第十六天：ssh服务

一、ssh服务介绍

ssh: secure shell protocol, 22/tcp, 安全的远程登录，实现加密通信，代替传统的 telnet 协议

具体的软件实现：

　　OpenSSH：ssh协议的开源实现，CentOS 默认安装

　　dropbear：另一个ssh协议的开源项目的实现

SSH 协议版本

　　v1：基于CRC-32做MAC，不安全；man-in-middle

　　v2：双方主机协议选择安全的MAC方式，基于DH算法做密钥交换，基于RSA或DSA实现身份认证

1、公钥交换原理

客户端发起链接请求

服务端返回自己的公钥，以及一个会话ID（这一步客户端得到服务端公钥）

客户端生成密钥对

客户端用自己的公钥异或会话ID，计算出一个值Res，并用服务端的公钥加密

客户端发送加密后的值到服务端，服务端用私钥解密，得到Res

服务端用解密后的值Res异或会话ID，计算出客户端的公钥（这一步服务端得到客户端公钥）

最终：双方各自持有三个秘钥，分别为自己的一对公、私钥，以及对方的公钥，之后的所有通讯都

会被加密

2、ssh加密通讯原理

 

二、openssh 服务

OpenSSH是SSH （Secure SHell） 协议的免费开源实现，一般在各种Linux版本中会默认安装，基于C/S

结构

Openssh软件相关包：

　　openssh

　　openssh-clients

　　openssh-server

1、客户端 ssh命令

 

 2、其它ssh客户端工具

(1)scp命令

 (2) rsync 命令

 

 (3) sftp命令

 (4)自动登录 ssh工具 sshpass

 3、ssh登录验证方式介绍

ssh服务登录的常用验证方式

　　用户/口令

　　基于密钥

基于用户和口令登录验证

　　1. 客户端发起ssh请求，服务器会把自己的公钥发送给用户

　　2. 用户会根据服务器发来的公钥对密码进行加密

　　3. 加密后的信息回传给服务器，服务器用自己的私钥解密，如果密码正确，则用户登录成功

基于密钥的登录方式 

　　1. 首先在客户端生成一对密钥（ssh-keygen）

　　2. 并将客户端的公钥ssh-copy-id 拷贝到服务端

　　3. 当客户端再次发送一个连接请求，包括ip、用户名

　　4. 服务端得到客户端的请求后，会到authorized_keys中查找，如果有响应的IP和用户，就会随机生成一个字符串，例如：magedu

　　5. 服务端将使用客户端拷贝过来的公钥进行加密，然后发送给客户端

　　6. 得到服务端发来的消息后，客户端会使用私钥进行解密，然后将解密后的字符串发送给服务端

　　7. 服务端接受到客户端发来的字符串后，跟之前的字符串进行对比，如果一致，就允许免密码登录 

4、实现基于密钥的登录方式

 5、 ssh服务器配置

服务器端：sshd

服务器端的配置文件: /etc/ssh/sshd_config

服务器端的配置文件帮助：man 5 sshd_config

常用参数

Port  22     #生产建议修改

ListenAddress ip

LoginGraceTime 2m

PermitRootLogin yes #默认ubuntu不允许root远程ssh登录

StrictModes yes   #检查.ssh/文件的所有者，权限等

MaxAuthTries   6     #pecifies the maximum number of authentication

attempts permitted per connection. Once the number of failures reaches half this

value, additional failures are logged. The default is 6.

MaxSessions  10         #同一个连接最大会话

PubkeyAuthentication yes     #基于key验证

PermitEmptyPasswords no      #空密码连接

PasswordAuthentication yes   #基于用户名和密码连接

GatewayPorts no

ClientAliveInterval 10 #单位:秒

ClientAliveCountMax 3 #默认3

UseDNS yes #提高速度可改为no

GSSAPIAuthentication yes #提高速度可改为no

MaxStartups    #未认证连接最大值，默认值10