ssh验证和端口转发

Posted shenxm

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ssh验证和端口转发相关的知识,希望对你有一定的参考价值。

ssh 服务登录验证

    ssh 服务登录验证方式:
        用户/ 口令
        基于密钥
    基于用户和口令登录验证
        客户端发起ssh请求,服务器会把自己的公钥发送给用户
        用户会根据服务器发来的公钥对密码进行加密
        加密后的信息回传给服务器,服务器用自己的私钥解密,如果密码正确,则用户登录成功
    基于用户名口令登录验证

    基于密钥的登录方式
        1。首先在客户端生成一对密钥(ssh-keygen) 
        2。并将客户端的公钥ssh-copy-id拷贝到服务端
        3。 当客户端再次发送一个连接请求,包括ip 、用户名
        4。 服务端得到客户端的请求后,会到authorized_keys中查找,如果有响应的IP和用户,就会随机生成一个字符串,例如:acdf
        5。 服务端将使用客户端拷贝过来的公钥进行加密,然后发送给客户端
        6。 得到服务端发来的消息后,客户端会使用私钥进行解密,然后将解密后的字符串发送给服务端
        7。 服务端接受到客户端发来的字符串后,跟之前的字符串进行对比,如果一致,就允许免密码登录

基于key 认证

    ssh-keygen
        ssh-keygen - authentication(证明)key generation, management and conversion(转化)
            ssh-keygen [options]
                -t type     指定密钥创建的类型
                -P  phrase 提供老的密码
                -f  指定密钥文件
                -p  更改私钥文件的密码
                -i  导入到openssh密钥文件
    ssh-copy-id
        ssh-copy-id - install your public key in a remote machine’s authorized_keys
        ssh-copy-id [-i [identity_file]] [[email protected]]machine
    ssh-add
        ssh-add - adds private key identities to the authentication agent
            ssh-add [-n [-T token]] [-e pkcs11] [-s pkcs11] [-cDdLlXx] [-t life] [file ...]
    基于密钥的认证:
        1。在客户端生成密钥对
            ssh-keygen -t rsa [-P ‘‘] [-f “~/.ssh/id_rsa"]
        2。把公钥文件传输至远程服务器对应用户的家目录
            ssh-copy-id [-i [identity_file]] [[email protected]] host
        3。测试,完成
    可以给私钥加口令 :
            ssh-keygen –p
    私钥加口令后使用代理。
        启动代理
            ssh-agent bash
        当你输入一次私钥的口令后,代理(authentication agent )保存口令,帮你下次自动登录,但当你注销后,代理程序关闭了。
        要想再使用代理,就需要再此启动并ssh-add,才能有用。
        在GNOME中,代理被自动提供给root用户,否则运行ssh-agent bash
    私钥口令通过命令添加给代理
        ssh-add
    在SecureCRT或Xshell实现基于key验证
        在SecureCRT 工具—> 创建公钥—> 生成Identity.pub 文件转化为openssh 兼容格式(适合SecureCRT ,Xshell 不需要转化格式),并复制到需登录主机上相应文件authorized_keys 中,注意权限 必须为600 ,在需登录的ssh 主机上执行:
        ssh-keygen -i -f Identity.pub  >> .ssh/authorized_keys(secureCRT)

SSH 端口转发

    SSH 端口转发
        SSH会自动加密和解密所有SSH客户端与服务端之间的网络数据。
        但是,SSH 还能够将其他 TCP 端口的网络数据通过 SSH 链接来转发,并且自动提供了相应的加密及解密服务,这一 过程也被叫做“隧道”(tunneling )。
        这是因为 SSH 为其他 TCP 链接提供了一个安全的通道来进行传输而得名,例如,Telnet、SMTP、LDAP 这些 TCP 应用均能够从中得益,可以避免用户名,密码以及隐私信息的明文传输。
        与此同时, 如果工作环境中的防火墙限制了一些网络端口的使用,但是允许SSH的连接 ,也能够通过将 TCP 端口转发来使用 SSH 进行通讯
            
    SSH 端口转发能够提供两大功能:
        加密SSH Client 端至 SSH Server端之间的通讯数据
        突破防火墙的限制完成一些之前无法建立的TCP连接
    本地转发:
        -L localport:remotehost:remotehostport sshserver
        选项:
            -f  后台启用
            -N  不打开远程shell ,处于等待状态
            -g  启用网关功能
        示例
            A机器上为本地:
                当你访问本机9527端口时,它会将请求转发到B的sshd服务器上,ssh服务器收到解密后,将其再转发到c的telnet服务器的23端口。
            前提:C机器上telnet服务打开,A和B机器上sshd服务打开,本机防火墙关闭
            ssh –L 9527:telnetsrvIP:23  -Nf sshsrvIP   (开通桥)
            telnet 127.0.0.1 9527
            data <- -> localhost:9527 <- -> localhost:XXXXX <- ->sshsrv:22 <- -> sshsrv:YYYYY <- -> telnetsrv:23
    远程转发:
        -R sshserverport:remotehost:remotehostport sshserver
        示例:
            
            B机器为本机:
                让A机器sshsrv侦听9527端口的访问,如有访问,A机器就加密后通过ssh服务转发请求到B本机ssh客户端,再由本机解密后转发到smtpsrv:25
            ssh –R 9527:smtpsrvIP:25 –Nf sshsrvIP
            Data <- ->  remotesshsrv:9527 <- ->  remotesshsrv:22 <- -> localhost:XXXXX <- -> localhost:YYYYY(随机端口) <- -> smtpsrv:25
            
    动态端口转发:
        当用firefox访问internet 时,本机的1080端口做为代理服务器,firefox 的访问请求被转发到sshserver 上,由sshserver替之访问internet
            在本机firefox 设置代理socket proxy:127.0.0.1:1080
            ssh -D 1080 [email protected]
        curl  --proxy   

X协议转发

    所有图形化应用程序都是X客户程序
        能够通过tcp/ip 连接远程X服务器
        数据没有加密机,但是它通过ssh连接隧道安全进行
    ssh -X [email protected] gedit
        remotehost主机上的gedit 工具,将会显示在本机的X服务器上
        传输的数据将通过ssh连接加密

以上是关于ssh验证和端口转发的主要内容,如果未能解决你的问题,请参考以下文章

Python SSH服务器(twisted.conch)命令过滤和端口转发

termux转发X桌面和音频

ssh的代理和端口转发机制介绍

SSH进行端口转发

安全牛学习笔记SSH远程端口转发和动态端口转发以及X协议转发

SSH -R 远程端口转发