SSH
ssh就是Secure Shell的缩写,为建立在应用层和传输层基础上的安全协议。用ssh截获数据包看到的是加密后的数据,不能破解其中内容。
SSH端口号为22,默认为开启状态,相关服务为sshd,如果没装就安装openSSH服务。
服务端主程序:/usr/sbin/sshd,服务器端配置文件/etc/ssh/sshd_config。
客户端主程序:/usr/bin/ssh,客户端配置文件/etc/ssh/ssh_config。
SSH加密原理
通常对于银行账户或者压缩包加密都是用对称加密算法,即加密和解密用同一个秘钥。而SSH基于非对称加密原理,当客户端要访问服务器时,首先把服务器的公钥下载到客户端,然后发送的信息用公钥加密再传送给服务端,服务端用对应的私钥解密,即使传输过程中数据被截获,没有私钥也无法得到真实数据。
SSH配置文件
服务器端配置文件/etc/ssh/sshd_config:
Port 22表示ssh端口默认是22,对服务器来说建议修改端口,避免遭受攻击。
ListenAddress表示监听的IP,这个是指接受哪个IP地址发来的数据,默认为0.0.0.0,意思是监听所有IP地址。
Protocol 2表示SSH版本为2。
HostKey为私钥保存位置。
ServerKeyBits为私钥位数。
SyslogFacility AUTH表示日志记录ssh登录情况,过程会被记录在/var/log/secure中。
LogLevel表示日志记录等级。
GSSAPIAuthentication表示GSSAPI认证,建议修改客户端的配置文件,将GSSAPI认证关闭,否则连接时会消耗大量时间去DNS服务器。
PermitRootLogin表示允许root的ssh登录,建议修改这里的配置,改成不允许root的ssh登录,这是因为一旦root的密码丢失会对服务器破坏很大,可以采用公钥登录方式,但是要先拿到公钥。
PubkeyAuthentication表示是否使用公钥验证。
AuthorizedKeysFile表示公钥位置。
PasswordAuthentication是否使用密码登录,拿到公钥后可以把允许密码登录改成no,禁止密码登录,此时就可以使用公钥登录服务器了,密码就不会在传输的过程中丢失。
PermitEmptyPasswords表示是否允许空密码登录。
SSH命令
通过ssh远程管理:ssh 用户名@IP,可以通过这个在一台linux中登录另一台,登录后就和远程工具管理一样了。用exit命令退出。
在远程计算机中下载到当前目录:scp 用户名@IP:路径 .
将文件上传到远程计算机:scp -r 文件路径 用户名@IP:上传到哪个位置,这两个命令并没有登录到对方的计算机。
用sftp进行文件传输:sftp 用户名@IP,进入sftp状态后用ls来查看服务器端数据,用cd来切换服务器端目录,用lls查看本地数据,用lcd来切换本地目录。用get 要下载的文件名 本地目录来下载到本地,用put来上传文件到服务器。
SSH秘钥对登录
为了防止暴力破解密码进行远程登录,需要采用更安全的方式。
秘钥对登录首先需要在本机生成秘钥对,然后将公钥发到服务器的指定目录~/.ssh/authorized_keys,然后登录时用私钥登录即可,公钥保存在哪个家目录下登录后就是哪个用户。
1、 生成秘钥对:ssh-keygen-trsa,RSA是非对称秘钥算法,还可以用dsa系统会提示key存在/root/.ssh/id_rsa中,然后会设置密码,这里密码设置为空即可,完成后会在/root/.ssh/中会生成id_rsa和id_rsa.pub文件,前者是私钥后者是公钥;
2、 将公钥上传到服务器:scp-r公钥用户名@IP:/root,如果是其他用户就修改对应家目录上传后将公钥追加到指定文件中:catid_rsa.pub>>/root/.ssh/authorized_keys,如果服务器端没有.ssh目录要先新建一个,用重定向的方式主要是考虑到登录地点有多个,这样文件就能保存多个公钥然后修改该文件的读权限,防止有人偷走:chmod600/root/.ssh/authorized_keys;
(在产生秘钥对后执行ssh-copy-id ip或域名也能将公钥放入对应节点)
3、 修改服务器端SSH配置文件:;
RSAAuthentication yes 表示开启RSA验证。
PubkeyAuthentication yes 表示使用公钥验证。
AuthorizedKeysFile .ssh/authorized_keys 指定公钥的保存位置
PasswordAuthentication no 表示禁止密码登录
4、 关闭SELinux服务:修改配置文件/etc/selinux/config改为SELINUX=disabled,然后重启系统;
5、 服务器端重启服务:servicesshdrestart;
此时就可以直接登录ssh无需输入密码了。使用这种方式要注意保护私钥。
如果要用windows远程工具进行秘钥对登录,只需将私钥拷到windows中,登录时登录方式选择publickey,选取私钥文件即可,如果当初没有设置ssh密码就无需输入密码。
.ssh文件夹下(~/.ssh)的文件功能解释
| 文件名 | 功能 |
|---|---|
| known_hosts | 记录ssh访问过计算机的公钥(public key) |
| id_rsa | 生成的私钥 |
| id_rsa.pub | 生成的公钥 |
| authorized_keys | 存放授权过得无密登录服务器公钥 |