SSH介紹和部署 · linux運維

# ssh介紹和部署 [TOC] ## 1 介紹 ssh實現在傳輸數據的時候，加密傳輸，用于遠程登錄會話和為其他網絡服務提供安全性協議 ### 1.1 SSH知識點總結： * ssh是安全的加密協議，用于遠程連接linux服務器 * ssh默認端口22，有兩個版本ssh2和ssh1，版本1有漏洞不用 * ssh服務主要提供兩種：ssh服務和SFTP服務 * linux ssh客戶端包含ssh遠程連接命令，遠程拷貝命令scp ### 1.2 SSH加密流程 * 服務端產生768字節公鑰（server key） * 客戶端向服務端發生請求 * 服務端返回該公鑰給客戶端 * 客戶端產生256字節私鑰(private key)并與公鑰組成1024字節的密鑰對(key pair) 客戶端將密鑰對發送給服務端，后續通信就使用此密鑰對驗證數據密鑰存放位置： ~/.ssh/known_hosts ### 1.3 SSH的認證類型 1) 基于口令的安全驗證只需要口令就能連接，不安全 2) 基于密鑰的安全驗證大批量管理時使用的方法,安全.認證流程如下: * ssh管理服務器上創建密鑰對信息（公鑰私鑰） vssh管理服務器上將公鑰發送給被管理服務器 * ssh管理服務器向被管理服務器發送連接請求 * ssh被管理服務器向管理服務器發送公鑰質詢 * ssh管理服務器處理公鑰質詢請求，將公鑰質詢結果發送給被管理主機 * ssh被管理服務器接收公鑰質詢響應信息，從而確認認證成功 * ssh管理服務端可以和被管理服務端建立基于密鑰連接登錄 ## 2 秘鑰方式部署和配置講解 ### 2.1 部署 1) 管理主機上創建秘鑰對 ```sh ssh-keygen -t dsa ``` ![mark](http://noah-pic.oss-cn-chengdu.aliyuncs.com/pic/20200410/222341371.png) 2) 分發公鑰給被管理主機 ```sh ssh-copy-id -i /root/.ssh/id_dsa.pub 172.16.1.31 會要求輸入被管理主機密碼 ``` 3) 進行測試 ```sh ssh 172.16.1.31 如果不提示輸入密碼,則配置成功 ssh 172.16.1.31 uptime 可以只在被管理主機上執行命令而不登錄主機 ``` ### 2.2 配置文件 1) 重要文件說明 ```sh /etc/init.d/sshd 服務程序，用start啟動 /etc/ssh/sshd_config 服務端配置文件 /etc/ssh/ssh_config 客戶端配置文件 ``` 2) sshd_config配置文件說明 ```sh Port 22 [安全]默認端口，建議改為其他的[52113] UseDNS [速度]是否使用DNS解析域名，建議改為no ListenAddress 0.0.0.0 [安全]監聽地址,可配置僅監聽內網卡IP PermitRootLogin no [安全]是否允許root用戶登陸，建議禁止no PermitEmptyPasswords no [安全]是否允許空密碼登陸，建議禁止no GSSAPIAuthentication no [速度]是否進行GSSAPI認證,設置為no ``` 3) sshd_config配置文件修改用sed命令一次性修改 ```sh sed -i.ori '13i port 52113\nPermitRootLogin no\nPermitEmptyPasswords no\nGSSAPIAuthentication no\nUseDNS no' /etc/ssh/sshd_config 未修改內網監聽項,一般需先配置好vpn后再修改 ``` 查看結果 ```sh sed -n '13,17p' /etc/ssh/sshd_config port 52113 PermitRootLogin no PermitEmptyPasswords no GSSAPIAuthentication no UseDNS no ``` ## 3 SSH使用和總結 ### 3.1 命令相關 1) SSH命令遠程登錄方式： ```SH ssh -p 52113 oldboy@172.16.1.61 指定端口和用戶名鏈接到遠程服務器，如果端口和用戶名是默認的，可以不寫 ssh -p 52113 oldboy@172.16.1.61 /sbin/ifconfig eth0 只遠程登錄到服務器執行相應命令，執行完畢仍然回到本機，即不登錄 ``` 2) SSH分發公鑰方法直接使用分發命令 ```SH ssh-copy-id命令，默認端口和非默認端口，寫法分別如下 ssh-copy-id -i .ssh/id_dsa.pub oldgirl@172.16.1.8 ssh-copy-id -i .ssh/id_dsa.pub "-p 52113 oldgirl@172.16.1.31" 上傳到服務器以后，存放在對方用戶的家目錄下的.ssh隱藏文件夾中，并且會自動更名和修改權限 ls -l .ssh/ -rw------- 1 oldgirl oldgirl 601 11月 4 09:16 authorized_keys 目錄權限700，公鑰文件權限600，且自動改名 ``` 如果不能用遠程拷貝命令的方法用其他方式傳輸公鑰到目標服務器,然后追加到公認證文件中[authorized_keys] ``` cat id_rsa.pub >>/root/.ssh/authorized_keys ``` ### 3.2 防止SSH登錄入侵小結： 1) 用密鑰登錄，不用密碼登錄 2) 牤牛陣法：解決SSH安全問題 * 防火墻封閉SSH,指定源IP限制（局域網、信任公網） * 開啟SSH只監聽本地內網IP（ListenAddress 172.16.1.61） 3) 盡量不要給服務器外網IP ### 3.3 SSH重點知識小結 * ssh為機密的遠程連接協議，相關軟件有openssh，opensshl * 默認端口22 * 協議版本1.x和2.x，2.x更安全，要明白ssh協議原理 * 服務端ssh遠程連接服務，sftp無法，sshd有首付進程，開機要自啟動 * ssh客戶端包含ssh，scp，sftp命令 * ssh安全驗證方式:口令和密鑰，要明白密鑰登錄原理 * ssh服務安全優化，修改默認端口，禁止root遠程，禁止空密碼，禁止dns，只監聽內網 * ssh密鑰對，公鑰在服務端（public key），私鑰在客戶端（private key）