RHCE--linux远程连接服务器SSH详解

SSH

什么是SSH？

传统的网络服务程序，如FTP、Pop和Telnet在传输机制和实现原理上是没有考虑安全机制的，其本质上都是不安全的；因为它们在网络上用明文传送数据、用户帐号和用户口令，别有用心的人通过窃听等网络攻击手段非常容易地就可以截获这些数据、用户帐号和用户口令。而且，这些网络服务程序的简单安全验证方式也有其弱点，那就是很容易受到"中间人"（man-in-the-middle）这种攻击方式的攻击。所谓"中间人"的攻击方式，就是"中间人"冒充真正的服务器接收你的传给服务器的数据，然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被"中间人"一转手做了手脚之后，就会出现很严重的问题。
SSH（安全外壳协议）是英文Secure Shell的简写形式。通过使用SSH，你可以把所有传输的数据进行加密，这样"中间人"这种攻击方式就不可能实现了，而且也能够防止DNS欺骗和IP欺骗。使用SSH，还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替Telnet，又可以为FTP、Pop、甚至为PPP提供一个安全的"通道"。
最初的SSH是由芬兰的一家公司开发的。但是因为受版权和加密算法的限制，现在很多人都转而使用OpenSSH。OpenSSH是SSH的替代软件包，而且是免费的，可以预计将来会有越来越多的人使用它而不是SSH。
最后，SSH在运行方式上也很有特色。不像其他的TCP/IP应用，SSH被设计为工作于自己的基础之上，而不是利用包装（wrappers）或通过Internet守护进程inetd。但是许多人想通过TCP包装来运行SSH守护进程。虽然你可以通过tcpd（从inetd上运行启动）来运行SSH进程，但这完全没有必要。

SSH协议的内容

SSH为创建在应用层和传输层基础上的安全协议。它主要由以下三部分组成，共同实现SSH的安全保密机制。
（1）传输层协议，它提供诸如认证、信任和完整性检验等安全措施，此外它还可以任意地提供数据压缩功能。通常情况下，这些传输层协议都建立在面向连接的TCP数据流之上。
（2）用户认证协议层，用来实现服务器的跟客户端用户之间的身份认证，它运行在传输层协议之上。
（3）连接协议层，分配多个加密通道至一些逻辑通道上，它运行在用户认证层协议之上。

当安全的传输层连接建立之后，客户端将发送一个服务请求。当用户认证层连接建立之后将发送第二个服务请求。这就允许新定义的协议可以和以前的协议共存。连接协议提供可用作多种目的通道，为设置安全交互Shell会话和传输任意的TCP/IP端口和X11连接提供标准方法。

SSH的安全验证

从客户端来看，SSH提供两种级别的安全验证。

第一种级别（基于口令的安全验证），只要你知道自己的帐号和口令，就可以登录到远程主机，并且所有传输的数据都会被加密。但是，这种验证方式不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器，也就是受到"中间人"这种攻击方式的攻击。

第二种级别（基于密匙的安全验证），需要依靠密匙，也就是你必须为自己创建一对密匙，并把公有密匙放在需要访问的服务器上。如果你要连接到SSH服务器上，客户端软件就会向服务器发出请求，请求用你的密匙进行安全验证。服务器收到请求之后，先在你在该服务器的用户根目录下寻找你的公有密匙，然后把它和你发送过来的公有密匙进行比较。如果两个密匙一致，服务器就用公有密匙加密"质询"（challenge）并把它发送给客户端软件。客户端软件收到"质询"之后就可以用你的私人密匙解密再把它发送给服务器。

与第一种级别相比，第二种级别不需要在网络上传送用户口令。另外，第二种级别不仅加密所有传送的数据，而"中间人"这种攻击方式也是不可能的（因为他没有你的私人密匙）。但是整个登录的过程可能慢一些。

SSH建立连接的过程

1、首先客户端向服务器发起三次握手，建立连接；服务端会通过非对称加密产生一个公钥和一个私钥，客户端服务端之间开始协商：算法、版本信息，为密钥交换做准备；
2、客户端向服务端发送协议版本、自己支持的加密算法、一个随机数（明文）
3、服务端收到后，选取加密算法然后告诉客户端，除此之外还包含：自己的证书（证书中包含公钥）、一个随机数（明文）
4、客户端验证服务端的证书：验证通过后生成另一个随机数（密文），并用证书中的公钥加密该数，发送给服务端
5、服务端通过自己的私钥解密获得该串随机数
6、双方根据约定好的加密算法对上边三个随机数进行加密，得到一个回话密钥，接下来的通信就用这个回话密钥做对称加密。

远程连接服务器

什么是远程连接服务器？

远程连接服务器通过文字或图形接口方式来远程登录系统，让你在远程终端前登录linux主机以取得可操作主机接口（shell），而登录后的操作感觉就像是坐在系统前面一样。

远程连接服务器的功能

（1）分享主机运算能力
（2）服务器类型有限度开放连接
（3）工作站类型，只对内网开放

常见的远程管理工具方式

协议	注释
RDP (remote desktop protocal )协议	windows远程桌面管理（图形界面）
telenet	CLI界面下远程管理 ,几乎所有操作系统都有（内容明文传输）
ssh	CLI界面下的远程管理,几乎所有操作系统都有（内容加密传输） 类unix系统下主要远程管理方式（linux BSD Macos）
RFB （remote framebuffer） 图形化远程管理协议	VNC (Virtual Network Computing)使用的协议。（在linux unix Macos 下的图形界面远程管理工具）

SSH与TELNET的区别

SSH

（1）SSH代表安全外壳(Secure Shell)，它现在是通过互联网访问网络设备和服务器的唯一的主要协议。
（2）SSH默认情况下通过端口22运行;不过，很容易更改这个端口。
（3）SSH是一种非常安全的协议，因为它共享并发送经过加密的信息，从而为通过互联网等不安全的网络访问的数据提供了机密性和安全性。
（4）一旦通讯的数据使用SSH经过加密，就极难解压和读取该数据，所以我们的密码在公共网络上传输也变得很安全。
（5）SSH还使用公钥用于对访问服务器的用户验证身份，这是一种很好的做法，为我们提供了极高的安全性。
（6）SSH主要用在所有流行的操作系统上，比如Unix、Solaris、Red-Hat Linux、CentOS和Ubuntu等。

TELNET

（1）Telnet是电信(Telecommunications)和网络(Networks)的联合缩写，这是一种在UNIX平台上最为人所熟知的网络协议。
（2）Telnet使用端口23，它是专门为局域网设计的。
（3）Telnet不是一种安全通信协议，因为它并不使用任何安全机制，通过网络/互联网传输明文格式的数据，包括密码，所以谁都能嗅探数据包，获得这个重要信息。
（4）Telnet中没有使用任何验证策略及数据加密方法，因而带来了巨大的安全威胁，这就是为什么telnet不再用于通过公共网络访问网络设备和服务器。

SSH的连接加密技术

非对称密钥加密系统

又称公钥密钥加密。非对称加密为数据的加密与解密提供了一个非常安全的方法，它使用了一对密钥，公钥（public key）和私钥（private key）。私钥只能由一方安全保管，不能外泄，而公钥可以发给任何请求它的人。非对称加密使用这对密钥中的一个进行加密，而解密则需要另一个密钥

对称密钥加密

又称私钥加密，即信息的发送方和接受方用一个密钥去加密和解密数据。

二者区别

首先，用于消息解密的密钥值与用于消息加密的密钥值不同;
其次，非对称加密算法比对称加密算法慢数千倍，但在保护通信安全方面，非对称加密算法却具有对称密码难以企及的优势。
非对称加密算法的主要优势就是使用两个而不是一个密钥值:一个密钥值用来加密消息，另一个密钥值用来解密消息。这两个密钥值在同一个过程中生成，称为密钥对。用来加密消息的密钥称为公钥，用来解密消息的密钥称为私钥。用公钥加密的消息只能用与之对应的私钥来解密，私钥除了持有者外无人知道，而公钥却可通过非安全管道来发送或在目录中发布。

密钥技术证书作用

PFX

公钥加密技术12号标准（Public Key Cryptography Standards #12，PKCS#12）为存储和传输用户或服务器私钥、公钥和证书指定了一个可移植的格式。它是一种二进制格式，这些文件也称为PFX文件。

CER

用于存储公钥证书的文件格式。

RSA

RSA加密算法是一种非对称加密算法。

PKI

PKI（Public Key Infrastructure ） 即"公钥基础设施"，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。
·PKI体系能够实现的功能有:
· 身份认证
· 数据完整性
· 数据机密性
· 操作的不可否认性

什么是证书

· 证书用于保证密钥的合法性
· 证书把公钥与拥有对应私钥的主体标识信息捆绑在一起
· 证书的主体可以是用户、计算机、服务等
· 证书格式遵循X.509标准
· X.509是由国际电信联盟制定的数字证书标准

X.509证书包含信息
· 使用者的公钥值
· 使用者标识信息（如名称和电子邮件地址）
· 有效期（证书的有效时间）
· 颁发者标识信息
·颁发者的数字签名 
证书可以应用于
·WEB服务器身份验证
·WEB用户身份验证
·安全电子邮件
·Internet协议安全（IPSec）

·数字证书由权威公正的第三方机构即CA签发

CA

CA(Certificate Authority)是数字证书认证中心的简称，是指发放、管理、废除数字证书的机构。CA的作用是检查证书持有者身份的合法性，并签发证书（在证书上签字），以防证书被伪造或篡改，以及对证书和密钥进行管理。

CA的作用

（1）处理证书申请
（2）鉴定申请者是否有资格接受证书
（3）证书的发放
（4）证书的更新
（5）接收最终用户数字证书的查询、撤销
（6）产生和发布证书吊销列表（CRL）
（7）数字证书的归档
（8）密钥归档
（9）历史数据归档

证书的发放过程

图中RA为注册中心，CA为认证中心。注册中心可以有很多个，它负责审核证书申请者的真实身份。当有用户需要申请证书的时候：首先先向注册中心RA提出申请，RA收到后核实该用户是否符合受理；如果符合那么RA会向CA申请，CA收到后会将证书传给RA，最后由RA将证书传给用户。

配置SSH服务

SSH检查安装

命令rpm -qf查看服务是否安装，使用rpm -ql查看里面都有哪些文件。

SSH默认配置文件

 1.#Port 22                                          监听端口，默认监听22端口   【默认可修改】
 2.#AddressFamily any                        IPV4和IPV6协议家族用哪个，any表示二者均有
 3.#ListenAddress 0.0.0.0                   指明监控的地址，0.0.0.0表示本机的所有地址  【默认可修改】
 4.#ListenAddress ::                            指明监听的IPV6的所有地址格式
 5.# The default requires explicit activation of protocol 1   
 6.#Protocol 2                                      使用SSH第二版本，centos7默认第一版本已拒绝
 7.# HostKey for protocol version 1      一版的SSH支持以下一种秘钥形式
 8.#HostKey /etc/ssh/ssh_host_key
 9.# HostKeys for protocol version 2                  使用第二版本发送秘钥，支持以下四种秘钥认证的存放位置：（centos6只支持rsa和dsa两种）
 10.HostKey /etc/ssh/ssh_host_rsa_key               rsa私钥认证 【默认】
 11.#HostKey /etc/ssh/ssh_host_dsa_key            dsa私钥认证
 12.HostKey /etc/ssh/ssh_host_ecdsa_key          ecdsa私钥认证
 13.HostKey /etc/ssh/ssh_host_ed25519_key      ed25519私钥认证
 14.# Lifetime and size of ephemeral version 1 server key
 15.#KeyRegenerationInterval 1h
 16.#ServerKeyBits 1024        主机秘钥长度        
 17.# Ciphers and keying      
 18.#RekeyLimit default none
 19.# Logging
 20.# obsoletes QuietMode and FascistLogging
 21.#SyslogFacility AUTH
 22.SyslogFacility AUTHPRIV                   当有人使用ssh登录系统的时候，SSH会记录信息，信息保存在/var/log/secure里面
 23.#LogLevel INFO                                  日志的等级
 24.# Authentication:
 25.#LoginGraceTime 2m                           登录的宽限时间，默认2分钟没有输入密码，则自动断开连接
 26.#PermitRootLogin no
 27.PermitRootLogin yes                            是否允许管理员直接登录，'yes'表示允许
 28.#StrictModes yes                                 是否让sshd去检查用户主目录或相关文件的权限数据
 29.#MaxAuthTries 6                                  最大认证尝试次数，最多可以尝试6次输入密码。之后需要等待某段时间后才能再次输入密码
 30.#MaxSessions 10                                 允许的最大会话数
 31.#RSAAuthentication yes
 32.#PubkeyAuthentication yes
 33.# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
 34.# but this is overridden so installations will only check .ssh/authorized_keys
 35.AuthorizedKeysFile .ssh/authorized_keys                 服务器生成一对公私钥之后，会将公钥放到.ssh/authorizd_keys里面，将公钥发给客户端
 36.#AuthorizedPrincipalsFile none 
 37.#AuthorizedKeysCommand none
 38.#AuthorizedKeysCommandUser nobody
 39.# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
 40.#RhostsRSAAuthentication no
 41.# similar for protocol version 2
 42.#HostbasedAuthentication no
 43.# Change to yes if you don't trust ~/.ssh/known_hosts for
 44.# RhostsRSAAuthentication and HostbasedAuthentication
 45.#IgnoreUserKnownHosts no
 46.# Don't read the user's ~/.rhosts and ~/.shosts files
 47.#IgnoreRhosts yes
 48.# To disable tunneled clear text passwords, change to no here!
 49.#PasswordAuthentication yes
 50.#PermitEmptyPasswords no
 51.PasswordAuthentication yes                    是否允许支持基于口令的认证
 52.# Change to no to disable s/key passwords
 53.#ChallengeResponseAuthentication yes
 54.ChallengeResponseAuthentication no     是否允许任何的密码认证
 55.# Kerberos options                                   是否支持kerberos（基于第三方的认证，如LDAP）认证的方式，默认为no 
 56.#KerberosAuthentication no
 57.#KerberosOrLocalPasswd yes
 58.#KerberosTicketCleanup yes
 59.#KerberosGetAFSToken no
 60.#KerberosUseKuserok yes
 61.# GSSAPI options                                       
 62.GSSAPIAuthentication yes
 63.GSSAPICleanupCredentials no
 64.#GSSAPIStrictAcceptorCheck yes
 65.#GSSAPIKeyExchange no
 66.#GSSAPIEnablek5users no
 67.# Set this to 'yes' to enable PAM authentication, account processing,
 68.# and session processing. If this is enabled, PAM authentication will
 69.# be allowed through the ChallengeResponseAuthentication and
 70.# PasswordAuthentication. Depending on your PAM configuration,
 71.# PAM authentication via ChallengeResponseAuthentication may bypass
 72.# the setting of "PermitRootLogin without-password".
 73.# If you just want the PAM account and session checks to run without
 74.# PAM authentication, then enable this but set PasswordAuthentication
 75.# and ChallengeResponseAuthentication to 'no'.
 76.# WARNING: 'UsePAM no' is not supported in Red Hat Enterprise Linux and may cause several
 77.# problems.
 78.UsePAM yes
 79.#AllowAgentForwarding yes
 80.#AllowTcpForwarding yes
 81.#GatewayPorts no
 82.X11Forwarding yes                   
  #ssh -X  user@IP
 83.#X11DisplayOffset 10
 84.#X11UseLocalhost yes 
 85.#PermitTTY yes
 86.#PrintMotd yes
 87.#PrintLastLog yes
 88.#TCPKeepAlive yes
 89.#UseLogin no
 90.UsePrivilegeSeparation sandbox # Default for new installations.
 91.#PermitUserEnvironment no
 92.#Compression delayed
 93.#ClientAliveInterval 0
 94.#ClientAliveCountMax 3
 95.#ShowPatchLevel no
 96.#UseDNS yes              是否反解DNS，如果想让客户端连接服务器端快一些，这个可以改为no
 97.#PidFile /var/run/sshd.pid
 98.#MaxStartups 10:30:100
 99.#PermitTunnel no
 100.#ChrootDirectory none
 101.#VersionAddendum none
 102.# no default banner path
 103.#Banner none
 104.# Accept locale-related environment variables
 105.AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
 106.AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
 107.AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
 108.AcceptEnv XMODIFIERS
 109.# override default of no subsystems
 110.Subsystem sftp /usr/libexec/openssh/sftp-server                    支持 SFTP ，如果注释掉，则不支持sftp连接
 111.# Example of overriding settings on a per-user basis
 112.#Match User anoncvs
 113.# X11Forwarding no
 114.# AllowTcpForwarding no
 115.# PermitTTY no
 116.# ForceCommand cvs server
 117.AllowUsers user1 user2                登录白名单（默认没有这个配置，需要自己手动添加），允许远程登录的用户。如果名单中没有的用户，则提示拒绝登录

如果需要修改配置文件，只需要在原来的基础上修改，#开头表示注释。

案例一：修改SSH服务端口号

[root@localhost ~]# vim /etc/ssh/sshd_config

保存退出后，添加防火墙允许策略

添加自定义端口到服务
[root@localhost ~]# semanage port -a -t ssh_port_t -p tcp 2222
注意：如果执行该命令时出现以下提示，请换个端口再试：
ValueError: Port tcp/4444 already defined
登录时再原IP后面空格加端口号，如：ssh 192.168.117.148 2222

案例二：拒绝root用户远程登录

请保持服务器上至少有一个可以远程登录的普通远程账号
修改配置文件如下：
打开该选项并修改参数为no

[root@localhost ~]# systemctl restart sshd

重启服务后生效，即使使用正确的密码登录用户root，依然是拒绝接受。使用时使用普通用户进行登录，需要使用root用户时再切换。

案例三：允许特定用户ssh登录，其他用户都无法登录

编辑配置文件，在最后添加如下内容：
AllowUsers USERNAME
USERNAME 为允许登录的用户名，如果是多个用户，中间用空格隔开。

我在最后面添加了三个用户a,b,c。重启服务后生效。
只可以进入到输入密码阶段，因为添加的三个用户都没有设置密码。

案例四：虚拟机和虚拟机之间实现SSH互信，免登录

创建密钥对
[root@server ~]# ssh-keygen -t rsa
ssh-keygen 生成、管理和转换认证密钥 -t制定类型 RSA
证书目录
/root/.ssh/id_rsa
默认创建的公钥文件
/root/.ssh/id_rsa.pub
复制该公钥文件到对端的该目录下：