ssh服务的配置使用

• open-ssh服务
• ssh实验

---

• open-ssh
  远程服务工具Telnet、sshd等，Telnet传输基于明文，认证等均为非加密；ssh协议开源的实现：centos 6 7默认安装，Secure remote shell，允许认证加密方式登录。

  • 服务安装配置
    系统默认安装：

    [root@xt ~]# rpm -qa | grep ssh
    libssh2-1.4.3-10.el7.x86_64
    openssh-6.6.1p1-22.el7.x86_64
    openssh-server-6.6.1p1-22.el7.x86_64
    openssh-clients-6.6.1p1-22.el7.x86_64

    配置文件：

    server：/etc/ssh/sshd_config
    client：/etc/ssh/ssh_config

    服务脚本：
    CentOS 6：
    服务脚本：/etc/rc.d/init.d/sshd
    CentOS 7：
    Systemd Unit File：/usr/lib/systemd/system/sshd.service

  • 客户端工具
    Windows： xshell, securecrt, putty...；
    openssh-clients使用：
    ssh [options] [user@]host [command]
    ssh [-l user] [options] host [command]:省略用户名表示使用当前用户名作为远程登录的用户名
    常用选项：

    -P port ：用于指定远程服务的端口
    -X ：支持X11转发，在本地显示远程主机上的图形窗口，但   前提：本地是X图形界面，或者提供了x service；

    sh远程连接服务器时的配置选项，定义在/etc/ssh/ssh_config配置文件中

  • 认证方式
    1.基于口令认证：即每次ssh交互输入登录密码
    2.基于密钥认证：非对称加密
    • 在本地主机生成一对密钥
      ssh-keygen [-q] [-b bits] [-t type] [-f output_keyfile] [-P passphrase]
      -t {rsa|ecdsa|dsa}: 公钥加密算法，默认rsa 2048
      -b bits:密钥长度
      -P passphrase ：私钥加密密码
      -f output_keyfile：生成密钥的保存位置
    • 在本地主机将公钥复制到远程主机的用户家目录
      ssh-copy-id -i identity_file [-p port] [user@]host
      ssh-copy-id -i .ssh/id_rsa.pub [email protected]

  • scp基于ssh实现跨主机文件复制
    复制文件到远程主机：scp [options] /PATH/TO/SOMEFILE [user@]host:/PATH/TO/SOMEFILE
    复制文件到本地主机：scp [options] [user@]host:/PATH/TO/SOMEFILE /PATH/TO/SOMEFILE
    常用选项：
    -r:递归
    -p:保持源文件权限
    -q: 静默模式
    -P port：指定远程服务的端口

  • 最佳实践

    1、不要使用默认端口；
    2、禁止使用protocol version 1；Protocol 2
    3、限制可登录的用户；
        在配置文件中配置：
        AllowUsers  user1 user2 ...
        AllowGroups group1 group2...
        DenyUsers  user1 user2...
        DenyGroups group1 group2
    4、设定空闲会话超时时长；
    5、利用防火墙设置ssh访问策略；
    6、仅监听特定的IP地址；
    7、基于口令认证时，使用强密码策略（可以禁止）
        # tr -dc A-Za-z0-9_ < /dev/urandom | head -c 20 | xargs
    8、使用基于密钥的认证；
    9、禁止使用空密码；
    10、禁止root用户直接登录；
    11、限制ssh的访问频度和并发在线数；
    12、做好日志，经常分析；
    13、设置TCP Wrappers
        用TCP Wrappers可以阻止或允许应用服务仅对某些主机开放，给系统在增加一道安全屏障。这部分设置共涉计到两个文件：hosts.allow和 hosts.deny
        eg: 在白名单中允许特定的主机访问
        sshd：192.168.0.100 192.168.0.200

实验环境：

实验1：模拟中间人attack
首先客户端与server建立ssh通信，客户端从服务端下载公钥保存在家目录.ssh/known_hosts文件，此时可以基于密码或者密钥远程登录server。修改server的密钥文件模拟server attacked：

实验2：密钥互信实验

[root@xt .ssh]# ls
id_rsa  id_rsa.pub  known_hosts
[root@xt .ssh]# ssh [email protected] hostname
node1.xuetong.com

这样就实现了免密登录，由于使用空密钥，id_rsa* 这两个文件有可能被窃取，伪装成客户端，可以使用对文件加密。

此时同样把公钥发送给node1

但此时还是要交互输入密码。此密码保证了文件的安全性，仅在此机器有效。可以通过使用ssh-agent作为代理，免去输入密码。