SSH访问远程

SSH常见分类:

  • telnet-远程登录协议,23/TCP

    • 明文认证、明文传输(不安全)
  • ssh(Secure SHell)-应用层协议,22/TCP
    • 通讯和认证过程加密、主机认证
    • 用户认证过程加密
    • 数据传输过程加密
  • dropbear-嵌入式系统专用SSH

OpenSSH 简介

OpenSSH用于在远程系统上安全运行shell。如果您在可提供ssh服务的远程Linux系统中拥有用户帐户,则ssh是通常用来远程登录到该系统的命令。ssh命令也可用于在远程系统中运行命令。

SSH有两个版本:

  • v1-基于CRC-32做MAC,无法防范中间人(man-in-middle)攻击
  • v2-双方主机协议选择安全的MAC方式。基于DH算法做密钥交换,基于RSA或DSA算法实现身份认证

SSH认证方式

openssh有两种认证方式:

  • 口令认证
  • 密钥认证

openSSH工作模式

openSSH基于C/S(客户端/服务器)构架工作

#服务器端sshd
/etc/ssh/sshd_config
#客户端ssh
/etc/ssh/ssh_config
ssh-keygen #密钥生成器
ssh-copy-id #公钥传输至远程服务器
scp #跨主机安全复制工具

openSSH配置基于密钥的身份认证

用户可通过使用公钥身份验证进行ssh登录身份验证。ssh允许用户使用私钥-公钥方案进行身份验证。这意味着将生成私钥和公钥这两个密钥。私钥文件用作身份验证凭据,像密码一样,必须妥善保管。公钥复制到用户希望登录的系统,用于验证私钥。公钥并不需要保密。拥有公钥的ssh服务器可以发布仅持有您私钥的系统才可解答的问题。因此,可以根据所持有的密钥进行验证。如此一来,就不必在每次访问系统时键入密码,但安全性仍能得到保证。

使用ssh-keygen命令生成密钥,将会生成私钥和公钥

  • ~/.ssh/id_rsa #私钥
  • ~/.ssh/id_rsa.pub #公钥

注意

生成密钥时,系统将提供指定密码的选项,在访问私钥时必须提供该密码。如果私钥被偷,除颁发者之外的其他任何人很难使用该私钥,因为已使用密码对其进行保护。这样,在攻击者破解并使用私钥前,会有足够的时间生成新的密钥对并删除所有涉及旧密钥的内容。

生成密钥后,密钥将默认存储在家目录下的.ssh/文件夹里。

私钥和公钥的权限就分别为600和644。.ssh/目录权限必须是700。

在可以使用基于密钥的身份验证前,需要将公钥复制到目标系统上。可以使用ssh-copy-id完成这一操作。

通过ssh-copy-id将密钥复制到另一系统时,它默认复制~/.ssh/id_rsa.pub文件。

#生成密钥
[root@Lynk ~]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:kKfhcqCOlPwsS9Nb3OILPRTU4MHr0bprs/A7sPrTs08 root@Lynk
The key's randomart image is:
+---[RSA 2048]----+
| .+o |
| o..o |
| .o* . |
|. .. =.* |
| +. o.* S |
|.o+.+=. |
|.+.*+*.E |
|. +oBB+ |
| ooooO@. |
+----[SHA256]-----+ #将密钥复制给服务器
[root@Lynk ~]# ssh-copy-id root@192.168.26.129
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
The authenticity of host '192.168.26.129 (192.168.26.129)' can't be established.
ECDSA key fingerprint is SHA256:bpCNTMSwW5iFAtt2aAQ9QNrdd1ojBZDCMLsA0wJ/K3k.
ECDSA key fingerprint is MD5:1a:34:7a:fb:dd:cf:ff:ea:68:ae:3f:2f:87:ed:2c:78.
Are you sure you want to continue connecting (yes/no)? yes
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.26.129's password: Number of key(s) added: 1 Now try logging into the machine, with: "ssh 'root@192.168.26.129'"
and check to make sure that only the key(s) you wanted were added. #登录服务器
[root@Lynk ~]# ssh root@192.168.26.129
Last login: Mon Jan 7 07:05:25 2019 from 192.168.26.1
[root@LynkSer ~]#

在我们完成服务的设置之后,可能还会有开启防火墙来保证主机安全的需求,这时应该为防火墙添加富规则来保证我们的ssh服务可以通过防火墙。

#禁止ssh服务连入
[root@LynkSer ~]# firewall-cmd --remove-service=ssh --permanent
success
[root@LynkSer ~]# firewall-cmd --reload
success #此时远程主机无法通过ssh连接本地主机
[root@Lynk ~]# ssh root@192.168.26.129
ssh: connect to host 192.168.26.129 port 22: No route to host #添加放行富规则
[root@LynkSer ~]# firewall-cmd --add-rich-rule 'rule family=ipv4 source address=192.168.26.128/24 service name=ssh accept' --permanent
success
#重载防火墙让配置生效
[root@LynkSer ~]# firewall-cmd --reload
success #再次尝试连入本地主机
[root@Lynk ~]# ssh root@192.168.26.129
Last login: Mon Jan 7 07:38:11 2019 from 192.168.26.128
#成功了,退出吧
[root@LynkSer ~]# exit
logout
Connection to 192.168.26.129 closed.

自定义 SSH 服务配置

OpenSSH服务器通常无需修改,但会提供其他安全措施,可以在配置文件/etc/ssh/sshd_config中修改OpenSSH服务器的各个方面。

#是否允许root用户远程登录系统
PermitRootLogin {yes|no}
#仅允许root用户基于密钥方式远程登录
PermitRootLogin without-password
#是否启用密码身份验证,默认开启
PasswordAuthentication {yes|no}

SSH使用实例

#登录
[root@Lynk ~]# ssh root@192.168.26.129
Last login: Mon Jan 7 07:23:45 2019 from 192.168.26.128
#退出
[root@LynkSer ~]# exit
logout
Connection to 192.168.26.129 closed.
#在远程服务器上执行一个命令
[root@Lynk ~]# ssh root@192.168.26.129 'echo "I AM LYNK" > /opt/whoami'
[root@Lynk ~]# ssh root@192.168.26.129
Last login: Mon Jan 7 07:24:50 2019 from 192.168.26.128
[root@LynkSer ~]# cat /opt/whoami
I AM LYNK
#查看当前所有登录到这台主机的会话
[root@LynkSer ~]# w
07:29:10 up 30 min, 3 users, load average: 0.17, 0.09, 0.07
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root tty1 07:00 26:06 0.73s 0.19s vim /etc/sysconfig/network-scripts/ifcfg-e
root pts/0 192.168.26.1 07:05 23:45 0.03s 0.03s -bash
root pts/1 192.168.26.128 07:29 2.00s 0.08s 0.04s w
***

SSH安全

  • 密码应该经常换且足够复杂
  • 使用非默认端口
  • 限制登录客户端地址
  • 仅监听特定的IP地址
  • 禁止管理员直接登录
  • 仅允许有限制用户登录
    • AllowUsers
    • AllowGroups
  • 使用基于密钥的认证
  • 禁止使用空密码
  • 禁止使用SSHv1版本
  • 设定空闲会话超时时长
  • 利用防火墙设置ssh访问策略
  • 限制ssh的访问频度和并发在线数
  • 做好日志的备份,经常分析(集中于某台服务器)

OpenSSH配置与基本使用的更多相关文章

  1. openssh允许root用户登录

    openssh默认是不允许root用户登录的,未改配置直接以正确的root账号密码登录会提示用户名密码错误之类. 好消息是openssh配置十分清晰,基本所有的服务端配置都在/etc/ssh/sshd ...

  2. (转)Windows7安装OpenSSH

    (转自:http://blog.sina.com.cn/s/blog_4a0a8b5d01015b0n.html) OpenSSH很老了,所以... 最开始只是因为openSSH启动不了,才用的Mob ...

  3. Ubuntu下配置安装Hadoop 2.2

    ---恢复内容开始--- 这两天玩Hadoop,之前在我的Mac上配置了好长时间都没成功的Hadoop环境,今天想在win7 虚拟机下的Ubuntu12.04 64位机下配置, 然后再建一个组群看一看 ...

  4. linux系统升级openssh

    一.升级前准备工作 安装openssh过程需gcc,zlib-devel,openssl-devel,等编译环境,如果通过rpm包来安装,需要解决各种依赖包,故配置本地yum源解决依赖问题. 1. 配 ...

  5. Windows 10系统运维之OpenSSH

    随着PowerShell和OpenSSH的日渐成熟,在客户终端Windows居多的运维之中,使用Win32-OpenSSH和Powershell来管理一些客户机变成了相当实用的一种解决方案. Open ...

  6. OpenSSH 密码和公钥认证原理探究

    目录 配置和保护SSH H3 - 使用SSH 访问远程命令行 H4 - 什么是OpenSSH ? H4 - 登录方式: H4 - 登录并执行临时命令: H4 - 查看登录用户 H4 - 登录原理 密码 ...

  7. Linux网络服务10——远程访问及控制

    Linux网络服务10--远程访问及控制 一.SSH概述 1.SSH简介 SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录.远程复制等功能.SSH协议对通信双方的数 ...

  8. 使用VNC+SSH建立安全的远程桌面访问WINDOWS服务器

    用了一段时间的MONO,现在MONO也支持了ENTITY FRAMEWORK 6.但是实际上在LINUX环境里用MYSQL还是会有很多坑.并且之前在网络游戏服务端SCUT上扩展一些功能时候也遇到了一些 ...

  9. 【Linux】积累笔记

    ■ 关于查看系统的一些版本信息 查看系统的发行版本可以用 cat /etc/issue 或者 cat /etc/redhat-release (Centos上) 查看系统的内核版本以及系统位数 una ...

随机推荐

  1. STOP OUR NEGATIVE THOUGHTS

    Do you ever feel like you're in over your head and at any moment you're going to burst? You're not a ...

  2. python学习day7 数据类型及内置方法补充

    http://www.cnblogs.com/linhaifeng/articles/7133357.html#_label4 1.列表类型 用途:记录多个值(一般存放同属性的值) 定义方法 在[]内 ...

  3. ss源码学习--工作流程

    ss的local端和server端的工作流程相似,因此复用了TCPRelay类和TCPRelayHandler类. 两端均是使用TCPRelay类监听连接,并使用TCPRelayHandler类处理请 ...

  4. 跳台阶(python)

    题目描述 一只青蛙一次可以跳上1级台阶,也可以跳上2级.求该青蛙跳上一个n级的台阶总共有多少种跳法(先后次序不同算不同的结果). # -*- coding:utf-8 -*- class Soluti ...

  5. Ubuntu 16.04下添加新用户

      某些情况下,Ubuntu 使用useradd 新用户名,在home 文件夹下面看不到新创建的用户文件夹,例如:root@worker:/home/kuku# useradd spark root@ ...

  6. 让Ubuntu可以压缩/解压缩RAR文件

    ubuntu刚安装的时候是不能解压rar文件的,只有在安装了解压工具之后,才可以解压. 安装:sudo apt-get install unrar卸载:sudo apt-get remove unra ...

  7. JAVA jar 参数

    -client       to select the "client" VM    -server       to select the "server" ...

  8. jsp页面之初体验

    最近在学jsp 在web.xml页面中学到了如何让一个页面第一个启动

  9. java虚拟机的原理

    所谓虚拟机,就是一台虚拟的机器.它是一款软件,用来执行一系列虚拟计算机指令,大体上虚拟机可以分为系统虚拟机和程序虚拟机,Visual Box .Vmare就属于系统虚拟机.他们完全是对物理计算机的仿真 ...

  10. 项目总结03:window.open()方法用于子窗口数据回调至父窗口,即子窗口操作父窗口

    window.open()方法用于子窗口数据回调至父窗口,即子窗口操作父窗口 项目中经常遇到一个业务逻辑:在A窗口中打开B窗口,在B窗口中操作完以后关闭B窗口,同时自动刷新A窗口(或局部更新A窗口)( ...