5.1 Linux SSH 服务

1、Telnet

传统的远程连接管理基本上都采用telnet,但是telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的(只能采用口令验证),就是很容易受到中间人攻击。

中间人攻击就是中间人冒充真正的服务器接收你传给服务器的数据,然后再冒充你把数据传给真正的服务器。这样服务器和你之间的数据传送会被中间人做手脚,会出现很严重的安全问题。

2、SSH 简介

SSH为Secure Shell 的缩写,由 IETF 的网络小组(Network Working Group)所制定;SSH 是建立在应用层基础上的安全协议。SSH 是目前较可靠,专为远程登录和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。

SSH是标准的网络协议,可用于大多数UNIX操作系统,能够实现字符界面的远程登录管理,它默认使用22号端口,采用密文的形式在网络中传输数据,它将客户端与服务端之间的消息通过加密保护起来,这样就无法被窃取或篡改了。

SSH 采用了多种认证加密方式 , 解决了传输中数据加密和身份认证等问题 , 比较有效的防止网络嗅探与IP欺骗等问题。相对于通过明文传输的Telnet,具有更高的安全性。

3、SSH 服务认证类型

SSH提供了口令和密钥两种用户验证方式,这两者都是通过密文传输数据。

a. 口令认证

基于口令的安全验证就是使用服务器中系统帐号和密码进行验证,只要知道服务器的SSH连接帐号、密码、服务器IP和端口号,就可以通过ssh客户端登录到这台远程主机。要求设置密码时具有足够的复杂度才能提高安全性。

口令认证会受到中间人攻击

b. 秘钥认证

密钥是一种参数,它是在明文转换为密文或将密文转换为明文的算法中输入的参数,多用于网络中,用来保护个人隐私等问题,维护网络使用安全。一般来说密钥加密的方法有三种类型:对称加密、非对称加密和Hash加密。

对称加密:只使用了一个密钥进行加密解密,也可以叫做单密钥加密。它对密钥本身没有特殊的要求,通信双方只要有一个相同的密钥就行,一个用户把自己需要发送的数据通过密钥加密成混乱的信息,接受方使用相同的密钥把接受到的信息还原成原始数据,这个方法可以在极短的时间内对大量信息进行加密解密。但是如果密钥在传输过程中就被截获,那么以后的加密过程就形同虚设。这个方法的优点是使用同一个密钥节省了加密解密所需的时间,缺点是无法保证密钥的安全性。

非对称加密:在加密和解密中使用了一对密钥,一个是公用密钥,它对外公开发布,另一个是私有密钥,由用户自己保存。从理论上讲,这种加密方式只要是用户的私有密钥没有丢失或者被窃,那么他们之间加密的信息是绝对不会被破解的。但是它的缺点也非常明显,就是加密速度非常缓慢。由于要进行大量的数学运算,即使加密少量的信息也需要花费大量的时间。

Hash加密:是通过数学运算,把不同长度的信息转化到128位编码中,形成Hash值,通过比较这个数值是否正确,来确定通信双方的合法性。这也可以说是数字签名,在数据传输后,可以通过比较Hash值来判断信息途中是否被截获修改,是否由合法的发送人发送或者合法的接收人接收等。用这种方法,可以防止密钥丢失的问题,具有不可抵赖性。很适用于商业信息的传递。

基于密钥认证

  • 1、为客户端创建一对密钥(公钥和私钥)
  • 2、把公钥放在需要访问的SSH服务器上,私钥存放在ssh客户端。
  • 3、客户端远程连接ssh服务器时,发送TCP连接请求,使用密钥进行安全验证。
  • 4、服务器收到请求之后,服务器查看自己的./ssh/authorized_keys中是否有用户的公钥。如果有,服务器使用用户公钥加密一段随机字符串,并发送给客户端。
  • 5、客户端使用本地的私钥解密后把解密字符串发送给服务器。
  • 6、服务器对比字符串是否一致,一致则允许登录。
4、SSH 服务安装

在RHEL或CENTOS系统中,OPENSSH服务由openssh、openssh-server、openssh-clients等软件包提供(默认已经安装)。

yum list all | grep "^openssh"

a. openssh 配置信息

官方站点

http://www.openssh.com

服务端主程序

/usr/sbin/sshd

客户端程序

/usr/bin/ssh

服务端主配置配置文件

/etc/ssh/sshd_config

客户端配置文件

/etc/ssh/ssh_config

b. /etc/ssh/sshd_config
#Port 22            					 		# 监听的端口(默认22),也可以使用多个Port
#ListenAddress 0.0.0.0				 	  # 监听的IP地址(默认监听所有IP)
SyslogFacility AUTHPRIV 				  # 当有人使用 SSH 登入系统的时候,SSH 会记录信息,这个信息要记录的类型为AUTHPRIV,日志存放目录/var/log/secure
#LogLevel INFO									  # 日志等级
#UseDNS yes        							  # dns反向解析,判断客户端来源是否正常合法,设定为 no 会让联连接速度比较快
#LoginGraceTime 2m						 		# 限制用户登录验证过程的时间(默认为2分钟)
#PermitRootLogin yes					 		# 允许ROOT用户远程登录
PermitRootLogin without-password  # 允许root在有秘钥主机登陆
#PermitEmptyPasswords no  				# 禁止密码为空的用户远程登录
#PubkeyAuthentication yes   			# 是否启用秘钥验证
#PasswordAuthentication yes 	 		# 是否启用密码验证
AuthorizedKeysFile      .ssh/authorized_keys   # 指定保存各用户公钥内容的数据文件位置,默认保存用户公钥信息的文件位于用户宿主目录
#PrintMotd yes			  			# 登入后是否显示出一些信息,即打印出 /etc/motd这个文档的内容
#PrintLastLog yes           # 显示上次登入的信息,如上次登入的时间、地点等
X11Forwarding yes		  			# 是否允许用户使用 X 程序
Subsystem   sftp    /usr/libexec/openssh/sftp-server  # 是否允许用户使用sftp

其他限制(需要在位置文件添加):
DenyUsers 用户名         				# 拒绝指定用户远程登录系统,其他均允许
AllowUsers用户名		 						 	# 允许指定用户远程登录系统
AllowUsers 用户名 @ip_address  	# 允许指定某个账户来自指定的IP登录
c. 添加ssh登录信息
echo 'Warning! From now on,all of your operation has been record!' > /etc/motd
5、SSH_Client 远程连接

通过ssh命令可以远程登录sshd服务,为用户提供一个安全的shell环境,以便对服务器进行管理和维护。

a. ssh 命令
  • 描述:远程登录
  • 语法:ssh 用户名@服务器地址

-p 指定sshd服务端口

# 方式1: 
ssh 用户名@服务器地址
#方式2: 
ssh -l 用户名  服务器地址
#方式3: 缺省时会尝试以当前的本地用户名进行登录
ssh  服务器地址

5.1 Linux SSH 服务_第1张图片

当用户第一次使用SSH连接到ssh服务器时,必须接受服务器发来的公钥(根据提示输入yes)后才能继续验证。接收的公钥信息将保存到~/.ssh/known_hosts文件中

# 查看公钥信息
cat ~/.ssh/known_hosts

b. sshd 访问控制列表

/etc/hosts.allow和/etc/hosts.deny是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。

/etc/hosts.allow

sshd:192.168.137.252:allow     	#允许 192.168.137.252 ip连接sshd服务
# sshd:192.168.137.*:allow      #允许 192.168.137.0	网段连接sshd服务

/etc/hosts.deny

sshd:all:deny				# 拒绝了所有sshd远程连接,:deny可以省略
  • 当 hosts.allow 和 host.deny 相冲突时,以hosts.allow设置为准。
c. 重启 tcpd 服务

Xinetd是新一代的网络守护进程服务程序,又叫超级Internet服务器,常用来管理多种轻量级Internet服务。

yum install -y xinetd
systemctl restart xinetd
d. scp 命令
  • 描述:远程复制文件/目录
  • 语法:scp [选项] 本地文件/目录 用户名@服务器地址:目标路径

-r:递归复制整个目录

-p:留原文件的修改时间,访问时间和访问权限。

-P:port 注意是大写的P, port是指定数据传输用到的端口号

-q:不显示传输进度条

# 从客户端拉取文件至当前目录下
scp [email protected]:/opt/test_ssh.txt .

# 将文件推送至客户端
scp 999.sh [email protected]:/opt
  • 以上操作均在服务端完成
6、SSH_Client 密钥登录
a. ssh-keygen 命令
  • 描述:为当前用户创建密钥对文件,可用的加密算法为RSA或DSA
  • 语法:ssh-keygen [选项]

-t 指定算法类型,默认使用RSA算法

# 在客户端生成密钥
ssh-keygen -t rsa

5.1 Linux SSH 服务_第2张图片

# 查看密钥对
ll /root/.ssh

  • id_rsa是私钥文件,权限默认为600,对于私钥文件必须妥善保管,不能泄露给他人。
  • id_rsa.pub是公钥文件,用来提供给ssh服务器。
b. ssh-copy-id 命令
  • 描述:上传公钥到服务器
  • 语法:ssh-copy-id [选项] 用户名@服务器地址

-i 选项指定公钥文件

-p 选项指定端口号

# 上传公钥到服务器
ssh-copy-id -i [email protected]

5.1 Linux SSH 服务_第3张图片

# 测试密钥登录
ssh 192.168.137.253

7、SSH 服务防止暴力破解
  • 密码足够的复杂最好大于20位。密码要尽可能有数字、大小写字母和特殊符号混合组成。
  • 修改默认端口号
  • 不允许root账号密码登录,只能通过认证的秘钥来登录系统
  • 添加普通账号,授予root的权限,不允许密码登录,只能通过认证的秘钥来登录系统。
a. 服务端创建admin并提权
# 服务端创建admin用户
useradd admin
echo "admin:123456" | chpasswd

# 给admin提权
vim /etc/sudoers

5.1 Linux SSH 服务_第4张图片

b. 客户端admin提交公钥
# 创建admin账户
useradd admin
su - admin

# 生成密钥
ssh-keygen -t rsa

# 提交公钥至服务器
ssh-copy-id -i [email protected]

# 测试
ssh [email protected]			# admin 密码123456
c. SSH 服务器安全优化设置
# 修改端口为2222
Port 2222
# 修改监听IP为内网ip            					 		
ListenAddress 192.168.137.253				 	  			  
# 关闭DNS反向解析									 
UseDNS no        							  
# 不允许 root 在没有密钥的主机上登录						 		
PermitRootLogin without-password					 		
# 启用密钥验证 				
PubkeyAuthentication yes
# 关闭密码验证   			
PasswordAuthentication no 	
# 重启 sshd 服务
systemctl restart sshd

# 查看 sshd 端口
netstat -antup | grep sshd

d. 使用密钥登录
# 使用admin秘钥登陆
ssh [email protected] -p 2222

# 使用root密钥登录
ssh [email protected] -p 2222

e. Windows 测试密钥登录

分别使用admin账号和root账号远程登录,登录均被拒绝

5.1 Linux SSH 服务_第5张图片

f. XShell 测试密钥链接
# 安装lrzsz文件传输工具
yum install -y lrzsz

# 将公钥下载到windows桌面
sz /root/.ssh/id_rsa

新建XShell连接

5.1 Linux SSH 服务_第6张图片

5.1 Linux SSH 服务_第7张图片

你可能感兴趣的:(J-C云计算运维,linux,ssh)