Linux ssh协议

基础知识

  • ssh:secure shell protocol,安全的远程登录

  • 作用:是建立在应用层基础上的安全协议,实现数据传输过程中数据的加密,代替telent协议

  • 使用tcp协议,端口号为22

ssh服务具体的软件实现:

  • openSSH

  • dropbear

OpenSSH:ssh协议的开源实现,linux(centos、ubuntu等)默认使用的是openssh来实现ssh这个服务的

dropbear:另一个ssh协议的开源项目的实现

ssh的通信过程:

第一次连接的时候就要进行公钥的交换

  • 客户端发起请求

  • 服务端返回给客户端自己的公钥,以及生成一个会话ID

  • 客户端生成密钥对:将自己的公钥和会话ID做异或运算,然后再使用服务端的公钥来加密异或运算的到的值

  • 服务端的到这个加密的数据后使用自己的私钥解密得到数据

  • 服务端使用解密后得到的数据和会话ID进行异或运算得到客户端的公钥(服务器得到客户端公钥)

最终:双方各自持有三个秘钥,分别为自己的一对公、私钥,以及对方的公钥,之后的所有通讯都会被加密

服务器的公钥表现为一个磁盘文件

客户端的公钥是临时生成的(在连接的时候自动生成一个公钥)

ssh加密通信原理

假如A和B通信,A是客户端,B是服务端
A--->B
客户端A使用服务端B的公钥来加密数据,服务端B使用自己的私钥来解密数据

B--->A
流程和A--->B的流程是一样的

#第一次连接的时候会把目标主机的公钥利用哈希算法生成一个摘要,需要手动确认目前连接的机器是想要连接的目标主机
#确认以后会自动把对方的公钥下载下来,下次再连接的时候就能确保是否和第一次是同一个主机。

#对方公钥存放位置:
当前用户的家目录下面一个叫做ssh的隐藏文件夹,里面有个叫做known_hosts的文件,里面记录了远程主机的公钥。

#拿到公钥的好处:
如果下次访问的时候有一个假冒的主机(同样的ip地址等信息),系统是能够发现的。

#新的机器地址和旧地址一样,只需要删除旧机器对应的公钥文件就可以重新连接上去了 .ssh/known_hosts里面

openssh服务

OpenSSH是SSH(Secure SHell)协议的免费开源实现,一般在各种Linux版本中会默认安装,基于C/S结构

Openssh软件相关包组成:

  • openssh

  • openssh-clients:服务器的配置文件带D,客户端的配置文件不带D

  • openssh-server:这个包定义了服务器的配置文件

#可以使用rpm -ql 包名 :查看软件包中的内容

服务端:
[root@Centos8 CA]# rpm -ql openssh-server
/etc/pam.d/sshd  #服务端程序
/etc/ssh/sshd_config #服务端配置文件
/etc/sysconfig/sshd
...
服务端对应的unit文件:/usr/lib/systemd/system/sshd.service


客户端:
[root@Centos8 ~]# rpm -ql openssh-clients
/etc/ssh/ssh_config  #客户端的配置文件,可以更改默认端口,公钥检查等
/etc/ssh/ssh_config.d
/etc/ssh/ssh_config.d/05-redhat.conf
/usr/bin/scp
/usr/bin/sftp
/usr/bin/ssh
/usr/bin/ssh-add
/usr/bin/ssh-agent
/usr/bin/ssh-copy-id
/usr/bin/ssh-keyscan
...

客户端:openssh-clients

Linux Client: ssh, scp, sftp,slogin  #linux的openssh-clients经常使用的工具

Windows Client: xshell, MobaXterm, putty, securecrt, sshsecureshellclient

客户端 ssh命令

ssh命令:是ssh客户端的一个工具,允许实现对远程系统经验证地加密安全访问

#ssh客户端配置文件:
/etc/ssh/ssh_config

ssh命令使用格式

ssh [user@]host [COMMAND] 或者 ssh -l user host [COMMAND]
#后面加COMMAND,在远程主机上执行对应的命令

选项:
-p port    #指定openssh-server使用的端口

-X          #支持x11转发(远程显示的图形界面在本机显示(前提是双方都是图形界面))

-t          #强制伪tty分配,通过间接的方式连接到目标主机
            #如:ssh -t remoteserver1 ssh -t remoteserver2   ssh remoteserver3 

-o option   #如:-o StrictHostKeyChecking=no #表示登录的时候不用确认,直接下载公钥

-i <file>   #指定私钥文件路径,实现基于key验证,默认使用文件: ~/.ssh/xxx
范例: 利用windows 显示 Linux 的图形工具
使用到了x协议,x协议是用来实现图形处理的。
#windows的图形界面和操作系统绑在一起的,linux里面图形界面只是一个组件,不输入操作系统本身。
	x_server组件:一个服务器,是真正画图的组件
	x_client组件:图形界面客户端,比如firefox等

	x_client代指图形工具,运行一个x_client的时候,借助x协议把请求发送给x_server。
	x_server再连接图形显卡进行界面的显示。
	#两者可以属于不同的主机,可以使用不同的协议。

#利用windows 显示 Linux 的图形工具
在linux上装x_client,在windows上装x_server。
在linux运行客户端软件,通过x协议发送给windows的服务器,实现了windows显示linux上的图像。

#windeows的x_server软件: xmanager(用的比较多)
#linux的x_client:firefox

ssh登录验证的方式

  • 口令验证

  • 密钥验证

口令验证
1. 客户端发起ssh请求,服务器会把自己的公钥发送给用户

2. 用户会根据服务器发来的公钥对密码进行加密

3. 加密后的信息回传给服务器,服务器用自己的私钥解密,如果密码正确,则用户登录成功
密钥验证实现方式

在每次连接对方的时候就不用在输入密码了,可以直接连接

1. 首先在客户端生成一对密钥(ssh-keygen)(公钥、私钥)

2. 客户端的公钥通过ssh-copy-id命令拷贝到服务端,存放在(authorized_keys)这个文件中

3. 客户端再次发送连接请求,用客户端公钥加密并传给客户端

4.客户端接接收到这个加密的文件后用私钥解密,将解密的字符用服务器的公钥(第一次登录得到的)加密发给服务器端

5.服务端用自己的私钥解密得到结果。通过对比字符串来实现免密登录
实现基于密钥的登录方式实现过程
  • 1.客户端生成密钥对

  • 2.客户端把公钥拷给服务端

1.ssh-keygen:直接回车默认使用rsa这种非对称加密算法生成一个公钥私钥对文件

-f:指定公钥私钥存放的路径,不指定默认存放在家目录下的ssh这个隐藏文件 .ssh/xxx
-t:指定加密算法
-p: 指定密码

2.ssh-copy-id -i 公钥文件的路径  目标主机

会自动拷到目标主机额度.ssh目录下的authorized_keys这个文件中(不存在会自动创建)

范例

#使用sshpass工具实现非交互式登录:(一般用在脚本里面)

sshpass:实现口令的提交

前提:要实现和对方远程通信,需要先将对方的公钥加到自己的.ssh/known_hosts文件中

[root@centos8 ~]# sshpass -p 123456 ssh -o StrictHostKeyChecking=no [email protected] #在访问对方的时候就不需要输入密码了


#非交互式实现公钥的拷贝
sshpass -p 123456 ssh-copy-id -i 本机的公钥 -o StrictHostKeyChecking=no 10.0.0.8(需要复制到的远程主机)
#范例:批量部署多台主机基于key验证脚本
#!/bin/bash  #添加shebang机制
HOSTS="  #指定需要远程连接到的主机ip地址
10.0.0.6
10.0.0.7
10.0.0.18
10.0.0.28
"
PASS=redhat #用于存储这几台主机的密码
[ -f /root/.ssh/id_rsa ] || ssh-keygen  -P ""  -f /root/.ssh/id_rsa &> /dev/null #如果有私钥了就不用再创建了
apt -y install sshpass &> /dev/null #如果没有安装sshpass就安装
for i in $HOSTS;do #循环ip地址
{
   sshpass  -p $PASS ssh-copy-id  -o StrictHostKeyChecking=no -i /root/.ssh/id_rsa.pub $i &> /dev/null #使用非交互式的方式来将自己的公钥拷贝过去  -i:指定私钥的路径
}& #后台并行执行
done
wait
#实现多台主机之间彼此都能基于Key验证
1.生成密钥对 ssh-keygen #默认保存在.ssh下面

2.将自己的私钥文件保存到自己的authorized_keys文件中。 ssh-copy-id 127.0.0.1

3.使用rsync工具将.ssh文件整个复制到目标所有主机

#例如:rsync -av .ssh serverhost/.ssh/root


#原理就是所有人共用一个公钥私钥对。 因为使用ssh-keygen生成一个密钥对是放在/.ssh里面的且authorized_keys存放自己的公钥(自己信任自己)
如果生成密钥对的时候指定了密码:ssh-keygen -P 。下次远程的时候不想输入这个密码,
可以使用ssh-agent bash 来开启一个代理,然后把私钥的密码托管给代理

ssh-keygen -p

ssh-agent bash #是一个后台执行的程序
ssh-add #将要密码托管给agent,下次就不需要手动输入密码了

其他ssh客户端工具

他们都是基于ssh协议开发的ssh_client工具

  • scp

  • rsync

  • stfp

scp:实现跨主机的远程拷贝

格式:
scp [选项] 源文件 目标文件
scp [选项]  /source_file [user@]remote_houst/dest_file
scp [选项]  [user@]remote_houst/dest_file /source_file

选项:
-r:复制文件夹
-P PORT 指明remote host的监听的端口

#复制目录文件后面有无斜线的区别
	有斜线:复制文件夹里面的内容
	无斜线:复制整个文件夹

rsync:实现数据的更新(增量备份)

主要用来实现数据的增量备份、数据的更新。

工具来源:rsync包
#通信双方都需要安装rsync这个工具

#选项:
-a:保留源文件的属性,但是无法保留acl和selinux属性  -a选项自带递归的功能
-v:显示详细的过程
--delete:保证两边的数据一样,如果目标文件存在某个源文件没有的文件,就会把目标文件的这个文件删除掉

rsync  -av /etc server1:/tmp #复制目录和目录下文件
rsync  -av /etc/ server1:/tmp #只复制目录下文件 和scp一样

rsync -av --delete source_file host:/dest_file | dest_file  #可以跨主机备份也可以本地备份

sftp:交互式文件传输工具

用法和ssh工具差不多。

ssh服务器端配置

服务器端对应的程序名称:sshd

服务器端的配置文件: /etc/ssh/sshd_config

服务器端的配置文件帮助:man 5 sshd_config
Port        #端口号,生产建议修改
ListenAddress ip
LoginGraceTime 2m
PermitRootLogin yes #默认ubuntu不允许root远程ssh登录
StrictModes yes   #检查.ssh/文件的所有者,权限等
MaxAuthTries   6     #pecifies the maximum number of authentication
attempts permitted per connection. Once the number of failures reaches half this
value, additional failures are logged. The default is 6.
MaxSessions  10         #同一个连接最大会话
PubkeyAuthentication yes     #基于key验证
PermitEmptyPasswords no      #空密码连接
PasswordAuthentication yes   #是否支持密码验证
GatewayPorts no
ClientAliveInterval 10 #单位:秒
ClientAliveCountMax 3 #默认3
UseDNS yes #改为no,一般用不到,可以让ssh连接速度加快
GSSAPIAuthentication yes #提高速度可改为no
MaxStartups    #未认证连接最大值,默认值10
Banner /path/file
#以下可以限制可登录用户的办法:
AllowUsers user1 user2 user3
DenyUsers user1 user2 user3
AllowGroups g1 g2
DenyGroups g1 g2
ssh服务配置的最佳实践
建议使用非默认端口
禁止使用protocol version 1
限制可登录用户
设定空闲会话超时时长
利用防火墙设置ssh访问策略
仅监听特定的IP地址
基于口令认证时,使用强密码策略,比如:tr -dc A-Za-z0-9_ < /dev/urandom | head -c 12| xargs
使用基于密钥的认证
禁止使用空密码
禁止root用户直接登录
限制ssh的访问频度和并发在线数
经常分析日志

范例:

#设置 ssh 空闲60s 自动注销
Vim /etc/ssh/sshd_config

	ClientAliveInterval   60
	ClientAliveCountMax   0
Service sshd restart
#注意:新开一个连接才有效
#解决ssh登录缓慢的问题
vim /etc/ssh/sshd_config
	UseDNS no
	GSSAPIAuthentication no
#在 ubuntu 上启用 root 远程ssh登录
#修改sshd服务配置文件
vim /etc/ssh/sshd_config 
	#PermitRootLogin prohibit-password 注释掉此行
	PermitRootLogin yes 修改为下面形式

ssh客户端的配置

客户端名称:ssh

配置文件:
/etc/ssh/ssh_config  #客户端的配置文件,可以更改默认端口,公钥检查等

轻量自动运维化工具

  • sshfs

  • pssh

  • sshpass

挂载远程ssh目录:

sshfs:由EPEL源提供,目前CentOS8 还没有提供,可以利用ssh协议挂载远程目录
轻量级自动化运维工具 pssh
#范例
sshfs 10.0.0.8:/data /mnt #将远程主机的data目录挂载到本地的mnt目录

pash

pssh:批量管理目标主机,需要提前做好基于key验证。,可在多台服务器上执行命令的工具,也可实现文件复制,提供了基于ssh和scp的多个并行工具


选项:
-H:指定要远程管理的主机地址
-h file:主机列表文件,内容格式”[user@]host[:port]”
-A :手动输入密码模式
-i:每个服务器内部处理信息输出
范例
#默认使用ssh的key认证,通过 -A选项,使用密码认证批量执行指令
pssh -H "192.168.1.10"   -A   hostname

#多台主机
pssh -H "192.168.1.10 192.168.1.20"  -i   hostname

#多台主机
cat hosts.txt 
10.0.0.8
10.0.0.6
pssh -h hosts.txt  -i   hostname

#将标准错误和标准正确重定向分别保存至本地主机的/data/stdout和/data/stderr目录下
pssh -H 192.168.1.10 -o /data/stdout -e /data/stderr   -i “hostname”

-o:输出的文件目录
-e:错误输出文件

#使用pssh的时候 变量 *号等通配符需要使用单引号括起来

pscp.pssh命令

是将本地文件批量复制到远程主机

#选项:
-v 显示复制过程
-r 递归复制目录

#将本地curl.sh 复制到/app/目录
pscp.pssh -H 192.168.1.10 /root/test/curl.sh   /app/
pscp.pssh -h host.txt /root/test/curl.sh   /app/

#将本地多个文件批量复制到/app/目录
pscp.pssh -H 192.168.1.10 /root/f1.sh /root/f2.sh   /app/

#将本地目录批量复制到/app/目录
pscp.pssh -H 192.168.1.10  -r /root/test/   /app/

pslurp命令

将远程主机的文件批量复制到本地

#批量下载目标服务器的passwd文件至/app下,并更名为user
pslurp -H 192.168.1.10 -L /app /etc/passwd user

#选项
-L 指定从远程主机下载到本机的存储的目录,local是下载到本地后的名称
-r 递归复制目录
Tags: