ssh服务的配置使用

• open-ssh服务
• ssh实验

---

• open-ssh 远程服务工具Telnet、sshd等，Telnet传输基于明文，认证等均为非加密；ssh协议开源的实现：centos 6 7默认安装，Secure remote shell，允许认证加密方式登录。
  • 服务安装配置 系统默认安装：

[root@xt ~]# rpm -qa | grep ssh
libssh2-1.4.3-10.el7.x86_64
openssh-6.6.1p1-22.el7.x86_64
openssh-server-6.6.1p1-22.el7.x86_64
openssh-clients-6.6.1p1-22.el7.x86_64

	配置文件：	

server：/etc/ssh/sshd_config
client：/etc/ssh/ssh_config

	服务脚本：
	  CentOS 6：
			服务脚本：/etc/rc.d/init.d/sshd
		CentOS 7：
			Systemd Unit File：/usr/lib/systemd/system/sshd.service 
- 客户端工具
	Windows： xshell, securecrt,  putty...；
	openssh-clients使用：
	ssh   [options]  [user@]host  [command]
	ssh  [-l user]  [options]  host  [command]:省略用户名表示使用当前用户名作为远程登录的用户名
	常用选项：

-P port ：用于指定远程服务的端口
-X ：支持X11转发，在本地显示远程主机上的图形窗口，但	前提：本地是X图形界面，或者提供了x service；

	sh远程连接服务器时的配置选项，定义在/etc/ssh/ssh_config配置文件中
- 认证方式
	1.基于口令认证：即每次ssh交互输入登录密码
	2.基于密钥认证：非对称加密
		- 在本地主机生成一对密钥
			ssh-keygen  [-q]  [-b bits]  [-t type]  [-f output_keyfile] [-P passphrase]
			-t {rsa|ecdsa|dsa}: 公钥加密算法，默认rsa 2048
			-b bits:密钥长度
			-P passphrase ：私钥加密密码
			-f  output_keyfile：生成密钥的保存位置: ~/.ssh/identity, ~/.ssh/id_dsa, ~/.ssh/id_ecdsa, ~/.ssh/id_ed25519 or ~/.ssh/id_rsa
			#ssh-keygen -t rsa -P '' -f ~/.ssh/id_rsa >/dev/null 2>&1
		- 在本地主机将公钥复制到远程主机的用户家目录
			ssh-copy-id -i identity_file [-p port] [user@]host
			ssh-copy-id -i .ssh/id_rsa.pub centos@192.168.0.10
- scp基于ssh实现跨主机文件复制
	复制文件到远程主机：scp  [options]  /PATH/TO/SOMEFILE   [user@]host:/PATH/TO/SOMEFILE
	复制文件到本地主机：scp  [options]  [user@]host:/PATH/TO/SOMEFILE   /PATH/TO/SOMEFILE
	常用选项：
		-r:递归
		-p:保持源文件权限
		-q: 静默模式
		-P port：指定远程服务的端口			
		
- 最佳实践

1、不要使用默认端口；
2、禁止使用protocol version 1；Protocol 2
3、限制可登录的用户；
			在配置文件中配置：
			AllowUsers  user1 user2 ...
			AllowGroups group1 group2...
			DenyUsers  user1 user2...
			DenyGroups group1 group2
4、设定空闲会话超时时长；
5、利用防火墙设置ssh访问策略；
6、仅监听特定的IP地址；
7、基于口令认证时，使用强密码策略（可以禁止）
			# tr -dc A-Za-z0-9_ < /dev/urandom | head -c 20 | xargs
8、使用基于密钥的认证；
9、禁止使用空密码；
10、禁止root用户直接登录；
11、限制ssh的访问频度和并发在线数；
12、做好日志，经常分析；
13、设置TCP Wrappers
			用TCP Wrappers可以阻止或允许应用服务仅对某些主机开放，给系统在增加一道安全屏障。这部分设置共涉计到两个文件：hosts.allow和 hosts.deny
			eg: 在白名单中允许特定的主机访问
			sshd：192.168.0.100 192.168.0.200

实验环境：

实验1：模拟中间人attack 首先客户端与server建立ssh通信，客户端从服务端下载公钥保存在家目录.ssh/known_hosts文件，此时可以基于密码或者密钥远程登录server。修改server的密钥文件模拟server attacked：

实验2：密钥互信实验

[root@xt .ssh]# ls
id_rsa  id_rsa.pub  known_hosts
[root@xt .ssh]# ssh root@192.168.0.109 hostname
node1.xuetong.com

这样就实现了免密登录，由于使用空密钥，id_rsa* 这两个文件有可能被窃取，伪装成客户端，可以使用对文件加密。

此时同样把公钥发送给node1 但此时还是要交互输入密码。此密码保证了文件的安全性，仅在此机器有效。可以通过使用ssh-agent作为代理，免去输入密码。