ssh服务

ssh总结

Secure Shell Protocal

客户端： 在window上是xshell等这些，有sftp。

	    在Linux上，就是ssh --help，ssh就是linu下的客户端，除了sftp还有一个scp。

/etc/init.d/sshd status

ls /lib/systemd/system/ | grep nginx
系统服务 centos7的目录位置

补充：
不关netmanager会导致静态ip失效

查看端口：

0.0.0.0:22     前边四个0 代表本机所有网卡。

如果连不上：

先看物理网络，ping
如果通，telnet 看端口，服务开没开
防火墙影响  /etc/init.d/iptables stop

局域网某个机器无法上网排查思路

1. ping 百度 通不通
	如果通，还不能上网，可能是浏览器，或者是中毒了等。
2. ping网关 目的是排查物理线路，网线网卡等
	如果不通，局域网内已经连接不上去了，会查看ip设置，ping自身ip，或者网内其他ip
		 如果ping自己不通，检查ip设置，网卡驱动，物理链路等。
		 如果ping网内其他机器是通的，网关限制了可能。
3. ping网关通，检查DNS设置是否正确，
	先ping一个公网IP，看是否通，
	host/dig/nslookup 检查域名解析
4. 上网路由器（配置和硬件问题等），ISP线路。
	检查上级线路，打电话联系。
5. 辅助排查： IP地址冲突，问别人能否上网，核心交换机坏了。

rpm -qa openssh openssl

openssh 远程链接  openssh 是ssh服务端的软件之一，同时支持SSH1和SSH2协议，可在配置文件中使用Protocal指定指定。
/etc/ssh/sshd_config
openssl 加密

原理描述

ssh加密

linux 上，首先客户端ssh 10.0.0.61（这个IP是服务端）

当看客户端ssh联机请求发送过来是，server会将这个168-bit的公钥传给客户端，此时客户端会将此公钥与先前存储的公钥对比，看是否一致，判断标准是哭护短用户目录下~/.ssh/konwn_hosts文件的内容（linux客户端。）第一次链接，会提示那个（yes/no），存到了~/.ssh/konwn_hosts。

ssh认证类型

口令，用户、密码

联机的加密过程是上边的过程，跟口令无关。
优化服务端

基于秘钥的安全验证

客户端上放的私钥；
服务端上放的公钥；  

原理：

客户端生成密钥对，吧公钥发送给服务端，私钥自己留下；
客户端发送连接请求，服务端验证，
服务端验证秘钥，用公钥加密质询，发送客户端；
客户端用私钥解密质询，将解密后的质询发送服务端；
验证通过，连接建立。

系统自启动服务查看

chkconfig --list
LANG=EN
chkconfig --list|grep 3:on

给你一个端口，查出对应的服务是什么？

lsof -i tcp:52113
lsof -i :22
netstat -lantp |grep 52113
netstat -lantp |grep -w "22" (222就不会出来)

默认登录配置

修改服务端：（linux怎么做安全优化）

1. 修改端口，以及监听的地址

	windows默认远程管理端口是3389，管理员用户是administrator。 
2. 禁止空密码登录
3. 禁止root登录
4. UseDNS 禁止反解 改成no
5. GSSAPIAuthrntication 改成no

cp jj{,.bak} 备份文件jj
/etc/init.d/sshd reload  平滑重启

客户端命令管理

connection refused

1. no route to host 基本是防火墙
2. 还可能是服务没开或者端口改变了

scp使用，全量拷贝。

推到远端：
scp -P52113 /etc/hosts oldboy@10.0.0.61:/tmp
指定端口 大P
本地的/etc/hosts拷贝到远程的/tmp

scp -P52113 -rp /etc oldboy@10.0.0.61:/tmp
-r 拷贝目录
-p 保持属性

从远端拉：
scp -P52113 -rp oldboy@10.0.0.61:/tmp /data
将远程的/tmp 拉倒本地的/data