二十四、SSH介绍

1.ssh介绍：

SSH先对联机数据包通过加密技术进行加密处理，加密后在进行数据传输，确保了传递的数据安全。（运维的一大重视点就是要对安全敏感）

在当前的生产环境运维工作中，绝大多数企业都是SSH协议服务。不在telnet协议。

在默认状态下，SSH服务主要有两个服务功能：1.提供类似telnet远程联机服务  2.支持sftp安全

SSH客户端（ssh命令）还包含一个很有用的远程安全拷贝命令scp,也是通过ssh协议工作的。

2.ssh构成

SSH服务由服务端软件OpenSSH和客户端组成（SSH、SecureCRT,xshell），默认端口是22。SSH是一个守护进程，负责实时监听客户端请求，并进行处理。

所以也可以理解为：SSH服务=Openssh+openssl

查看包名：rpm -qa openssh openssl(负责加密的)

进程     ：ps -ef  |   grep  sshd

[root@nfsserve ~]# rpm -qa openssh openssl
openssh-5.3p1-94.el6.x86_64
openssl-1.0.1e-15.el6.x86_64
[root@nfsserve ~]# ps -ef |grep sshd
root       926     1  0 May29 ?        00:00:00 /usr/sbin/sshd
root      5400   926  0 07:33 ?        00:00:00 sshd: oldboy [priv]
oldboy    5402  5400  0 07:34 ?        00:00:00 sshd: oldboy@pts/0
root      5530   926  0 08:02 ?        00:00:00 sshd: [accepted]
sshd      5531  5530  0 08:02 ?        00:00:00 sshd: [net]     
root      5532   926  0 08:02 ?        00:00:00 sshd: [accepted]
sshd      5533  5532  0 08:02 ?        00:00:00 sshd: [net]     
root      5535   926  0 08:03 ?        00:00:00 sshd: oldboy [priv]
oldboy    5537  5535  0 08:03 ?        00:00:00 sshd: oldboy@pts/1
root      5577  5558  0 08:04 pts/1    00:00:00 grep sshd

3.     简单的说，SSH加密技术就是将人类可以看懂的数据，通过一定的特殊程序算法，把这些数据变成杂乱的无意义的信息，然后，通过网络进行传输，到达目的地后，在通过对应的解密算法进行解密算法。

配置文件是  /etc/ssh/sshd_config,一般服务端是公钥，客户端是私钥。有两种密钥：RSA和DSA。那么在SSH1.0只是支持RSA，2.0是两种都支持的密钥。

当然还有很多算法，这个RSA的加密方式就是用来产生公钥与私钥的算法之一。

1.0SSH的加密过程：

   1） 当SSH服务启动的时候，就会产生一个临时的公钥（sshd_config配置文件中）存放

在Server中。

[root@nfsserve ~]# grep ServerKey  /etc/ssh/sshd_config
#ServerKeyBits 1024

   2）当SSH客户端联机请求发过来的时候，服务器会将这个临时公钥发往客户端，Client会将公钥与先前存放的公钥进行对于，看下是否一致，判断标准是Clent端的用户命令下~/.ssh/known_hosts文件内容。  

  3）客户端本地也会产生这次连接的一个私钥，结合服务器的公钥，产生一个新的密钥（keypair），用来和服务端进行通信。 

所以1.0的SSH的联机过程如图，这里会看到当客户端发送key pair的时候，服务器端不在进行检测，所以这里是可以进行修改的，所以是不安全的，即SSH1.0是不安全的密钥。

4.为了更改这个缺点，SSH多了一个确定联机正确性的Diffie-Hellman机制，在每次数据传输中，server都会以该机制检查数据来源是否正确，所以2是比较安全的。

5.认证：

在客户端client看来，SSH有两种认证方式

1）口令认证

linux客户端：ssh   -p52113 oldboy@192.168.0.102

(第一次登陆，Client会将公钥与先前存放的公钥进行对于，看下是否一致，判断标准是Clent端的用户命令下~/.ssh/known_hosts文件内容。 )

[root@djw1 ~]# cd ~/.ssh/
[root@djw1 .ssh]# ll
total 4
-rw-r--r--. 1 root root 403 May 23 11:13 known_hosts
[root@djw1 .ssh]# cat known_hosts
[192.168.0.102]:52113 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA5WmD27wFyvlzuEvF6yJ6BAT+ZP5KOgxQJzCuDmGwRftj6vDsTaHY8za1W0kV0/IyUpv+PXc5/81xF1+G3SxlSZXhc/8//3DxsozLFA1bSSSt4Ioe6ng3Dg/B4ggkmCv2iayQOUIpxfugI75z4DbBO1rR/bsCOdu+9W0vo0pW2cdF4HnZo/kEuIX/86JiM9wp5O+uMq5rKbAyxeW0dMzi/LHcZ3iozPicaPTcF3qbEmH1wwNzDPYzX9FEYj4j7gYHWe2xw+l+03raHtDYm78rLQG1MaIquuU6+CDYKSaJ6XziGOMyk0x85Enkse/VGD69UnAsrlkmQ4NdhwzUk5SrPw==

小结：1.切换到别的机器 ssh -p端口  user@ip

2.到其他机器执行命令（不会切换到机器上）ssh -p 端口 user@ip 命令（全路径）

3.当第一次连接的时候，本地会产生一个密钥文件~/.ssh/known_hosts（多个密钥）

2）基于密钥登陆

基于口令登陆的，需要手动输入服务器端的密码，那么基于密钥的登陆不需要手动输入密码，只是公钥在服务器端，私钥在客户端，基于密钥的安全认证也有windows和linux客户端的区分。

这里主要说明的是linux端的配置。

   思想：基于牤牛阵法，完全不对外开放端口，留下一台服务器专门接受VPN或者相关密钥认证登陆，才能访问内网端。

6.ssh客户端附带的远程拷贝scp命令：

推：scp  -P52113 /data/oldboy.txt    oldboy@192.168.0.102:/tmp

拉：scp  -P52113  oldboy@192.168.0.102:/tmp  /data/oldboy.txt

scp接端口时需要用P，-r复制目录  -p保持原始属性

scp是加密的远程拷贝，可以把数据从一台机器推送到另外一台机器，也可以从其他服务器把数据拉会到本地，但是，每次都是全量拷贝（rsync增量拷贝），因此，效率不高。

7.ssh附带的sftp：加密传输文件：（服务端有sftp的守护进程）

put  文件   /路径 （上传）    get  文件   /路径（下载）

windows的sftp如下：是windows本地和连接的linux服务之间的文件传输。