1 SSH基础
1.1 什么是SSH协议?
- SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程 复制等功能;
- SSH 协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令;
- SSH 为建立在应用层和传输层基础上的安全协议。对数据进行压缩,加快传输速度。
SSH客户端<————–网络—————->SSH服务端
1.2 SSH的优点
远程管理Linux系统基本上都要失业到ssh,原因很简单:telnet、FTP等传输方式是以明文传送用户认证信息,本质上是不安全的,存在被网络窃听的危险。SSH(Secure Shell)目前较可靠,是专为远程等; 会话和其他忘了服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题,通过SSH可以对所有传输的数据进行加密,也能够防止DNS欺骗和IP欺骗
- 数据传输是加密的,可以防止信息泄漏
- 数据传输是压缩的,可以提高传输速度
1.3 常见的SSH服务软件/工具
客户端软件:
- Linux 客户端: ssh, scp, sftp,slogin
- Windows 客户端:xshell, MobaXterm,putty, securecrt, ssh secure shell client
服务端软件:
- 软件名sshd,闭源。
- 软件名openssh,服务名sshd。CENTOS 7默认安装的是这个软件包。
OpenSSH软件包
- 服务名称:sshd
- 服务端主程序:/usr/sbin/sshd
- 服务端配置文件:/etc/ssh/sshd_config
- 客户端配置文件:/etc/ssh/ssh.config
OpenSSH 是实现SSH协议的开源软件项目,适用于各种UNIX、 Linux 操作系统。
Centos 7系统默认已安装openssh相关软件包,并将sshd 服务添加为开机自启动。
执行"systemctl start sshd"命令即可启动sshd 服务
sshd 服务默认使用的是TCP的22端口,安全协议版本sshv2,除了2之外还有1(有漏洞)。
复制代码ssh服务端主要包括两个服务功能ssh远程连接和sftp服务。
作用:SSHD服务使用SSH协议可以用来进行远程控制,或在计算机之间传输文件。
相比较之前的telnet方式传输文件要安全很多,因为telnet使用明文密码,别人抓包就能看见,非常不安全。
2 ssh原理
2.1公钥传输原理
- 客户端发起链接请求。
- 服务端返回自己的公钥,以及一个会话ID(这一步客户端得到服务端公钥)。
- 客户端生成密钥对。
- 客户端用自己的公钥异或会话ID,计算出一个值Res,并用服务端的公钥加密。
- 客户端发送加密后的值到服务端,服务端用私钥解密,得到Res。
- 服务端用解密后的值Res异或会话ID,计算出客户端的公钥(这一步服务端得到客户端公钥)。
- 最终:双方各自持有三个秘钥,分别为自己的一对公、私钥,以及对方的公钥,之后的所有通讯都会被加密。
2.2 登录
登录方式一:
ssh [远程主机用户名]@[远程服务器主机名或IP地址] [-p port]
复制代码示例:
1)当在 Linux 主机上远程连接另一台 Linux 主机时,如当前所登录的用户是 root 的话,当连接另一台主机时也是用 root 用户登录时,可以直接使用 ssh IP,端口默认即可,如果端口不是默认的情况下,需要使用-p 指定端口。
[root@localhost ~]# ssh 192.168.72.129
The authenticity of host '192.168.72.129 (192.168.72.129)' can't be established.
ECDSA key fingerprint is SHA256:m2RXC9LWWMV4LvTmIhHz2an/uoO2x6TIEZnkJmcfyek.
ECDSA key fingerprint is MD5:99:3c:95:b7:53:06:19:7e:30:76:57:9b:e1:d4:4e:b1.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.72.129' (ECDSA) to the list of known hosts.
root@192.168.72.129's password:
Last login: Tue Mar 22 23:16:12 2022 from 192.168.72.1
复制代码
2)以用户lulu的身份进行登录访问。
[root@localhost ~]# ssh lulu@192.168.72.129
lulu@192.168.72.129's password:
[lulu@192 ~]$
复制代码
登录方式二:
ssh -l [远程主机用户名] [远程服务器主机名或IP 地址] -p port
-l:指定登录名称。
-p:指定登录端口。(当服务端的配置文件/etc/ssh/sshd-config中修改了端口后,即非默认端口22时,需要使用-p 指定端口进行登录)
复制代码示例:
[root@localhost ~]# ssh -l root 192.168.72.129
root@192.168.72.129's password:
Last login: Tue Mar 22 23:16:40 2022 from 192.168.72.10
[root@192 ~]#
复制代码
登录方式三:
有些企业出于安全起见,会做一些安全策略(例如防火墙),不允许主机A直接连接生产服务器D,只允许主机B连接D。此时可以由A先连B,之后由B连接D。
使用命令:ssh -t 跳板连接
# 服务端模拟防火墙
[root@192 ~]# iptables -A INPUT -s 192.168.72.10 -j REJECT //服务端拒绝所有来自192.168.72.10的访问
# 客户端借助 192.168.72.88 跳板连接
[root@localhost ~]]# ssh -t 192.168.72.88 ssh 192.168.72.129 //方便跳板连接
复制代码登录方式四:
ssh连接时直接跟命令,连接后命令立即生效。例如跟 ls 命令:
[root@localhost ~]# ssh 192.168.72.129 ls
root@192.168.72.129's password:
anaconda-ks.cfg
initial-setup-ks.cfg
公共
模板
视频
图片
文档
下载
音乐
桌面
复制代码
2.3 known_hosts 文件
ssh会把每个你访问过的服务端的公钥(public key)都记录在known_hosts 文件中。 同时服务端也会记录客户端的公钥。
文件位置:~/.ssh/known_hosts
known_hosts 文件的作用:
A通过ssh首次连接到B,B会将公钥1(host key)传递给A,A将公钥1存入known_hosts文件中,以后A再连接B时,B依然会传递给A一个公钥2,OpenSSH会核对公钥,通过对比公钥1与公钥2 是否相同来进行简单的验证,如果公钥不同,OpenSSH会发出警告, 避免你受到DNS Hijack之类的攻击。。
举例说明:
如果主机A的known_hosts 文件,已经记录了主机B(IP地址为192.168.72.129)的公钥,下次主机C将IP地址修改成了和B的一样假冒B,那么A使用ssh连接192.168.72.129时,就会出现冲突警告,因为C的公钥和 known_hosts 文件中记录的不一致,系统不允许连接。
示例:
客户端:192.168.72.10
服务端:192.168.72.129
1)客户端首次连接服务端时,系统会询问是否交换公钥,进行安全确认。确认连接后,双方的known_hosts文件都会记录对方的公钥。
[root@localhost ~]# ssh 192.168.72.129
The authenticity of host '192.168.72.129 (192.168.72.129)' can't be established.
ECDSA key fingerprint is SHA256:m2RXC9LWWMV4LvTmIhHz2an/uoO2x6TIEZnkJmcfyek.
ECDSA key fingerprint is MD5:99:3c:95:b7:53:06:19:7e:30:76:57:9b:e1:d4:4e:b1.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.72.129' (ECDSA) to the list of known hosts.
root@192.168.72.129's password:
Last login: Tue Mar 22 23:29:24 2022 from 192.168.72.10
[root@192 ~]#
复制代码
2)客户端的 known_hosts 文件会记录服务端的公钥。
[root@localhost ~]# cat ~/.ssh/known_hosts
192.168.72.129 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBHSbQ2JSmHEibvy2if6kLTKZeeFoshUggYoVMcGhdpZG0ZGH2Kaue8g69fEVhM4pVmisXBNLgocyG3PaY6ZO30o=
[root@localhost ~]#
复制代码
3)服务端的 known_hosts 文件会记录客户端的公钥。
[root@192 ~]# cat ~/.ssh/known_hosts
192.168.72.10 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBBpLAWZdK1dmCqzq0I6v90JcwuwiWxOpH44n1b04JrBnRkQCN+mOMeWZwVXdkOzdwISfsF+5WlSpC3+XTSyF8bY=
[root@192 ~]#
复制代码
思考:
- 我们登录时如何确认对方是不是我需要连接的服务器?
- 方法:A的known_hosts 文件中已经记录了B的公钥,那么A在连接B之前,B可以使用”ssh 127.0.0.1“命令连接自己,之后B查看本地known_hosts文件中自己的公钥,和A中记录的进行核对。
3 sshd服务端配置
sshd服务端配置文件:/etc/ssh/sshd_config
服务监听选项:
- 端口号、协议版本、监听IP地址
- 禁用反向解析
常用参数说明:
[root@192t ~]# cat /etc/ssh/sshd_config
--------------------
17 #Port 22 //端口号,生产环境建议修改端口号
18 #AddressFamily any
19 #ListenAddress 0.0.0.0
20 #ListenAddress ::
38 #LoginGraceTime 2m //发起连接后多少时间内必须登录,超时断开连接
39 #PermitRootLogin yes //是否允许root用户登录,ubantu不允许root远程ssh登录
40 #StrictModes yes //检查.ssh/文件的所有者,权限等
41 #MaxAuthTries 6 //最多允许输错几次密码(centos7默认3次,修改也无效)
42 #MaxSessions 10 //同一时间最多允许10个远程连接
65 #PermitEmptyPasswords no //是否允许空密码用户登录
66 PasswordAuthentication yes //基于用户和密码验证
116 #UseDNS no //禁用反向解析,提高速度可设置为no
#设置黑白名单
#llowUsers yuji@192.168.72.10 lisi //只允许yuji用户从192.168.72.10访问,允许lisi从所有地址访问
#enyUsers liwu //不允许使用liwu用户登录
#白名单的优先级高于黑名单。如果一个用户同时加入了白名单和黑名单,那么该用户是可以访问的。
#如果不设置白名单,则所有用户都可以登录访问。一旦设置了白名单,那么只有白名单内的用户可以访问。
复制代码示例:
修改端口号,将默认端口22修改为9527。
[root@localhost ~]# vim /etc/ssh/sshd_config
--------------------
17 #Port 9527 //将端口号改为9527
[root@localhost ~]# ssh 192.168.72.129 -p 9527 //连接时,需要使用-p指定端口
复制代码4 sshd客户端配置
4.1 客户端配置文件
客户端配置文件:/etc/ssh/ssh_config
客户端首次连接服务端时,系统询问是否交换公钥,进行安全确认。这是由客户端配置文件默认的,可以修改配置文件ssh_config取消询问。
注:
这种做法只在内网中使用,如果服务器暴露在外网中,不建议这样操作,非常危险。
4.2 sftp命令
SFTP是SSH File Transfer Protocol的缩写,安全文件传送协议。SFTP与FTP有着几乎一样的语法和功能。SFTP为SSH的其中一部分,是一种传输档案至 Blogger 伺服器的安全方式。其实在SSH软件包中,已经包含了一个叫作SFTP的安全文件信息传输子系统,SFTP本身没有单独的守护进程,它必须使用sshd守护进程(端口号默认是22)来完成相应的连接和答复操作,所以从某种意义上来说,SFTP并不像一个服务器程序,而更像是一个客户端程序。
sftp命令格式:
sftp [用户名@]IP地址
sftp -oPort=220 [用户名@]IP地址 //修改了默认端口的情况下,需要指定端口号
例:
sftp 192.168.72.129
sftp root@192.168.72.129
#sftp连接后,进入的是当前登录用户的家目录。例如使用root登录,则sftp连接后进入的是/root/目录.
#文件的上传和下载,不能使用绝对路径。文件必须位于当前目录下。
复制代码sftp连接后的常用命令:
get #下载文件
get -r #下载目录
put #上传文件
put -r #上传目录
quit、exit、bye #退出
复制代码sftp和ftp的区别:
- 连接方式:FTP使用TCP端口21上的控制连接建立连接。而,SFTP是在客户端和服务器之间通过SSH协议(TCP端口22)建立的安全连接来传输文件。
- 安全性:SFTP使用加密传输认证信息和传输的数据,所以使用SFTP相对于FTP是非常安全。
- 效率:SFTP这种传输方式使用了加密解密技术,所以传输效率比普通的FTP要低得多。
5 免密码登录
5.1 sshd服务支持登录验证方式
-
密码验证: 以服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便,但从客户机角度来看,正在连接的服务器有可能被假冒,从服务器角度来看,当遭遇密码暴力破解攻击时防御能力比较弱。
-
密钥对验证: 要求提供相匹配的密钥信息才能通过验证,通常先在客户机中创建一对密钥文件(公钥和私钥),然后将公钥文件放到服务器中的指定位置。远程登录时,系统将使用公钥、私钥进行加密/解密关联验证,增强了远程管理的安全性。
- 公钥和私钥是成对生成的,这两个密钥互不相同,可以互相加密和解密;
- 不能根据一个密码来推算出另一个密钥;
- 公钥对外公开,私钥只有私钥的持有人才知道。
5.2 设置免密码登录
免密码原理流程:
- 首先在客户端生成一对密钥(ssh-keygen)。
- 并将客户端的公钥ssh-copy-id 拷贝到服务端。
- 当客户端再次发送一个连接请求时,包括ip、用户名。
- 服务端得到客户端的请求后,会到 authorized_keys 文件中查找,如果有相应的IP和用户,就会随机生成一个字符串,例如:kfc。
- 服务端将使用客户端拷贝过来的公钥进行加密,然后发送给客户端。
- 得到服务端发来的消息后,客户端会使用私钥进行解密,然后将解密后的字符串发送给服务端。
- 服务端接受到客户端发来的字符串后,跟之前的字符串进行对比,如果一致,就进行免密码登录。
相关命令:
ssh-keygen -t ecdsa
ssh-copy-id -i id_ecdsa.pub zhangsan@192.168.72.129
ssh-add
复制代码操作步骤:
1、客户端使用命令生成密钥文件。
家目录 ~/.ssh/ 下会生成两个密钥文件,一个公钥一个私钥,.pub结尾的是公钥。
[root@localhost ~]# ssh-keygen -t ecdsa //生成密钥文件
Generating public/private ecdsa key pair.
Enter file in which to save the key (/root/.ssh/id_ecdsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_ecdsa.
Your public key has been saved in /root/.ssh/id_ecdsa.pub.
The key fingerprint is:
SHA256:7chFnJIV8f9fOJhVCk1U+F+3EtGX1NqCWaX5rZZnQEI root@localhost.localdomain
The key's randomart image is:
+---[ECDSA 256]---+
| +oE.===|
| + + +o=o|
| o + ++*+o|
| + o*o+*|
| S o *.B|
| . + = B.|
| o . o B =|
| . +o|
| .|
+----[SHA256]-----+
[root@localhost ~]# cd ~/.ssh //切换到sshd服务的家目录下
[root@localhost .ssh]# ls
id_ecdsa id_ecdsa.pub known_hosts //同时生成公钥和私钥文件
复制代码
2、将客户端的公钥文件拷贝到服务端。注意路径不要写错。
[root@localhost .ssh]# ssh-copy-id -i /root/.ssh/id_ecdsa.pub root@192.168.72.129
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_ecdsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.72.129's password:
Number of key(s) added: 1
Now try logging into the machine, with: "ssh 'root@192.168.72.129'"
and check to make sure that only the key(s) you wanted were added.
[root@localhost .ssh]#
复制代码
3、测试远程连接服务端时,是否免密码。
[root@localhost .ssh]# ssh 192.168.72.129
Last failed login: Wed Mar 23 01:32:09 CST 2022 from 192.168.72.10 on ssh:notty
There were 13 failed login attempts since the last successful login.
Last login: Tue Mar 22 23:57:20 2022 from 192.168.72.10
[root@192 ~]#
复制代码
6 TCP Wrappers 访问控制
TCP_Wrappers是一个工作在第四层(传输层)的的安全工具,对有状态连接的特定服务进行安全检测并实现访问控制,凡是包含有libwrap.so库文件的的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问,常见的程序有 rpcbind、vsftpd、sshd、telnet。
有些进程不受tcp_wrappers管理,例如 httpd、smb、squid等。
6.1 工作原理
TCP_Wrappers有一个TCP的守护进程叫作tcpd。以ssh为例,每当有ssh的连接请求时,tcpd即会截获请求,先读取系统管理员所设置的访问控制文件,符合要求,则会把这次连接原封不动的转给真正的ssh进程,由ssh完成后续工作;如果这次连接发起的ip不符合访问控制文件中的设置,则会中断连接请求,拒绝提供ssh服务。
保护机制实现方式:
- 方式1:通过tcpd程序对其他服务程序进行包装
- 方式2:由其他服务程序调用libwrap.so.*链接库
6.2 访问控制策略的配置文件
白名单:/etc/hosts.allow
黑名单:/etc/hosts.deny
示例:
1)设置白名单
[root@192 ~]# vim /etc/hosts.allow
---------------
sshd:192.168.72.10,192.168.72.20 //允许这两个地址使用sshd服务进行访问
sshd:192.168.4.0/255.255.255.0 //允许该网段的所有地址使用sshd服务进行访问
复制代码2)设置黑名单
[root@192 ~]# vim /etc/hosts.deny
---------------
sshd:ALL //禁止所有地址使用sshd服务进行访问
sshd:192.168.0.0/255.255.255.0 EXCEPT 192.168.0.10 //禁止该网段的所有地址使用sshd服务进行访问,除了192.168.0.10
复制代码小贴士:
-
白名单的优先级高于黑名单,如果一个地址既在白名单也在黑名单中,该地址是可以访问的。
-
实际工作中一般通过防火墙的方式来实现同样功能。
![[桜井宁宁]COS和泉纱雾超可爱写真福利集-一一网](https://www.proyy.com/skycj/data/images/2020-12-13/4d3cf227a85d7e79f5d6b4efb6bde3e8.jpg)
![[桜井宁宁] 爆乳奶牛少女cos写真-一一网](https://www.proyy.com/skycj/data/images/2020-12-13/d40483e126fcf567894e89c65eaca655.jpg)
