OpenSSH服务简介

1.Openssh概念

OpenSSH 是 SSH (Secure SHell) 协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控件和文件传输过程中的数据,并由此来代替原来的类似服务。

2.使用ftp演示不安全性

1.启动ftp服务

Service    vsftpd  restart

2.启动后查看21端口是否处于监听状态

Netstat -tnl

3.执行操作,如添加用户等

Useradd   xiaoming

Passwd  xiaoming

输入密码

4.使用tcpdump(抓包命令)查看刚才的操作信息

tcpdump  -i  etho  -nnX  port  21

5.在windows中使用ftp  hostName  连接刚才创建的用户

6.查看抓到的包信息

以上说明ftp协议是不安全的。

3.Openssh简介

1.SSH端口:22

2.Linux中守护进程:sshd

3.安装服务:OpenSSH

4.服务端主程序:/usr/sbin/sshd

5.客户端主程序:/usr/bin/ssh

6.服务端配置文件:/etc/ssh/sshd_config

7.客户端配置文件:/etc/ssh/ssh_config

4.SSH加密原理

SSH之所以能够保证安全,原因在于它采用了公钥加密。

整个过程是这样的:(1)远程主机收到用户的登录请求,把自己的公钥发给 用户。(2)用户使用这个公钥,将登录密码加密后,发送回来。(3)远程主机用自己的私钥,解密登录密码,如果密码正确,就同意用户登录。

这个过程本身是安全的,但是实施的时候存在一个风险:如果有人截获了登录请求,然后冒充远程主机,将伪造的公钥发给用户,那么用户很难辨别真伪。因为不像https协议,SSH协议的公钥是没有证书中心(CA)公证的,也就是说,都是自己签发的。

可以设想,如果攻击者插在用户与远程主机之间(比如在公共的wifi区域),用伪造的公钥,获取用户的登录密码。再用这个密码登录远程主机,那么SSH的安全机制就荡然无存了。这种风险就是著名的"中间人攻击"(Man-in-the-middle attack)。

SSH协议是如何应对的呢?

SSH使用的是口令登录来保证身份验证的,具体如下:

如果你是第一次登录对方主机,系统会出现下面的提示:

这段话的意思是,无法确认host主机的真实性,只知道它的公钥指纹,问你还想继续连接吗?

所谓"公钥指纹",是指公钥长度较长(这里采用RSA算法,长达1024位),很难比对,所以对其进行MD5计算,将它变成一个128位的指纹。上例中是98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d,再进行比较,就容易多了。

很自然的一个问题就是,用户怎么知道远程主机的公钥指纹应该是多少?回答是没有好办法,远程主机必须在自己的网站上贴出公钥指纹,以便用户自行核对。

假定经过风险衡量以后,用户决定接受这个远程主机的公钥。

系统会出现一句提示,表示host主机已经得到认可。

然后,会要求输入密码。

如果密码正确,就可以登录了。

当远程主机的公钥被接受以后,它就会被保存在文件 $HOME/.ssh/known_hosts之中。下次再连接这台主机,系统就会认出它的公钥已经保存在本地了,从而跳过警告部分,直接提示输入密码。

每个SSH用户都有自己的known_hosts文件,此外系统也有一个这样的文件,通常是/etc/ssh/ssh_known_hosts,保存一些对所有用户都可信赖的远程主机的公钥。

公钥登录

使用密码登录,每次都必须输入密码,非常麻烦。好在SSH还提供了公钥登录,可以省去输入密码的步骤。

所谓"公钥登录",原理很简单,就是用户将自己的公钥储存在远程主机上。登录的时候,远程主机会向用户发送一段随机字符串,用户用自己的私钥加密后,再发回来。远程主机用事先储存的公钥进行解密,如果成功,就证明用户是可信的,直接允许登录shell,不再要求密码。

这种方法要求用户必须提供自己的公钥。如果没有现成的,可以直接用ssh-keygen生成一个:

运行上面的命令以后,系统会出现一系列提示,可以一路回车。其中有一个问题是,要不要对私钥设置口令(passphrase),如果担心私钥的安全,这里可以设置一个。

运行结束以后,在$HOME/.ssh/目录下,会新生成两个文件:id_rsa.pub和id_rsa。前者是你的公钥,后者是你的私钥。

这时再输入下面的命令,将公钥传送到远程主机host上面:

好了,从此你再登录,就不需要输入密码了。

如果还是不行,就打开远程主机的/etc/ssh/sshd_config这个文件,检查下面几行前面"#"注释是否取掉。

然后,重启远程主机的ssh服务。

authorized_keys文件

远程主机将用户的公钥,保存在登录后的用户主目录的$HOME/.ssh/authorized_keys文件中。公钥就是一段字符串,只要把它追加在authorized_keys文件的末尾就行了。

这里不使用上面的ssh-copy-id命令,改用下面的命令,解释公钥的保存过程:

这条命令由多个语句组成,依次分解开来看:(1)"$ ssh [email protected]",表示登录远程主机;(2)单引号中的mkdir .ssh && cat >> .ssh/authorized_keys,表示登录后在远程shell上执行的命令:(3)"$ mkdir -p .ssh"的作用是,如果用户主目录中的.ssh目录不存在,就创建一个;(4)‘cat >> .ssh/authorized_keys‘ < ~/.ssh/id_rsa.pub的作用是,将本地的公钥文件~/.ssh/id_rsa.pub,重定向追加到远程文件authorized_keys的末尾。

写入authorized_keys文件后,公钥登录的设置就完成了。

我们一般建议使用秘钥登录,更加安全

5.SSH配置文件

1) 客户端配置文件默认路径/etc/ssh/ssh_config,服务器端配置文件默认路径/etc/ssh/sshd_config

2) 服务器端Sshd_config配置文件介绍(日常常用的配置项)

#Port 22 (默认的监听端口,如果需要改端口需打开注释)

#AddressFamily any

#ListenAddress 0.0.0.0 (监听IP,0.0.0.0表示监听任何ip)

#ListenAddress ::

# Disable legacy (protocol version 1) support in the server for new

# installations. In future the default will change to require explicit

# activation of protocol 1

Protocol 2

(设置使用的ssh协议为ssh1或ssh2,如果仅仅使用ssh2,

设置为Protocol 2即可)

# HostKeys for protocol version 2

#HostKey /etc/ssh/ssh_host_rsa_key  (私钥的保存位置)

#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key

#KeyRegenerationInterval 1h

#ServerKeyBits 1024  (私钥的位数)

# Logging

# obsoletes QuietMode and FascistLogging

#SyslogFacility AUTH  (日志记录SSH登录情况)

SyslogFacility AUTHPRIV

#LogLevel INFO      (日志级别)

# Authentication:

#LoginGraceTime 2m

#PermitRootLogin yes  (允许root的ssh登录,一般设置为no)

#StrictModes yes

#MaxAuthTries 6

#MaxSessions 10

#RSAAuthentication yes

#PubkeyAuthentication yes (是否使用公钥验证)

#AuthorizedKeysFile.ssh/authorized_keys (公钥保存位置)

#AuthorizedKeysCommand none

#AuthorizedKeysCommandRunAs nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts

#RhostsRSAAuthentication no

# similar for protocol version 2

#HostbasedAuthentication no

# Change to yes if you don‘t trust ~/.ssh/known_hosts for

# RhostsRSAAuthentication and HostbasedAuthentication

#IgnoreUserKnownHosts no

# Don‘t read the user‘s ~/.rhosts and ~/.shosts files

#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!

#PasswordAuthentication yes  (允许使用密码验证登录)

#PermitEmptyPasswords no    (不允许空密码登录)

PasswordAuthentication yes

# Change to no to disable s/key passwords

#ChallengeResponseAuthentication yes

ChallengeResponseAuthentication no

# Kerberos options

#KerberosAuthentication no

#KerberosOrLocalPasswd yes

#KerberosTicketCleanup yes

#KerberosGetAFSToken no

#KerberosUseKuserok yes

# GSSAPI options

#GSSAPIAuthentication no

GSSAPIAuthentication yes (GSSAPI认证开启)

#GSSAPICleanupCredentials yes

GSSAPICleanupCredentials yes

#GSSAPIStrictAcceptorCheck yes

#GSSAPIKeyExchange no

6.SSH命令

1).SSH远程管理命令

ssh  用户名@IP

2)scp远程复制

下载:scp  [email protected]:/root/test.txt

上传:scp  -r /root/123/  [email protected]/root

3)sftp文件传输

Sftp  [email protected]

-ls   查看服务器端数据

-cd  切换服务器端目录

-lls  查看本地数据

-lcd 切换本地目录

-get   下载

-put   上传

例子:get  bcd  /root  (把bcd文件下载到本地root目录下)

时间: 2024-10-28 18:35:38

OpenSSH服务简介的相关文章

Openssh服务配置:控制用户登录 构建密钥对验证ssh

一.项目简介:OpenSSH 是 SSH (Secure SHell) 协议的免费开源实现.OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控制和文件传输过程中的数据,并由此来代替原来的类似服务.二.版本介绍:OpenSSH 支持 SSH 协议的版本 1.3.1.5.和 2.自从 OpenSSH 的版本2.9以来,默认的协议是版本2,该协议默认使用 RSA 钥匙.de:OpenSSH en:OpenSSHes:OpenSSH fr:OpenSSHit:OpenSSH ja:OpenS

OpenSSH服务及其相关_学习笔记

OpenSSH服务及其相关: Telnet    Tcp/23 缺点: 1.认证是明文 2.数据传输明文 ssh:Secure Shell  Tcp/22 Openssh(开源) 协议:sshv1(缺陷,废弃).sshv2 客户端: linux:ssh windows:putty.SecureCRT.SSHSecureShellClient.Xmanager ssh_config        配置文件 服务端: sshd openssh(ssh,sshd) sshd_config       

openssh服务

openssh 服务 注:使用两台主机,一台作测试,一台作服务器 服务端: 1.安装 openssh-server 服务 yum install openssh-server -y 2.打开服务,并且设置开机项 systemctl start sshd systemctl enable sshd 3.ssh 服务的key文件 ①  ssh-keygen ② 使用公钥id_ras.pub给用户加密 ssh-copy-id  -i  id_rsa.pub  [email protected] 上锁成

RH124-09 OpenSSH服务配置与安全

第九章 OpenSSH服务配置与安全 9.1 通过ssh访问远程命令 OpenSSH提供一个安全的远程shell,用于管理远程Linux.unix系统. OpenSSH使用非对称加密手段加密保护通信数据. $ ssh remotehost $ ssh [email protected] 或 ssh -l remoteuser remotehost $ ssh [email protected] remote-command $ w -f 相关文件: 客户端会首次登陆远程机器的时候,会把远程机器的

redis服务简介 && redis.conf配置文件详解

#一.redis服务简介 redis是一个key-value存储系统. 和Memcached类似,它支持存储的value类型相对更多(memcached不支持value类型,只支持key),包括string(字符串).list(链表).set(集合)和zset(有序集 合).这些数据类型都支持push/pop.add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的.在此基础上,redis 支持各种不同方式的排序.与memcached一样,为了保证效率,数据都是缓存在内存中

J2EE基础之Web服务简介

J2EE基础之Web服务简介 1.什么是Web服务? 在人们的日常生活中,经常会查询网页上某城市的天气信息,这些信息都是动态的.实时的,它是专业的气象站提供的一种服务.例如,在网上购物时,通常采用网上支付的方式,这是通过使用第三方提供的支付工具来实现的.在网络上提供这样的服务,我们称之为Web服务. 从软件开发者的角度来看,Web服务是一组规范的集合.这种规范用来定义不同应用系统之间是如何交互的,包括信息传递的内容.格式,信息的传递协议,以及相关的安全.策略和互操作等关键特性. 从编程使用者的角

samba服务简介

1.1 Samba 概述Samba主要用于Windows和Linux之间的文件共享,也一样用于Linux和Linux之间的共享文件:不过对于Linux和Linux之间共享文件有更好的网络文件系统NFS,NFS也是需要架设服务器的.我们可以通过samba架设一个功能非常强大的文件服务器,也可以将其架设成打印服务器提供本地和远程联机打印,甚至我们可以使用samba Server完全取代NT/2K/2K3中的域控制器,做域管理工作,使用也非常方便. 1.2 Samba 应用环境文件和打印机共享:文件和

rsync服务简介(补充)

一. rsync 服务简介 上一节讲述了使用 rsync 客户命令进行同步和备份的内容.rsync 还可以以守护进程(daemon)方式运行,若一台主机以 daemon 模式运行 rsync,一般称其为 rsync 服务器.rsync 的 C/S 方式运行方式概述如下: rsync 客户端连接远程 rsync 守护进程进行数据同步 rsync 服务器端要开启 rsyncd 服务,默认监听 873 端口,等待客户端去连接 rsync 服务器可以独立运行,也可由 Xinetd 运行,CentOS 默

Samba服务简介和实际应用配置

Samba服务简介和实际应用配置 提示:搭建服务器之前为了不必要的麻烦建议先关闭selinux和防火墙 1.Samba简介 Samba是种自由软件,用来让UNIX系列的操作系统与微软Windows操作系统的SMB/CIFS(Server Message Block/Common Internet File System)网络协定做连结.在目前的版本(v3),不仅可存取及分享SMB的资料夹及打印机,本身还可以整合入Windows Server的网域.扮演为网域控制站(Domain Controll