openSSH服务及其应用

openssl

:TLS/SSl(libssl,libcryto,openssl),TSL PKI

OpenSSH:

telnet,TCP/23,远程登录 认证明文(密码认证) 数据传输明文

ssh:Secure Shell ,TCP/22 C/S架构 套接字监听

SSH --> SSH

openssh(开源) 即是协议,又是软件

ssh V1(中间人攻击),V2

客户端: LINUX:ssh Windows:putty,SecureCRT(商业版),SSHsecureShellClient,Xmanger

服务器端:(linux,unix) sshd

openssh(ssh,sshd)

ssh--->telnet

ssh:主机密钥 client-------->server yes:接受服务器主机发来的公钥 RSA,DSA 客户端生成临时对称密钥(会话)随机生成 对称密钥使用服务器的公钥加密后传给服务器,只有服务器的私钥可以解密。

账号和密码用对称密钥加密后传给服务器进行认证。 认证通过,建立一个永久的会话通道。

基于口令的认证 基于密钥的认证

客户端生成一对密钥,公钥传到服务器的对应用户的家目录下,身份认证是客户端利用自己的私钥加密一段数据,服务器用客户的公钥解密。可解,则认证通过。

不允许root直接登录,而是用普通用户,在su切换。

安全措施:

  1. 限定某些台有限主机能够登录
  2. 在前端vpn,允许vpn的IP地址登录,先登录到vpn在ssh到主机。
  3. 改变端口
  4. 经常换密码
[root@li ~]# rpm -qa |grep openssh
openssh-clients-5.3p1-84.1.el6.x86_64   
openssh-5.3p1-84.1.el6.x86_64 通用组件及库
openssh-askpass-5.3p1-84.1.el6.x86_64
openssh-server-5.3p1-84.1.el6.x86_64


rpm   -qi   openssh-5.3p1-84.1.el6.x86_64 

netstat -tln
netstat -rn 路由表

UDP  无状态
tcp   listen
netstat  -p  process|program

servcie sshd status
lsof -i:22
lsof(list open files)是一个列出当前系统打开文件的工具,可以用来恢复删除的数据。

配置文件

ssh (ssh_conf)
sshd (sshd_conf)
/etc/ssh/
moduli:和密钥交换,认证有关的
不同sshv1  dsa  ,sshv2 rsa 没有
注意:权限 私钥600 公钥644
 
   ├─sshd─┬─3*[sshd───bash]
     │      └─sshd───bash───pstree
sshd主进程,会创建多个子进程

vim /etc/ssh/sshd_conf

配置项格式:  var   values
修改端口 port 2223
AddressFamily any  :IPV4,IPV6哪个地址
ListenAddress 0.0.0.0 都监听 在哪一个地址上监听
KeyRegenerationInterval 1h 密钥重新生成密钥的时间
ServerKeyBits 1024  密钥长度
SyslogFacility AUTHPRIV
LogLevel INFO

LoginGraceTime 2m  登录的宽限期,建立会话后,要输账号和密码。
PermitRootLogin yes  是否允许root直接登录。
StrictModes yes 是否使用严格限定模式
MaxAuthTries 6 最大可以尝试输错
MaxSessions 10
#RSAAuthentication yes  是否支持RSA认证
#PubkeyAuthentication yes 基于密钥认证
#AuthorizedKeysFile     .ssh/authorized_keys
#AuthorizedKeysCommand none
#AuthorizedKeysCommandRunAs nobody
#RhostsRSAAuthentication no 主机认证
PasswordAuthentication yes
ChallengeResponseAuthentication no
UsePAM yes
#Banner none  标语
#PrintMotd yes  是否打印/etc/motd里的内容
#PrintLastLog yes 打印上次登录 ,不启用信息泄露。
涉及安全,信息越少越好。
Subsystem       sftp    /usr/libexec/openssh/sftp-server
和ftps不同。

man sshd_config
kill -L

客户端:ssh

ssh - OpenSSH SSH client (remote login program)
 ssh [-1246AaCfgKkMNnqsTtVvXxYy] [-b bind_address] [-c cipher_spec] [-D  [bind_address:]port] [-e escape_char]
         [-F configfile] [-i identity_file] [-L  [bind_address:]port:host:hostport] [-l login_name] [-m mac_spec]
         [-O ctl_cmd] [-o option] [-p port] [-R  [bind_address:]port:host:hostport] [-S ctl_path] [-W host:port] [-w
         local_tun[:remote_tun]] [user@]hostname [command]

如果不指定用户,则以当前的用户切换过去。
ssh -l root host
ssh root@host 
  ~/.ssh/known_host  主机密钥
不登录主机,仅在主机上执行命令,并返回执行结果。

ssh -l username Remotehost ['command']  可以不用引号  
ssh -X 
 -X      Enables X11 forwarding.
  -Y      Enables trusted X11 forwarding.
  执行图形窗口
  -p  端口

基于密钥的认证:

一台主机为客户端(基于某个用户实现 ),

1. 生成一对密钥

ssh-keygen
ssh-keygen -t rsa 
密钥保存在~/.ssh/id_rsa  
可以指定密钥的名称

2. 将公钥传输至服务器端某用户的家目录下的.ssh/authorized_keys文件中

使用文件传输工具传输(ssh-copy-id,scp)
ssh-copy-id -i /path/pubkeyname  username@host
ssh-copy-id .ssh/id_rsa.pub root@172.16.100.2 

scp .ssh/id_rsa.pub  root@172.16.0.12:/tmp
ssh root@172.16.0.12  cat /tmp/id_rsa.pub >> /root/.ssh/authorized_keys  

3. 测试登录

scp

基于ssh的远程复制命令,可以实现在主机之间传输数据。

scp [option] SRC  DEST

remote_host:
  username@host:file
SYNOPSIS
     scp [-1246BCpqrv] [-c cipher] [-F ssh_config] [-i identity_file] [-l limit] [-o ssh_option] [-P port] [-S program]
         [[user@]host1:]file1 ... [[user@]host2:]file2
目录  -r 
       -P
       -a  

ssh-keygen

.ssh的权限是700
 -f filename
             Specifies the filename of the key file
ssh-keygen -t rsa -f .ssh /id_rsa
[-N new_passphrase] 
-t rsa|dsa 
-f  /path/
-N   'passwd'    在脚本中使用

ssh-copy-id

 ssh-copy-id - install your public key in a remote machine’s authorized_keys 
ssh-copy-id [-i [identity_file]] [user@]machine

sftp

总结

  1. 密码要经常换
  2. 使用非默认端口;
  3. 限制登录客户地址
  4. 禁止管理员直接登录
  5. 仅允许有限的用户登录
  6. 使用基于密钥的认证
  7. 禁止使用版本1

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏魏艾斯博客www.vpsss.net

腾讯云服务器创建 SSH 密钥及如何使用 提高 SSH 连接安全性

腾讯云服务器内置创建 SSH 密钥功能,创建并使用之后就是有密钥才能使用 SSH 连接服务器,相对于几位数的登陆密码来说,2048 位密钥显然更安全。

36530
来自专栏魏艾斯博客www.vpsss.net

Xshell 用 SSH 密钥登录服务器的配置过程

3.1K40
来自专栏向治洪

Android开发中的安全

根据Android四大框架来解说安全机制 代码安全 java不同于C/C++,java是解释性语言,存在代码被反编译的隐患; 默认混淆器为progua...

20590
来自专栏PHP在线

JWT实现token-based会话管理

上文《3种web会话管理的方式》介绍了3种会话管理的方式,其中token-based的方式有必要从实现层面了解一下。本文主要介绍这方面的内容。上文提到token...

12920
来自专栏Jackson0714

WCF安全3-Transport与Message安全模式

31480
来自专栏云计算教程系列

如何在CentOS 6上安装DavMail

如果您的工作场所或学校使用Microsoft Exchange发送电子邮件,您可能希望从不支持Exchange协议的电子邮件客户端访问您的Exchange电子邮...

21140
来自专栏张戈的专栏

Linux+Nginx/Apache/Tomcat新增SSL证书,开启https访问教程

上上篇文章《nginx 平滑升级&新增模块》提到了公司的 https 访问需求。当我新增了 SSL 模块之后,却发现以前还真没部署过 https 访问。 下面整...

1K70
来自专栏云计算教程系列

如何在Ubuntu 16.04中为Nginx创建自签名SSL证书

TLS或称传输层安全性,及其前身SSL(代表安全套接字层)是用于将正常流量包装在受保护的加密包装中的Web协议。

55100
来自专栏张善友的专栏

Jexus 配置ssl

第一步:登记SSL库。 首先查看“/lib”文件夹中SSL库文件名,该文件名应该是“libssl.so.版本号”,如果没有列出文件名,就证明你的系统还没有安装...

23150
来自专栏FreeBuf

Apache shiro 1.2.4版本远程命令执行漏洞详解

*本文原创作者:zhujunboabc,本文属FreeBuf原创奖励计划,未经许可禁止转载 搜了一下,发现网上关于apache shiro 1.2.4版本的漏洞...

38050

扫码关注云+社区

领取腾讯云代金券