OpenSSH服务简介
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了OpenSSH服务简介相关的知识,希望对你有一定的参考价值。
1.Openssh概念
OpenSSH 是 SSH (Secure SHell) 协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控件和文件传输过程中的数据,并由此来代替原来的类似服务。
2.使用ftp演示不安全性
1.启动ftp服务
Service vsftpd restart
2.启动后查看21端口是否处于监听状态
Netstat -tnl
3.执行操作,如添加用户等
Useradd xiaoming
Passwd xiaoming
输入密码
4.使用tcpdump(抓包命令)查看刚才的操作信息
tcpdump -i etho -nnX port 21
5.在windows中使用ftp hostName 连接刚才创建的用户
6.查看抓到的包信息
以上说明ftp协议是不安全的。
3.Openssh简介
1.SSH端口:22
2.Linux中守护进程:sshd
3.安装服务:OpenSSH
4.服务端主程序:/usr/sbin/sshd
5.客户端主程序:/usr/bin/ssh
6.服务端配置文件:/etc/ssh/sshd_config
7.客户端配置文件:/etc/ssh/ssh_config
4.SSH加密原理
SSH之所以能够保证安全,原因在于它采用了公钥加密。
整个过程是这样的:(1)远程主机收到用户的登录请求,把自己的公钥发给 用户。(2)用户使用这个公钥,将登录密码加密后,发送回来。(3)远程主机用自己的私钥,解密登录密码,如果密码正确,就同意用户登录。
这个过程本身是安全的,但是实施的时候存在一个风险:如果有人截获了登录请求,然后冒充远程主机,将伪造的公钥发给用户,那么用户很难辨别真伪。因为不像https协议,SSH协议的公钥是没有证书中心(CA)公证的,也就是说,都是自己签发的。
可以设想,如果攻击者插在用户与远程主机之间(比如在公共的wifi区域),用伪造的公钥,获取用户的登录密码。再用这个密码登录远程主机,那么SSH的安全机制就荡然无存了。这种风险就是著名的"中间人攻击"(Man-in-the-middle attack)。
SSH协议是如何应对的呢?
SSH使用的是口令登录来保证身份验证的,具体如下:
如果你是第一次登录对方主机,系统会出现下面的提示:
这段话的意思是,无法确认host主机的真实性,只知道它的公钥指纹,问你还想继续连接吗?
所谓"公钥指纹",是指公钥长度较长(这里采用RSA算法,长达1024位),很难比对,所以对其进行MD5计算,将它变成一个128位的指纹。上例中是98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d,再进行比较,就容易多了。
很自然的一个问题就是,用户怎么知道远程主机的公钥指纹应该是多少?回答是没有好办法,远程主机必须在自己的网站上贴出公钥指纹,以便用户自行核对。
假定经过风险衡量以后,用户决定接受这个远程主机的公钥。
系统会出现一句提示,表示host主机已经得到认可。
然后,会要求输入密码。
如果密码正确,就可以登录了。
当远程主机的公钥被接受以后,它就会被保存在文件 $HOME/.ssh/known_hosts之中。下次再连接这台主机,系统就会认出它的公钥已经保存在本地了,从而跳过警告部分,直接提示输入密码。
每个SSH用户都有自己的known_hosts文件,此外系统也有一个这样的文件,通常是/etc/ssh/ssh_known_hosts,保存一些对所有用户都可信赖的远程主机的公钥。
公钥登录
使用密码登录,每次都必须输入密码,非常麻烦。好在SSH还提供了公钥登录,可以省去输入密码的步骤。
所谓"公钥登录",原理很简单,就是用户将自己的公钥储存在远程主机上。登录的时候,远程主机会向用户发送一段随机字符串,用户用自己的私钥加密后,再发回来。远程主机用事先储存的公钥进行解密,如果成功,就证明用户是可信的,直接允许登录shell,不再要求密码。
这种方法要求用户必须提供自己的公钥。如果没有现成的,可以直接用ssh-keygen生成一个:
运行上面的命令以后,系统会出现一系列提示,可以一路回车。其中有一个问题是,要不要对私钥设置口令(passphrase),如果担心私钥的安全,这里可以设置一个。
运行结束以后,在$HOME/.ssh/目录下,会新生成两个文件:id_rsa.pub和id_rsa。前者是你的公钥,后者是你的私钥。
这时再输入下面的命令,将公钥传送到远程主机host上面:
好了,从此你再登录,就不需要输入密码了。
如果还是不行,就打开远程主机的/etc/ssh/sshd_config这个文件,检查下面几行前面"#"注释是否取掉。
然后,重启远程主机的ssh服务。
authorized_keys文件
远程主机将用户的公钥,保存在登录后的用户主目录的$HOME/.ssh/authorized_keys文件中。公钥就是一段字符串,只要把它追加在authorized_keys文件的末尾就行了。
这里不使用上面的ssh-copy-id命令,改用下面的命令,解释公钥的保存过程:
这条命令由多个语句组成,依次分解开来看:(1)"$ ssh [email protected]",表示登录远程主机;(2)单引号中的mkdir .ssh && cat >> .ssh/authorized_keys,表示登录后在远程shell上执行的命令:(3)"$ mkdir -p .ssh"的作用是,如果用户主目录中的.ssh目录不存在,就创建一个;(4)‘cat >> .ssh/authorized_keys‘ < ~/.ssh/id_rsa.pub的作用是,将本地的公钥文件~/.ssh/id_rsa.pub,重定向追加到远程文件authorized_keys的末尾。
写入authorized_keys文件后,公钥登录的设置就完成了。
我们一般建议使用秘钥登录,更加安全
5.SSH配置文件
1) 客户端配置文件默认路径/etc/ssh/ssh_config,服务器端配置文件默认路径/etc/ssh/sshd_config
2) 服务器端Sshd_config配置文件介绍(日常常用的配置项)
#Port 22 (默认的监听端口,如果需要改端口需打开注释)
#AddressFamily any
#ListenAddress 0.0.0.0 (监听IP,0.0.0.0表示监听任何ip)
#ListenAddress ::
# Disable legacy (protocol version 1) support in the server for new
# installations. In future the default will change to require explicit
# activation of protocol 1
Protocol 2
(设置使用的ssh协议为ssh1或ssh2,如果仅仅使用ssh2,
设置为Protocol 2即可)
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key (私钥的保存位置)
#HostKey /etc/ssh/ssh_host_dsa_key
# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024 (私钥的位数)
# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH (日志记录SSH登录情况)
SyslogFacility AUTHPRIV
#LogLevel INFO (日志级别)
# Authentication:
#LoginGraceTime 2m
#PermitRootLogin yes (允许root的ssh登录,一般设置为no)
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
#RSAAuthentication yes
#PubkeyAuthentication yes (是否使用公钥验证)
#AuthorizedKeysFile.ssh/authorized_keys (公钥保存位置)
#AuthorizedKeysCommand none
#AuthorizedKeysCommandRunAs nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don‘t trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don‘t read the user‘s ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes (允许使用密码验证登录)
#PermitEmptyPasswords no (不允许空密码登录)
PasswordAuthentication yes
# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no
# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no
#KerberosUseKuserok yes
# GSSAPI options
#GSSAPIAuthentication no
GSSAPIAuthentication yes (GSSAPI认证开启)
#GSSAPICleanupCredentials yes
GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no
6.SSH命令
1).SSH远程管理命令
ssh 用户名@IP
2)scp远程复制
下载:scp [email protected]:/root/test.txt
上传:scp -r /root/123/ [email protected]/root
3)sftp文件传输
Sftp [email protected]
-ls 查看服务器端数据
-cd 切换服务器端目录
-lls 查看本地数据
-lcd 切换本地目录
-get 下载
-put 上传
例子:get bcd /root (把bcd文件下载到本地root目录下)
本文出自 “德泽无忧” 博客,谢绝转载!
以上是关于OpenSSH服务简介的主要内容,如果未能解决你的问题,请参考以下文章