SSH访问远程

SSH常见分类:

  • telnet-远程登录协议,23/TCP

    • 明文认证、明文传输(不安全)
  • ssh(Secure SHell)-应用层协议,22/TCP
    • 通讯和认证过程加密、主机认证
    • 用户认证过程加密
    • 数据传输过程加密
  • dropbear-嵌入式系统专用SSH

OpenSSH 简介

OpenSSH用于在远程系统上安全运行shell。如果您在可提供ssh服务的远程Linux系统中拥有用户帐户,则ssh是通常用来远程登录到该系统的命令。ssh命令也可用于在远程系统中运行命令。

SSH有两个版本:

  • v1-基于CRC-32做MAC,无法防范中间人(man-in-middle)攻击
  • v2-双方主机协议选择安全的MAC方式。基于DH算法做密钥交换,基于RSA或DSA算法实现身份认证

SSH认证方式

openssh有两种认证方式:

  • 口令认证
  • 密钥认证

openSSH工作模式

openSSH基于C/S(客户端/服务器)构架工作

#服务器端sshd
/etc/ssh/sshd_config
#客户端ssh
/etc/ssh/ssh_config
ssh-keygen #密钥生成器
ssh-copy-id #公钥传输至远程服务器
scp #跨主机安全复制工具

openSSH配置基于密钥的身份认证

用户可通过使用公钥身份验证进行ssh登录身份验证。ssh允许用户使用私钥-公钥方案进行身份验证。这意味着将生成私钥和公钥这两个密钥。私钥文件用作身份验证凭据,像密码一样,必须妥善保管。公钥复制到用户希望登录的系统,用于验证私钥。公钥并不需要保密。拥有公钥的ssh服务器可以发布仅持有您私钥的系统才可解答的问题。因此,可以根据所持有的密钥进行验证。如此一来,就不必在每次访问系统时键入密码,但安全性仍能得到保证。

使用ssh-keygen命令生成密钥,将会生成私钥和公钥

  • ~/.ssh/id_rsa #私钥
  • ~/.ssh/id_rsa.pub #公钥

注意

生成密钥时,系统将提供指定密码的选项,在访问私钥时必须提供该密码。如果私钥被偷,除颁发者之外的其他任何人很难使用该私钥,因为已使用密码对其进行保护。这样,在攻击者破解并使用私钥前,会有足够的时间生成新的密钥对并删除所有涉及旧密钥的内容。

生成密钥后,密钥将默认存储在家目录下的.ssh/文件夹里。

私钥和公钥的权限就分别为600和644。.ssh/目录权限必须是700。

在可以使用基于密钥的身份验证前,需要将公钥复制到目标系统上。可以使用ssh-copy-id完成这一操作。

通过ssh-copy-id将密钥复制到另一系统时,它默认复制~/.ssh/id_rsa.pub文件。

#生成密钥
[root@Lynk ~]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:kKfhcqCOlPwsS9Nb3OILPRTU4MHr0bprs/A7sPrTs08 root@Lynk
The key's randomart image is:
+---[RSA 2048]----+
| .+o |
| o..o |
| .o* . |
|. .. =.* |
| +. o.* S |
|.o+.+=. |
|.+.*+*.E |
|. +oBB+ |
| ooooO@. |
+----[SHA256]-----+ #将密钥复制给服务器
[root@Lynk ~]# ssh-copy-id root@192.168.26.129
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
The authenticity of host '192.168.26.129 (192.168.26.129)' can't be established.
ECDSA key fingerprint is SHA256:bpCNTMSwW5iFAtt2aAQ9QNrdd1ojBZDCMLsA0wJ/K3k.
ECDSA key fingerprint is MD5:1a:34:7a:fb:dd:cf:ff:ea:68:ae:3f:2f:87:ed:2c:78.
Are you sure you want to continue connecting (yes/no)? yes
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.26.129's password: Number of key(s) added: 1 Now try logging into the machine, with: "ssh 'root@192.168.26.129'"
and check to make sure that only the key(s) you wanted were added. #登录服务器
[root@Lynk ~]# ssh root@192.168.26.129
Last login: Mon Jan 7 07:05:25 2019 from 192.168.26.1
[root@LynkSer ~]#

在我们完成服务的设置之后,可能还会有开启防火墙来保证主机安全的需求,这时应该为防火墙添加富规则来保证我们的ssh服务可以通过防火墙。

#禁止ssh服务连入
[root@LynkSer ~]# firewall-cmd --remove-service=ssh --permanent
success
[root@LynkSer ~]# firewall-cmd --reload
success #此时远程主机无法通过ssh连接本地主机
[root@Lynk ~]# ssh root@192.168.26.129
ssh: connect to host 192.168.26.129 port 22: No route to host #添加放行富规则
[root@LynkSer ~]# firewall-cmd --add-rich-rule 'rule family=ipv4 source address=192.168.26.128/24 service name=ssh accept' --permanent
success
#重载防火墙让配置生效
[root@LynkSer ~]# firewall-cmd --reload
success #再次尝试连入本地主机
[root@Lynk ~]# ssh root@192.168.26.129
Last login: Mon Jan 7 07:38:11 2019 from 192.168.26.128
#成功了,退出吧
[root@LynkSer ~]# exit
logout
Connection to 192.168.26.129 closed.

自定义 SSH 服务配置

OpenSSH服务器通常无需修改,但会提供其他安全措施,可以在配置文件/etc/ssh/sshd_config中修改OpenSSH服务器的各个方面。

#是否允许root用户远程登录系统
PermitRootLogin {yes|no}
#仅允许root用户基于密钥方式远程登录
PermitRootLogin without-password
#是否启用密码身份验证,默认开启
PasswordAuthentication {yes|no}

SSH使用实例

#登录
[root@Lynk ~]# ssh root@192.168.26.129
Last login: Mon Jan 7 07:23:45 2019 from 192.168.26.128
#退出
[root@LynkSer ~]# exit
logout
Connection to 192.168.26.129 closed.
#在远程服务器上执行一个命令
[root@Lynk ~]# ssh root@192.168.26.129 'echo "I AM LYNK" > /opt/whoami'
[root@Lynk ~]# ssh root@192.168.26.129
Last login: Mon Jan 7 07:24:50 2019 from 192.168.26.128
[root@LynkSer ~]# cat /opt/whoami
I AM LYNK
#查看当前所有登录到这台主机的会话
[root@LynkSer ~]# w
07:29:10 up 30 min, 3 users, load average: 0.17, 0.09, 0.07
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root tty1 07:00 26:06 0.73s 0.19s vim /etc/sysconfig/network-scripts/ifcfg-e
root pts/0 192.168.26.1 07:05 23:45 0.03s 0.03s -bash
root pts/1 192.168.26.128 07:29 2.00s 0.08s 0.04s w
***

SSH安全

  • 密码应该经常换且足够复杂
  • 使用非默认端口
  • 限制登录客户端地址
  • 仅监听特定的IP地址
  • 禁止管理员直接登录
  • 仅允许有限制用户登录
    • AllowUsers
    • AllowGroups
  • 使用基于密钥的认证
  • 禁止使用空密码
  • 禁止使用SSHv1版本
  • 设定空闲会话超时时长
  • 利用防火墙设置ssh访问策略
  • 限制ssh的访问频度和并发在线数
  • 做好日志的备份,经常分析(集中于某台服务器)

OpenSSH配置与基本使用的更多相关文章

  1. openssh允许root用户登录

    openssh默认是不允许root用户登录的,未改配置直接以正确的root账号密码登录会提示用户名密码错误之类. 好消息是openssh配置十分清晰,基本所有的服务端配置都在/etc/ssh/sshd ...

  2. (转)Windows7安装OpenSSH

    (转自:http://blog.sina.com.cn/s/blog_4a0a8b5d01015b0n.html) OpenSSH很老了,所以... 最开始只是因为openSSH启动不了,才用的Mob ...

  3. Ubuntu下配置安装Hadoop 2.2

    ---恢复内容开始--- 这两天玩Hadoop,之前在我的Mac上配置了好长时间都没成功的Hadoop环境,今天想在win7 虚拟机下的Ubuntu12.04 64位机下配置, 然后再建一个组群看一看 ...

  4. linux系统升级openssh

    一.升级前准备工作 安装openssh过程需gcc,zlib-devel,openssl-devel,等编译环境,如果通过rpm包来安装,需要解决各种依赖包,故配置本地yum源解决依赖问题. 1. 配 ...

  5. Windows 10系统运维之OpenSSH

    随着PowerShell和OpenSSH的日渐成熟,在客户终端Windows居多的运维之中,使用Win32-OpenSSH和Powershell来管理一些客户机变成了相当实用的一种解决方案. Open ...

  6. OpenSSH 密码和公钥认证原理探究

    目录 配置和保护SSH H3 - 使用SSH 访问远程命令行 H4 - 什么是OpenSSH ? H4 - 登录方式: H4 - 登录并执行临时命令: H4 - 查看登录用户 H4 - 登录原理 密码 ...

  7. Linux网络服务10——远程访问及控制

    Linux网络服务10--远程访问及控制 一.SSH概述 1.SSH简介 SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录.远程复制等功能.SSH协议对通信双方的数 ...

  8. 使用VNC+SSH建立安全的远程桌面访问WINDOWS服务器

    用了一段时间的MONO,现在MONO也支持了ENTITY FRAMEWORK 6.但是实际上在LINUX环境里用MYSQL还是会有很多坑.并且之前在网络游戏服务端SCUT上扩展一些功能时候也遇到了一些 ...

  9. 【Linux】积累笔记

    ■ 关于查看系统的一些版本信息 查看系统的发行版本可以用 cat /etc/issue 或者 cat /etc/redhat-release (Centos上) 查看系统的内核版本以及系统位数 una ...

随机推荐

  1. Jmeter学习(三十二)调试工具Debug Sampler(转载)

    转载自 http://www.cnblogs.com/yangxia-test 一.Debug Sampler介绍: 使用Jmeter开发脚本时,难免需要调试,这时可以使用Jmeter的Debug S ...

  2. django1.10使用本地静态文件

    django1.10使用本地静态文件方法 本文介绍的静态文件使用,是指启动web站点后,访问静态资源的用法,实际静态资源地址就是一个个的url 如果没有启动web站点,只是本地调试html页面,那直接 ...

  3. Python基础之Python的变量、常量

    变量 看下面这个输出 print('整数达斯柯达敬爱的卡斯加大受打击啊') 变量:就是将运算的中间结果暂时存到内存中,以便后续代码调用 res = '整数达斯柯达敬爱的卡斯加大受打击啊') print ...

  4. poj1256(贪心+并查集)

    题目链接:http://poj.org/problem?id=1456 题意:给n件商品的价格和卖出截至时间,每一个单位时间最多只能卖出一件商品,求能获得的最大利润. 思路:首先是贪心,为获得最大利润 ...

  5. POJ-3078.Shuffle'm Up(简单模拟题)

    这道题做了有四个小时吧,今天一整天都处于边玩边学的状态,我很是不喜欢...一开始用了20分钟模拟,过了样例后TLE了,就在考虑是不是判断是否重复判定的数组开大了,结果一直蛙,后面想到了map判重,结果 ...

  6. TOJ 3973 Maze Again && TOJ 3128 简单版贪吃蛇

    TOJ3973传送门:http://acm.tzc.edu.cn/acmhome/problemdetail.do?&method=showdetail&id=3973 时间限制(普通 ...

  7. [剑指Offer]47-礼物的最大价值(DP)

    题目描述 在一个m*n的棋盘每个格有一个礼物,每个礼物有一定价值(>0).从棋盘左上角到右下角,只能向下或向右走,问能拿到的礼物最大价值. 解题思路 dp. 可将二维数组版优化为一维数组版. 代 ...

  8. 15-算法训练 P1103

    http://lx.lanqiao.cn/problem.page?gpid=T372   算法训练 P1103   时间限制:1.0s   内存限制:256.0MB      编程实现两个复数的运算 ...

  9. pycurl提示load dll failed 找不到注册程序

    原因:python虽然是2.7的 但有小版本区别 建议使用2.7.8

  10. /usr/local/ 和 /opt

    /usr/local:用户级的程序目录,可以理解为C:/Progrem Files/.用户自己编译的软件默认会安装到这个目录下. /opt:用户级的程序目录,可以理解为D:/Software,opt有 ...