了解什么是ssh服务
SSH服务名为sshd,负责实时监听远程SSH客户端的远程连接请求,并进行处理,一般包括公共密钥认证、密钥交换、对称密钥加密和非安全连接等。这个SSH服务就是我们前面基础系统优化中保留开机自启动的服务之。
ssh客户端包含ssh以及像scp(远程拷贝)sftp(安全FTP文件传输)等应用程序。
ssh的工作机制大致是本地的ssh客户端先发送一个连接请求到远程的ssh服务端,服务端检查连接的客户端发送的数据包和IP地址,如果确认合法,就会发送密钥给 SSH的客户端,此时,客户端本地再将密钥发回给服务端,自此连接建立。
SSH服务协议说明
SSH由 IETF 网络工作小组制定;在进行数据传输之前,SSH先对联机数据包通过加密技术进行加密处理,加密后在进行数据传输。确保了传递的数据安全。
SSH是专为远程登录会话和其他网络服务提供的安全性协议。利用 SSH 协议可以有效的防止远程管理过程中的信息泄露问题,在当前的生产环境运维工作中,绝大多数企业普遍采用SSH协议服务来代替传统的不安全的远程联机服务软件,如telnet(23端口,非加密的)等。
在默认状态下,SSH服务主要提供两个服务功能:
-
一是提供类似telnet远程联机服务器的服务,即上面提到的SSH服务。
-
另一个是类似FTP服务的sftp-server,借助SSH协议来传输数据的.提供更安全的SFTP服务
SSH加密技术说明
SSH加密技术就是将人类可以看得懂的数据,通过一些特殊的程序算法,把这些数据变成杂乱的无意义的信怠,然后,通过网络进行传输,而当到了目的地后,在通过对应的解密算法,把传过来的加密的数据信怠解密成加密前的可读的正常数据。因此,当数据在互联网上传输时即使被有心的黑客监听窃取了,也很难获取到真正黑要的数据。
当前,网络上的数据包加密技术一般是通过所谓的一对公钥与私钥(PublickeyandPivatekey)组合成的密钥对进行加密与解密操作。由于在intemet上传输过程中的数据是加密过的,所以,传输的数据内容一般来说是比较安全的。
ssh远程控制具体实验
[root@localhost ~]# vi /etc/ssh/sshd_config 开启以下功能进行安全加固
Port 22 ##开启22端口
ListenAddress 20.0.0.11 ##监听20.0.0.11
Protocol 2 ##SSH协议版本2
UseDNS no ##禁用反向解析
[root@localhost ~]# vi /etc/ssh/sshd_config 下面设置用户登录限制
LoginGraceTime 2m ##限制登录验证时间
PermitRootLogin no ##限制root用户登录
MaxAuthTries 6 ##最大重试次数
PermitEmptyPasswords no ##禁止空密码用户登入
AllowUsers [email protected] ##允许ltp用户从20.0.0.12接口远程进入
DenyUsers [email protected] ##禁止ltp用户从20.0.0.12接口远程进入
远程登录服务器(使用ssh命令)
[root@localhost ~]# ssh [email protected] ##连接到20.0.0.12端服务器的root用户
设置密钥对免密登入
[root@localhost ~]# ssh-keygen -t rsa ##创建密钥对
Enter file in which to save the key (/root/.ssh/id_rsa): ##创建保存密钥目录(直接确认使用自动生成的目录)
Created directory ‘/root/.ssh’.
Enter passphrase (empty for no passphrase): ##设置密钥语(可以直接确认忽略)
Enter same passphrase again: ##再次输入密钥语(可以直接确认忽略)
Your identification has been saved in /root/.ssh/id_rsa. ##/root/.ssh/id_rsa私钥保存目录
Your public key has been saved in /root/.ssh/id_rsa.pub. ##/root/.ssh/id_rsa.pub公钥保存目录
The key fingerprint is:
SHA256:OhnVkXfvsLk9KnD8p4sf8aqV4GA397b5gPYMUzAYqkQ [email protected]
The key’s randomart image is:
[root@localhost ~]# scp /root/.ssh/id_rsa.pub [email protected]:/tmp ##远程拷贝文件
[email protected]’s password:
id_rsa.pub 100% 390 378.4KB/s 00:00
[root@localhost ~]# ssh [email protected] ##远程登录服务器端
[email protected]’s password: ##现在密钥没匹对,这里需要输入密码验证
Last login: Fri Jul 31 03:08:03 2020 from 20.0.0.1
[root@kgc ~]# cd /tmp ###到服务器端查看
[root@kgc tmp]# ll ##可以查看到文件
total 4
-rw-r–r-- 1 root root 408 Jul 31 03:08 id_rsa.pub
drwx------ 3 root root 17 Jul 31 03:07 systemd-private-d957ee894b994bdf86f063048a8dfa2d-vgauthd.service-QaqQNW
drwx------ 3 root root 17 Jul 31 03:07 systemd-private-d957ee894b994bdf86f063048a8dfa2d-vmtoolsd.service-inMFNZ
[root@kgc /]# mkdir -p /root/.ssh/
[root@kgc /]# cat /tmp/id_rsa.pub >> /root/.ssh/authorized_keys
[root@kgc /]# tail -1 /root/.ssh/authorized_keys
ssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAABAQDanR4sy8JlAw/brCEVbygx0n7hCux5PP/coFKkZvS0LNnCDiaVGT3VabDwKUTLRhHr6LNRopc+a8
VPNjgtwdnBWExn1mPE3N/00NcA8DnjdOh4P89sng1XglQv0mO3h0m4rKLGjJ/rjWD/T6yawfqB0TYk7TgPhZBZxY37aSidgDn+2jV/q4bvCC
9PIrj9WOH31rkZkuPtB9UeXX5W1wik4YVMpRvmqYbU+EZRoAKK/BRpHdoiz0Ks3u5cMI0Vfmfo5pjec1Rv0Yn13o8IeVFeVHzUlqBsxv3nA1
vjkeqDaAMcI8FQwuIGZeVKh4tBkjaCQ1eeEYbDz7MCZkmSjghP [email protected]
[root@kgc /]# exit ##退出远程登录回到本地客户机
logout
Connection to 20.0.0.12 closed.
[root@localhost ~]# ssh [email protected]
Last login: Fri Jul 31 03:17:26 2020 from 20.0.0.11Last login: Fri Jul 31 03:17:26 2020 from 20.0.0.11 ##密钥对认证成功,直接可以
登录,不再需要密码。
此外,还有另一种更加方便的办法,直接导入到宿主目录下.ssh/authorized_keys默认公钥数据库文件中。
[root@localhost ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub [email protected]
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: “/root/.ssh/id_rsa.pub”
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed – if you are prompted now it is to install the new keys
[email protected]’s password:
Number of key(s) added: 1
Now try logging into the machine, with: “ssh ‘[email protected]’”
and check to make sure that only the key(s) you wanted were added.
[root@localhost ~]# ssh [email protected]
Last login: Fri Jul 31 07:36:29 2020 from 20.0.0.11 ##可直接远程登录,无需密码