ssh服务

一、openssh简介

1、ssh(secure shell protocol)基于tcp协议下的22端口, 安全的远程登录

2、两种方式的用户登录认证:

基于password  基于DH算法做密钥交换
基于key  基于RSA或DSA实现身份认证

3、openssh基于C/S结构,Client: ssh, scp, sftp,slogin,xshell, putty, securecrt, sshsecureshellclient;Serve:sshd

4、客户端配置文件:/etc/ssh/ssh_config;服务端配置文件:/etc/ssh/sshd_config

5、客户端的使用格式

ssh [user@]host [COMMAND]
ssh [-l user] host [COMMAND]

-p port:远程服务器监听的端口
-b:指定连接的源IP(客户端有多个ip地址,指定使用哪个ip去连接)
-v:调试模式(可用于排错)
-C:压缩方式
-X: 支持x11转发
-Y:支持信任x11转发
ForwardX11Trusted yes
-t: 强制伪tty分配(跳板机)
ssh -t remoteserver1 ssh remoteserver2

6、允许实现对远程系统经验证地加密安全访问,当用户远程连接ssh服务器时,会复制ssh服务器/etc/ssh/ssh_host*key.pub(CentOS7默认是ssh_host_ecdsa_key.pub)文件中的公钥到客户机的~./ssh/know_hosts中。下次连接时,会自动匹配相应私钥,不能匹配,将拒绝连接。

7、 基于用户和口令的登录验证方式的连接过程

1)、 客户端发起ssh请求,服务器会把自己的公钥发送给用户
2 )、用户会根据服务器发来的公钥对密码进行加密
3 )、加密后的信息回传给服务器,服务器用自己的私钥解密,如果密码正确,则用户登录成功

8、基于密钥的登录方式

1)、首先在客户端生成一对密钥(ssh-keygen)
2)、 并将客户端的公钥ssh-copy-id 拷贝到服务端
3)、 当客户端再次发送一个连接请求,包括ip、用户名
4)、 服务端得到客户端的请求后,会到authorized_keys中查找,如果有响应的IP和用户,就会随机生成一个字符串,例如:acdf
5)、 服务端将使用客户端拷贝过来的公钥进行加密,然后发送给客户端
6)、 得到服务端发来的消息后,客户端会使用私钥进行解密,然后将解密后的字符串发送给服务端
7)、服务端接受到客户端发来的字符串后,跟之前的字符串进行对比,如果一致,就允许免密码登录

二、基于用户名密码的验证方式的方式登录Linux主机

我们使用三台Linux服务器做实验

1、使用ssh登录主机
[root@newhostname ~]# ssh root@172.18.30.253
root@172.18.30.253's password: 
Last login: Tue Jan  9 09:10:07 2018 from 172.18.101.180


2、使用指定接口登录ssh主机
[root@newhostname ~]# ssh -b 172.18.30.253 172.18.30.254    
root@172.18.30.254's password: 
Last login: Tue Jan  9 08:22:24 2018 from 172.18.101.180
指定使用172.18.30.253来连接host2

 

3、通过跳板机进行连接(角色分配:cent7 172.18.30.253/16 作为客户端;cent6 172.18.30.254/16 作为跳板机,gentoo 172.18.30.100/16 作为服务器来操作)
[root@joker-6-01 ~]# ssh -t 172.18.30.254 ssh 172.18.30.100
root@172.18.30.254's password: 
The authenticity of host '172.18.30.100 (172.18.30.100)' can't be established.
RSA key fingerprint is b6:48:a5:b0:b8:ff:e1:f8:1d:99:27:86:c5:a4:c3:34.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '172.18.30.100' (RSA) to the list of known hosts.
Password: 
joker ~ # 

通过伪终端登录,目标主机显示连接的foreign ip地址是跳板机。

我们在getoo上看一下实际的socket3
joker /etc/ssh # ss
Netid  State      Recv-Q Send-Q Local Address:Port                 Peer Address:Port                
tcp    ESTAB      0      0      172.18.30.100:ssh                  172.18.30.254:40646        #centos6的地址          
tcp    ESTAB      0      0      172.18.30.100:ssh                  172.18.101.180:50821                
joker /etc/ssh #

三、基于key验证登录Linux主机

1、生成自己的公私钥(对客户端操作,我现在登录的是gentoo)
joker /etc/ssh # ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:u7zpUjmNV3zx4XLTbplpZYc7tMmLvt4e2XZ3Vasspkk root@joker
The key's randomart image is:
+---[RSA 2048]----+
|                 |
|              .. |
|           .  .++|
|            o.++O|
|        S+ . +oBO|
|        =.o . BB+|
|       ..E o +++*|
|      ...o+ o..o+|
|       o*+ o+oo  |
+----[SHA256]-----+

系统默认会在/root/.ssh/下生成id_rsa(私钥) 、id_rsa.pub(公钥),后续如果希望对私钥加密,则输入密码,不想加密则一路回车。

2、将生成的公钥文件内容拷贝到目标server的/root/.ssh/authorized_keys这个文件中,可使用ssh-copy-id命令,避免拷贝错钥匙

joker /etc/ssh # ssh-copy-id 172.18.30.253
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
The authenticity of host '172.18.30.253 (172.18.30.253)' can't be established.
ECDSA key fingerprint is SHA256:cJiwhG4qYrpipaouDkuKIxxLnszvnEZkR8mad+EWfsU.
Are you sure you want to continue connecting (yes/no)? yes
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@172.18.30.253's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh '172.18.30.253'"
and check to make sure that only the key(s) you wanted were added.

现在我们将gentoo的公钥成功拷贝到了centos7上,现在使用ssh来连接centos7
joker /etc/ssh # ssh 172.18.30.253
Last login: Tue Jan  9 09:10:16 2018 from 172.18.30.253
[root@newhostname ~]# 

直接免密登录了

使用CRT生成公私钥,如下图 ,选择Create Public Key

一路下一步,最后选择将key保存到当前用的家目录

秘钥生成好了,但是有一个问题,那就是CRT的秘钥文件格式和openssh的秘钥文件格式不一样,我们需要将其转化才可以使用。

第一步:
我们可以通过服务器端执行
ssh-keygen -i -f Identity.pub >> ~/.ssh/authorized_keys
将秘钥格式转换成openssh的格式,并将公钥导入到~/.ssh/authorized_keys 这个文件中(Identify.pub公钥需要实现拷贝到server端上)

第二步:
将生成私钥文件导入到CRT中

将私钥文件导入

可以使用key来访问server了

四、ssh托管工具

我们在生成私钥文件时,有时由于私钥的重要性,我们会在生成私钥时对其进行对称加密,那么当我们在使用key认证登录的时候,需要输入私钥的秘钥才可以,而且是每次使用每次都需要输入,对我们的工作带来了不便,这时候我们可以开启代理托管工具,来实现只输入一次秘钥,就可以登录,但是这个功能只能在当前终端生效,退出终端则会失效。

命令:

ssh-agent bash   开始代理
ssh-add                将私钥密码加入

使用代理之后,我们可以对一些基于ssh的自动化软件,放一些心了。

五、openssh的优化

修改/etc/ssh/sshd_config 文件中的选项为下面的样式

UseDNS  no                               #将链接地址解析成域名,我们也用不到,会降低ssh的连接速度,我们改成“no”
GSSAPIAuthentication no     #这一项认证我们用不到,且其会降低ssh的连接速度,我们改成“no”
PermitRootLogin  yes             #允许root远程登录

六、还有一些其他的ssh工具,如dropbear等。openssh还是比较常用的,在这里就不再讲其他的开源软件了,如果感兴趣可以自行搜索相关文档。

posted @ 2018-02-28 22:07  莫孟林  阅读(350)  评论(0编辑  收藏  举报