Linux遠程連接工具-OpenSSH

在我們日常管理與維護服務器個過程中，我們都需要使用遠程連接工具，今天我們就一同來總結下Linux常用的安全遠程連接工具-OpenSSH。

【遠程登錄協議】

1、telnet:是TCP/IP協議族中的一員，是Internet遠程登陸服務的標准協議和主要方式。它為用戶提供了在本地計算機上完成遠程主機工作的能力。默認使用的是TCP的23號端口，采用C/S架構，在用戶登錄的過程中傳輸的信息都是明文信息，安全無法保障，所以不建議用telnet。

2、ssh:為Secure Shell 的縮寫，由IETF的網絡工作小組所制定；SSH 為建立在應用層和傳輸層基礎上的安全協議。SSH是目前較可靠，專為遠程登錄會話和其他網絡服務提供安全性的協議。利用 SSH 協議可以有效防止遠程管理過程中的信息洩露問題。默認使用的是TCP的22號端口，也是基於C/S架構，SSH有兩個版本v1與v2。

sshv1:基於CRC-32做MAC（消息摘要認證），不安全，強烈建議不使用；

sshv2:基於雙方主機的協商選擇使用最安全的MAC方式 ,其有如下特點：1、加密機制及MAC機制由雙方協商選定；2、基於DH實現密鑰交換，基於RSA或DSA實現身份認證；3、客戶端通過檢查服務器端的主機密鑰來判斷是否能夠繼續通信；

【OpenSSH簡述】

OpenSSH 是一組用於安全地訪問遠程計算機的連接工具。它可以作為rlogin、rsh rcp以及telnet的直接替代品使用。更進一步，其他任何TCP/IP連接都可以通過SSH安全地進行隧道/轉發。OpenSSH 對所有的傳輸進行加密，從而有效地阻止了竊聽、連接劫持，以及其他網絡級的攻擊。OpenSSH 由 OpenBSD project 維護。

登錄過程和使用rlogin或telnet建立的會話非常類似。在連接時，SSH 會利用一個密鑰指紋系統來驗證服務器的真實性。只有在第一次連接時，用戶會被要求輸入yes進行確認，之後的連接將會驗證預先保存下來的密鑰指紋。如果保存的指紋與登錄時接收到的不符， 則將會給出警告。 指紋保存在 ~/.ssh/known_hosts中，對於SSHv2指紋，則是 ~/.ssh/known_hosts2。

默認情況下，較新版本的OpenSSH只接受SSHv2連接。如果能用版本2則客戶程序會自動使用，否則它會返回使用版本1的模式。此外，也可以通過命令行參數-1或-2來相應地強制使用版本1或2。 保持客戶端的版本1能力是為了考慮較早版本的兼容性,建議盡量使用版本2。

【SSH服務器和客戶端工作流程】

OpenSSH使用C/S架構:

服務端工具(S)：sshd

客戶端工具(C)：ssh命令、putty、xshell、securecrt、sshshellclient；

【OpenSSH客戶端組件-ssh】

    配置文本:/etc/ssh/ssh_config
    使用方法：
    ssh [username@] host [COMMAND]或 ssh -l username host [COMMAND]
        -p PORT：指定遠程服務器端口；
        -l username:指定登錄遠程主機的用戶，不指定則使用當前用戶；
        username@:等同於 -l username;
        如果設置了COMMAND，表示使用username賬戶登錄遠程主機執行一次指定的命令並返回結果，不會停留在遠程主機上；
[root@www ~]# ssh 192.168.0.110 #使用root用戶登錄；
The authenticity of host '192.168.0.110 (192.168.0.110)' can't be established.
RSA key fingerprint is 01:2e:43:cc:bc:1d:f1:e5:f0:f4:89:78:74:a9:49:44.
Are you sure you want to continue connecting (yes/no)? yes #第一次連接，需手動進行確認；
Warning: Permanently added '192.168.0.110' (RSA) to the list of known hosts.
[email protected]'s password: #輸入遠程主機root賬戶的密碼；
Last login: Mon May 11 16:44:52 2015 from 192.168.0.104
[root@mailCentOS6 ~]#  #登錄成功了，遠程主機名為mailCentOS6；
[root@mailCentOS6 ~]# ls #顯示遠程主機root家目錄下的文件；
2.sh            boot.iso  install.log        sdb.mbr    test1
anaconda-ks.cfg  crontab  install.log.syslog  \temp\test
[root@mailCentOS6 ~]# exit #退出登錄；
logout
Connection to 192.168.0.110 closed.
[root@www ~]# ssh [email protected] ls #使用root登錄遠程主機，執行一次ls命令，返回結果便退出；
[email protected]'s password: #第二次連接，就不需要輸入yes了，直接輸入密碼即可；
2.sh
anaconda-ks.cfg
boot.iso
crontab
install.log
install.log.syslog
sdb.mbr
\temp\test
test1
[root@www ~]#  #看到了嗎，我們當前並沒有登錄在遠程主機；

【OpenSSH服務器端組件-sshd】
    配置文件：/etc/ssh/sshd_config（通過修改此文件可以修改ssh的默認監聽端口與其他參數）
    服務腳本：/etc/rc.d/init.d/sshd 
        服務啟動|停止|重啟：serveice sshd start|stop|restart
    腳本配置文件：/etc/sysconfig/sshd

    配置參數
# man sshd_config  查看配置參數的說明；
        # vim /etc/sysconfig/sshd  通過編輯配置文件來修改配置參數；
          #+空格+文字：以此格式開頭的行表示改行為注釋說明；
          #+文字：以此格式開頭的行表示可啟用選項，不改變則表示使用該選項的默認設置,反之使用設定值“#”要去掉哦！
            例：#Port 22 如不去掉#且22不變，表示使用默認的22號端口；
                若把#Port 22改成port 7777，表示把sshd的監聽端口改成7777；
        注意：修改參數與配置後，必須重啟服務（service sshd restart).
  經常需要修改的參數：
[root@www ~]# cat /etc/ssh/sshd_config
#  $OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $
 
# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.
 
# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin
 
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.
 
#Port 22  #修改默認監聽的端口；
port 7777 #把sshd的監聽端口改成7777；
#AddressFamily any  #監聽的地址家族，指定是監聽在IPV4上還是IPV6上，any表示所有；
#ListenAddress 0.0.0.0  #指定監聽的地址 （0.0.0.0表示本機的所有地址）；
#ListenAddress :: 
 
# Disable legacy (protocol version 1) support in the server for new
# installations. In future the default will change to require explicit
# activation of protocol 1
Protocol 2
 
# HostKey for protocol version 1 
#HostKey /etc/ssh/ssh_host_key #使用shhv1用到的主機密鑰；
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
 
# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024 #密鑰長度；
 
# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO
 
# Authentication:
 
#LoginGraceTime 2m #登錄寬限期；
#PermitRootLogin yes #是否允許管理員直接登錄；
#StrictModes yes
#MaxAuthTries 6 #最大密碼輸入錯誤次數；
#MaxSessions 10 #最大會話個數；
 
#RSAAuthentication yes  #是否允許使用RSA機制來認證；
#PubkeyAuthentication yes
#--------中間不長改變的配置參數略----------
 
Subsystem  sftp    /usr/libexec/openssh/sftp-server  #表示是否啟動sftp功能；
 
# Example of overriding settings on a per-user basis
#Match User anoncvs
#  X11Forwarding no
#  AllowTcpForwarding no
#  ForceCommand cvs server

  sshd認證方式：
      1、基於口令的認證；
      2、基於密鑰的認證；
        # ssh-keygen -t rsa  用rsa算法生成密鑰,默認密鑰為id_rsa（私鑰）, id_rsa.pub（公鑰）
        # ssh-keygen -f /path/to/somefile -P oldpassword 根據現有的密鑰文件生成密鑰
            -f /path/to/somefile: 密鑰文件保存在的位置；
            -P '': 指定生成舊密鑰時使用的密碼；
          方法一：把本地主機生成的公鑰 id_rsa.pub使用scp復制到遠程主機的上，在遠程主機使用cat id_rsa.pub>>.ssh/authorized_keys追加該公鑰信息，這樣就可以實現基於密鑰認證的ssh登錄；
          方法二:# ssh-copy-id -i .ssh/id_rsa.pub USERNAME@HOST
[root@www ~]# ssh-keygen -t rsa #用rsa算法生成密鑰；
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): #指定密鑰存放路徑及名稱，一般不用
#修改，直接回車；
Enter passphrase (empty for no passphrase):  #輸入私鑰密碼；
Enter same passphrase again:  #確認輸入私鑰密碼；
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
c2:f9:c2:3d:4d:ca:52:39:7a:a7:33:de:42:11:d3:8f [email protected]
The key's randomart image is:
+--[ RSA 2048]----+
|        .      |
|        o .      |
|        o o    |
|    . ...E .    |
|      + S..      |
|    . B.=      |
|      =.B o      |
|      ++=      |
|      .o+.      |
+-----------------+
[root@www ~]# ssh-keygen -f  .ssh/id_rsa -P '' #根據現有密鑰文件重新生成密鑰；
Generating public/private rsa key pair.
.ssh/id_rsa already exists.
Overwrite (y/n)? y #提示是否確定要覆蓋；
Your identification has been saved in .ssh/id_rsa.
Your public key has been saved in .ssh/id_rsa.pub.
The key fingerprint is:
bf:55:f0:0b:a5:ee:4e:4a:1d:d3:b1:0e:66:ee:55:9b [email protected]
The key's randomart image is:
+--[ RSA 2048]----+
|                |
|                |
|            . o  |
|            * o |
|        S  O = .|
|        . * B oo|
|          o * +E |
|        . B .  |
|          o.+    |
+-----------------+
#-----使用方法一：實現通過密鑰文件完成身份驗證（不需要輸入密碼）-----
[root@www ~]# scp .ssh/id_rsa.pub [email protected]:/root/ #使用spc命令復制公鑰文件到遠程
#主機的用戶家目錄下的.ss/路徑下；
[email protected]'s password: #輸入登錄遠程主機的密碼；
id_rsa.pub                          100%  397    0.4KB/s  00:00 #提示復制成功；
[root@mailCentOS6 ~]# ls .ssh/ #驗證確認文件復制成功；
id_rsa.pub  known_hosts
[root@mailCentOS6 ~]# touch .ssh/authorized_keys #路徑內沒有自動驗證密鑰文件，創建一個；
[root@mailCentOS6 ~]# cat .ssh/id_rsa.pub >> .ssh/authorized_keys #把公鑰追加到自動驗證密鑰文件；
[root@www ~]# ssh 192.168.0.110
Last login: Mon May 11 20:45:10 2015 from 192.168.0.111
[root@mailCentOS6 ~]# #OK了，看到了沒有，不用輸入密碼我們就直接可以遠程登錄了！！
 
#-----使用方法二：實現通過密鑰文件完成身份驗證（不需要輸入密碼）-----
[root@mailCentOS6 ~]# rm -f .ssh/authorized_keys  #刪除原有保存的自動驗證密鑰文件；
[root@www ~]# ssh-copy-id -i .ssh/id_rsa.pub [email protected] #使用命令自動傳輸生成自動驗證密鑰文件；
[email protected]'s password: 
Now try logging into the machine, with "ssh '[email protected]'", and check in:
 
  .ssh/authorized_keys #提示生成的文件；
 
to make sure we haven't added extra keys that you weren't expecting.
 
[root@www ~]# ssh 192.168.0.110 #驗證看看是否可以登錄；
Last login: Mon May 11 21:02:29 2015 from 192.168.0.111
[root@mailCentOS6 ~]# ls .ssh/  #看到了沒有，我們現在已經登錄到了mailCentOS6這台主機上了；
authorized_keys  known_hosts

【命令補充】

    scp: 利用ssh協議在主機之間實現安全文件傳輸的工具
      scp SRC1... DEST
      分兩種情形：
          1、源文件在本機，目標為遠程主機
            # scp /path/to/somefile... USERNAME@HOST:/path/to/somewhere
            源可以是目錄或文件有多個，目標必須是目錄
        2、源文件在遠程，本地為目標
            # scp USERNAME@HOST:/path/to/somewhere /path/to/somewhere
                               
            -r: 復制目錄時使用（實現遞歸復制），scp默認不能復制目錄；
            -p: 保持源文件的元數據信息，包括mode和timestamp
            -q: 靜默模式，復制過程不顯示狀態信息；
            -p PORT: 指定ssh協議監聽的端口（遠程主機）。

--------------------------------------------------------------------------------
好了，大概就總結說明這些了，如有不盡之處，還請各位大神海涵，歡迎拍磚~！！~

在Ubuntu Server 13.10系統中安裝配置OpenSSH http://www.linuxidc.com/Linux/2014-02/96953.htm

Ubuntu安裝遠程登錄OpenSSH服務 http://www.linuxidc.com/Linux/2014-02/97218.htm

通過OpenSSH遠程登錄時的延遲問題解決 http://www.linuxidc.com/Linux/2013-07/86879.htm

Ubuntu 12.10下OpenSSH的離線安裝方法 http://www.linuxidc.com/Linux/2013-04/82814.htm

OpenSSH升級步驟及注意事項詳解 http://www.linuxidc.com/Linux/2013-04/82123.htm

OpenSSH普通用戶無法登錄的幾種情況的解決方法 http://www.linuxidc.com/Linux/2012-05/59457.htm

通用線程: OpenSSH 密鑰管理，第 1 部分理解 RSA/DSA 認證 http://www.linuxidc.com/Linux/2011-08/39871.htm

RedHat安裝OpenSSH和配置sftp鎖定目錄 http://www.linuxidc.com/Linux/2012-12/75398.htm

OpenSSL 的詳細介紹：請點這裡
OpenSSL 的下載地址：請點這裡