Linux中怎么搭建SSH远程连接服务器
一,远程连接服务器
1,怎么是远程连接服务器
远程连接服务器通过文字或图形接口方式来远程登陆系统,使我们可以在远程终端登陆Linux主机以取得操作主机接口的权限。
SSH建立在应用层基础上的安全协议,该协议目前较可靠,专为远程登陆会话和其他网络服务提供安全性的协议,它可以有效地防止远程管理过程中的信息泄露问题。
2,远程连接服务器的功能
(1)分享主机运算能力
(2)服务器类型有限度开放连接
(3)工作站类型,只对内网开放
3,常见的几种远程连接方式
协议 | 注解 |
RDP | windows远程桌面管理图形界面 |
Telnet | CLI界面下远程管理,几乎所有操作系统都有(内容明文传输) |
ssh | CLI界面下的远程管理,几乎所有操作系统都有(内容加密传输) |
RFB | 图形化远程管理协议 VNC使用的协议 |
二,Telnet 远程连接方式
telnet命令用于登录远程主机,对远程主机进行管理。telnet因为采用明文传送报文,安全性不好,很多Linux服务器都不开放telnet服务,而改用更安全的ssh方式了。但仍然有很多别的系统可能采用了telnet方式来提供远程登录,因此弄清楚telnet客户端的使用方式仍是很有必要的。
Telnet服务端口号是23,数据是明文的(这也是为什么它不安全的原因,很多黑客都喜欢利用telnet 来进行攻击),telnet服务默认不可以让root用户远程连接
telnet命令的一般形式为:telnet 主机名/IP。
其中“主机名/IP”是要连接的远程机的主机名或IP地址。如果这一命令执行成功,将从远程机上得到login:提示符。
使用telnet命令登录的过程如下:
$ telnet 主机名/IP
- 启动telnet会话
- 一旦telnet成功地连接到远程系统上,就显示登录信息并提示用户输人用户名和口令。如果用户名和口令输入正确,就能成功登录并在远程系统上工作。
- 在telnet提示符后面可以输入很多命令,用来控制telnet会话过程。
- 用户结束了远程会话后,一定要确保使用logout命令退出远程系统。然后telnet报告远程会话被关闭,并返回到用户的本地机的Shell提示符下。
三,SSH连接加密技术
1,非对称密钥加密
非对称加密为数据的加密解密提供了一个非常安全的方法,它使用了两把钥匙分别是公钥和私钥。私钥只能由一方安全保管,不可外泄,公钥可以发给任何请求需要的人。非对称加密使用这对密钥中的一个进行加密,而解密则需要另一个密钥。
2,对称密钥加密
发送方和接收方用一个相同的密钥去加密和解密数据
3,密钥技术证书
- PFX标准:公钥加密技术12号标准,它为存储和传输用户或服务器私钥、公钥以及证书指定了一个可移植的格式。它是一种二进制格式的文件,也称作PFX文件。该证书包含了私钥和公钥,从该证书导出私钥的时候,是需要输入密码的。因此即使别人获取了你的证书,他无法知道提取私钥所需的密码,还是很安全的。
- CER:用于存储公钥证书的文件格式。该证书只包含公钥,类似于访问某些基于https协议传输的网站,该网站的公钥是公开的,它会通过cer这种证书格式发送给客户端。
- RSA: 一种非对称密码算法。
(1)什么是证书:
证书说白了就是证明身份,是为了保证访问的人就是你要访问的人。它保证了密钥的合法性,将公钥与拥有对应私钥的主体标识信息捆绑在一起。
证书的格式遵循由国际电信联盟制定的X.509标准
X.509证书包含信息 |
1、使用者的公钥值 |
2、使用者的标识信息(如名称或电子邮件) |
3、证书的有效时间 |
4、颁发者的标识信息 |
5、颁发者的数字签名 |
证书常用于web服务器身份验证、web用户身份验证、安全电子邮件、Internet协议安全。它是由权威公正的第三方机构CA签发。
(2)CA(证书颁发机构):
CA(Certificate Authority,证书颁发机构):它的核心功能是颁发与管理数字证书,除此之外,它更承担了公钥体系中公钥的合法性检验的责任。
CA的作用包含以下几点 |
1、处理证书申请 |
2、鉴定申请者是否有资格接收证书 |
3、证书的发放、更新 |
4、接收最终用户数字证书的查询、撤销 |
5、产生和发布证书吊销列表 |
6、数字证书、密钥和历史数据的归档 |
(3)证书发放过程:
图中RA为注册中心,CA为认证中心。注册中心可以有很多个,它负责审核证书申请者的真实身份。当有用户需要申请证书的时候:首先先向注册中心RA提出申请,RA收到后核实该用户是否符合受理;如果符合那么RA会向CA申请,CA收到后会将证书传给RA,最后由RA将证书传给用户。
四,SSH远程连接验证方式
SSH远程连接验证方式有两种,一种基于口令验证,但不太安全。因此有了第二种基于密钥进行安全验证。
1,基于口令的安全验证
这个只需要你拥有自己的账号和口令,就可以远程登陆到主机。虽然所有传输的数据都会被加密,但是不能保证你登陆的服务器就是你想登陆的。这很有可能会有别的服务器冒充真正的服务器,不安全。
2、基于密钥的安全验证
这种就相对比较安全,它依靠的是非对称加密算法传输密钥的。
SSH连接过程: |
首先:客户端向服务端发起三次握手,建立连接 |
1、首先服务端会通过非对称加密,产生一个公钥和私钥 |
客户端服务端之间开始协商:算法、版本信息,为密钥交换做准备: |
2、客户端向服务端发送协议版本、自己支持的加密算法、一个随机数(明文) |
3、服务端收到后,选取加密算法然后告诉客户端,除此之外还包含:自己的证书(证书中包含公钥)、一个随机数(明文) |
4、客户端验证服务端的证书:验证通过后生成另一个随机数(密文),并用证书中的公钥加密该数,发送给服务端 |
6、服务端通过自己的私钥解密获得这串随机数 |
7、之后双方根据约定好的加密算法对上边的三个随机数进行加密,得到一个会话密钥,接下来的通信就用这个会话密钥做对称加密。 |
如果用图片表示就是这样:
五,了解 SSH 配置
1、检查SSH包的安装
默认都是安装好的,保险起见,我们检查一下。使用rpm -qf 查看该服务是否安装,发现已经安装。使用rpm -ql 查看该SSH包安装后都释放了哪些文件,我们从中可以看到有关SSH服务端的配置文件在 /etc/ssh/sshd_config 中,除此之外,在该文件的同目录中,还有ssh_config这个文件也是有关SSH配置的,但是该文件是属于客户端的配置文件。
2、sshd_config配置注解:
vim /etc/ssh/sshd_config(节选,开头数字表示行数)
17 #Port 22
18 #AddressFamily any
19 #ListenAddress 0.0.0.0
20 #ListenAddress ::
22 HostKey /etc/ssh/ssh_host_rsa_key
23 #HostKey /etc/ssh/ssh_host_dsa_key
24 HostKey /etc/ssh/ssh_host_ecdsa_key
25 HostKey /etc/ssh/ssh_host_ed25519_key
37 #LoginGraceTime 2m
38 #PermitRootLogin yes
39 #StrictModes yes
40 #MaxAuthTries 6
41 #MaxSessions 10
43 #PubkeyAuthentication yes
47 AuthorizedKeysFile .ssh/authorized_keys
65 PasswordAuthentication yes
69 ChallengeResponseAuthentication no
71 # Kerberos options
115 #UseDNS yes
133 Subsystem sftp /usr/libexec/openssh/sftp-server
17默认监听端口为22端口
18IPV4和IPV6协议家族支持哪个,any表示二者均支持
19指明监听的地址,0.0.0.0表示本机的所有地址都可以被登陆
20指明监听的IPV6的所有地址格式,::表示支持本地所有
22默认rsa私钥认证
23支持dsa私钥认证
24支持ecdsa私钥认证
25支持ed25519私钥认证
37登录的宽限时间为2分钟,默认2分钟没有输入密码,则自动断开连接
38是否允许管理员直接登录,yes表示允许
39是否让sshd去检查用户主目录或相关文件的权限数据,yes表示允许
40最大认证尝试次数,6表示最多只有6次机会。继续输错之后需要等待时间才能再次输入密码
41允许的最大会话数,10表示最多开启10个会话
43公钥认证,开启
47服务器识别公钥时,会匹配 .ssh/名为authorized_keys文件,然后将公钥发给客户端,因此我们需要把有关公钥的文件名字改为这个名字。
65是否允许支持基于口令的认证,是
69是否允许任何的密码认证,否
71是否支持kerberos(基于第三方的认证,如LDAP)认证的方式,默认为no
115是否开启DNS,是(关闭的话可以在连接服务端时更快一些)
113默认验证信息基于SFTP传输,如果在该段文字前加上“#”则不支持SFTP连接
注:
以上#开头的英文行,表示系统默认执行的,如果要修改建议不要删除原有文字,去掉#另写一行自己需要的配置则原默认的不再生效。
3,修改配置文件
(1)17行修改端口号为2222后,登录的格式为ssh 192.168.112.132 2222(注意IP和端口号之间没有“:”是空格),命令如下,修改之后重启服务。让防火墙允许,回车显示成功(如果防火墙关闭就没必要写这些)。添加自定义端口到服务,之后回车没有错误,但如果提示 ValueError: Port tcp/4444 already defined 没关系,我们可以再换一个端口试试。
(2)38行配置不允许管理员登录的话,即使管理员输入正确的密码也无法登录,因此可以设定特定的用户可以登录。
(3)65行修改密码认证改为no,我们新建对话:此时就需要调用证书进行连接会话
(4)可以在配置文件中加入 AllowUsers A B C 一行,可以让特定的用户SSH登录,其他的用户无法登录。 其中,A、B、C表示为允许登录的账号,多个用户之间用空格隔开。
六,搭建SSH服务
1,基于口令的SSH登录
首先我们用Xshell分别连接两台虚拟机,一台模拟服务端,一台模拟客户端。
输入指令 ssh root@172.16.1.7 -p 22 ,之后输入服务端的密码,然后成功远程登录。如下
2、两台虚拟机之间实现SSH互信,免登录
该实验证明的是不通过口令登录即可实现远程连接。但由于对端要有本端的公钥,因此在传输的时候,我们是先用口令传输公钥给对端,对端收到后,再关闭基于口令的远程登录。最后再测试双方拿着对端的公钥,在用口令登录的方式没有的时候,看是否能实现登录。
(1)首先在任意一台虚拟机上创建密钥对:使用命令 ssh-keygen -t rsa
① ssh-keygen表示生成、管理和转换认证密钥,-t rsa指定算法类型为rsa。
②密钥所在位置为 /root/.ssh/ 中,密钥的文件名叫做 id_rsa 。
(2)输入密码,默认为空。由于我们直接基于钥匙来认证,这里直接回车,不设置密码。
(3)于上一步骤一致:回车。最后基于RSA算法随机生成长度为2048的密钥图片。
(4)此时我们使用命令:ll /root/.ssh/ 查看到存放密钥的目录,发现有两把钥匙,公钥和私钥。
(5)然后我们将公钥发给另一台虚拟机Client,使用命令: scp /root/.ssh/id_rsa.pub root@192.168.112.129:/root/.ssh/authorized_keys (也可以使用ssh-copy-id -i /root/.ssh/rsa.pub root@192.168.112.129)将该公钥文件发送到另一台虚拟机的指定目录,并取名为 authorized_keys 这是由于配置文件只识别该文件作为公钥文件。如果原来的文件名不改,则会提示权限被拒绝。
之后它会提示无法确定主机的真实性,问你是否需要继续连接。我们输入yes后,它会要求输入对端口令,我们输入后便成功将公钥给了另一台虚拟机。
(6)我们修改配置文件 vim /etc/ssh/sshd_config ,将65行的yes改为no:PasswordAuthentication no。最后我们检测直接登录对端,发现没有输入口令,直接登录进去。
(7)以上就实现了SSH单方面信任,然后我们回头看,会在.ssh/下又多了一个文件,该文件记录了与谁之间的信任,如果删除该文件,还需要重新进行连接。只要对端有自己的公钥就没有关系,输入yes后,继续连接也可以,并没有输入密码。除此之外,还要说明的是这里只将Server的公钥给了Client,但是Client并没有把公钥给Server,因此Server能免密登录Client,而Client不能实现免密登录Server。要实现互信,双方都需要有对方的公钥,这里不再做演示。
3,通过Xshell使用证书进行登录
本次实验与之前实验无关,如果不想恢复快照,请删除/root/.ssh下的所有文件,该实验仅需要一台虚拟机即可。思路与之前一致,先打开密码认证并传输私钥至windows,然后关闭密码认证,使用私钥证书进行登录。
(1)首先保证虚拟机上开启基于密码的认证: vim /etc/ssh/sshd_config
65行:PasswordAuthentication yes
(2)紧接着创建密钥对:使用命令: ssh-keygen -t rsa -b 4096 指定类型为rsa,指定大小为4096。然后回车回车。
(3)创建密钥对好后,我们使用命令将公钥文件名进行重命名为服务可识别的公钥名字。
(4)切换到/root/.ssh目录 点击Xshell文件传输图标,双击私钥文件id_rsa,此时文件已被传输至windows桌面。紧接着我们关闭密码登录,重启服务后准备检测。
(5)检测:我们新建一个对话窗口,然后点击浏览,选择文件为私钥文件,最后点击确认。我们便成功发现已经登录进来。
但是我们发现传输私钥是一种很不安全的行为,对此xshell将私钥通过加密算法为公钥,这样使得密钥传输变得更安全。
点击工具,然后用户密钥管理者。
然后导入选中密钥文件,紧接着点击生成公钥。
选择公钥类型为rsa类型,长度自己选。然后下一步。
密码跳过,我们就不再设置了。
看到以下画面时,说明该私钥文件转换为的公钥文件已经好了。
之后再把这个文件移动到虚拟机里面,同样命名为authorized_keys。当下次需要登录时,我们将证书文件选择为刚才生成的id_rsa_1024这个密钥(注意点击浏览后选择用户密钥,不是文件。这里已经基于私钥文件生成了一个公钥)确认,便成功登录。
七,如何编写脚本进行批量分发公钥
如果想通过脚本进行批量分发公钥,会出现什么问题?
- 需要有确认yes或no的交换过程
- 需要输入密码信息
- 服务端端口号变化了,如何分发公钥
1,如何不用交互输入密码信息,进行远程连接分发公钥
- 下载安装软件
yum install -y sshpass
- 执行免交互方式分发公钥命令
sshpass -p123455789(要登录服务器的密码) ssh-copy-id -i /root/.ssh/id_dsa.pub root@172.16.1.41
2,如何不要输入连接yes或no的确认信息
ssh-copy-id -i /root/.ssh/id_dsa.pub root@172.16.1.41 "-o StrictHostKeyChecking=no"
3,服务端口号发生变化,如何进行批量分发公钥
sshpass -p123456 ssh-copy-id -i /root/.ssh/id_dsa.pub root@172.16.1.41 -p 52113 (输入改变的端口号)"-o StrictHostKeyChecking=no"
4,分发公钥脚本
[root@m01 scripts]# vim fenfa_pub_key.sh
#!/bin/bash
for ip in {1..100}
do
echo "==================== host 172.16.1.$ip pub-key start fenfa ==================== "
sshpass -p123456 ssh-copy-id -i /root/.ssh/id_dsa.pub root@172.16.1.$ip "-o StrictHostKeyChecking=no" &>/dev/null
echo -e "host 172.16.1.$ip fenfa success."
echo "==================== host 172.16.1.$ip fenfa end ==================== "
echo ""
done
5,分发公钥检查脚本(批量管理脚本) — 串型批量管理
[root@m01 scripts]# cat check_pub_key.sh
#!/bin/bash
CMD=$1
for ip in {7,31,41}
do
echo "==================== host 172.16.1.$ip check ==================== "
ssh 172.16.1.$ip $CMD
echo ""
done
八,一些注意事项
1,SSH服务配置文件 相关建议
/etc/ssh/sshd_config
Port 22 --- 修改服务端口信息
ListenAddress 0.0.0.0 --- 监听地址 指定一块网卡能够接受远程访问请求 *****
PS: 指定监听地址只能是本地网卡上有的地址
PermitEmptyPasswords no --- 是否允许远程用户使用空密码登录,默认不允许
PermitRootLogin yes --- 是否禁止root用户远程连接主机 建议改为no
GSSAPIAuthentication no --- 是否开启GSSAPI认证功能 不用的时候关闭
UseDNS no --- 是否开启反向DNS解析功能 建议进行关闭
2,SSH远程服务防范入侵
- 用密钥登录,不用密码登陆
- 牤牛阵法:解决SSH安全问题
- 防火墙封闭SSH,指定源IP限制(局域网、信任公网)
- 开启SSH只监听本地内网IP(配置文件中:ListenAddress 172.16.1.61)
- 尽量不给服务器外网IP
- 给系统的重要文件或命令做一个指纹,监控
/etc/passwd md5sum 11110000aaaabbbb 监控
inotify /bin 监控
- 给他锁上 chattr +i
九,SSH相关总结
一,相关命令总结
- ssh-keygen 用于生成密钥对
- ssh-copy-id 用于复制公钥到服务器
- sshpass 可以在命令行直接使用密码来进行远程连接和远程拉取文件。
- ssh 可以执行连接命令
- scp 用于 Linux 之间复制文件和目录。scp 是 linux 系统下基于 ssh 登陆进行安全的远程文件拷贝命令。
- sftp
sftp是Secure File Transfer Protocol的缩写,安全文件传送协议。可以为传输文件提供一种安全的网络的加密方法。sftp 与 ftp 有着几乎一样的语法和功能。SFTP 为 SSH的其中一部分,是一种传输档案至 Blogger 伺服器的安全方式。SFTP本身没有单独的守护进程,它必须使用sshd守护进程(端口号默认是22)来完成相应的连接和答复操作,所以从某种意义上来说,SFTP并不像一个服务器程序,而更像是一个客户端程序。SFTP同样是使用加密传输认证信息和传输的数据,所以,使用SFTP是非常安全的。但是,由于这种传输方式使用了加密/解密技术,所以传输效率比普通的FTP要低得多,如果您对网络安全性要求更高时,可以使用SFTP代替FTP。
sftp 172.16.1.41
ls 查看远程ftp服务器信息
cd — 查看远程ftp服务器信息
lls 查看本地ftp客户端信息
lcd — 查看本地ftp客户端信息
get — 下载信息
put — 上传信息
help — 查看命令帮助
bye — 退出ftp连接
二,相关文件
- ~/.ssh/authorized_keys 用于保存用户的公钥文件
- ~/.ssh/known_hosts文件 保存的服务器用于辨别服务器的唯一散列码
- ~/.ssh/id_dsa 用户的私钥文件
- ~/.ssh/id_rsa.pub 默认生成的用户的公钥文件,用于将该公钥追加到需要登录的服务器authorized_keys文件
- /etc/ssh/ssh_config 客户端ssh配置
- /etc/ssh/sshd_config 服务端ssh配置