在我們日常管理與維護服務器個過程中,我們都需要使用遠程連接工具,今天我們就一同來總結下Linux常用的安全遠程連接工具-OpenSSH。
【遠程登錄協議】
1、telnet:是TCP/IP協議族中的一員,是Internet遠程登陸服務的標准協議和主要方式。它為用戶提供了在本地計算機上完成遠程主機工作的能力。默認使用的是TCP的23號端口,采用C/S架構,在用戶登錄的過程中傳輸的信息都是明文信息,安全無法保障,所以不建議用telnet。
2、ssh:為Secure Shell 的縮寫,由IETF的網絡工作小組所制定;SSH 為建立在應用層和傳輸層基礎上的安全協議。SSH是目前較可靠,專為遠程登錄會話和其他網絡服務提供安全性的協議。利用 SSH 協議可以有效防止遠程管理過程中的信息洩露問題。默認使用的是TCP的22號端口,也是基於C/S架構,SSH有兩個版本v1與v2。
sshv1:基於CRC-32做MAC(消息摘要認證),不安全,強烈建議不使用;
sshv2:基於雙方主機的協商選擇使用最安全的MAC方式 ,其有如下特點:1、加密機制及MAC機制由雙方協商選定;2、基於DH實現密鑰交換,基於RSA或DSA實現身份認證;3、客戶端通過檢查服務器端的主機密鑰來判斷是否能夠繼續通信;
【OpenSSH簡述】
OpenSSH 是一組用於安全地訪問遠程計算機的連接工具。它可以作為rlogin、rsh rcp以及telnet的直接替代品使用。更進一步,其他任何TCP/IP連接都可以通過SSH安全地進行隧道/轉發。OpenSSH 對所有的傳輸進行加密,從而有效地阻止了竊聽、連接劫持,以及其他網絡級的攻擊。OpenSSH 由 OpenBSD project 維護。
登錄過程和使用rlogin或telnet建立的會話非常類似。在連接時,SSH 會利用一個密鑰指紋系統來驗證服務器的真實性。只有在第一次連接時,用戶會被要求輸入yes進行確認,之後的連接將會驗證預先保存下來的密鑰指紋。如果保存的指紋與登錄時接收到的不符, 則將會給出警告。 指紋保存在 ~/.ssh/known_hosts中,對於SSHv2指紋,則是 ~/.ssh/known_hosts2。
默認情況下,較新版本的OpenSSH只接受SSHv2連接。如果能用版本2則客戶程序會自動使用,否則它會返回使用版本1的模式。此外,也可以通過命令行參數-1或-2來相應地強制使用版本1或2。 保持客戶端的版本1能力是為了考慮較早版本的兼容性,建議盡量使用版本2。
【SSH服務器和客戶端工作流程】
OpenSSH使用C/S架構:
服務端工具(S):sshd
客戶端工具(C):ssh命令、putty、xshell、securecrt、sshshellclient;
【OpenSSH客戶端組件-ssh】
配置文本:/etc/ssh/ssh_config
使用方法:
ssh [username@] host [COMMAND]或 ssh -l username host [COMMAND]
-p PORT:指定遠程服務器端口;
-l username:指定登錄遠程主機的用戶,不指定則使用當前用戶;
username@:等同於 -l username;
如果設置了COMMAND,表示使用username賬戶登錄遠程主機執行一次指定的命令並返回結果,不會停留在遠程主機上;
[root@www ~]# ssh 192.168.0.110 #使用root用戶登錄;
The authenticity of host '192.168.0.110 (192.168.0.110)' can't be established.
RSA key fingerprint is 01:2e:43:cc:bc:1d:f1:e5:f0:f4:89:78:74:a9:49:44.
Are you sure you want to continue connecting (yes/no)? yes #第一次連接,需手動進行確認;
Warning: Permanently added '192.168.0.110' (RSA) to the list of known hosts.
[email protected]'s password: #輸入遠程主機root賬戶的密碼;
Last login: Mon May 11 16:44:52 2015 from 192.168.0.104
[root@mailCentOS6 ~]# #登錄成功了,遠程主機名為mailCentOS6;
[root@mailCentOS6 ~]# ls #顯示遠程主機root家目錄下的文件;
2.sh boot.iso install.log sdb.mbr test1
anaconda-ks.cfg crontab install.log.syslog \temp\test
[root@mailCentOS6 ~]# exit #退出登錄;
logout
Connection to 192.168.0.110 closed.
[root@www ~]# ssh [email protected] ls #使用root登錄遠程主機,執行一次ls命令,返回結果便退出;
[email protected]'s password: #第二次連接,就不需要輸入yes了,直接輸入密碼即可;
2.sh
anaconda-ks.cfg
boot.iso
crontab
install.log
install.log.syslog
sdb.mbr
\temp\test
test1
[root@www ~]# #看到了嗎,我們當前並沒有登錄在遠程主機;
【OpenSSH服務器端組件-sshd】
配置文件:/etc/ssh/sshd_config(通過修改此文件可以修改ssh的默認監聽端口與其他參數)
服務腳本:/etc/rc.d/init.d/sshd
服務啟動|停止|重啟:serveice sshd start|stop|restart
腳本配置文件:/etc/sysconfig/sshd
配置參數
# man sshd_config 查看配置參數的說明;
# vim /etc/sysconfig/sshd 通過編輯配置文件來修改配置參數;
#+空格+文字:以此格式開頭的行表示改行為注釋說明;
#+文字:以此格式開頭的行表示可啟用選項,不改變則表示使用該選項的默認設置,反之使用設定值“#”要去掉哦!
例:#Port 22 如不去掉#且22不變,表示使用默認的22號端口;
若把#Port 22改成port 7777,表示把sshd的監聽端口改成7777;
注意:修改參數與配置後,必須重啟服務(service sshd restart).
經常需要修改的參數:
[root@www ~]# cat /etc/ssh/sshd_config
# $OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $
# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.
# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.
#Port 22 #修改默認監聽的端口;
port 7777 #把sshd的監聽端口改成7777;
#AddressFamily any #監聽的地址家族,指定是監聽在IPV4上還是IPV6上,any表示所有;
#ListenAddress 0.0.0.0 #指定監聽的地址 (0.0.0.0表示本機的所有地址);
#ListenAddress ::
# Disable legacy (protocol version 1) support in the server for new
# installations. In future the default will change to require explicit
# activation of protocol 1
Protocol 2
# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key #使用shhv1用到的主機密鑰;
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024 #密鑰長度;
# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO
# Authentication:
#LoginGraceTime 2m #登錄寬限期;
#PermitRootLogin yes #是否允許管理員直接登錄;
#StrictModes yes
#MaxAuthTries 6 #最大密碼輸入錯誤次數;
#MaxSessions 10 #最大會話個數;
#RSAAuthentication yes #是否允許使用RSA機制來認證;
#PubkeyAuthentication yes
#--------中間不長改變的配置參數略----------
Subsystem sftp /usr/libexec/openssh/sftp-server #表示是否啟動sftp功能;
# Example of overriding settings on a per-user basis
#Match User anoncvs
# X11Forwarding no
# AllowTcpForwarding no
# ForceCommand cvs server
sshd認證方式:
1、基於口令的認證;
2、基於密鑰的認證;
# ssh-keygen -t rsa 用rsa算法生成密鑰,默認密鑰為id_rsa(私鑰), id_rsa.pub(公鑰)
# ssh-keygen -f /path/to/somefile -P oldpassword 根據現有的密鑰文件生成密鑰
-f /path/to/somefile: 密鑰文件保存在的位置;
-P '': 指定生成舊密鑰時使用的密碼;
方法一:把本地主機生成的公鑰 id_rsa.pub使用scp復制到遠程主機的上,在遠程主機使用cat id_rsa.pub>>.ssh/authorized_keys追加該公鑰信息,這樣就可以實現基於密鑰認證的ssh登錄;
方法二:# ssh-copy-id -i .ssh/id_rsa.pub USERNAME@HOST
[root@www ~]# ssh-keygen -t rsa #用rsa算法生成密鑰;
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): #指定密鑰存放路徑及名稱,一般不用
#修改,直接回車;
Enter passphrase (empty for no passphrase): #輸入私鑰密碼;
Enter same passphrase again: #確認輸入私鑰密碼;
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
c2:f9:c2:3d:4d:ca:52:39:7a:a7:33:de:42:11:d3:8f [email protected]
The key's randomart image is:
+--[ RSA 2048]----+
| . |
| o . |
| o o |
| . ...E . |
| + S.. |
| . B.= |
| =.B o |
| ++= |
| .o+. |
+-----------------+
[root@www ~]# ssh-keygen -f .ssh/id_rsa -P '' #根據現有密鑰文件重新生成密鑰;
Generating public/private rsa key pair.
.ssh/id_rsa already exists.
Overwrite (y/n)? y #提示是否確定要覆蓋;
Your identification has been saved in .ssh/id_rsa.
Your public key has been saved in .ssh/id_rsa.pub.
The key fingerprint is:
bf:55:f0:0b:a5:ee:4e:4a:1d:d3:b1:0e:66:ee:55:9b [email protected]
The key's randomart image is:
+--[ RSA 2048]----+
| |
| |
| . o |
| * o |
| S O = .|
| . * B oo|
| o * +E |
| . B . |
| o.+ |
+-----------------+
#-----使用方法一:實現通過密鑰文件完成身份驗證(不需要輸入密碼)-----
[root@www ~]# scp .ssh/id_rsa.pub [email protected]:/root/ #使用spc命令復制公鑰文件到遠程
#主機的用戶家目錄下的.ss/路徑下;
[email protected]'s password: #輸入登錄遠程主機的密碼;
id_rsa.pub 100% 397 0.4KB/s 00:00 #提示復制成功;
[root@mailCentOS6 ~]# ls .ssh/ #驗證確認文件復制成功;
id_rsa.pub known_hosts
[root@mailCentOS6 ~]# touch .ssh/authorized_keys #路徑內沒有自動驗證密鑰文件,創建一個;
[root@mailCentOS6 ~]# cat .ssh/id_rsa.pub >> .ssh/authorized_keys #把公鑰追加到自動驗證密鑰文件;
[root@www ~]# ssh 192.168.0.110
Last login: Mon May 11 20:45:10 2015 from 192.168.0.111
[root@mailCentOS6 ~]# #OK了,看到了沒有,不用輸入密碼我們就直接可以遠程登錄了!!
#-----使用方法二:實現通過密鑰文件完成身份驗證(不需要輸入密碼)-----
[root@mailCentOS6 ~]# rm -f .ssh/authorized_keys #刪除原有保存的自動驗證密鑰文件;
[root@www ~]# ssh-copy-id -i .ssh/id_rsa.pub [email protected] #使用命令自動傳輸生成自動驗證密鑰文件;
[email protected]'s password:
Now try logging into the machine, with "ssh '[email protected]'", and check in:
.ssh/authorized_keys #提示生成的文件;
to make sure we haven't added extra keys that you weren't expecting.
[root@www ~]# ssh 192.168.0.110 #驗證看看是否可以登錄;
Last login: Mon May 11 21:02:29 2015 from 192.168.0.111
[root@mailCentOS6 ~]# ls .ssh/ #看到了沒有,我們現在已經登錄到了mailCentOS6這台主機上了;
authorized_keys known_hosts
【命令補充】
scp: 利用ssh協議在主機之間實現安全文件傳輸的工具
scp SRC1... DEST
分兩種情形:
1、源文件在本機,目標為遠程主機
# scp /path/to/somefile... USERNAME@HOST:/path/to/somewhere
源可以是目錄或文件有多個,目標必須是目錄
2、源文件在遠程,本地為目標
# scp USERNAME@HOST:/path/to/somewhere /path/to/somewhere
-r: 復制目錄時使用(實現遞歸復制),scp默認不能復制目錄;
-p: 保持源文件的元數據信息,包括mode和timestamp
-q: 靜默模式,復制過程不顯示狀態信息;
-p PORT: 指定ssh協議監聽的端口(遠程主機)。
--------------------------------------------------------------------------------
好了,大概就總結說明這些了,如有不盡之處,還請各位大神海涵,歡迎拍磚~!!~
在Ubuntu Server 13.10系統中安裝配置OpenSSH http://www.linuxidc.com/Linux/2014-02/96953.htm
Ubuntu安裝遠程登錄OpenSSH服務 http://www.linuxidc.com/Linux/2014-02/97218.htm
通過OpenSSH遠程登錄時的延遲問題解決 http://www.linuxidc.com/Linux/2013-07/86879.htm
Ubuntu 12.10下OpenSSH的離線安裝方法 http://www.linuxidc.com/Linux/2013-04/82814.htm
OpenSSH升級步驟及注意事項詳解 http://www.linuxidc.com/Linux/2013-04/82123.htm
OpenSSH普通用戶無法登錄的幾種情況的解決方法 http://www.linuxidc.com/Linux/2012-05/59457.htm
通用線程: OpenSSH 密鑰管理,第 1 部分理解 RSA/DSA 認證 http://www.linuxidc.com/Linux/2011-08/39871.htm
RedHat安裝OpenSSH和配置sftp鎖定目錄 http://www.linuxidc.com/Linux/2012-12/75398.htm
OpenSSL 的詳細介紹:請點這裡
OpenSSL 的下載地址:請點這裡
