文件
[root@localhost ~]# ssh-keygen -t ecdsa
（如果设置免密登录，则重新设置，不设置密码，一路回车）
#将公钥文件导入对方用户的 注意路径
[root@localhost .ssh]# ssh-copy-id -i /root/.ssh/id_ecdsa.pub root@192.168.59.117#登录客户机

4 SSH客户端程序

4.1 远程安全复制—SCP

安全性复制SCP：SCP 是 Secure Copy 的简写，用于在Linux下进行远程拷贝文件的命令，而且 scp 传输是加密的

Centos7-2为本地（192.168.16.18）
Centos7-1为服务器（192.168.16.16）

案例一：本地文件复制到服务器

[root@localhost ~]# scp initial-setup-ks.cfg root@192.168.16.16:/home

案例二：复制服务器的文件到本地

[root@localhost ~]# scp root@192.168.16.16:/home/111.txt ./

案例三：本地目录复制到服务器

[root@localhost ~]# scp -r kgc/ root@192.168.16.16:/opt

4.2 安全FTP上下载—SFTP

安全性传输SFTP：SFTP 是 Secure File Transfer Protocol的缩写，安全文件传送协议。可以为传输文件提供一种安全的网络的加密方法

SFTP 与 FTP 有着儿乎一样的语法和功能。SFTP为 SSH 的其中一部分，其实在 SSH 软件包中，已经包含了一个叫作SFTP（Secure File Transfer Protocol）的安全文件信息传输子系统，SFTP 本身没有单独的守护进程，它必须使用 SSHD 守护进程（端口号默认是22）来完成相应的连接和答复操作

所以，使用 SFTP 是非常安全的。但是，由于这种传输方式使用了加密/解密技术，所以传输效率比普通的 FTP 要低得多，如果您对网络安全性要求更高时，可以使用 SFTP 代替 FTP

[root@localhost ~]# sftp root@192.168.16.16    //登陆到服务器查看可用命令
help    //查看sftp可使用的命令和用途下载文件、退出sftp
get       //下载文件
get -r    //下载目录
quit      //退出sftp
put        //上传文件
退出命令：quit、exit、bye都可以

案例一：上传

put test.txt     //默认时会上传的/root
put test.txt /home/

案例二：get下载

get /opt/123.txt /home/

案例三

打印服务器当前位置
pwd      //打印当前服务器所在位置
lpwd    //打印当前本地位置切换目录、查看文件
cd       //切换服务器上的目录
1s       //查看当前目录下文件列表

5 TCP Wrappers访问控制

5.1 TCP Wrappers概述

TCP Wrappers（TCP封套）
在Linux系统中，许多网络服务针对客户端提供了访问控制机制，如 Samba、BIND、HTTPD、OpenSSH 等
TCP Wrappers 将 TCP 服务程序 “包裹” 起来，代为监听 TCP 服务程序的端l口，增加了一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得许可后才能访问真正的服务程序
将TCP服务程序 “包装” 起来，代为监听 TCP 服务程序的端口，增加了一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得许可后才能访问真正的服务程序
大多数 Linux 发行版，TCP Wrappers 是默认提供的功能。rpm -q tcp_wrappers

[root@localhost opt]# rpm -q tcp_wrappers   //一般系统会默认安装
tcp_wrappers-7.6-77.e17.×86_64
//该软件包提供了执行程序tcpd和共享链接库文件libwrap.so.*TCP Wrapper 保护机制：通常由其他网络服务程序调用1ibwrap.so.*链接库比如 sshd
[root@localhost opt]# ldd /usr/sbin/sshd | grep "libwrap"   //使用ldd命令可以查看程序的共享库

TCP Wrappers保护机制的两种实现方式

1.直接使用 tcpd 程序对其他服务程序进行保护，需要运行 tcpd 程序
2.由其他网络服务程序调用 libwrap.so.* 链接库，不需要运行 tcpd 程序。
此方式的应用更加广泛，也更有效率使用 ldd 命令可以查看程序的 libwrap.so.* 链接库
ldd $（which ssh）

5.2 TCP Wrappers访问策略

5.2.1 策略的配置格式

语法格式：<服务程序列表>:<客户端地址列表>

（1）服务程序列表
ALL：代表所有的服务
单个服务程序：如 “vsftpd”
多个服务程序组成的列表：如 “vaftpd，sshd”
（2）客户端地址列表
ALL：代表何客”端地址
LOCAL：代表本机地址
多个地址以逗号分隔
允许使用通配符 “*” 和 “?”，前者代表任意长度字符，后者仅代表一个字符网段地址，如 “192.168.80.” 或者 192.168.80.0/255.255.255.0
区域地址，如 “.benet.com” 匹配 benet.com 域中的所有主机

5.2.2 访问控制的基本原则

首先检查 /etc/hosts.allow 文件，如果找到相匹配的策略，则允许访问：否则继续检查 /etc/hosts.deny 文件，如果找到相匹配的策略，则拒绝访问：如果检查上述两个文件都找不到相匹配的策略，则允许访问

"允许所有，拒绝个别"
只需在 /etc/hosts.deny 文件中添加相应的拒绝策略"允许个别，拒绝所有"
除了在 /etc/hosts.allow 中添加允许策略之外，
还需要在 /etc/hosts.deny文件中设置 "ALL:ALL"的拒绝策略

案例一：

拒绝主机192.168.16.16登录
vim /etc/hosts.allow
sshd:ALL
vim /etc/hosts.deny
sshd:192.168.16.16

6 总结

简单的说，SSH是一种网络协议，主要用于客户端与远程主机的安全链接和交互。安全链接的过程是：
1.远程主机端收到客户端的登陆请求时先发送自己的公钥给客户端
2.客户端用拿到的公钥加密用户名和密码，然后发送给远程主机
3.远程主机用自己的密钥解密收到的用户名和密码，然后校验用户名和密码是否正确，
如果正确则登陆成功。
4.客户端免密登陆远程主机《 Linux 就该这么学》
如果只是通过第一步，以后的每次登陆都需要输入登陆密码，非常麻烦。幸运
的是 SSH 提供了公钥登陆（免密登陆）公钥登录的流程如下：
1.客户端在自己本地生成一对公钥密钥文件，然后将公钥存储在远程主机上
2.客户端登陆时，远程主机会随机生成一串字符串发送给客户端
3.客户端用自己的密钥将收到的字符串加密，并返回给远程主机
4.远程主机利用公钥解密收到的加密字符串，如果解密成功并且与发送的一致则直接免密登陆

Linux服务篇之远程访问及控制SSH相关推荐

1. 【鬼网络】之远程访问及控制ssh

   远程访问及控制ssh 一.SSH远程管理 1.定义 2.优点 3.客户端与服务端 4.SSH服务的开启.端口号和配置文件 二.配置 OpenSSH 服务端 1.配置文件常用设置选项 2.AllowUs ...

2. linux 查看目录拓扑图,Linux服务篇之九：构建Cacti监控平台

   Linux服务篇之九:构建Cacti监控平台 作为一名Linux SA,日常最重要的就是保证网站正常稳定的运行,我们需要实时监控网站.服务器的运行状态,这时需要借助开源软件(cacti.nagios. ...

3. 远程访问及控制SSH 服务

   目录 前言 一.SSH概述 二. SSHD服务 2.1 远程登录 2.2 文件传输 三.SSH服务配置 3.1 SSH服务安全调优 3.2 SSH服务验证 四.密钥对构建 4.1 密钥对原理 4.2 ...

4. linux服务篇-Xinetd服务

   Xinetd=eXtended InterNET services daemon(扩展互联网服务守护进程=超级互联网守护进程=超级服务),xinetd是新一代的网络守护进程服务程序,又叫超级Inter ...

5. Linux服务篇--openssh服务

   Linux高级篇–SSH服务 一. SSH ssh: secure shell, protocol, 22/tcp, 安全的远程登录 具体的软件实现:   OpenSSH: ssh协议的开源实现,Ce ...

6. 远程访问及控制SSH

   目录 SSH基础 什么是SSH SSH特点 SSH协议 SSH原理 用户登录 scp命令--远程安全复制 sftp--安全FTP 服务端配置 构建密钥对验证 密钥对验证实验 SSH基础 什么是SSH ...

7. linux服务篇-FTP服务

   FTP 是File Transfer Protocol(文件传输协议)的英文简称,而中文简称为"文传协议".用于Internet上的控制文件的双向传输.同时,它也是一个应用程序(A ...

8. linux服务篇-RSYNC数据备份

   Rsync(remote sync)是UNIX及类UNIX平台下一款神奇的数据镜像备份软件,它不像FTP或其他文件传输服务那样需要进行全备份,Rsync可以根据数据的变化进行差异备份,从而减少数据流量 ...

9. linux服务篇-Nagios监控

   Nagios是一款开源免费的网路监视工具(不准确,它也收费),可以监控的设备:Windows,Linux,Unix,Router,Switch,具有报警功能,是一个网络监控系统.它可以监视你指定的主机 ...

最新文章

1. Linux网卡图形化,Linux系统无线网络图形化软件(LinSSID)使用方法
2. 线性回归实例-鸢尾花数据集
3. 【opencv】13.摄像头焦距和视场角
4. SQL 难点解决：循环计算
5. 杭州企业“被参与”互联网攻击致半个美国网络瘫痪
6. 【zabbix个性化监控之一】TCP连接数
7. 同一个商户周结数据中既有分账交易又有非分账交易的处理方式
8. HDU 2844 Coins 多重背包
9. Dynamsoft WebAssembly条形码SDK预览
10. pp助手苹果版本_腾讯桌球安卓和苹果系统如何进28以及怎么解决没有金币时的烦恼...
11. 路由与交换技术笔记(eNSP)
12. 《人生效率手册》学习总结
13. sqoop与PG库导入导出数据
14. 爬虫，爬取句子迷《龙族》
15. 2019年51CTO学院发布课程回顾总结-引莫（孙忠）
16. 有50 家人家，每家一条狗。有一天警察通知
17. 中国5G毫米波小基站市场行业运行动态与发展趋势预测报告
18. 程序员七夕特刊，绝无狗粮添加剂
19. AI Earth ——开发者模式案例7：植被覆盖度提取
20. Python统计学10——时间序列分析自回归模型(ARIMA)

热门文章

1. Kali学习 | 无线渗透：7.9 Arpspoof工具
2. Tomcat部署war包项目
3. 使用U盘安装Linux系统经验总结
4. 【matlab】：matlab的linspace函数解析
5. 哈夫曼树及哈夫曼编码(考试常考版)
6. 哈夫曼算法以及求哈夫曼编码
7. java入门基础掌握单词汇总
8. 计算机基础及excel,S102-计算机基础(06)-EXCEL简介及基本操作
9. 英语学习资料下载大全
10. java树结构stream工具类