openssh服务以及基于ssh的双机互信配置

原创

玄烨918 2015-10-21 17:16:02 博主文章分类：常见服务 ©著作权

文章标签 ssh 文章分类 服务器

©著作权归作者所有：来自51CTO博客作者玄烨918的原创作品，请联系作者获取转载授权，否则将追究法律责任

在实现日常的维护和管理，我们经常需要远程登录到服务器，在早期，实现这个功能的协议是telnet，现在也较少的使用到，但是telnet一个致命的缺陷就是其不光是数据传输是明文的，就连用户的认证也是明文的，这在互联网是极其不安全的。

为了实现安全的管理，现在远程登录的时候使用的是都是ssh（secure shell）协议，ssl协议有v1,v2版，但是V1版本因为自身的缺陷也满足不了现在的需求。同telnet一样，ssh协议的实现也是c/s架构，client端可以通过帐号密码的方式登录到server端，server端是一个时时监听在某个套接字上的进程，然后client将用户的指令发送到server端，在server端执行之后，server端的服务器进程再将运行的结果发送给client端。使用ssh的时候这一切过程都是加密的。

在linux上，实现ssh的工具是openssh系列

server端：openssh-server

client端：openssh-clients

还有openssh，生成ssh-keygen工具等。这些软件包一般都需要安装

在redhat的系统上，openssh-server是默认安装并且开机自动启动的。安装生成的服务器端可执行程序的名称是sshd，可以使用service sshd status查看当前系统的sshd是否运行

sshd配置文件/etc/ssh/在该目录下还存放有ssh客户端的配置文件，下面是该目录下的文件：

sshd_config就是sshd的配置文件，配置文件中经常用到的参数：

port 22指定sshd监听的端口（tcp）

protocol 2 使用的ssh协议版本

KeyRegenerationInterval 1h随机生成的临时密钥更换时间，默认是一小时

LoginGraceTime 2m客户端发出请求，等待客户端发送账号的超时时间，或者是等待用户输入密钥的超时时间

PermitRootLogin yes是否允许管理员远程登录

PasswordAuthentication yes是的允许基于口令的远程连接

Subsystem sftp /usr/libexec/openssh/sftp-server是SSH软件包中包含的一个安全文件传输子系统，基于ssh实现安全传输，基于ssl实现的时候成为ftps。SFTP本身没有单独的守护进程，它必须使用sshd守护进程（端口号默认是22）来完成相应的连接操作，所以从某种意义上来说，SFTP并不像一个服务器程序，而更像是一个客户端程序。SFTP同样是使用加密传输认证信息和传输的数据，所以，使用SFTP是非常安全的。但是，由于这种传输方式使用了加密/解密技术，所以传输效率比普通的FTP要低得多，如果您对网络安全性要求更高时，可以使用SFTP代替FTP。

SSH会话的建立过程：1.基于口令认证

2.基于密钥认证

基于口令认证：

a.客户端发起请求（eg 上述192.168.0.1），双方协商使用哪种算法

b.服务器端向客户端发送一个主机密钥信息（server的公钥），就是/etc/ssl/下的，如果是rsa算法，就发送ssh_host_key.pub,然后保存在客户端当前用户的家目录下的.ssh目录下，文件名是knows-hosts由于没有pki平台中的CA，所以要靠客户端去决定是否信任此公钥

c.如果客户端信任，客户端会生成一个随机数作为临时会话密钥（对数据对称加密）加密帐号，然后再使用对方的公钥加密生成的对称密钥

d.客户端发送用户认证密钥，会话建立

sshd服务在启动的时候会开启一个sshd主进程，这个主进程主要用于接收用户请求，然后对于每一个客户端生成一个sshd子进程去响应

基于密钥认证：

客户端（基于某用户实现）

原理：1.客户端生成一对密钥，使用ssh-keygen生成，假设用户是A

2.将密钥对中的公钥传输到server端的某用户（B用户）的家目录下的.ssh目录下保存为文件名是authorized.key的文件即可