一、SSH远程管理
1.SSH协议
SSH(Secure Shell)协议是一种安全通道协议,对通信数据据进行了加密处理,用于远程管理。
优点是数据传输是加密的,可防止信息泄露;数据传输是压缩的,可提高传输速度。
OpenSSH是centos7上自带的软件,可以帮助我们实现远程管理。服务名称:sshd ;服务端主程序:/usr/sbin/sshd ;服务端配置文件:/etc/ssh/sshd_config
默认端口号:tcp的22端口
ssh可以远程连接 scp sftp rysnc : 远程传输文件
2. SSH原理
公钥传输:
第一步:服务端发送连接请求,客户端返回自己的公钥,以及一个会话ID(这一步客户端得到服务端公钥),客户端生成密钥对。
第二步:客户端用自己的亦或会话ID,计算出一个值Res,并用服务端的公钥加密。客户端发送加密值到服务端,服务端用私钥解密,得到Res
第三步:服务端用解密后的值Res亦或会话ID,计算出客户端的公钥(这一步服务端得到客户端公钥),最后双方各持有三个密钥,分别是自己的一对公、私钥,以及对方的公钥,之后的所有通讯都会被加密。
3. 登录方法
ssh [远程主机用户名]@[远程服务器主机名或ip地址] -p port (-p代表指定端口号)
例如root默认用户则可以不写,port默认22也可不写。
ssh 192.168.30.11然后输入密码即可
4. 服务端配置
服务端配置文件:vim /etc/ssh/sshd_config
服务端配置文件解析:
#Port 22 #默认使用22端口
#AddressFamily any #默认任何地址可访问
#ListenAddress 0.0.0.0 #监听所有地址的ipv4地址
#ListenAddress :: #监听的ipv6地址
# Logging #日志模块内容
#SyslogFacility AUTH
SyslogFacility AUTHPRIV #默认日志位置输出到rsyslog服务的AUTHPRIV中,/var/log/message下
# Authentication: #身份验证模块
#LoginGraceTime 2m #默认验证用户登录失败后等待时间为2秒
#PermitRootLogin yes #默认允许使用root账户登录
#MaxAuthTries 6 #默认最多可以尝试连接失败6次
#MaxSessions 10 #默认最大可连接10个会话
#PubkeyAuthentication yes #基于key验证默认为开启
#AllowUsers user1,user2@ip #白名单允许登录用户user1,用户为user2的且限制ip
5. ssh服务的最佳实践
- 建议使用非默认端口 22
-
禁止使用protocol version 2
-
限制可登录用户 白名单
-
设定空闲会话超时时长
-
利用防火墙设置ssh访问策略
-
仅监听特定的IP地址 公网 内网
-
基于口令认证时,使用强密码策略,比如:tr -dc A-Za-z0-9_ < /dev/urandom | head -c 12| xargs
-
使用基于密钥的认证
-
禁止使用空密码
-
禁止root用户直接登录
-
限制ssh的访问频度和并发在线数
-
经常分析日志 分离
二、免密钥登录
1.免密连接原理
- 客户端发起ssh请求,服务器会把自己的公钥发送给用户
-
用户会根据服务器发来的公钥对密码进行加密
-
加密后的信息回传给服务器,服务器用自己的私钥解密,如果密码正确,则用户登录成功
2. 基于密钥的登录方式
3. 在客户端生成密钥文件
4. 将密钥发送给服务器
密钥默认位置为:/root/.ssh/
5. 验证免密登录
总结:
ssh服务端主要包括两个服务功能:ssh远程连接和sftp服务(文件传输功能)
标签:控制,公钥,登录,默认,访问,ssh,远程,服务端,客户端 From: https://www.cnblogs.com/daiwei-123/p/17069642.html