openSSH服务及其应使用

  • 时间:2018-06-28 21:33 作者:若与 来源:若与 阅读:173
  • 扫一扫,手机访问
摘要:openssl:TLS/SSl(libssl,libcryto,openssl),TSL PKIOpenSSH:telnet,TCP/23,远程登录认证实文(密码认证)数据传输明文ssh:Secure Shell ,TCP/22C/S架构 套接字监听SSH --> SSHopenssh(开源)

openssl

:TLS/SSl(libssl,libcryto,openssl),TSL PKI

OpenSSH:

telnet,TCP/23,远程登录
认证实文(密码认证)
数据传输明文

ssh:Secure Shell ,TCP/22
C/S架构 套接字监听

SSH --> SSH

openssh(开源) 即是协议,又是软件

ssh V1(中间人攻击),V2

用户端:
LINUX:ssh
Windows:putty,SecureCRT(商业版),SSHsecureShellClient,Xmanger

服务器端:(linux,unix)
sshd

openssh(ssh,sshd)

ssh--->telnet

ssh:主机密钥
client-------->server
yes:接受服务器主机发来的公钥
RSA,DSA
用户端生成临时对称密钥(会话)随机生成
对称密钥用服务器的公钥加密后传给服务器,只有服务器的私钥能解密。

账号和密码使用对称密钥加密后传给服务器进行认证。
认证通过,建立一个永久的会话通道。

基于口令的认证
基于密钥的认证

用户端生成一对密钥,公钥传到服务器的对应使用户的家目录下,身份认证是用户端利使用自己的私钥加密一段数据,服务器使用用户的公钥解密。可解,则认证通过。

不允许root直接登录,而是使用普通使用户,在su切换。

安全措施:

  1. 限定某些台有限主机可以够登录
  2. 在前台vpn,允许vpn的IP地址登录,先登录到vpn在ssh到主机。
  3. 改变端口
  4. 经常换密码
[root@li ~]# rpm -qa |grep opensshopenssh-clients-5.3p1-84.1.el6.x86_64   openssh-5.3p1-84.1.el6.x86_64 通使用组件及库openssh-askpass-5.3p1-84.1.el6.x86_64openssh-server-5.3p1-84.1.el6.x86_64rpm   -qi   openssh-5.3p1-84.1.el6.x86_64 netstat -tlnnetstat -rn 路由表UDP  无状态tcp   listennetstat  -p  process|programservcie sshd statuslsof -i:22lsof(list open files)是一个列出当前系统打开文件的工具,能使用来恢复删除的数据。

配置文件

ssh (ssh_conf)sshd (sshd_conf)/etc/ssh/moduli:和密钥交换,认证有关的不同sshv1  dsa  ,sshv2 rsa 没有注意:权限 私钥600 公钥644    ├─sshd─┬─3*[sshd───bash]     │      └─sshd───bash───pstreesshd主进程,会创立多个子进程

vim /etc/ssh/sshd_conf

配置项格式:  var   values修改端口 port 2223AddressFamily any  :IPV4,IPV6哪个地址ListenAddress 0.0.0.0 都监听 在哪一个地址上监听KeyRegenerationInterval 1h 密钥重新生成密钥的时间ServerKeyBits 1024  密钥长度SyslogFacility AUTHPRIVLogLevel INFOLoginGraceTime 2m  登录的宽限期,建立会话后,要输账号和密码。PermitRootLogin yes  能否允许root直接登录。StrictModes yes 能否用严格限定模式MaxAuthTries 6 最大能尝试输错MaxSessions 10#RSAAuthentication yes  能否支持RSA认证#PubkeyAuthentication yes 基于密钥认证#AuthorizedKeysFile     .ssh/authorized_keys#AuthorizedKeysCommand none#AuthorizedKeysCommandRunAs nobody#RhostsRSAAuthentication no 主机认证PasswordAuthentication yesChallengeResponseAuthentication noUsePAM yes#Banner none  标语#PrintMotd yes  能否打印/etc/motd里的内容#PrintLastLog yes 打印上次登录 ,不启使用信息泄露。涉及安全,信息越少越好。Subsystem       sftp    /usr/libexec/openssh/sftp-server和ftps不同。man sshd_configkill -L

用户端:ssh

ssh - OpenSSH SSH client (remote login program) ssh [-1246AaCfgKkMNnqsTtVvXxYy] [-b bind_address] [-c cipher_spec] [-D  [bind_address:]port] [-e escape_char]         [-F configfile] [-i identity_file] [-L  [bind_address:]port:host:hostport] [-l login_name] [-m mac_spec]         [-O ctl_cmd] [-o option] [-p port] [-R  [bind_address:]port:host:hostport] [-S ctl_path] [-W host:port] [-w         local_tun[:remote_tun]] [user@]hostname [command]假如不指定使用户,则以当前的使用户切换过去。ssh -l root hostssh root@host   ~/.ssh/known_host  主机密钥不登录主机,仅在主机上执行命令,并返回执行结果。ssh -l username Remotehost ['command']  能不使用引号  ssh -X  -X      Enables X11 forwarding.  -Y      Enables trusted X11 forwarding.  执行图形窗口  -p  端口

基于密钥的认证:

一台主机为用户端(基于某个使用户实现 ),

1. 生成一对密钥

ssh-keygenssh-keygen -t rsa 密钥保存在~/.ssh/id_rsa  能指定密钥的名称

2. 将公钥传输至服务器端某使用户的家目录下的.ssh/authorized_keys文件中

用文件传输工具传输(ssh-copy-id,scp)ssh-copy-id -i /path/pubkeyname  username@hostssh-copy-id .ssh/id_rsa.pub root@172.16.100.2 scp .ssh/id_rsa.pub  root@172.16.0.12:/tmpssh root@172.16.0.12  cat /tmp/id_rsa.pub >> /root/.ssh/authorized_keys  

3. 测试登录

scp

基于ssh的远程复制命令,能实现在主机之间传输数据。

scp [option] SRC  DESTremote_host:  username@host:fileSYNOPSIS     scp [-1246BCpqrv] [-c cipher] [-F ssh_config] [-i identity_file] [-l limit] [-o ssh_option] [-P port] [-S program]         [[user@]host1:]file1 ... [[user@]host2:]file2目录  -r        -P       -a  

ssh-keygen

.ssh的权限是700 -f filename             Specifies the filename of the key filessh-keygen -t rsa -f .ssh /id_rsa[-N new_passphrase] -t rsa|dsa -f  /path/-N   'passwd'    在脚本中用

ssh-copy-id

 ssh-copy-id - install your public key in a remote machine’s authorized_keys ssh-copy-id [-i [identity_file]] [user@]machine

sftp

总结

  1. 密码要经常换
  2. 用非默认端口;
  3. 限制登录用户地址
  4. 禁止管理员直接登录
  5. 仅允许有限的使用户登录
  6. 用基于密钥的认证
  7. 禁止用版本1
  • 全部评论(0)
最新发布的资讯信息
【网页前端|JS】五年Java程序员该掌握的技术点,这些都不懂,还想拿高薪吗?(2019-04-24 22:19)
【系统环境|】2019蚂蚁金服面试总结(Java方向)(2019-04-18 16:19)
【系统环境|】notepad++ 三位数字正则替换规则(2019-04-12 23:02)
【系统环境|服务器应用】网络工程师跨交换机的Vlan配置与管理知识(2019-03-26 02:14)
【系统环境|服务器应用】最小化的定制版linux系统:CoreOS(2019-03-26 02:14)
【系统环境|服务器应用】分布式系统面试题:分布式事务处理方案?(2019-03-26 02:13)
【系统环境|服务器应用】带着网关去旅行(系列二):防止vps上ssh端口被恶意扫描(2019-03-26 02:13)
【系统环境|服务器应用】美团iOS面试总结(2019-03-26 02:13)
【系统环境|服务器应用】百度iOS面试总结(2019-03-26 02:13)
【系统环境|服务器应用】Java大佬之学习历程(三)(2019-03-26 02:13)
手机二维码手机访问领取大礼包
返回顶部