文章目录
显示
? 优质资源分享 ?
学习路线指引(点击解锁) | 知识定位 | 人群定位 |
---|---|---|
? Python实战微信订餐小程序 ? | 进阶级 | 本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。 |
?Python量化交易实战? | 入门级 | 手把手带你打造一个易扩展、更安全、效率更高的量化交易系统 |
基础知识
- ssh:secure shell protocol,安全的远程登录
- 作用:是建立在应用层基础上的安全协议,实现数据传输过程中数据的加密,代替telent协议
- 使用tcp协议,端口号为22
ssh服务具体的软件实现:
- openSSH
- dropbear
OpenSSH:ssh协议的开源实现,linux(centos、ubuntu等)默认使用的是openssh来实现ssh这个服务的
dropbear:另一个ssh协议的开源项目的实现
ssh的通信过程:
第一次连接的时候就要进行公钥的交换
- 客户端发起请求
- 服务端返回给客户端自己的公钥,以及生成一个会话ID
- 客户端生成密钥对:将自己的公钥和会话ID做异或运算,然后再使用服务端的公钥来加密异或运算的到的值
- 服务端的到这个加密的数据后使用自己的私钥解密得到数据
- 服务端使用解密后得到的数据和会话ID进行异或运算得到客户端的公钥(服务器得到客户端公钥)
最终:双方各自持有三个秘钥,分别为自己的一对公、私钥,以及对方的公钥,之后的所有通讯都会被加密
服务器的公钥表现为一个磁盘文件
客户端的公钥是临时生成的(在连接的时候自动生成一个公钥)
ssh加密通信原理
假如A和B通信,A是客户端,B是服务端
A--->B
客户端A使用服务端B的公钥来加密数据,服务端B使用自己的私钥来解密数据
B--->A
流程和A--->B的流程是一样的
#第一次连接的时候会把目标主机的公钥利用哈希算法生成一个摘要,需要手动确认目前连接的机器是想要连接的目标主机
#确认以后会自动把对方的公钥下载下来,下次再连接的时候就能确保是否和第一次是同一个主机。
#对方公钥存放位置:
当前用户的家目录下面一个叫做ssh的隐藏文件夹,里面有个叫做known_hosts的文件,里面记录了远程主机的公钥。
#拿到公钥的好处:
如果下次访问的时候有一个假冒的主机(同样的ip地址等信息),系统是能够发现的。
#新的机器地址和旧地址一样,只需要删除旧机器对应的公钥文件就可以重新连接上去了 .ssh/known\_hosts里面
openssh服务
OpenSSH是SSH(Secure SHell)协议的免费开源实现,一般在各种Linux版本中会默认安装,基于C/S结构
Openssh软件相关包组成:
- openssh
- openssh-clients:服务器的配置文件带D,客户端的配置文件不带D
- openssh-server:这个包定义了服务器的配置文件
#可以使用rpm -ql 包名 :查看软件包中的内容
服务端:
[root@Centos8 CA]# rpm -ql openssh-server
/etc/pam.d/sshd #服务端程序
/etc/ssh/sshd_config #服务端配置文件
/etc/sysconfig/sshd
...
服务端对应的unit文件:/usr/lib/systemd/system/sshd.service
客户端:
[root@Centos8 ~]# rpm -ql openssh-clients
/etc/ssh/ssh_config #客户端的配置文件,可以更改默认端口,公钥检查等
/etc/ssh/ssh_config.d
/etc/ssh/ssh_config.d/05-redhat.conf
/usr/bin/scp
/usr/bin/sftp
/usr/bin/ssh
/usr/bin/ssh-add
/usr/bin/ssh-agent
/usr/bin/ssh-copy-id
/usr/bin/ssh-keyscan
...
客户端:openssh-clients
Linux Client: ssh, scp, sftp,slogin #linux的openssh-clients经常使用的工具
Windows Client: xshell, MobaXterm, putty, securecrt, sshsecureshellclient
客户端 ssh命令
ssh命令:是ssh客户端的一个工具,允许实现对远程系统经验证地加密安全访问
#ssh客户端配置文件:
/etc/ssh/ssh_config
ssh命令使用格式
ssh [user@]host [COMMAND] 或者 ssh -l user host [COMMAND]
#后面加COMMAND,在远程主机上执行对应的命令
选项:
-p port #指定openssh-server使用的端口
-X #支持x11转发(远程显示的图形界面在本机显示(前提是双方都是图形界面))
-t #强制伪tty分配,通过间接的方式连接到目标主机
#如:ssh -t remoteserver1 ssh -t remoteserver2 ssh remoteserver3
-o option #如:-o StrictHostKeyChecking=no #表示登录的时候不用确认,直接下载公钥
-i <file> #指定私钥文件路径,实现基于key验证,默认使用文件: ~/.ssh/xxx
范例: 利用windows 显示 Linux 的图形工具
使用到了x协议,x协议是用来实现图形处理的。
#windows的图形界面和操作系统绑在一起的,linux里面图形界面只是一个组件,不输入操作系统本身。
x_server组件:一个服务器,是真正画图的组件
x_client组件:图形界面客户端,比如firefox等
x_client代指图形工具,运行一个x_client的时候,借助x协议把请求发送给x_server。
x_server再连接图形显卡进行界面的显示。
#两者可以属于不同的主机,可以使用不同的协议。
#利用windows 显示 Linux 的图形工具
在linux上装x_client,在windows上装x_server。
在linux运行客户端软件,通过x协议发送給windows的服务器,实现了windows显示linux上的图像。
#windeows的x\_server软件: xmanager(用的比较多)
#linux的x\_client:firefox
ssh登录验证的方式
- 口令验证
- 密钥验证
口令验证
1. 客户端发起ssh请求,服务器会把自己的公钥发送给用户
2. 用户会根据服务器发来的公钥对密码进行加密
3. 加密后的信息回传给服务器,服务器用自己的私钥解密,如果密码正确,则用户登录成功
密钥验证实现方式
在每次连接对方的时候就不用在输入密码了,可以直接连接
1. 首先在客户端生成一对密钥(ssh-keygen)(公钥、私钥)
2. 客户端的公钥通过ssh-copy-id命令拷贝到服务端,存放在(authorized_keys)这个文件中
3. 客户端再次发送连接请求,用客户端公钥加密并传给客户端
4.客户端接接收到这个加密的文件后用私钥解密,将解密的字符用服务器的公钥(第一次登录得到的)加密发给服务器端
5.服务端用自己的私钥解密得到结果。通过对比字符串来实现免密登录
实现基于密钥的登录方式实现过程
- 1.客户端生成密钥对
- 2.客户端把公钥拷给服务端
1.ssh-keygen:直接回车默认使用rsa这种非对称加密算法生成一个公钥私钥对文件
-f:指定公钥私钥存放的路径,不指定默认存放在家目录下的ssh这个隐藏文件 .ssh/xxx
-t:指定加密算法
-p: 指定密码
2.ssh-copy-id -i 公钥文件的路径 目标主机
会自动拷到目标主机额度.ssh目录下的authorized_keys这个文件中(不存在会自动创建)
范例
#使用sshpass工具实现非交互式登录:(一般用在脚本里面)
sshpass:实现口令的提交
前提:要实现和对方远程通信,需要先将对方的公钥加到自己的.ssh/known_hosts文件中
[root@centos8 ~]# sshpass -p 123456 ssh -o StrictHostKeyChecking=no root@10.0.0.8 #在访问对方的时候就不需要输入密码了
#非交互式实现公钥的拷贝
sshpass -p 123456 ssh-copy-id -i 本机的公钥 -o StrictHostKeyChecking=no 10.0.0.8(需要复制到的远程主机)
#范例:批量部署多台主机基于key验证脚本
#!/bin/bash #添加shebang机制
HOSTS=" #指定需要远程连接到的主机ip地址
10.0.0.6
10.0.0.7
10.0.0.18
10.0.0.28
"
PASS=redhat #用于存储这几台主机的密码
[ -f /root/.ssh/id_rsa ] || ssh-keygen -P "" -f /root/.ssh/id_rsa &> /dev/null #如果有私钥了就不用再创建了
apt -y install sshpass &> /dev/null #如果没有安装sshpass就安装
for i in $HOSTS;do #循环ip地址
{
sshpass -p $PASS ssh-copy-id -o StrictHostKeyChecking=no -i /root/.ssh/id_rsa.pub $i &> /dev/null #使用非交互式的方式来将自己的公钥拷贝过去 -i:指定私钥的路径
}& #后台并行执行
done
wait
#实现多台主机之间彼此都能基于Key验证
1.生成密钥对 ssh-keygen #默认保存在.ssh下面
2.将自己的私钥文件保存到自己的authorized_keys文件中。 ssh-copy-id 127.0.0.1
3.使用rsync工具将.ssh文件整个复制到目标所有主机
#例如:rsync -av .ssh serverhost/.ssh/root
#原理就是所有人共用一个公钥私钥对。 因为使用ssh-keygen生成一个密钥对是放在/.ssh里面的且authorized\_keys存放自己的公钥(自己信任自己)
如果生成密钥对的时候指定了密码:ssh-keygen -P 。下次远程的时候不想输入这个密码,
可以使用ssh-agent bash 来开启一个代理,然后把私钥的密码托管给代理
ssh-keygen -p
ssh-agent bash #是一个后台执行的程序
ssh-add #将要密码托管给agent,下次就不需要手动输入密码了
其他ssh客户端工具
他们都是基于ssh协议开发的ssh_client工具
- scp
- rsync
- stfp
scp:实现跨主机的远程拷贝
格式:
scp [选项] 源文件 目标文件
scp [选项] /source_file [user@]remote_houst/dest_file
scp [选项] [user@]remote_houst/dest_file /source_file
选项:
-r:复制文件夹
-P PORT 指明remote host的监听的端口
#复制目录文件后面有无斜线的区别
有斜线:复制文件夹里面的内容
无斜线:复制整个文件夹
rsync:实现数据的更新(增量备份)
主要用来实现数据的增量备份、数据的更新。
工具来源:rsync包
#通信双方都需要安装rsync这个工具
#选项:
-a:保留源文件的属性,但是无法保留acl和selinux属性 -a选项自带递归的功能
-v:显示详细的过程
--delete:保证两边的数据一样,如果目标文件存在某个源文件没有的文件,就会把目标文件的这个文件删除掉
rsync -av /etc server1:/tmp #复制目录和目录下文件
rsync -av /etc/ server1:/tmp #只复制目录下文件 和scp一样
rsync -av --delete source_file host:/dest_file | dest_file #可以跨主机备份也可以本地备份
sftp:交互式文件传输工具
用法和ssh工具差不多。
ssh服务器端配置
服务器端对应的程序名称:sshd
服务器端的配置文件: /etc/ssh/sshd_config
服务器端的配置文件帮助:man 5 sshd_config
Port #端口号,生产建议修改
ListenAddress ip
LoginGraceTime 2m
PermitRootLogin yes #默认ubuntu不允许root远程ssh登录
StrictModes yes #检查.ssh/文件的所有者,权限等
MaxAuthTries 6 #pecifies the maximum number of authentication
attempts permitted per connection. Once the number of failures reaches half this
value, additional failures are logged. The default is 6.
MaxSessions 10 #同一个连接最大会话
PubkeyAuthentication yes #基于key验证
PermitEmptyPasswords no #空密码连接
PasswordAuthentication yes #是否支持密码验证
GatewayPorts no
ClientAliveInterval 10 #单位:秒
ClientAliveCountMax 3 #默认3
UseDNS yes #改为no,一般用不到,可以让ssh连接速度加快
GSSAPIAuthentication yes #提高速度可改为no
MaxStartups #未认证连接最大值,默认值10
Banner /path/file
#以下可以限制可登录用户的办法:
AllowUsers user1 user2 user3
DenyUsers user1 user2 user3
AllowGroups g1 g2
DenyGroups g1 g2
ssh服务配置的最佳实践
建议使用非默认端口
禁止使用protocol version 1
限制可登录用户
设定空闲会话超时时长
利用防火墙设置ssh访问策略
仅监听特定的IP地址
基于口令认证时,使用强密码策略,比如:tr -dc A-Za-z0-9_ < /dev/urandom | head -c 12| xargs
使用基于密钥的认证
禁止使用空密码
禁止root用户直接登录
限制ssh的访问频度和并发在线数
经常分析日志
范例:
#设置 ssh 空闲60s 自动注销
Vim /etc/ssh/sshd_config
ClientAliveInterval 60
ClientAliveCountMax 0
Service sshd restart
#注意:新开一个连接才有效
#解决ssh登录缓慢的问题
vim /etc/ssh/sshd_config
UseDNS no
GSSAPIAuthentication no
#在 ubuntu 上启用 root 远程ssh登录
#修改sshd服务配置文件
vim /etc/ssh/sshd_config
#PermitRootLogin prohibit-password 注释掉此行
PermitRootLogin yes 修改为下面形式
ssh客户端的配置
客户端名称:ssh
配置文件:
/etc/ssh/ssh_config #客户端的配置文件,可以更改默认端口,公钥检查等
轻量自动运维化工具
- sshfs
- pssh
- sshpass
挂载远程ssh目录:
sshfs:由EPEL源提供,目前CentOS8 还没有提供,可以利用ssh协议挂载远程目录
轻量级自动化运维工具 pssh
#范例
sshfs 10.0.0.8:/data /mnt #将远程主机的data目录挂载到本地的mnt目录
pash
pssh:批量管理目标主机,需要提前做好基于key验证。,可在多台服务器上执行命令的工具,也可实现文件复制,提供了基于ssh和scp的多个并行工具
选项:
-H:指定要远程管理的主机地址
-h file:主机列表文件,内容格式”[user@]host[:port]”
-A :手动输入密码模式
-i:每个服务器内部处理信息输出
范例
#默认使用ssh的key认证,通过 -A选项,使用密码认证批量执行指令
pssh -H "192.168.1.10" -A hostname
#多台主机
pssh -H "192.168.1.10 192.168.1.20" -i hostname
#多台主机
cat hosts.txt
10.0.0.8
10.0.0.6
pssh -h hosts.txt -i hostname
#将标准错误和标准正确重定向分别保存至本地主机的/data/stdout和/data/stderr目录下
pssh -H 192.168.1.10 -o /data/stdout -e /data/stderr -i “hostname”
-o:输出的文件目录
-e:错误输出文件
#使用pssh的时候 变量 *号等通配符需要使用单引号括起来
pscp.pssh命令
是将本地文件批量复制到远程主机
#选项:
-v 显示复制过程
-r 递归复制目录
#将本地curl.sh 复制到/app/目录
pscp.pssh -H 192.168.1.10 /root/test/curl.sh /app/
pscp.pssh -h host.txt /root/test/curl.sh /app/
#将本地多个文件批量复制到/app/目录
pscp.pssh -H 192.168.1.10 /root/f1.sh /root/f2.sh /app/
#将本地目录批量复制到/app/目录
pscp.pssh -H 192.168.1.10 -r /root/test/ /app/
pslurp命令
将远程主机的文件批量复制到本地
#批量下载目标服务器的passwd文件至/app下,并更名为user
pslurp -H 192.168.1.10 -L /app /etc/passwd user
#选项
-L 指定从远程主机下载到本机的存储的目录,local是下载到本地后的名称
-r 递归复制目录
转载请注明:xuhss » Linux ssh协议