ssh 协议详解

Posted 2020-08-30

一、 前言

使用SSH可以在本地主机和远程服务器之间进行加密地传输数据，实现数据的安全。而OpenSSH是SSH协议的免费开源实现，它采用安全、加密的网络连接工具代替了telnet、ftp等古老明文传输工具。

SSH（Secure Shell）是建立在应用层和传输层基础上的安全协议。SSH是目前较可靠，专为远程登陆会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。

SSH可以将所有的传输数据加密，这样“中间人”这种攻击方式就不可能实现了，而且也可以防止DNS和IP欺骗。还有一个额外的好处就是传输的数据经过压缩的，可以加快传输的速度。

二、 SSH工作原理

SSH是由服务端和客户端的软件组成，服务端是一个守护进程，它在后台运行并响应来自客户端的连接请求。

SSH的工作机制大体是：本地客户端发送一个连接请求到远程的服务端，服务端检查申请的包和IP地址再发送密钥给SSH客户端，本地再将密钥发回给服务端，到此为止，连接建立。

启动SSH服务器后，sshd进程运行并在默认的22端口进行监听。安全验证方式：

基于口令的安全验证（账号密码），也有可能受到中间人攻击

基于密钥的安全验证，就是提供一对密钥，把公钥放在需要访问的服务器上，如果连接到SSH服务器上，客户端就会向服务器发出请求，请求用密钥进行安全验证，服务器收到请求之后，先在改服务器的主目录下寻找公钥，然后把它和发送过来的公钥进行比较。如果两个密钥一致，服务器就用公钥加密“质询”并把它发送给客户端。客户端收到“质询”之后就可以用私钥解密再把它发给服务器端。基于这种方式，相对比较安全。

三、OpenSSH服务器安装和配置，客户端一般都有

先查看Linux系统中openssh-server、openssh、openssh-clients、openssh-askpass软件包是否已经安装，如果没有则安装。

依赖关系太多了，固用yum方式安装：yum install openssh-askpass -y

好了，都装好了。

四、客户端配置

ssh: 配置文件 /etc/ssh/ssh_config

1、客户端程序

例子：客户端ip：192.168.1.120 服务端ip：192.168.1.109

生成公钥：

测试：

删除密钥 ：rm -rf .ssh/id_rsa*

2、scp命令，类似与cp

将远程主机上的的/root/1.sh复制过来

3、sftp安全的文件传输程序，类似于ftp，它的所有操作都是加密ssh传输。

连接至远程主机，可以get一些资源

五、服务器端配置

cat /etc/ssh/sshd_config

几个主要的配置如下：

六、ssh 服务的最佳实践：

1、不要使用默认端口；

2、禁止使用 protocol version 1；

3、限制可登录的用户；

4、设定空闲会话超时时长；

5、利用防火墙设置 ssh 访问策略；

6、仅监听特定的 IP 地址；

7、基于口令认证时，使用强密码策略； tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30 | xargs

8、使用基于密钥的认证；

9、禁止使用空密码；

10、禁止 root 用户直接登录；

11、限制 ssh 的访问频度和并发在线数；

12、做好日志，经常分析； /var/log/secure

本文出自 “北冰--Q” 博客，请务必保留此出处http://beibing.blog.51cto.com/10693373/1895786