linux_ssh
什么是ssh?
配置文件位置:/etc/ssh/sshd_config
远程登录和为其他网络提供安全的加密数据传输协议,默认端口22,默认协议是SSH2
# 远程终端通过ssh连接服务器管理服务器
# 端口是某个主机提供服务的入口
提供服务:
- 类似telnet远程联机
- 类似ftp服务的ftp-server的sftp
- 利用ssh协议来实现加密传输数据,如scp远程拷贝
无法通过ssh连接远程主机故障排除?
no route to host
# 可能防火墙阻挡,检查防火墙配置是否开放这个端口,是否开放这个ip? Connection refused
# 检查对应的端口是否开启 # netstat -lntup | grep ssh # 检查是否ssh配置文件禁止远程root用户登录 # grep "PermitRootLogin" /etc/ssh/sshd_config # 检查物理网络 # 先ping ip,然后再 telnet ip port
ssh认证类型有哪几类?
1. 口令
向服务器发送建立连接请求,服务会返回768bit的公钥,客户端也会生成256bit的私钥,客户端再次请求的时候会把这两个组成1024bit的密钥本地保存一份并且发给服务器保存,然后每次对话,都对比双方的密钥,建立安全通信通道
2. 密钥
建立密钥对,把共用钥匙放在需要访问的目标服务器上,把私钥放到ssh的客户端或对应的客户端服务器上
ssh相关优化?
/etc/ssh/sshd_conf
1. Port # 更改端口,默认端口22大家都知道
2. ListenAddress # 监听主机指定的ip地址,多个ip地址时,默认全部监听
3. PermitRootLogin # 不允许root用户远程登录,去掉注释,让其生效,参数yes
4. UseDNS # 反向解析,yes改为no
5. PermitEmptyPasswords # 不允许密码为空登录,去除注释,让其生效
6. GSSAPIAuthentication
# GSS API认证,防止客户端欺诈手段,ssh连接慢的原因,yes改为no
7. GSSAPICleanupCredentials yes
# GSS API清理凭证,去除注释,让其生效,参数yes
# 这些ssh优化,应该放在系统初始化就需要做完
如何远程连接?
- window远程连接终端,如x-shell等工具
- linux中ssh服务就带ssh终端
ssh -p port username@host_ip 如: ssh -p 22 root@172.16.1.8 # 通过 ssh终端连接远端主机172.16.1.8,以root身份端口22请求服务 # 将会提示是否保存口令密码对,保存会保存在当前用户家目录下~/.ssh/known_hosts
ssh登录安全策略
- 禁止远程root登录
- 尽量使用密钥登录,而不是口令登录
- 防火墙封闭ssh,对客户端源ip进行限制,并且ssh只监听内网ip
- 最小化服务器公网ip
scp实现远程拷贝
scp -P port -rp file user@host_ip:target_dir
-P 指定端口
-r 递归拷贝目录
-p 保持文件属性
file 文件
user 以什么身份连接远端主机
host_ip 远端主机IP
target_dir 目标目录
例如:
scp -P 22 -rp test.txt root@172.16.1.5:/tmp
# 拷贝test.txt到远端主机tmp下
应用:
- scp可以实现两台可以通信主机之间拷贝文件
- 每次都是完整拷贝,效率没有rsync效率高
ssh的sftp功能使用
sftp -o Port=port user@password
-o 指定参数
-Port 指定端口
例如:
sftp -o Port=22 root@172.16.1.5
上传文件:
put file target_dir
如: put /etc/hosts /tmp
# 把当前主机下/etc/hosts文件上传到远端主机/tmp目录下,需要权限,权限来源
# 登录的身份
下载:
get file target_dir
如: put /etc/hosts /tmp
# 把远端主机中/etc/hosts文件下载到本地/tmp目录下
# 上传和下载的文件不能指定目录,且这个ftp服务不安全,可以执行大部分linux命令,也拥有
# 登录身份的所有权限
如何通过ssh的密钥登录?
1. 创建密钥对,公钥和密钥
非交互:echo -e "\n"|ssh-keygen -t dsa -N "" 交互:sh-keygen -t dsa # 这两条命令将会在对应用户家目录下的 .ssh/ 目录创建两个文件 id_dsa 、id_dsa.pub # id_dsa 是私钥, id_dsa.pub 是公钥,基于当前用户 whoami 查看当前用户
2. 分发密钥,公钥发给远端服务,私钥留在本机
ssh-copy-id -i .ssh/id_dsa.pub "-p 520 root@172.16.1.5" # -p指定非默认端口,需要引号引起来 # 需要输入对应主机以什么用户发起连接对应的密码,连接远程机器以root身份登录需要输# 入root的密码 # 成功分发,将会保存在对应用户家目录下 ~/ssh/authorized_keys,发现更名了
3. 密钥登录
ssh -p 520 root@172.16.1.5 # 直接连接过去,不在需要对应主机对应用户的密码 # 生成密钥对,对应当前用户,分发密钥可以任何用户和主机,但需要对应主机用户的密码 # 分发成功只能生成密钥对的用户可以无密码登录接收分发密钥的远端主机指定用户
linux_ssh的更多相关文章
- 六、Linux_SSH服务器状态
一.保持Xshell连接Linux服务器状态 1.登录服务器后 cd /etc/ssh/ vim sshd_config 找到 ClientAliveInterval 0和ClientAliveCou ...
- linux_ssh用户枚举猜测
新建一个用户名txt文档,写入常用的用户名 msfconsole use auxiliary/scanner/ssh/ssh_enumusers3
随机推荐
- python3基础(一)
1. python文件主程序入口文件一般来要申明python路径,编码信息,作者说明等: #!/usr/bin/env python # _*_ coding: utf-8 _*_ # Author: ...
- win10安装Tensorflow
win10安装Tensorflow 前提: 保证你的pip>=8.1版本 否则利用python -m pip install -U pip 进行升级,或下载pip源文件 确定你的显卡是否支持c ...
- 编码与模式------《Designing Data-Intensive Applications》读书笔记5
进入到第四章了,本篇主要聊的点是编码(也就是序列化)与代码升级的一些场景,来梳理存储之中涉及到的编解码的流程.目前主流的编解码便是来自Apache的Avro,来自Facebook的Thrift与Goo ...
- 大白话说Java泛型(一):入门、原理、使用
文章首发于[博客园-陈树义],点击跳转到原文<大白话说Java泛型(一):入门.原理.使用> 远在 JDK 1.4 版本的时候,那时候是没有泛型的概念的.当时 Java 程序员们写集合类的 ...
- .NET技术面试题系列(1) 基础概念
这是.NET技术面试题系列第一篇,今天主要分享基础概念. 1.简述 private. protected. public.internal 修饰符的访问权限 private : 私有成员, 在类的内部 ...
- JavaScript基础知识(JSON、Function对象、原型、引用类型)
19.JSON 概念:JavaScript 对象表示法(JavaScript Object Notation),是一种轻量级的数据交换格式 特点:易于程序员编写和查看:易于计算机解析和生成 数据结构 ...
- CVE-2017-8635复现
在最近几个月里,我花了一些时间深入了Device Guard以及如何实现用户模式代码完整性(UMCI).如果您对Device Guard不熟悉,您可以 在这里阅读更多信息.通常情况下,UMCI可防止未 ...
- deeplearning.ai 卷积神经网络 Week 3 目标检测 听课笔记
本周的主题是对象检测(object detection):不但需要检测出物体(image classification),还要能定位出在图片的具体位置(classification with loca ...
- Gym 100952D&&2015 HIAST Collegiate Programming Contest D. Time to go back【杨辉三角预处理,组合数,dp】
D. Time to go back time limit per test:1 second memory limit per test:256 megabytes input:standard i ...
- UVA11636-Hello World!-水题
Hello World! Time limit: 1.000 seconds When you first made the computer to print the sentence "H ...