ssh服务
一、openssh简介
1、ssh(secure shell protocol)基于tcp协议下的22端口, 安全的远程登录
2、两种方式的用户登录认证:
基于password 基于DH算法做密钥交换
基于key 基于RSA或DSA实现身份认证
3、openssh基于C/S结构,Client: ssh, scp, sftp,slogin,xshell, putty, securecrt, sshsecureshellclient;Serve:sshd
4、客户端配置文件:/etc/ssh/ssh_config;服务端配置文件:/etc/ssh/sshd_config
5、客户端的使用格式
ssh [user@]host [COMMAND]
ssh [-l user] host [COMMAND]
-p port:远程服务器监听的端口
-b:指定连接的源IP(客户端有多个ip地址,指定使用哪个ip去连接)
-v:调试模式(可用于排错)
-C:压缩方式
-X: 支持x11转发
-Y:支持信任x11转发
ForwardX11Trusted yes
-t: 强制伪tty分配(跳板机)
ssh -t remoteserver1 ssh remoteserver2
6、允许实现对远程系统经验证地加密安全访问,当用户远程连接ssh服务器时,会复制ssh服务器/etc/ssh/ssh_host*key.pub(CentOS7默认是ssh_host_ecdsa_key.pub)文件中的公钥到客户机的~./ssh/know_hosts中。下次连接时,会自动匹配相应私钥,不能匹配,将拒绝连接。
7、 基于用户和口令的登录验证方式的连接过程
1)、 客户端发起ssh请求,服务器会把自己的公钥发送给用户
2 )、用户会根据服务器发来的公钥对密码进行加密
3 )、加密后的信息回传给服务器,服务器用自己的私钥解密,如果密码正确,则用户登录成功
8、基于密钥的登录方式
1)、首先在客户端生成一对密钥(ssh-keygen)
2)、 并将客户端的公钥ssh-copy-id 拷贝到服务端
3)、 当客户端再次发送一个连接请求,包括ip、用户名
4)、 服务端得到客户端的请求后,会到authorized_keys中查找,如果有响应的IP和用户,就会随机生成一个字符串,例如:acdf
5)、 服务端将使用客户端拷贝过来的公钥进行加密,然后发送给客户端
6)、 得到服务端发来的消息后,客户端会使用私钥进行解密,然后将解密后的字符串发送给服务端
7)、服务端接受到客户端发来的字符串后,跟之前的字符串进行对比,如果一致,就允许免密码登录
二、基于用户名密码的验证方式的方式登录Linux主机
我们使用三台Linux服务器做实验
1、使用ssh登录主机 [root@newhostname ~]# ssh root@172.18.30.253 root@172.18.30.253's password: Last login: Tue Jan 9 09:10:07 2018 from 172.18.101.180 2、使用指定接口登录ssh主机 [root@newhostname ~]# ssh -b 172.18.30.253 172.18.30.254 root@172.18.30.254's password: Last login: Tue Jan 9 08:22:24 2018 from 172.18.101.180 指定使用172.18.30.253来连接host2
3、通过跳板机进行连接(角色分配:cent7 172.18.30.253/16 作为客户端;cent6 172.18.30.254/16 作为跳板机,gentoo 172.18.30.100/16 作为服务器来操作) [root@joker-6-01 ~]# ssh -t 172.18.30.254 ssh 172.18.30.100 root@172.18.30.254's password: The authenticity of host '172.18.30.100 (172.18.30.100)' can't be established. RSA key fingerprint is b6:48:a5:b0:b8:ff:e1:f8:1d:99:27:86:c5:a4:c3:34. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '172.18.30.100' (RSA) to the list of known hosts. Password: joker ~ # 通过伪终端登录,目标主机显示连接的foreign ip地址是跳板机。 我们在getoo上看一下实际的socket3 joker /etc/ssh # ss Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port tcp ESTAB 0 0 172.18.30.100:ssh 172.18.30.254:40646 #centos6的地址 tcp ESTAB 0 0 172.18.30.100:ssh 172.18.101.180:50821 joker /etc/ssh #
三、基于key验证登录Linux主机
1、生成自己的公私钥(对客户端操作,我现在登录的是gentoo) joker /etc/ssh # ssh-keygen Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Created directory '/root/.ssh'. Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub. The key fingerprint is: SHA256:u7zpUjmNV3zx4XLTbplpZYc7tMmLvt4e2XZ3Vasspkk root@joker The key's randomart image is: +---[RSA 2048]----+ | | | .. | | . .++| | o.++O| | S+ . +oBO| | =.o . BB+| | ..E o +++*| | ...o+ o..o+| | o*+ o+oo | +----[SHA256]-----+ 系统默认会在/root/.ssh/下生成id_rsa(私钥) 、id_rsa.pub(公钥),后续如果希望对私钥加密,则输入密码,不想加密则一路回车。 2、将生成的公钥文件内容拷贝到目标server的/root/.ssh/authorized_keys这个文件中,可使用ssh-copy-id命令,避免拷贝错钥匙 joker /etc/ssh # ssh-copy-id 172.18.30.253 /usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub" The authenticity of host '172.18.30.253 (172.18.30.253)' can't be established. ECDSA key fingerprint is SHA256:cJiwhG4qYrpipaouDkuKIxxLnszvnEZkR8mad+EWfsU. Are you sure you want to continue connecting (yes/no)? yes /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys root@172.18.30.253's password: Number of key(s) added: 1 Now try logging into the machine, with: "ssh '172.18.30.253'" and check to make sure that only the key(s) you wanted were added. 现在我们将gentoo的公钥成功拷贝到了centos7上,现在使用ssh来连接centos7 joker /etc/ssh # ssh 172.18.30.253 Last login: Tue Jan 9 09:10:16 2018 from 172.18.30.253 [root@newhostname ~]# 直接免密登录了
使用CRT生成公私钥,如下图 ,选择Create Public Key
一路下一步,最后选择将key保存到当前用的家目录
秘钥生成好了,但是有一个问题,那就是CRT的秘钥文件格式和openssh的秘钥文件格式不一样,我们需要将其转化才可以使用。
第一步:
我们可以通过服务器端执行
ssh-keygen -i -f Identity.pub >> ~/.ssh/authorized_keys
将秘钥格式转换成openssh的格式,并将公钥导入到~/.ssh/authorized_keys 这个文件中(Identify.pub公钥需要实现拷贝到server端上)
第二步:
将生成私钥文件导入到CRT中
将私钥文件导入
可以使用key来访问server了
四、ssh托管工具
我们在生成私钥文件时,有时由于私钥的重要性,我们会在生成私钥时对其进行对称加密,那么当我们在使用key认证登录的时候,需要输入私钥的秘钥才可以,而且是每次使用每次都需要输入,对我们的工作带来了不便,这时候我们可以开启代理托管工具,来实现只输入一次秘钥,就可以登录,但是这个功能只能在当前终端生效,退出终端则会失效。
命令:
ssh-agent bash 开始代理
ssh-add 将私钥密码加入
使用代理之后,我们可以对一些基于ssh的自动化软件,放一些心了。
五、openssh的优化
修改/etc/ssh/sshd_config 文件中的选项为下面的样式
UseDNS no #将链接地址解析成域名,我们也用不到,会降低ssh的连接速度,我们改成“no”
GSSAPIAuthentication no #这一项认证我们用不到,且其会降低ssh的连接速度,我们改成“no”
PermitRootLogin yes #允许root远程登录
六、还有一些其他的ssh工具,如dropbear等。openssh还是比较常用的,在这里就不再讲其他的开源软件了,如果感兴趣可以自行搜索相关文档。