导图

1.SSH(Secure Shell   安全外壳协议)

  • 是一种安全通道协议,主要用来实现字符界面的远程登录、远程 复制等功能。
  • SSH 协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令,SSH 为建立在应用层和传输层基础上的安全协议。
  • 对数据进行压缩,加快传输速度。

2.SSH的优点

 

 

  • 数据传输是加密的,可以防止信息泄漏

  • 数据传输是压缩的,可以提高传输速度

  • 与早期的Telnet(远程登录)、rsh(远程执行命令)、rcp(远程文件控制)等相比,SSH协议提供了更好的安全性

4.常见的ssh协议

ssh软件包 
ssh协议

openssh   centos7上自带的软件 帮助我们实现远程连接

字符界面远程连接
/etc/ssh/
服务端 配置文件 sshd_config
客户端 配置文件 ssh_config       ssh:可以远程连接   scp sftp rsync:远程传输文件



客户端:
Linux Client: ssh, scp, sftp,slogin

Windows Client:xshell, MobaXterm,putty, securecrt, sshsecureshellclient

OpenSSH 是实现SSH协议的开源软件项目,适用于各种UNIX、 Linux 操作系统。

Centos 7系统默认已安装openssh相关软件包,并将sshd 服务添加为开机自启动。

执行"systemctl start sshd"命令即可启动sshd 服务

sshd 服务默认使用的是TCP的22端口,安全协议版本sshv2,出来2之外还有1(有漏洞)ftp  20 21

sshd服务的默认配置文件是/etc/ssh/sshd_config
ssh_config和sshd_config都是ssh服务器的配置文件,二者区别在于前者是针对客户端的配置文件,后者则是针对服务端的配置文件。

5.SSH服务器

5.1OpenSSH

• 服务名称: sshd
• 服务端主程序: /usr/sbin/sshd
• 服务端配置文件: /etc/ssh/sshd_ config

 

6.SSH原理

6.1公钥传输原理:

 

 过程:

  • 客户端发起链接请求

  • 服务端返回自己的公钥,以及一个会话ID(这一步客户端得到服务端公钥)

  • 客户端生成密钥对

  • 客户端用自己的公钥异或会话ID,计算出一个值Res,并用服务端的公钥加密

  • 客户端发送加密值到服务端,服务端用私钥解密,得到Res

  • 服务端用解密后的值Res异或会话ID,计算出客户端的公钥(这一步服务端得到客户端公钥)

  • 最终:双方各自持有三个秘钥,分别为自己的一对公、私钥,以及对方的公钥,之后的所有通讯都会被加密

6.2登陆

sshd服务支持登录验证方式有:密码验证和密钥对验证,可以设置只使用其中一种,也可以都启用

6.2.1 密码验证:

以服务器中本地系统用户的登录名称、密码进行验证。

这种方式使用最为简便,但从客户机角度来看,正在连接的服务器有可能被假冒,从服务器角度来看,当遭遇密码暴力破解攻击时防御能力比较弱。

6.2.2 密钥对验证:

要求提供相匹配的密钥信息才能通过验证,通常先在客户机中创建一对密钥文件(公钥和私钥),然后将公钥文件放到服务器中的指定位置。

远程登录时,系统将使用公钥、私钥进行加密/解密关联验证,增强了远程管理的安全性。

公钥和私钥是成对生成的,这两个密钥互不相同,可以互相加密和解密;

不能根据一个密码来推算出另一个密钥;
公钥对外公开,私钥只有私钥的持有人才知道。

公钥和私钥要配对使用,如果用公钥对数据进行加密,只有用相对应的私钥才能解密;如果用私钥对数据进行加密,那么只有对应的公钥才能解密。

当密码验证、密钥对验证都启用时,服务器将优先使用密钥对验证。

对于安全性要求较高的服务器,建议将密码验证方式禁用,只允许启用密钥对验证方式;若没有特殊要求,则两种方式都可以。

可根据实际情况设置验证方式:

vim /etc/ssh/sshd_config
PasswordAuthentication yes                         //启用密码验证
PubkeyAuthentication yes                           //启用密钥对验证
AuthorizedKeysFile  .ssh/ authorized_keys          //指定公钥库文件.

7.配置密钥对验证

8.TCP Wrappers – 访问控制

TCPWrappers机制的基本原则:

 

8.1配置白名单

8.2配置黑名单

 

9.总结

1.ssh服务器的配置文件以及所在的位置

ssh_config:客户端的配置文件;位置:/etc/ssh/ssh_config

sshd_config:服务端的配置文件;位置:/etc/ssh/sshd_config

2.ssh服务器客户端的功能

远程登录:ssh 用户名@IP地址

复制:scp (注意主机IP后面要加冒号,复制目录时加-r)

sftp:格式跟ftp相同(上传文件和下载文件功能)

3.配置密钥对验证

流程:

在客户端创建密钥对(有公钥文件和私钥文件)

将公钥文件上传到服务器(有两种方法:一种是远程复制到服务器中,再将服务器端导入私钥文件到公钥本中;另一种方法是直接在客户端导入,服务端直接使用即可)

最后在客户端进行密钥对验证,还可以设置免密登录(ssh-agent bash 、ssh add)

4.TCP wrappers

两种访问策略文件:/etc/hosts.allow 、/etc/hosts.deny

访问的过程:先检查/etc/hosts.allow文件,有则访问,无则继续访问/etc/hosts.deny文件,若有则拒绝,无则允许访问

 

原文地址:http://www.cnblogs.com/suoluo212/p/16798855.html

1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长! 2. 分享目的仅供大家学习和交流,请务用于商业用途! 3. 如果你也有好源码或者教程,可以到用户中心发布,分享有积分奖励和额外收入! 4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解! 5. 如有链接无法下载、失效或广告,请联系管理员处理! 6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需! 7. 如遇到加密压缩包,默认解压密码为"gltf",如遇到无法解压的请联系管理员! 8. 因为资源和程序源码均为可复制品,所以不支持任何理由的退款兑现,请斟酌后支付下载 声明:如果标题没有注明"已测试"或者"测试可用"等字样的资源源码均未经过站长测试.特别注意没有标注的源码不保证任何可用性