OpenSSH 是 SSH (Secure SHell) 协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控制和文件传输过程中的数据,并由此来代替原来的类似服务。
OpenSSH是使用SSH透过计算机网络加密通讯的实现。它是取代由SSH Communications Security所提供的商用版本的开放源代码方案。目前OpenSSH是OpenBSD的子计划。
OpenSSH常常被误认以为与OpenSSL有关联,但实际上这两个计划的有不同的目的,不同的发展团队,名称相近只是因为两者有同样的软件发展目标──提供开放源代码的加密通讯软件。
ssh 远程登录访问(密文传输) 22端口 TCP
作用场景:广域网连接或者局域网连接
telnet 远程登录访问(明文传输) 23端口 TCP
作用场景:只能作用在局域网
vim /etc/ssh/ssh_config 主配置文件
PermitRootLogin no 是否允许管理员远程登录
AllowUsers zhangsan 仅允许固定用户登录(白名单)
DenyUsers lisi 仅拒绝固定用户登录(黑名单)
非对称密钥 公钥 私钥 安全 rsa 加密速度慢 效率高
对称密钥 加密和解密用相同密钥 AES DES 3DES 加密快,不安全
----------------密钥对验证-----------------
su - zhangsan 客户机上切换zhangsan身份
ssh-keygen -t rsa 以zhangsan身份生成密钥对
cd /home/zhangsan/.ssh
ls
id_rsa id_rsa.pub 公钥文件和私钥文件
ssh-copy-id-i id_rsa.pub [email protected]
rhel6-1作为服务端,rhel6-2作为客户端,首先 在rhel6-1服务端用vim/etc/ssh/sshd_config进入配置文件如下图所示
重启ssh服务后接下来用客户端rhel6-2来试一下如下图所示
root管理员账号密码是不会随便给别人的,那么就要给一些特定的用户来远程登录管理如下图所示
重启ssh服务后查看一下有没有zhangsan的用户没有就创建一个如下图所示
接下来用zhangsan这个用户来试一下,但是你会发现一个问题就是只要是知道管理员密码的也能切换到管理员账号这就存在安全隐患如下图所示
所以可以设置一个wheel组,把受信任的用户添加到wheel组,只有在wheel组的用户才可以切换到管理员,在zhangsan后面添加一个lisi用户,只允许zhangsan切换到管理员,lisi不允许 如下图所示
重启ssh服务后来试验一下如下图所示
构建密钥对验证SSH首先在服务端开启它的功能vim /etc/ssh/sshd_config 如下图所示
重启ssh服务后在客户端生成公钥和私钥如下图所示
把公钥上传到服务器上如下图所示
去服务器上看一下有没有这个公钥文件如下图所示
去客户端验证一下 如下图所示
如果嫌每次登陆都要输密码太烦可以做一个代理如下图所示
原文地址:http://blog.51cto.com/13706698/2146896