1.Openssh概念

OpenSSH 是 SSH (Secure SHell) 协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控件和文件传输过程中的数据,并由此来代替原来的类似服务。

2.使用ftp演示不安全性

 1.启动ftp服务

   Service    vsftpd  restart

 2.启动后查看21端口是否处于监听状态

Netstat -tnl

 3.执行操作,如添加用户等

Useradd   xiaoming

Passwd  xiaoming

输入密码

 4.使用tcpdump(抓包命令)查看刚才的操作信息

   tcpdump  -i  etho  -nnX  port  21

 5.在windows中使用ftp  hostName  连接刚才创建的用户

 6.查看抓到的包信息


  以上说明ftp协议是不安全的。

3.Openssh简介

   1.SSH端口:22

   2.Linux中守护进程:sshd

   3.安装服务:OpenSSH

   4.服务端主程序:/usr/sbin/sshd

   5.客户端主程序:/usr/bin/ssh

   6.服务端配置文件:/etc/ssh/sshd_config

   7.客户端配置文件:/etc/ssh/ssh_config

 

4.SSH加密原理


SSH之所以能够保证安全,原因在于它采用了公钥加密。

整个过程是这样的:(1)远程主机收到用户的登录请求,把自己的公钥发给 用户。(2)用户使用这个公钥,将登录密码加密后,发送回来。(3)远程主机用自己的私钥,解密登录密码,如果密码正确,就同意用户登录。

这个过程本身是安全的,但是实施的时候存在一个风险:如果有人截获了登录请求,然后冒充远程主机,将伪造的公钥发给用户,那么用户很难辨别真伪。因为不像https协议,SSH协议的公钥是没有证书中心(CA)公证的,也就是说,都是自己签发的。

可以设想,如果攻击者插在用户与远程主机之间(比如在公共的wifi区域),用伪造的公钥,获取用户的登录密码。再用这个密码登录远程主机,那么SSH的安全机制就荡然无存了。这种风险就是著名的"中间人攻击"(Man-in-the-middle attack)。

SSH协议是如何应对的呢?

SSH使用的是口令登录来保证身份验证的,具体如下:

如果你是第一次登录对方主机,系统会出现下面的提示:


这段话的意思是,无法确认host主机的真实性,只知道它的公钥指纹,问你还想继续连接吗?

所谓"公钥指纹",是指公钥长度较长(这里采用RSA算法,长达1024位),很难比对,所以对其进行MD5计算,将它变成一个128位的指纹。上例中是98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d,再进行比较,就容易多了。

很自然的一个问题就是,用户怎么知道远程主机的公钥指纹应该是多少?回答是没有好办法,远程主机必须在自己的网站上贴出公钥指纹,以便用户自行核对。

假定经过风险衡量以后,用户决定接受这个远程主机的公钥。

OpenSSH服务简介_简介

系统会出现一句提示,表示host主机已经得到认可。

OpenSSH服务简介_简介_02

然后,会要求输入密码。

OpenSSH服务简介_简介_03

如果密码正确,就可以登录了。

当远程主机的公钥被接受以后,它就会被保存在文件 $HOME/.ssh/known_hosts之中。下次再连接这台主机,系统就会认出它的公钥已经保存在本地了,从而跳过警告部分,直接提示输入密码。

每个SSH用户都有自己的known_hosts文件,此外系统也有一个这样的文件,通常是/etc/ssh/ssh_known_hosts,保存一些对所有用户都可信赖的远程主机的公钥。

 公钥登录

使用密码登录,每次都必须输入密码,非常麻烦。好在SSH还提供了公钥登录,可以省去输入密码的步骤。

所谓"公钥登录",原理很简单,就是用户将自己的公钥储存在远程主机上。登录的时候,远程主机会向用户发送一段随机字符串,用户用自己的私钥加密后,再发回来。远程主机用事先储存的公钥进行解密,如果成功,就证明用户是可信的,直接允许登录shell,不再要求密码。

这种方法要求用户必须提供自己的公钥。如果没有现成的,可以直接用ssh-keygen生成一个:

OpenSSH服务简介_简介_04

运行上面的命令以后,系统会出现一系列提示,可以一路回车。其中有一个问题是,要不要对私钥设置口令(passphrase),如果担心私钥的安全,这里可以设置一个。

运行结束以后,在$HOME/.ssh/目录下,会新生成两个文件:id_rsa.pub和id_rsa。前者是你的公钥,后者是你的私钥。

这时再输入下面的命令,将公钥传送到远程主机host上面:

OpenSSH服务简介_openssh_05

好了,从此你再登录,就不需要输入密码了。

如果还是不行,就打开远程主机的/etc/ssh/sshd_config这个文件,检查下面几行前面"#"注释是否取掉。

OpenSSH服务简介_openssh_06

然后,重启远程主机的ssh服务。

OpenSSH服务简介_简介_07

authorized_keys文件

 远程主机将用户的公钥,保存在登录后的用户主目录的$HOME/.ssh/authorized_keys文件中。公钥就是一段字符串,只要把它追加在authorized_keys文件的末尾就行了。

这里不使用上面的ssh-copy-id命令,改用下面的命令,解释公钥的保存过程:

OpenSSH服务简介_openssh_08

这条命令由多个语句组成,依次分解开来看:(1)"$ ssh user@host",表示登录远程主机;(2)单引号中的mkdir .ssh && cat >> .ssh/authorized_keys,表示登录后在远程shell上执行的命令:(3)"$ mkdir -p .ssh"的作用是,如果用户主目录中的.ssh目录不存在,就创建一个;(4)'cat >> .ssh/authorized_keys' < ~/.ssh/id_rsa.pub的作用是,将本地的公钥文件~/.ssh/id_rsa.pub,重定向追加到远程文件authorized_keys的末尾。

写入authorized_keys文件后,公钥登录的设置就完成了。

我们一般建议使用秘钥登录,更加安全


5.SSH配置文件

1) 客户端配置文件默认路径/etc/ssh/ssh_config,服务器端配置文件默认路径/etc/ssh/sshd_config

2) 服务器端Sshd_config配置文件介绍(日常常用的配置项)

  

#Port 22 (默认的监听端口,如果需要改端口需打开注释)

#AddressFamily any

#ListenAddress 0.0.0.0 (监听IP,0.0.0.0表示监听任何ip

#ListenAddress ::


# Disable legacy (protocol version 1) support in the server for new

# installations. In future the default will change to require explicit

# activation of protocol 1

          Protocol 2 

            (设置使用的ssh协议为ssh1或ssh2,如果仅仅使用ssh2,

                        设置为Protocol 2即可


# HostKeys for protocol version 2

#HostKey /etc/ssh/ssh_host_rsa_key  (私钥的保存位置)

#HostKey /etc/ssh/ssh_host_dsa_key


# Lifetime and size of ephemeral version 1 server key

#KeyRegenerationInterval 1h

#ServerKeyBits 1024  (私钥的位数)


# Logging

# obsoletes QuietMode and FascistLogging

#SyslogFacility AUTH  (日志记录SSH登录情况)

SyslogFacility AUTHPRIV

#LogLevel INFO      (日志级别)


# Authentication:


#LoginGraceTime 2m

#PermitRootLogin yes  (允许rootssh登录,一般设置为no

#StrictModes yes

#MaxAuthTries 6

#MaxSessions 10


#RSAAuthentication yes

#PubkeyAuthentication yes (是否使用公钥验证)

#AuthorizedKeysFile.ssh/authorized_keys (公钥保存位置)

#AuthorizedKeysCommand none

#AuthorizedKeysCommandRunAs nobody


# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts

#RhostsRSAAuthentication no

# similar for protocol version 2

#HostbasedAuthentication no

# Change to yes if you don't trust ~/.ssh/known_hosts for

# RhostsRSAAuthentication and HostbasedAuthentication

#IgnoreUserKnownHosts no

# Don't read the user's ~/.rhosts and ~/.shosts files

#IgnoreRhosts yes


# To disable tunneled clear text passwords, change to no here!

#PasswordAuthentication yes  (允许使用密码验证登录)

#PermitEmptyPasswords no    (不允许空密码登录)

PasswordAuthentication yes


# Change to no to disable s/key passwords

#ChallengeResponseAuthentication yes

ChallengeResponseAuthentication no


# Kerberos options

#KerberosAuthentication no

#KerberosOrLocalPasswd yes

#KerberosTicketCleanup yes

#KerberosGetAFSToken no

#KerberosUseKuserok yes


# GSSAPI options

#GSSAPIAuthentication no

GSSAPIAuthentication yes (GSSAPI认证开启)

#GSSAPICleanupCredentials yes

GSSAPICleanupCredentials yes

#GSSAPIStrictAcceptorCheck yes

#GSSAPIKeyExchange no

6.SSH命令

  1).SSH远程管理命令

      ssh  用户名@IP

  2)scp远程复制

      下载:scp  root@192.168.44.2:/root/test.txt

      上传:scp  -r /root/123/  root@192.168.44.2/root

  3)sftp文件传输

        Sftp  root@192.168.4.2

          -ls   查看服务器端数据

          -cd  切换服务器端目录

          -lls  查看本地数据

         -lcd 切换本地目录

         -get   下载

         -put   上传

   例子:get  bcd  /root  (把bcd文件下载到本地root目录下)