第3章SSH服务

一、SSH服务简介
ssh为Secure Shell的缩写，由IETF的网络工作开发的，SSH建立在应用曾和传输曾的安全协议上.
ssh为系统安全和用户提供了有力的安全保障

二、SSH认证原理
(1)ssh链接的验证、加密方式
ssh链接CS模型(客户端-服务端)，客户端发起链接，服务端对客户端进行验证，再考虑是否要链接

(2) 加密体系：
一种公钥加密：对称的密码加密体系

一种私钥加密: 非对称密码加密体系

(2)ssh验证链接原理
2.1 客户端向ssh服务器发出请求，服务端将自己的公钥返回给客户端
2.2 客户端用服务端的公钥加密自己的登录密码，在将信息返回给服务器
2.3 服务器收到客户端传送的密码，用自己的私钥解码，如果正确，则统一登录，建立起链接，错误则返回。拒绝登录。

用户A要发送数据给用户B，主要一下步骤：
第一：用户B通过各种方式向外界公开的公钥PUB_B
第二：用户A得到用户B的公钥PUB_B 并且使用PUB_B对信息加密发送给用户B。
第三: 用户B在收到秘文后，使用自己的私自钥进PRI_B就能完美解密

三、ssh安装方法
# yum -y install openssh


四、配置文件介绍
#Port 22 默认端口号，要改的话改成9000以上
#ListenAddress 0.0.0.0 监听主机网卡任何网端的ssh链接服务
#PermitRootLogin yes 如果改成NO 代表root用户禁止登录
#PubkeyAuthentication yes 去掉#号代表可以使用KEY进行登录


五、服务的重启和关闭
# /etc/init.d/sshd start
# /etc/init.d/sshd stop

六、配置案例
(1)密码链接方式
# ssh root@10.0.0.201

重点：
(2)密钥方式
环境:
server1 10.0.0.201
server2 10.0.0.202
2.1开启以key的方式登录
2.2配置修如下:
#PubkeyAuthentication yes 去掉#号代表可以使用KEY进行登录

2.3分别在201和202创建用户为gongda
# useradd gongda
# passwd gongda
2.4分别在201和202创建私钥和公钥
#su gongda
$ cd ~
$ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/alvin/.ssh/id_rsa):
Created directory '/home/alvin/.ssh'.
Enter passphrase (empty for no passphrase): 要求输入加密短语
Enter same passphrase again: 再次要求输入加密短语
Your identification has been saved in /home/alvin/.ssh/id_rsa. 产生的私钥
Your public key has been saved in /home/alvin/.ssh/id_rsa.pub. 产生的公钥
The key fingerprint is:
b0:94:a0:93:d7:2f:ca:6a:4e:c0:18:f9:1a:ab:19:8b alvin@master
The key's randomart image is:
+--[ RSA 2048]----+
| . |
| . o o . |
|o + . = |
|oo o . + |
|+.. o S |
| = . . . |
|+ . o |
|o=.. |
|Eoo |
+-----------------+

2.5分别在201上面
# cat id_rsa.pub > authorized_keys
# chmod 644 authorized_keys
# scp authorized_keys 10.0.0.202:/home/gongda/.ssh

2.6 在201验证
# ssh 10.0.0.202 是否还需要密码？

七、配置案例
/etc/hosts.allow 允许
sshd:10.0.0.*:allow 在允许针对某一个服务 某些IP 可以访问这个服务

/etc/hosts.deny 拒绝
sshd:all:deny 先拒绝所有

当deny和allow相冲突的时候。以allow以准。


本章练习题目：
企业SSH登录安全需求：
1、要求堡垒机那个以KEY的方式的登录
2、要求内部的WEB机器只能通过KEY的方式登录
3、外部禁止ROOT通过密码认证链接
4、内部可以同sudo方式进入ROOT权限