SSH的两种登录方式以及配置

前言 SSH简介

Secure Shell(SSH) 是由 IETF(The Internet Engineering Task Force) 制定的建立在应用层基础上的安全网络协议。它是专为远程登录会话(甚至可以用Windows远程登录Linux服务器进行文件互传)和其他网络服务提供安全性的协议,可有效弥补网络中的漏洞。通过SSH,可以把所有传输的数据进行加密,也能够防止DNS欺骗和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。目前已经成为Linux系统的标准配置。

SSH只是一种协议,存在多种实现,既有商业实现,也有开源实现。本文主要介绍OpenSSH免费开源软件,如果要在Windows中使用SSH,需要使用另一个软件PuTTY。

SSH的优势,网络传输服务程序不止有SSH,还有很多。FTP、Pop和Telnet其本质上都是不安全的;因为它们在网络上用明文传送数据、用户帐号和用户口令,很容易受到中间人(man-in-the-middle)攻击方式的攻击。SSH可以通过RSA加密对传输内容加密,并且压缩,所以相对较快、较安全。

SSH的验证方式有两种:帐密验证和公钥私钥验证,第二种方式相对较安全。

一、SSH服务程序

相关联的RPM包:openssh(底层包)  、 openssh-clients 、 openssh-server
服务器端安装: yum  install  openssh-server   (安装了openssh-server会自动安装openssh)  
客户端安装: yum  install  openssh-clients      (安装了openssh-clients 会自动安装openssh) 
卸载: yum  remove  openssh (卸载了openssh,然后会自动卸载openssh-server和openssh-clients)
服务:/usr/sbin/sshd
服务端口:tcp / 22
服务器端配置文件:/etc/ssh/sshd_config
客户端配置文件:  /etc/ssh/ssh_config 
用法:ssh -p  22  root@192.168.10.10  ,如果配置文件中 /etc/ssh/ssh_config 默认是22号端口,则可以直接   ssh  root@192.168.10.10
服务开启/关闭/重启/开机自启/开启不自启: systemctl  start / stop / restart / enable / disable  sshd

ssh服务端的配置文件(部分):   /etc/ssh/sshd_config

#Port 22                     //默认的端口号为22  修改端口时,取消注释
#LoginGraceTime 2m           //ssh登录时,密码验证的超时时间,默认2分钟
#PermitRootLogin yes         //是否允许以root用户身份登录
#MaxAuthTries 6              //最大认证次数
#MaxSessions 10              //登录Sessions保持的天数
#PermitEmptyPasswords no     //是否允许空密码
PasswordAuthentication yes   //开启密码认证  

我们需要修改配置的时候,最终极办法就是修改完配置文件直接重启就行service sshd restart

命令可以检查SSH服务是否开启 ps -e | grep ssh   

二、口令连接

-p命令可以指定连接的端口 ssh -p 1234 name@192.168.0.

然后输入该用户的面即可

图形用户界面的连接更加简单,不做讲述。

三、公钥登录

在主机A上,使用 ssh-keygen,然后输入保存的文件名(默认为id_rsa)和自己的私钥,完成之后会在 ~/.ssh/ 生成的两个密钥: id_rsa(私钥) 和 id_rsa.pub(公钥)
私钥(id_rsa)保存在本地主机,公钥(id_rsa.pub)通过 ssh-copy-id root@192.168.1.200  会自动传递到对端B主机的~/.ssh/目录下,并且自动重命名为 authorized_keys
登录目标主机:  ssh  root@192.168.1.200    使用刚刚输入的私钥登录
具体:

1、在本机生成密钥对

使用ssh-keygen命令生成密钥对:

ssh-keygen -t rsa #-t表示类型选项,这里采用rsa加密算法
然后根据提示一步步的按enter键即可(其中有一个提示是要求设置私钥口令passphrase,不设置则为空,这里看心情吧,如果不放心私钥的安全可以设置一下),执行结束以后会在 /home/当前用户 目录下生成一个 .ssh 文件夹,其中包含私钥文件 id_rsa 和公钥文件 id_rsa.pub。

2、将公钥复制到远程主机中

使用ssh-copy-id命令将公钥复制到远程主机。ssh-copy-id会将公钥写到远程主机的 ~/ .ssh/authorized_key 文件中

ssh-copy-id ldz@192.168.0.1

点击此处是一个网友远程登录谷歌云的例子

四、SSH应用

1、可以利用 nohup + 需要运行的程序 使运行的程序在切断ssh连接的时候仍然能够继续在远程主机中运行。nohup即no hang up(不挂起)。

2、scap、put、get等跨主机传输文件

3、绑定本地端口

$ ssh -D 8080 user@host
SSH会建立一个socket,去监听本地的8080端口。一旦有数据传向8080端口,就自动把它转移到SSH连接上面,发往远程主机。可以想象,如果8080端口原来是一个不加密端口,现在将变成一个加密端口。
根据柚子皮的例子:

有时,绑定本地端口还不够,还必须指定数据传送的目标主机,从而形成点对点的"端口转发"。为了区别后文的"远程端口转发",我们把这种情况称为"本地端口转发"(Local forwarding)。
假定host1是本地主机,host2是远程主机。由于种种原因,这两台主机之间无法连通。但是,另外还有一台host3,可以同时连通前面两台主机。因此,很自然的想法就是,通过host3,将host1连上host2。
我们在host1执行下面的命令:
      $ ssh -L 2121:host2:21 host3
命令中的L参数一共接受三个值,分别是"本地端口:目标主机:目标主机端口",它们之间用冒号分隔。这条命令的意思,就是指定SSH绑定本地端口2121,然后指定host3将所有的数据,转发到目标主机host2的21端口(假定host2运行FTP,默认端口为21)。
这样一来,我们只要连接host1的2121端口,就等于连上了host2的21端口。
      $ ftp localhost:2121
"本地端口转发"使得host1和host3之间仿佛形成一个数据传输的秘密隧道,因此又被称为"SSH隧道"。
下面是一个比较有趣的例子。
      $ ssh -L 5900:localhost:5900 host3
它表示将本机的5900端口绑定host3的5900端口(这里的localhost指的是host3,因为目标主机是相对host3而言的)。
另一个例子是通过host3的端口转发,ssh登录host2。
      $ ssh -L 9001:host2:22 host3
这时,只要ssh登录本机的9001端口,就相当于登录host2了。
      $ ssh -p 9001 localhost

上面的-p参数表示指定登录端口。

出错处理:ssh: Could not resolve hostname 192.168.*.*:***: Name or service not known

解决:指定端口不能直接使用ip:端口号,使用-p参数来解决就可以了。
4、远程端口转发(来自柚子皮)

远程端口转发
既然"本地端口转发"是指绑定本地端口的转发,那么"远程端口转发"(remote forwarding)当然是指绑定远程端口的转发。
还是接着看上面那个例子,host1与host2之间无法连通,必须借助host3转发。但是,特殊情况出现了,host3是一台内网机器,它可以连接外网的host1,但是反过来就不行,外网的host1连不上内网的host3。这时,"本地端口转发"就不能用了,怎么办?
解决办法是,既然host3可以连host1,那么就从host3上建立与host1的SSH连接,然后在host1上使用这条连接就可以了。
我们在host3执行下面的命令:
      $ ssh -R 2121:host2:21 host1
R参数也是接受三个值,分别是"远程主机端口:目标主机:目标主机端口"。这条命令的意思,就是让host1监听它自己的2121端口,然后将所有数据经由host3,转发到host2的21端口。由于对于host3来说,host1是远程主机,所以这种情况就被称为"远程端口绑定"。
绑定之后,我们在host1就可以连接host2了:
      $ ftp localhost:2121
这里必须指出,"远程端口转发"的前提条件是,host1和host3两台主机都有sshD和ssh客户端。

posted @ 2019-09-09 18:10  卖雨伞的小男孩  阅读(9168)  评论(0编辑  收藏  举报