碼上快樂

相關內容    簡體    繁體

OpenSSH配置與基本使用

本文轉載自   查看原文   2019-01-07 16:40   1309    成為Linux運維工程師吧!

SSH訪問遠程

SSH常見分類:

  • telnet-遠程登錄協議,23/TCP
    • 明文認證、明文傳輸(不安全)
  • ssh(Secure SHell)-應用層協議,22/TCP
    • 通訊和認證過程加密、主機認證
    • 用戶認證過程加密
    • 數據傳輸過程加密
  • dropbear-嵌入式系統專用SSH

OpenSSH 簡介

OpenSSH用於在遠程系統上安全運行shell。如果您在可提供ssh服務的遠程Linux系統中擁有用戶帳戶,則ssh是通常用來遠程登錄到該系統的命令。ssh命令也可用於在遠程系統中運行命令。

SSH有兩個版本:

  • v1-基於CRC-32做MAC,無法防范中間人(man-in-middle)攻擊
  • v2-雙方主機協議選擇安全的MAC方式。基於DH算法做密鑰交換,基於RSA或DSA算法實現身份認證

SSH認證方式

openssh有兩種認證方式:

  • 口令認證
  • 密鑰認證

openSSH工作模式

openSSH基於C/S(客戶端/服務器)構架工作

#服務器端sshd
/etc/ssh/sshd_config
#客戶端ssh
/etc/ssh/ssh_config
ssh-keygen #密鑰生成器
ssh-copy-id #公鑰傳輸至遠程服務器
scp #跨主機安全復制工具

openSSH配置基於密鑰的身份認證

用戶可通過使用公鑰身份驗證進行ssh登錄身份驗證。ssh允許用戶使用私鑰-公鑰方案進行身份驗證。這意味着將生成私鑰和公鑰這兩個密鑰。私鑰文件用作身份驗證憑據,像密碼一樣,必須妥善保管。公鑰復制到用戶希望登錄的系統,用於驗證私鑰。公鑰並不需要保密。擁有公鑰的ssh服務器可以發布僅持有您私鑰的系統才可解答的問題。因此,可以根據所持有的密鑰進行驗證。如此一來,就不必在每次訪問系統時鍵入密碼,但安全性仍能得到保證。

使用ssh-keygen命令生成密鑰,將會生成私鑰和公鑰

  • ~/.ssh/id_rsa #私鑰
  • ~/.ssh/id_rsa.pub #公鑰

注意
生成密鑰時,系統將提供指定密碼的選項,在訪問私鑰時必須提供該密碼。如果私鑰被偷,除頒發者之外的其他任何人很難使用該私鑰,因為已使用密碼對其進行保護。這樣,在攻擊者破解並使用私鑰前,會有足夠的時間生成新的密鑰對並刪除所有涉及舊密鑰的內容。

生成密鑰后,密鑰將默認存儲在家目錄下的.ssh/文件夾里。
私鑰和公鑰的權限就分別為600和644。.ssh/目錄權限必須是700。
在可以使用基於密鑰的身份驗證前,需要將公鑰復制到目標系統上。可以使用ssh-copy-id完成這一操作。
通過ssh-copy-id將密鑰復制到另一系統時,它默認復制~/.ssh/id_rsa.pub文件。

#生成密鑰
[root@Lynk ~]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:kKfhcqCOlPwsS9Nb3OILPRTU4MHr0bprs/A7sPrTs08 root@Lynk
The key's randomart image is:
+---[RSA 2048]----+
|    .+o          |
|    o..o         |
|    .o* .        |
|. .. =.*         |
| +. o.* S        |
|.o+.+=.          |
|.+.*+*.E         |
|. +oBB+          |
| ooooO@.         |
+----[SHA256]-----+

#將密鑰復制給服務器
[root@Lynk ~]# ssh-copy-id root@192.168.26.129
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
The authenticity of host '192.168.26.129 (192.168.26.129)' can't be established.
ECDSA key fingerprint is SHA256:bpCNTMSwW5iFAtt2aAQ9QNrdd1ojBZDCMLsA0wJ/K3k.
ECDSA key fingerprint is MD5:1a:34:7a:fb:dd:cf:ff:ea:68:ae:3f:2f:87:ed:2c:78.
Are you sure you want to continue connecting (yes/no)? yes
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.26.129's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'root@192.168.26.129'"
and check to make sure that only the key(s) you wanted were added.

#登錄服務器
[root@Lynk ~]# ssh root@192.168.26.129
Last login: Mon Jan  7 07:05:25 2019 from 192.168.26.1
[root@LynkSer ~]#

在我們完成服務的設置之后,可能還會有開啟防火牆來保證主機安全的需求,這時應該為防火牆添加富規則來保證我們的ssh服務可以通過防火牆。

#禁止ssh服務連入
[root@LynkSer ~]# firewall-cmd --remove-service=ssh --permanent
success
[root@LynkSer ~]# firewall-cmd --reload
success

#此時遠程主機無法通過ssh連接本地主機
[root@Lynk ~]# ssh root@192.168.26.129
ssh: connect to host 192.168.26.129 port 22: No route to host

#添加放行富規則
[root@LynkSer ~]# firewall-cmd --add-rich-rule 'rule family=ipv4 source address=192.168.26.128/24 service name=ssh accept' --permanent
success
#重載防火牆讓配置生效
[root@LynkSer ~]# firewall-cmd --reload
success

#再次嘗試連入本地主機
[root@Lynk ~]# ssh root@192.168.26.129
Last login: Mon Jan  7 07:38:11 2019 from 192.168.26.128
#成功了,退出吧
[root@LynkSer ~]# exit
logout
Connection to 192.168.26.129 closed.

自定義 SSH 服務配置

OpenSSH服務器通常無需修改,但會提供其他安全措施,可以在配置文件/etc/ssh/sshd_config中修改OpenSSH服務器的各個方面。

#是否允許root用戶遠程登錄系統
PermitRootLogin {yes|no}
#僅允許root用戶基於密鑰方式遠程登錄
PermitRootLogin without-password
#是否啟用密碼身份驗證,默認開啟
PasswordAuthentication {yes|no}

SSH使用實例

#登錄
[root@Lynk ~]# ssh root@192.168.26.129
Last login: Mon Jan  7 07:23:45 2019 from 192.168.26.128
#退出
[root@LynkSer ~]# exit
logout
Connection to 192.168.26.129 closed.
#在遠程服務器上執行一個命令
[root@Lynk ~]# ssh root@192.168.26.129 'echo "I AM LYNK" > /opt/whoami'
[root@Lynk ~]# ssh root@192.168.26.129
Last login: Mon Jan  7 07:24:50 2019 from 192.168.26.128
[root@LynkSer ~]# cat /opt/whoami 
I AM LYNK
#查看當前所有登錄到這台主機的會話
[root@LynkSer ~]# w
 07:29:10 up 30 min,  3 users,  load average: 0.17, 0.09, 0.07
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
root     tty1                      07:00   26:06   0.73s  0.19s vim /etc/sysconfig/network-scripts/ifcfg-e
root     pts/0    192.168.26.1     07:05   23:45   0.03s  0.03s -bash
root     pts/1    192.168.26.128   07:29    2.00s  0.08s  0.04s w
***

SSH安全

  • 密碼應該經常換且足夠復雜
  • 使用非默認端口
  • 限制登錄客戶端地址
  • 僅監聽特定的IP地址
  • 禁止管理員直接登錄
  • 僅允許有限制用戶登錄
    • AllowUsers
    • AllowGroups
  • 使用基於密鑰的認證
  • 禁止使用空密碼
  • 禁止使用SSHv1版本
  • 設定空閑會話超時時長
  • 利用防火牆設置ssh訪問策略
  • 限制ssh的訪問頻度和並發在線數
  • 做好日志的備份,經常分析(集中於某台服務器)


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 如何使用openssh進行遠程連接 配置openssh實現sftp遠程文件上傳 在git與tortoisegit中使用openSSH與PuTTY Windows10自帶的OpenSSH如何開啟使用 OpenSSH for windows 【玩轉Server 2019 】在Windows上使用OpenSSH安裝SFTP(SSH FTP)服務器 openssh升級后使用CRT遠程報錯:沒有兼容的加密程序,服務器支持這些加密程序 OpenSSH平滑升級——解決OpenSSH漏洞 Linux升級openssh過程 升級openssh到高版本
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM