、SSHの概要
1、SSHはじめに
SSHは、(セキュアシェル)は、主にこのようなインターフェース機能などのリモートログイン、リモートコピーの文字に使用されるセキュアチャネルプロトコルです。
通信データの送信処理のためのSSHプロトコルユーザ入力ユーザログインパスワード、およびTELNET(Telnetの)を含む、暗号化の両方
他のアプリケーションと比較すると、SSHプロトコルは、より高いセキュリティを提供しています。
2、デフォルトのリスニングポート:TCP 22
二、OpenSSHの設定
1、OpenSSHのインストール・パッケージ
インストールされていない場合は、自動的にLinuxシステムのデフォルトのインストールをインストールし、インストールパッケージのrpmディスクは次のとおりです。
OpenSSHの-5.3p1-94.el6.x86_64.rpm
OpenSSHの-askpassパッケージ-5.3p1-94.el6.x86_64.rpm
OpenSSHの-クライアント-5.3p1-94.el6.x86_64.rpm
openssh-サーバ5.3p1-94.el6.x86_64.rpm
●サービス名:SSHD
●メインサーバーします。/ usr / sbin / sshdの
●サーバーの設定ファイル:は、/ etc / ssh / sshd_config
●クライアントの設定ファイル:の/ etc / sshを/ ssh_configの
2、OpenSSHサーバの設定
[ルート@ WWWのSSH]#のVimのsshd_configに
ポート22 //デフォルトのポート番号TCP 22
AddressFamilyどの//指定されたアドレスファミリ、任意の、INET(IPv4)の、INET6(IPv6)の
ListenAddressを192.168.1.108 //リスニングIPアドレス(外部サービス・プロバイダーに対応)、デフォルトの0.0.0.0は、(127.0.0.1、接続されていない他のマシンを聞いていない)すべてに耳を傾け
プロトコル2 // sshプロトコル、第2版を使用
LoginGraceTime 2メートル// 2分長い待機ログイン
rootログインを許可するには、yes //デフォルトのPermitRootLogin
StrictModesを前に、はい//は、ユーザーディレクトリの接続要求を受け入れ、関連する設定ファイルやホスト権限検査
MaxAuthは、認証の6 //最大許容数を試行します
MaxSessionsのオープンセッションの最大数を許可する10 //各ネットワーク
はいRSAAuthentications // RSAアルゴリズムを有効にします
はいPubkeyAuthentication //キーの検証を可能に
AuthorizedKeysFileのの.ssh /認証キー//指定公共図書館の場所
PermitEmptyPasswords何//ヌルパスワードは、ユーザーがログインすることができません。
PasswordAuthenticationをはい//パスワードの検証を有効
UseDNSなし//無効に逆引き
手動で追加
AllowUsersというアンバー[email protected]
DenyUsersリージ
AllowUsersという:琥珀のエンドユーザーは、どの顧客にログインすることができ、ユーザーはIPアドレスのみが許可されzhangsan
192.168.1.51クライアントのログイン。2だけは、ユーザーがリモートログインプロトコルをsshをすることができます。
DenyUsersは:リシをログに記録するユーザーを禁止します
注:AllowUsersというのDenyUsersと同時に使用することはありません
第三に、使用するSSHクライアントプログラム
1、コマンドプログラム
(1)sshコマンド(リモートログインを確保)
フォーマット:SSHユーザー@ホスト(クライアントとは、ユーザー@の必要性を排除し、同じユーザー名をホストする場合、ユーザのユーザ@ホスト)
ポートオプション:-P 22
[ルート@サーバー-SSH〜]#useraddのアンバー
[ルート@サーバー-SSH〜]#エコー "123123" | passwdの--stdinアンバー
[クライアント@ルート〜]#useraddの管理
| [ルート@クライアント〜]#は "123123" エコー passwdの--stdin管理
[ルート@クライアント〜]#suコマンド - 管理者
[管理者@クライアント〜] $ sshの[email protected]
ホストの信憑「192.168.66.111(192.168.66.111)」は確立できません。
ZrMfShX / kM61XVrPIu1M75 / sPgdLOe0JOPt / aC17mMQ:ECDSA鍵のフィンガープリントはSHA256です。
71:ECDSAキーフィンガープリントはMD5である×:A1:AF:00:A4:B8:9E:E7:A4:D7:F8:25:E5:BD:BC。
あなたは(はい/いいえ)接続を続行しないようにしてもよろしいですか?はい
警告:永続的に知られているホストのリストに「192.168.66.111」(ECDSA)を追加。
[email protected]'sパスワード://输入服务端アンバー用户的密码
[琥珀@サーバー-SSH〜] $ whoamiは
アンバー
[[琥珀サーバー-SSH〜@ ] $ログアウト// Ctrlキー+ Dも使用することができるか、または入力終了
192.168.66.111クローズへの接続。
(2)scpコマンド(リモートコピーを確保)
フォーマット1:SCPのユーザ@ホスト:FILE1 FILE2
フォーマット2:SCP FILE1ユーザ@ホスト:FILE2
1>サーバからクライアントにファイルをコピーします。
サーバー:
[ルート@ 111〜]#1 MKDIR / AAA
[ルート@ 111〜]#タッチ/aaa/test{1..10}
#1、LS / AAA [111〜@ルート]
TEST1 TEST10 TEST2 TEST3 TEST4 TEST5 TEST6 TEST7 TEST8 TEST9
クライアント:
[ルート@ 112〜]#ます。mkdir / BBB
[ルート@ 112〜]#lsの/ BBB
[ルート@ 112〜]#件のscp [email protected]:/ AAA / * / BBB /
ホストの信頼'192.168.66.111は(192.168.66.111)'を確立することはできません。
ECDSA鍵のフィンガープリントはSHA256です:Y8CnsgU + a3aZUMHzVYQnST9QZ69QcJxTrYw7ag2vBQs。
3F:A6:F9:C2:78:E6:32:83:BC:59:3C:06:7C:36:55:B5 ECDSAキーフィンガープリントはMD5です。
あなたは(はい/いいえ)接続を続行しないようにしてもよろしいですか?はい
警告:永続的に知られているホストのリストに「192.168.66.111」(ECDSA)を追加。
[email protected]'sパスワード:
100%0 0.0キロバイト/秒0時test1の
TEST10 100%0 0.0キロバイト/秒0時
test2の100%0 0.0キロバイト/秒0時
test3に100%0 0.0キロバイト/秒0:00
TEST4 100%0 0.0キロバイト/ S 0:00
TEST5 100%0 0.0キロバイト/ sの午後12時00分
100%0 0.0キロバイト/ sの0時TEST6
TEST7 100%0 0.0キロバイト/ sの0時
TEST8 100%0 0.0キロバイト/ sの0時
TEST9 100%0 0.0キロバイト/秒00:00
[112〜@ルート] #lsの/ BBB /
test1のTEST10 test2のtest3にTEST4 TEST5 TEST6 TEST7 TEST8 TEST9
2>クライアントからサーバにファイルをコピーします
クライアント:
[ルート112 @〜]#エコーceshi> client.txt
[ルート@ 112〜]#scpコマンドclient.txt [email protected]:〜アンバー/ client1.txt
[email protected]'sパスワード:
client.txt 0% 0 0.0キロバイト/秒- : - ETA
100%6 6 6キロバイト/秒00:00 client.txt
サーバー:
#1 LL [111〜@ルート] 〜琥珀色/
総容積4。
-rw-R&LT - r--の1 6 8オレンジオレンジ16 20時49 client1.txt日付。
(3)sftpコマンド(セキュアFTPのアップロードおよびダウンロード)
フォーマット:SFTPユーザー@ホスト
クライアント:
[ルート@ 112〜]#のMKDIR / CCC
[ルート112〜@]#のCD / CCC
#のLS [112 CCC @ルート]
#SFTP [email protected] [112 CCC @ルート]
[email protected]'sパスワード:
192.168.66.111に接続されています。
SFTP> LS / AAA
/ AAA / test1の/ AAA / TEST10 / AAA / TEST2 / AAA / test3に/ AAA / TEST4 / AAA / TEST5 / AAA / TEST6 / AAA / TEST7 / AAA / TEST8 / AAA / TEST9
SFTP> MGET / AAA / *
TEST1するフェッチ/ AAA / test1の
TEST10するフェッチ/ AAA / TEST10を
TEST2するフェッチ/ AAA / TEST2を
TEST3するフェッチ/ AAA / TEST3を
TEST4するフェッチ/ AAA / TEST4を
TEST5するフェッチ/ AAA / TEST5を
するフェッチ/ AAA / TEST6をTEST6
フェッチTEST7する/ AAA / TEST7
TEST8するフェッチ/ AAA / TEST8を
/ AAA / TEST9にTEST9フェッチ
SFTP>終了
#のLS [112 CCC @ルート]
TEST1 TEST10 TEST2 TEST3 TEST4 TEST5 TEST6 TEST7 TEST8 TEST9
一般的なリモートアクセスツール:Xshell、CRT、パテ、Xmanager(リモート・グラフィカル・ユーザ・インターフェース)、等
第四に、のための鍵SSH認証システムの構築
1、クライアント側で鍵ペアを作成します
SSH-keygenコマンド
利用可能な暗号化アルゴリズム:RSAまたはDSA(ECDSA)
112〜]#suコマンド@ルート - 管理者
[ADMIN〜@ 112]#SSH keygenの-t-RSA
公開/ RSA秘密鍵のペアを生成すると。
キー(/home/admin/.ssh/id_rsaが)れているファイル保存します:// ENTER
のパスフレーズを入力します(空をパスフレーズ)://キーコードを設定し、キーを押して空のパスワードを入力するには、
もう一度同じパスフレーズを入力します://もう一度パスワードを入力してください
あなたの識別が/root/.ssh/id_rsaに保存されています。
あなたの公開鍵は、中/ルート保存されています。/.ssh/id_rsa.pub
鍵のフィンガープリントでは、次のとおりです。
SHA256:112 @ CI5FFtGP6hJt8vDG45 / XqkNEIcgw + Hxの/ KUs0WpzF66Yルート
キーのrandomartイメージでは、次のとおりです。
+ --- [RSA 2048] ---- +
| * + O +。 .o |
| ..ooの.oo |
| O OO = |。
| + ... Oウー|
| .oBoS |。
| = + = = |
| X O *。|
| 。B E ... |
| + .oの++ ... |
+ ---- [SHA256] ----- +
[112〜@管理]#lsのの.ssh /
id_rsaとid_rsa.pubのknown_hosts
図2に示すように、サーバの公開鍵にアップロードされます
(1)方法1:任意の方法することができます(共有、FTP、メール、SCP、......)
クライアント:
[管理者@ 112〜]#件のscpの.ssh / ID rsa.pub [email protected]:〜アンバー/
[email protected]'sパスワード:
id_rsa.pub 0%0 0.0キロバイト/秒- : - ETA
id_rsa.pub 100%390 273.5キロバイト/ sの午前0時00分
サーバー:サーバーでの公開鍵のテキストをインポートします
#suコマンド[111〜@ルート] - アンバー
#1のls -a [111〜@琥珀]
。...アナコンダ-ks.cfgを.bash_logoutの.bash_profile .bashrcのclient1.txt .cshrcなどid_rsa.pubの.tcshrc
#1は、mkdirの.ssh [111〜@琥珀]
[琥珀@ 111〜]#猫id_rsa.pub >>の.ssh / authorized_keysに
【アンバー@ 111〜]#猫の.ssh / authorized_keysに
112 @ SSH-RSA AAAAB3NzaC1yc2EAAAADAQABAAABAQC + y1i3tPWr / XjjP8nLPW0albAEm83Bcb7XL85FvjSIvRArHtmrNR6chH0 / 5s94UQwK / YHfzddrKhaPqXOtGnTycTbhO1mTKWbcVOAYE7vN + K95ZReTYiPZJerBeasZtnEgYngvxgnfg / 3wdd0y5abqqHyUlp / j2LzlYRuluzpKnlnqGYBTp6DSk4IfNAjTvF2hthPVs6SrNlb + mekba8QIQVnFVtcrMwq4uHFAUsde0mAaf6xDvjn4Xpu8AeCNyRJBw9Q3LAYQCYA / J / gE1E8dQBXZP + l62XE9vtfq0IkGEXkquQitZUVJPh4oRQpm656V04gXoHPMwxYmIydNWAYPルート
(2)方法2:SSHコピー-idコマンド
サーバーは、公開鍵ファイルの以前のコピーを削除します
[琥珀@ 111〜]#RM -rfの.ssh / authorized_keysに
クライアント:
[2567 @ localhostの〜] $ sshをコピー-ID -i /home/2567/.ssh/id_rsa.pub [email protected]
は/ usr / binに/ sshをコピー-ID:INFO:キーのソース(S)へインストールされている:「/home/2567/.ssh/id_rsa.pub」
ホストの信憑性「192.168.66.16(192.168.66.16)」は確立できません。
ECDSA鍵のフィンガープリントはSHA256です:G3w / 74LEr26WS7zT1anbS9G9NSiTdYP2WphKJKXd0 + 4。
ECDSAキーフィンガープリントはMD5である:33:78:E5:88:67:80:22:B2:1D:CF:D6:D1:EE:94:D4:30。
あなたは(はい/いいえ)接続を続行しないようにしてもよろしいですか?はい
は/ usr / binに/ sshをコピー-ID:INFO:新しいキー(複数可)を使用してログインしようとすると、すでにインストールされている任意のフィルタで除外すること
は/ usr / binに/ sshをコピー-ID:INFO:1の鍵を( S)がインストールされずに残っている-あなたが今、求められた場合は、新しいキーをインストールすることです
[email protected]'sパスワードを:
パーミッション拒否、もう一度試してください。
[email protected]'sパスワード:
許可拒否、もう一度試してください。
パスワードを[email protected]'s:
鍵(単数または複数)の数が追加されました:1
今で、マシンにログインしてみてください:「SSH 『[email protected]』」
とあなたが望んでいただけキー(s)が追加されたことを確認してください。
サーバー:
[2567 localhostの〜@] $ lsのの.ssh /
authorized_keysにid_rsaとid_rsa.pubのknown_hosts
[2567 localhostの〜@] $猫の.ssh / authorized_keysに
SSH-RSA AAAAB3NzaC1yc2EAAAADAQABAAABAQCssPyyL0Z09spQVn9M92uhnamvFRn4VguBgAimcTGRF7It3LycH + aq9cdY2MWXGQjdTYUJM15yYjWBlEra / 0U7aXaQ1dEbcT84bpxUC2BIqSIm6Tm7D8j7FbyOZuXLc / LiHYDEUMbTb4i3zxJTje2LZGHhGtPcjnHTWI80gBflWAH59rxm29AZWidlPX5P + Tq5S + VT / 6P3QikK5vCF92EukAO18sXQiDG / ZOtNdBP / XPtWBRcJXgHnI9OYktrTsqCCXKxpGQpSa + EEzuJV / qMN2i3MOcQnmB6sD9nwLmG1 / oWnJfVoBCGgpfvCVVpGGStMAf9YGtejaa0xtCxOB5Ij [email protected]
3、クライアント認証キーを使用して
(1)サーバーの設定ファイルを確認しては、/ etc / ssh / sshd_configには鍵証明書であります
はいPubkeyAuthentication
(2)クライアントは、ログインを検証するためのキーを使用しています。
[2567 localhostの〜@] $ sshを192.168.66.16
最終ログインが失敗しました:水曜日8月21日に午後八時44分14秒CST 2019 192.168.66.16からのsshで:notty
1がありましたが、最後の成功したログイン以降のログイン試行に失敗しました。
最終ログイン:水曜日8月21日午後五時21分01秒2019