SSH远程登陆协议和TCP
目录
SSH服务
定义
优点
客户端和服务端
SSH服务端服务功能
SSH服务的开启、端口号和配置文件
SSH服务的开启
端口号
配置文件
作用
服务端常见配置
服务配置
登录
方法一
方法二
ssh ip 命令
禁止root登录
修改端口
黑白名单
ssh服务安全管理
使用密钥登录
原理
sftp
scp远程复制
下行复制
上行复制
SSH服务
定义
ssh:是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能(先加密在压缩)
- 协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令,ssh为建立在应用层和传输层基础上的安全协议
优点
- 数据传输是加密的,可以防止信息泄露
- 数据传输是压缩的,可以提高传输速度
客户端和服务端
客户端:Xshell
服务端:Openssh
- openssh是实现ssh协议的开源软件项目,适用于各种UNIX、Linux操作系统
- cengtos7系统默认已安装openssh相关软件包,并将sshd服务添加为开机自启动
SSH服务端服务功能
- ssh远程连接
- sftp服务
SSH服务的开启、端口号和配置文件
SSH服务的开启
执行“systemctl start sshd”命令即可启动sshd服务
端口号
sshd服务默认使用的是TCP的22端口,安全协议版本sshv2,出来2之外还有1(有漏洞)
配置文件
sshd_config 是针对服务端的配置文件
ssh_config 是针对客户端的配置文件
作用
sshd服务使用SSH协议可以用来进行远程控制,或在计算机之间传送文件、相比较之前用Telnet方式来传输文件要安全很多,因为Telnet使用明文传输,ssh是加密传输
sshd #服务名称
/usr/sbin/sshd #服务端主程序
/etc/ssh/sshd_config #服务端配置文件
/etc/ssh/ssh_config #客户端配置文件服务端常见配置
Port 22 #端口
ListenAddress ip #监听服务器的ip地址,可以写本地,也可0.0.0.0代表所有
LoginGraceTime 2m #设定登录失败,在切断连接前服务器需等待时间,单位为秒
PermitRootLogin yes #允许root登录
StrictModes yes #检查ssh/文件的所有者、权限等
MaxAuthTries 6 #用来设置最大失败尝试登录次数
MaxSessions 10 #同一个连接最大会话
PubkeyAuthentication yes #基于key验证
PermitEmptyPasswords no #密码验证
PasswordAuthentication yes #基于用户名和密码连接
GatewayPorts no #是否允许远程主机连接本地的转发端口
ClientAliveInterval 10 #设置以秒记得时长,超过该时间没收到客户端的数据会发送“alive”并等待回复,为0表示不发送“alive”仅对SSH-2有效
ClientAliveCountMax 3 #在未收到客户端回应前最多允许发送多少个“alive”消息
UseDNS yes #内网改为no ,禁用反向解析
GSSAPIAuthentication yes #是否用户退出登录后自动销毁用户凭证缓存(仅适用于SSH-2)
MaxStartups #最大允许保持多少个未认证的连接
服务配置
登录
方法一
ssh 远程主机用户名@远程服务器主机名或ip -p port(端口号)
当在一台linux主机上连另一台linux主机时,如当前用户是root,对面也是root登录,可以直接使用ssh ip ; 端口默认,如果端口不是默认的,需要使用 -p 指定端口。
方法二
ssh -l 远程主机用户名 远程服务器主机名或ip -p port
- -l :指定登录名称
- -p :指定登录端口
ssh ip 命令
后面可以直接跟命令,不登录查看相关信息
禁止root登录
[root@mmm ~]# vim /etc/ssh/sshd_config
修改端口
首先确保想改的端口号未被其他进程占用
[root@mmm ~]# vim /etc/ssh/sshd_config
黑白名单
AllowUsers user1 user2@ip(限制主机)
DenyUsers user1 user2
AllowGroups g1 g2
DenyGroups g1 g2
[root@yyy ~]# useradd aa
[root@yyy ~]# echo '123'|passwd --stdin aa
[root@yyy ~]# useradd bb
[root@yyy ~]# echo '123' |passwd --stdin bb
[root@yyy ~]# useradd cc
[root@yyy ~]# echo '123' |passwd --stdin cc
ssh服务安全管理
- 1、不使用默认端口
- 2、禁止使用protocol version 1 (协议版本1)
- 3、限制可登录用户(白名单)
- 4、设定空闲会话超时时间
- 5、利用防火墙设置ssh访问策略
- 6、仅监听特定的ip地址 、公网 、内网
- 7、设置密码复杂度,可以用“tr -dc A-Za-z0-9_ < /dev/urandom | head -c 12| xargs”生成随机密码
- 8、使用密钥认证
- 9、禁止使用空密码
- 10、禁止root用户登录
- 11、限制ssh访问频率
- 12、分析日志分离
使用密钥登录
原理
1、首先在客户端生成一对密钥(ssh-keygen)
2、并将客户端的公钥ssh-copy-id 拷贝到服务端
3、当客户端再次发送一个连接请求,包括ip、用户名
4、服务端得到客户端的请求后,会到authorized_keys中查找,如果有响应ip和用户,就会随机生成一个字符串,例如:ky
5、服务端将使用客户端拷贝过来的公钥进行加密,然后发送给客户端
6、得到服务端发来的消息后,客户端会使用私钥进行解密,然后将解密后的字符串发送给服务端
7、服务端接收到客户端发来的字符串后,跟之前的字符串进行对比,如果一致,就允许免密码登录
sftp
通过sftp可以利用ssh安全连接与远程主机上传、下载文件,采用与ftp类似的登录过程和交互式环境,便于目录资源管理
由于使用加密/解密技术,所以传输效率比普通的ftp要低,但安全性更高
scp远程复制
下行复制
从对面主机下载内容到本地
上行复制
上传本地的内容到对面主机
