SSH简介
概念
- SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程 复制等功能;
- SSH 协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令;
- SSH 为建立在应用层和传输层基础上的安全协议。对数据进行压缩,加快传输速度。
- SSH使用传输层TCP协议的22号端口(telnet 23号端口)。
优点
远程管理Linux系统基本上都要失业到ssh,原因很简单:telnet、FTP等传输方式是以明文传送用户认证信息,本质上是不安全的,存在被网络窃听的危险。SSH(Secure Shell)目前较可靠,是专为远程等; 会话和其他忘了服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题,通过SSH可以对所有传输的数据进行加密,也能够防止DNS欺骗和IP欺骗
- 数据传输是加密的,可以防止信息泄漏
- 数据传输是压缩的,可以提高传输速度
公钥传输
-
客户端发起链接请求。
-
服务端返回自己的公钥,以及一个会话ID(这一步客户端得到服务端公钥)。
-
客户端生成密钥对。
-
客户端用自己的公钥异或会话ID,计算出一个值Res,并用服务端的公钥加密。
-
客户端发送加密后的值到服务端,服务端用私钥解密,得到Res。
-
服务端用解密后的值Res异或会话ID,计算出客户端的公钥(这一步服务端得到客户端公钥)。
-
最终:双方各自持有三个秘钥,分别为自己的一对公、私钥,以及对方的公钥,之后的所有通讯都会被加密。 有。商业转载请联系作者获得授权,非商业转载请注明出处。
sshd服务端配置
sshd服务端配置文件:/etc/ssh/sshd_config
服务监听选项:
- 端口号、协议版本、监听IP地址
- 禁用反向解析
参数说明:
[root@localhost ~]# cat /etc/ssh/sshd_config -------------------- 17 #Port 22 //端口号,生产环境建议修改端口号 18 #AddressFamily any 19 #ListenAddress 0.0.0.0 20 #ListenAddress :: 38 #LoginGraceTime 2m //发起连接后多少时间内必须登录,超时断开连接 39 #PermitRootLogin yes //是否允许root用户登录,ubantu不允许root远程ssh登录 40 #StrictModes yes //检查.ssh/文件的所有者,权限等 41 #MaxAuthTries 6 //最多允许输错几次密码(centos7默认3次,修改也无效) 42 #MaxSessions 10 //同一时间最多允许10个远程连接 65 #PermitEmptyPasswords no //是否允许空密码用户登录 66 PasswordAuthentication yes //基于用户和密码验证 116 #UseDNS no //禁用反向解析,提高速度可设置为no #设置黑白名单 #llowUsers [email protected] lisi //只允许yuji用户从192.168.19.20访问,允许lisi从所有地址访问 #enyUsers jlx //不允许使用liwu用户登录 #白名单的优先级高于黑名单。如果一个用户同时加入了白名单和黑名单,那么该用户是可以访问的。 #如果不设置白名单,则所有用户都可以登录访问。一旦设置了白名单,那么只有白名单内的用户可以访问。
sshd客户端配置
客户端配置文件
客户端配置文件:/etc/ssh/ssh_config
客户端首次连接服务端时,系统询问是否交换公钥,进行安全确认。这是由客户端配置文件默认的,可以修改配置文件ssh_config取消询问。
取消35行的注释,并将ask改成改成no,则首次连接时,系统不会进行确认询问。
这种做法只在内网中使用,如果服务器暴露在外网中,不建议这样操作,非常危险。
客户端的使用方式
ssh scp sftp 都是默认使用ssh协议,端口为 tcp 22
远程登录
ssh [-p 端口] [用户]@服务端IP
推送 上行复制
scp [-r 目录] 文件 [用户]@服务端IP:保存路径
拉取 下行复制
scp [-P] [用户]@服务端IP:保存路径 本地路径
sftp命令
SFTP是SSH File Transfer Protocol的缩写,安全文件传送协议。SFTP与FTP有着几乎一样的语法和功能。SFTP为SSH的其中一部分,是一种传输档案至 Blogger 伺服器的安全方式。其实在SSH软件包中,已经包含了一个叫作SFTP的安全文件信息传输子系统,SFTP本身没有单独的守护进程,它必须使用sshd守护进程(端口号默认是22)来完成相应的连接和答复操作,所以从某种意义上来说,SFTP并不像一个服务器程序,而更像是一个客户端程序。
sftp命令格式:
sftp [用户名@]IP地址 sftp -oPort=220 [用户名@]IP地址 //修改了默认端口的情况下,需要指定端口号 例: sftp 192.168.72.129 sftp [email protected] #sftp连接后,进入的是当前登录用户的家目录。例如使用root登录,则sftp连接后进入的是/root/目录. #文件的上传和下载,不能使用绝对路径。文件必须位于当前目录下。
sftp连接后的常用命令:
get #下载文件 get -r #下载目录 put #上传文件 put -r #上传目录 quit、exit、bye #退出
sftp和ftp的区别:
- 连接方式:FTP使用TCP端口21上的控制连接建立连接。而,SFTP是在客户端和服务器之间通过SSH协议(TCP端口22)建立的安全连接来传输文件。
- 安全性:SFTP使用加密传输认证信息和传输的数据,所以使用SFTP相对于FTP是非常安全。
- 效率:SFTP这种传输方式使用了加密解密技术,所以传输效率比普通的FTP要低得多。
免密码登录
认证方式
- 用户账户
- 密码认证
- 密钥对认证
PasswordAuthentication yes PubkeyAuthentication yes
设置免密码登录(创建密钥对验证)
实验思路:
- 在客户端创建密钥对
- 将公钥文件上传至服务器
- 在服务器中导入公钥文本
- 在客户端使用密钥对验证
- 在客户机设置ssh代理功能,实现免交互登录
实验步骤:
步骤一:
在客户端创建密钥对
[root@localhost ~]# ssh-keygen -t ecdsa Generating public/private ecdsa key pair. Enter file in which to save the key (/root/.ssh/id_ecdsa): 123456 Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in 123456. Your public key has been saved in 123456.pub. The key fingerprint is: SHA256:/nDEZ9z0YX1bA5MaAsNRZ5eQO4OAI8JelD8paKi4Ndo [email protected] The key's randomart image is: +---[ECDSA 256]---+ |. ... o++. +o+o | | o + o o..oo.oo .| |o + o o . o + .++| |.+ . + o * o..*| |+ . . S o * ...| |o o . . o | | = . o . | |o E + | | . | +----[SHA256]-----+
步骤二:
将公钥文件上传至服务器
[root@localhost ~]# scp ~/.ssh/id_ecdsa.pub [email protected] cp: 无法获取"/root/.ssh/id_ecdsa.pub" 的文件状态(stat): 没有那个文件或目录 [root@localhost ~]# scp ~/.ssh/id_ecdsa.pub [email protected]:/opt ssh: connect to host 192.168.68.103 port 22: No route to host lost connection [root@localhost ~]# scp ~/.ssh/id_ecdsa.pub [email protected]:/opt The authenticity of host '192.168.68.103 (192.168.68.103)' can't be established. ECDSA key fingerprint is SHA256:c/vT25iGBsM5bT0AqPkAXIYENkTV7KskP2y6i7tZpVQ. ECDSA key fingerprint is MD5:ab:67:31:42:18:a0:6e:66:3b:ec:48:0d:af:31:36:9c. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '192.168.68.103' (ECDSA) to the list of known hosts. [email protected]'s password: /root/.ssh/id_ecdsa.pub: No such file or directory
步骤三:
在服务器中导入公钥文本
[root@localhost ~]# scp ~/.ssh/id_ecdsa.pub [email protected]:/opt The authenticity of host '192.168.19.10 (192.168.19.10)' can't be established. ECDSA key fingerprint is SHA256:hWBYEEW/YrLPAB8JwD8k9BzaRAqeJAU/xBFUFLBU+cE. ECDSA key fingerprint is MD5:95:fa:43:3c:e5:3b:8f:a5:7d:b0:43:d9:5a:90:d9:d1. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '192.168.19.10' (ECDSA) to the list of known hosts. [email protected]'s password: id_ecdsa.pub
步骤四:
在客户端使用密钥对验证
步骤五:
在客户机设置ssh代理功能,实现免交互登录
[root@localhost ~]# ssh-agent bash [root@localhost ~]# ssh-add Enter passphrase for /root/.ssh/id_ecdsa: //输入私钥密码 Identity added: /root/.ssh/id_ecdsa (/root/.ssh/id_ecdsa) [root@localhost ~]# ssh [email protected] //此时远程连接无需密码 Last login: Thu Aug 18 15:33:45 2022 from 192.168.19.20 [jlx@localhost ~]$
TCP Wrappers 访问控制
TCP_Wrappers是一个工作在第四层(传输层)的的安全工具,对有状态连接的特定服务进行安全检测并实现访问控制,凡是包含有libwrap.so库文件的的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问,常见的程序有 rpcbind、vsftpd、sshd、telnet。
有些进程不受tcp_wrappers管理,例如 httpd、smb、squid等。
格式
<服务程序列表>:<客户端地址列表>
工作原理
TCP_Wrappers有一个TCP的守护进程叫作tcpd。以ssh为例,每当有ssh的连接请求时,tcpd即会截获请求,先读取系统管理员所设置的访问控制文件,符合要求,则会把这次连接原封不动的转给真正的ssh进程,由ssh完成后续工作;如果这次连接发起的ip不符合访问控制文件中的设置,则会中断连接请求,拒绝提供ssh服务。
基本原则
- 首先检查/etc/host.allow文件,如果找到相匹配的策略,则允许访问;
- 否则继续检查/etc/hosts.deny文件,如果找到相匹配的策略,则拒绝访问;
- 如果检查上述两个文件都找不到相匹配的策略,则允许访问。
拓展:
允许个别,拒绝所有
除了在/etc/hosts.allow中添加允许策略之外,还需要在/etc/hosts.deny文件中设置“ALL:ALL"的拒绝策略。
实例:
若只希望从IP地址为12.0.0.1的主机或者位于192.168.19.0/24网段的主机访问sshd服务,其他地址被拒绝。
[root@localhost ~]# vim /etc/hosts.allow sshd:12.0.0.1,192.168.19.* [root@localhost ~]# vim /etc/hosts.deny sshd:ALL
总结:
- 认证方式
- 用户账户
- 密码认证
- 密钥对认证
- 设置密钥的方式 ---ssh-keygen