SSHD服务安全的连接

SSHD服务

• SSH 安全的远程连接
• OpenSSH 工具
• centos服务端的包：openssh-server
• centos客户端的包：openssh-clients
• 主要配置文件一般安装完成后再/etc/ssh/sshd_config
• 在/usr/lib/systemd/system/下分别有sshd.service .socket
• 更改默认的访问端口：修改配置文件sshd_config PORT 后的数值进行更改
• 后来看到了一个不错的关于配置文件的文章 ——>https://blog.csdn.net/ChenVast/article/details/72621086
• 版本：更新到了v2版本
• dorpbear :一个2m左右的基于ssh的工具

• windows客户端的工具 xshell SecureCRT putty等

  SSH为什么安全

• 通讯过程简介
• 1. 客户端连接服务端的时候，服务端会发送一个自己的公钥和一个会话ID
• 1. 利用会话ID与客户端的公钥 异或 出来一个 Res 然后利用服务器的公钥加密res ，之后将其发送给服务器端，
• 1. 服务器拿到res后，利用会话ID得到了客户端的公钥，
• 1. 当双方同时拥有了对方的公钥的时候，就利用公钥生成一个对称加密的key
• 1. 之后的数据传输就用生成的对称加密key来解密传输的data
• 1. 问题：第一次连接的时候就会容易中间人攻击，所以第一次连接的时候就会传输一个设备“指纹”，只要确认了对方的设备“指纹”完成了第一次的确认后就完全保证了传输的安全性（需要人为的比对“指纹”）
• 1. 设备“指纹”来历：客户端的公钥通过哈希算法（sha256,512）之后得到的结果,最终放在客户端的/etc/ssh下的ssh_host_rsa_key.pub 文件

• 1. 如果在设备更换的时候，ip没更换，此时可以清除服务端家目录.ssh文件下的 known_hosts文件内，可以删除在这个文件内对应ip的公钥行删除即可

     SSH客户端用法与配置

• 配置文件 /etc/ssh/ssh_config （修改StrictHostKeyChecking no 可以设置第一次登录确认的yes不用确认）
• 默认以root身份连接，可在ip前面加上登录用户名连接
• 并可以在连接是只执行一条命令：ssh ip 命令：ssh root@192.168.47.25 cat /etc/passwd，之后会在客户端显示结果
• 更改访问端口-p和以指定网卡地址访问目标-bip：ssh -b 指定ip root@ip -p 端口号
• X11转发
• 1. 在linux中图形不是系统的必备组件，其交互工具为shell,之前随笔说过
• 1. X11工作过程：客户端请求服务器的的Xclient将数据传输到客户机的Xserver上，从而调用客户端的GPU来画出服务器端的桌面
• 1. 基于x11协议远程连接执行 ssh -x ip 创建图形的命令
• 1. 强制伪tty分配 ssh -t ip ssh -t ip ssh ip (口令还是要逐个输入)
• SSHPASS （工具需要下载，且需要在第一次连接之后，中途会有连接确认的交互）
• 1. 语法：sshpass -p password ssh user@ip
• 1. 调用文件当密码： sshpass -f file ssh user@ip 可设置文件权限来保障

• 1. 环境变量 export SSHPASS = password ; sshopass -e ssh user@ip command (环境变量名必须是这个，连接后可在后面执行命令)

     基于key验证实现全网访问

• 使用方法：
• 1. 所有客户端生成自己的公钥私钥对 ssh-keygen (可加-算法 使用固定算法) 会在用户家目录.ssh目录下生成一个公钥私
     钥文件
• 1. 默认.ssh文件夹不会存在，所以使用ssh -copy-id 用户@目标ip 然后输入对方密码，就会在目标的机器的对应用户的家目录生成.ssh文件夹下存放自己的私钥并改名为authorized.key的文件，用来存放所有的公钥，其中每一行代表一条公钥
• 1. 然后将自己的.ssh目录拷贝到所有需要用的机器上， 之后就可以实现基于key的验证（需要将之前的公钥私钥都放在目标生成的anthorized.key文件下然后打包拷贝）

• 1. 最后完成的家目录下.ssh目录包含的文件有：id.rsa id.rsa.pub (第一个生成的私钥公钥) + anthourized.key（公钥库文件）

     SCP+rsync拷贝

• 语法：scp /[option] 需要复制的文件 user@ip:放到目标主机的目录位置
• 1. 复制文件夹： scp -r /data/ts root@192.168.47.25:/data
• 1. -q 复制静默模式
• 1. -P 指明remote host 端口（如果对方更改了scp的端口）
• 1. -p 保持文件的原来属性（小写的p）
• 1. 明显缺陷：复制文件的时候 不检验文件，就算没有改变过的文件也直接复制过去替换，直接占用带宽重新完全复制一遍，
• rsync 增量复制
• 1. rpm -q rsync (来自于rsync这个包)
• 1. 快速的网络复制工具：原因是这个工具可以比较文件的不同，然后只更改文件不同的地方，
• 1. 语法 ：1 rsync -a /data/ts user@ip /data |2 rsync -a /data/ts/ user@ip:/data 后者会复制文件夹本身 -a 代表了很多的选项组合详情自己搜索

• 1. --delete 用法rsync -a --delete /data/ts user@ip /data （会在复制本地文件到目标主机的文件夹下，复制的文件夹中不存在的文件就删除）

     SSHFS远程目录挂载：

• sshfs ：yum install sshfs (eple源) 安装这个包（fuse-sshfs）
• 基础语法：sshfs ip： 目标目录 本地挂载目录

• sshfs 192.168.47.129:/data /mtda (需要在本机上创建一个挂载目录mtda)

  PSSH轻量级的自动化运维工具

• yum install pssh (rpm -q pssh 包 )
• 默认已经基于key验证
• 语法： pssh -H ip 命令字符串（特殊命令就会在本机执行而不是在远程主机执行，所以需要将命令变成字符串，然后到目标主机后就成了相应命令）
• 例： pssh -H 192.168.47.129 -H 192.168.47.25 -i hostname （能够同时执行后面跟的命令，-i 显示结果）
• h 使用文件，文件中包含需要执行的ip 逐个换行：192.168.47.129 换行192.168.47.25换行....
• 命令过长报错处理: pssh -h ipfile.txt -i "长命令"
• 其他参数-H：主机字符串，内容格式”[user@]host[:port]”
• • -h file：主机列表文件，内容格式”[user@]host[:port]”
• • -A：手动输入密码模式
• • -i：每个服务器内部处理信息输出
• • -l：登录使用的用户名
• • -p：并发的线程数【可选】
• • -o：输出的文件目录【可选】
• • -e：错误输出文件【可选】
• • -t：TIMEOUT 超时时间设置，0无限制【可选】
• • -O：SSH的选项
• • -P：打印出服务器返回信息
• • -v：详细模式
• • --version：查看版本
• pscp.pssh 将本机文件批量复制到远程主机上去 （pssh内置工具）

• pslurp 将远程文件复制到本机的文件 （pssh内置工具）

  SSH 端口转发隧道功能

• ssh在与服务端通讯过程中也可以实现将别的端口的数据通过ssh来传输，这样建立的数据通讯被称为隧道，数据通过安全的ssh协议进行传输在这个条件之下就成就了ssh的其他功能
• 1. 加密ssh服务端与客户端的数据传输
• 1. 成功的突破的防火墙的限制，使数据可以通过ssh建立的隧道来传输防火墙以外的数据
• 功能转发：ssh -L 端口号 最终需要连接的服务器:端口 跳板机 (三种转发)
• ssh -L 9527:192.168.47.130：8080 192.168.47.25 -f （本机ip192.168.47.15,-f 后台运行）就实现好了隧道的建立

• 此时访问自己的这个端口就能通过ssh服务与对方进行数据通讯，在这里贴一个对于ssh描述不错的帖子，传送门——>https://blog.csdn.net/Yaokai_AssultMaster/article/details/85773671