openssh

最新推荐文章于 2025-11-04 10:01:54 发布
原创 最新推荐文章于 2025-11-04 10:01:54 发布 · 323 阅读 · 0 ·
CC 4.0 BY-SA版权
在你书包里拉屎的博客
文章标签:

#ssh #linux #运维

OpenSSH是SSH协议的开源实现,提供加密的远程控制和文件传输,替代不安全的传统协议。它包括服务端后台sshd和客户端ssh,支持口令和密钥两种认证方式。OpenSSH基于C/S架构,配置文件分别位于服务器的/etc/ssh/sshd_config和客户端的/etc/ssh/ssh_config。使用ssh-keygen和ssh-copy-id可配置基于密钥的身份验证,提高安全性。此外,通过修改sshd_config可以加强SSH服务的安全性,例如限制root登录、禁用密码认证等。

openssh

OpenSSH 简介

​ OpenSSH 是 SSH (Secure SHell) 协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控制和文件传输过程中的数据,并由此来代替原来的类似服务。OpenSSH这一术语指系统中使用的Secure Shell软件的软件实施。用于在远程系统上安全运行shell。如果您在可提供ssh服务的远程Linux系统中拥有用户帐户,则ssh是通常用来远程登录到该系统的命令。ssh命令也可用于在远程系统中运行命令。

常见的远程登录工具:

  • telnet
  • ssh
  • dropbear
telnet      //远程登录协议,23/TCP
  			  认证明文
   			  数据传输明文

ssh         //Secure SHell,应用层协议,22/TCP
              通信过程及认证过程是加密的,主机认证
              用户认证过程加密
              数据传输过程加密
    
dropbear    //嵌入式系统专用的SSH服务器端和客户端工具

SSH 认证方式

openssh有两种认证方式,分别是:

基于口令认证
基于密钥认证

openSSH 的工作模式

openSSH是基于C/S架构工作的。

服务器端    //sshd,配置文件在/etc/ssh/sshd_config
客户端     //ssh,配置文件在/etc/ssh/ssh_config
            ssh-keygen      //密钥生成器
            ssh-copy-id     //将公钥传输至远程服务器
            scp             //跨主机安全复制工具

Secure Shell 示例

##以当前用户身份创建远程交互式shell,然后在结束时使用exit命令返回到之前的shell
[root@service ~]# ssh 192.168.240.60
The authenticity of host '192.168.240.60 (192.168.240.60)' can't be established.
ECDSA key fingerprint is SHA256:YDPxPR7Nqao+hwjww9kCBH/G0mbpOsvhSahI6YKiRhQ.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '192.168.240.60' (ECDSA) to the list of known hosts.
root@192.168.240.60's password: 
Last login: Fri Sep 24 02:21:00 2021 from 192.168.240.1

##w命令可以显示当前登录到计算机的用户列表。
[root@customer ~]# w
 03:42:14 up  1:22,  4 users,  load average: 0.00, 0.01, 0.02
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
root     tty1     -                167月21 69days  0.10s  0.10s -bash
root     pts/0    192.168.240.1    02:20   34:45   0.23s  0.22s bash
root     pts/1    192.168.240.1    02:21    1:21m  7.97s  7.96s top
root     pts/2    192.168.240.40   03:40    1.00s  0.01s  0.00s w

SSH 主机密钥

​ ssh通过公钥加密的方式保持通信安全。当某一ssh客户端连接到ssh服务器时,在该客户端登录之前,服务器会向其发送公钥副本。这可用于为通信渠道设置安全加密,并可验证客户端的服务器。

​ 当用户第一次使用ssh连接到特定服务器时,ssh命令可在用户的/.ssh/known_hosts文件中存储该服务器的公钥。在此之后每当用户进行连接时,客户端都会通过对比/.ssh/known_hosts文件中的服务器条目和服务器发送的公钥,确保从服务器获得相同的公钥。如果公钥不匹配,客户端会假定网络通信已遭劫持或服务器已被入侵,并且中断连接。

​ 这意味着,如果服务器的公钥发生更改(由于硬盘出现故障导致公钥丢失,或者出于某些正当理由替换公钥),用户则需要更新其~/.ssh/known_hosts文件并删除旧的条目才能够进行登录。

##主机ID存储在本地客户端系统上的 ~/.ssh/known_hosts 中
[root@service ~]# cat ~/.ssh/known_hosts 
192.168.240.40 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBMSzFjZliFIUDUvyzSzBOzvWkuAZf/+F23RKhuMTE4Iavq9Dz34Ocj8ppPRKYb+tvns9MRLz/W46u2IWM3KxMXE=
192.168.240.60 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBIcOKJ2OgxazK7dk6cy6vmk/3/VGCA9KTaNwTkcMAfqglR+P0VbyF1zWomIeuZcMCWl0xxxT98KYKsvWD+UiJCo=

##主机密钥存储在SSH服务器上的 /etc/ssh/ssh_host_key* 中
[root@service ~]# ls /etc/ssh/*key*
/etc/ssh/ssh_host_ecdsa_key      /etc/ssh/ssh_host_ed25519_key.pub
/etc/ssh/ssh_host_ecdsa_key.pub  /etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_ed25519_key    /etc/ssh/ssh_host_rsa_key.pub

配置基于 SSH 密钥的身份验证

​ 用户可通过使用公钥身份验证进行ssh登录身份验证。ssh允许用户使用私钥-公钥方案进行身份验证。这意味着将生成私钥和公钥这两个密钥。私钥文件用作身份验证凭据,像密码一样,必须妥善保管。公钥复制到用户希望登录的系统,用于验证私钥。公钥并不需要保密。拥有公钥的ssh服务器可以发布仅持有您私钥的系统才可解答的问题。因此,可以根据所持有的密钥进行验证。如此一来,就不必在每次访问系统时键入密码,但安全性仍能得到保证。

​ 使用ssh-keygen命令生成密码。将会生成私钥/.ssh/id_rsa和公钥/.ssh/id_rsa.pub。

注意:

  • ​ 生成密钥时,系统将提供指定密码的选项,在访问私钥时必须提供该密码。如果私钥被偷,除颁发者之外的其他任何人很难使用该私钥,因为已使用密码对其进行保护。这样,在攻击者破解并使用私钥前,会有足够的时间生成新的密钥对并删除所有涉及旧密钥的内容。

​ 生成ssh密钥后,密钥将默认存储在家目录下的.ssh/目录中。私钥和公钥的权限就分别为600和644。.ssh目录权限必须是700。

​ 在可以使用基于密钥的身份验证前,需要将公钥复制到目标系统上。可以使用ssh-copy-id完成这一操作

​ 通过ssh-copy-id将密钥复制到另一系统时,它默认复制~/.ssh/id_rsa.pub文件

##SSH密钥演示,使用 ssh-keygen 创建公钥-私钥对
[root@service ~]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:T4hYLJKsAnQC0iBEl9bgEHCu8WJ9/POd3kt+q4NREhc root@service
The key's randomart image is:
+---[RSA 3072]----+
|@Xo++        E.  |
|++B+ o     . .   |
|o *.. o     o    |
|.=...+ . . . .   |
|=....o. S . o    |
|o.  . .  o .     |
|       o  . o.   |
|        o ..=. . |
|         ..+ ==..|
+----[SHA256]-----+
##使用 ssh-copy-id 将公钥复制到远程系统上的正确位置
[root@localhost ~]# ls .ssh/
id_rsa  id_rsa.pub
[root@service ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.10.240
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.10.240's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'root@192.168.10.240'"
and check to make sure that only the key(s) you wanted were added.

##使用 ssh 命令无命令登录远程主机
[root@service ~]# ssh root@192.168.10.240
Last login: Fri Sep 24 03:40:57 2021 from 192.168.10.240
[root@customer ~]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:0c:29:11:4d:9c brd ff:ff:ff:ff:ff:ff
    inet 192.168.10.240/24 brd 192.168.10.255 scope global noprefixroute ens33
       valid_lft forever preferred_lft forever
    inet6 fe80::fabc:12fd:b92d:c0a/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

##使用 scp 命令传送文件到远程主机
[root@service ~]# scp luochuran root@192.168.240.60:/opt
luochuran                                                 100%    5     3.6KB/s   00:00 
[root@customer lq]# cd /opt/  ##查看
[root@customer opt]# ls
luochuran  lcr

scp命令常用选项

  -r      //递归复制
  -p      //保持权限
  -P      //端口
  -q      //静默模式
  -a      //全部复制

自定义 SSH 服务配置

虽然OpenSSH服务器通常无需修改,但会提供其他安全措施,可以在配置文件/etc/ssh/sshd_config中修改OpenSSH服务器的各个方面。

PermitRootLogin {yes|no}            //是否允许root用户远程登录系统
PermitRootLogin without-password    //仅允许root用户基于密钥方式远程登录
PasswordAuthentication {yes|no}     //是否启用密码身份验证,默认开启

SSH 安全注意事项

  • 密码应该经常换且足够复杂
##随机生成30位的密码
[root@customer ~]# tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30 |xargs
iOfUrNPrJCsw6xnuKECugHivzv0BRU
  • 使用非默认端口
  • 限制登录客户端地址
  • 仅监听特定的IP地址
  • 禁止管理员直接登录
  • 仅允许有限制用户登录
    AllowUsers
    AllowGroups
  • 使用基于密钥的认证
  • 禁止使用空密码
  • 禁止使用SSHv1版本
  • 设定空闲会话超时时长
  • 利用防火墙设置ssh访问策略
  • 限制ssh的访问频度和并发在线数
  • 做好日志的备份,经常分析(集中于某台服务器)
3.1 openssh
Yusyang_的博客
10-22 869
openssh目录1. 使用 SSH 访问远程命令行1.1 OpenSSH 简介1.2 SSH 版本1.3 SSH 认证方式1.4 openSSH 的工作模式1.5 Secure Shell 示例1.6 SSH主机密钥2. 配置基于 SSH 密钥的身份验证2.1 密钥认证配置步骤2.1.1 官方配置步骤2.1.2 第三方配置步骤 1. 使用 SSH 访问远程命令行 1.1 OpenSSH 简介 O...
Linux】环境下OpenSSH升级到 OpenSSH_9.6P1(图文教程)
热门推荐
m0_52985087的博客
04-10 1万+
该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。PermitRootLogin yes 、PubkeyAuthentication yes、PasswordAuthentication yes 将配置文件中这几个改为yes.重新下载一个openssl 我选择的是openssl1.1.1d版本 ,上传到服务器之后。切换到openssh,这次我们在初始化的时候加上刚刚安装好openssl的目录。此命令会将找到的openssh相关的rpm包强制删除。
Linux OpenSSH 服务管理
最新发布
2301_77138478的博客
11-04 1603
摘要: 本文介绍了Linux OpenSSH服务的管理与配置。主要内容包括: 环境准备:设置两台虚拟机(server/client)的IP和主机名,并配置名称解析。 OpenSSH服务:介绍SSH协议的连接过程(版本协商、密钥协商、认证等)和核心功能(远程登录、安全文件传输、端口转发)。 加密机制:说明SSH采用非对称加密(公钥加密、私钥解密)实现安全通信。 SSH工具使用:演示通过主机名、IP或用户名登录远端服务器,并配置客户端配置文件(如~/.ssh/config)优化连接。 密钥认证:通过ssh-ke
OpenSSH远程链接工具
该学习了a的博客
03-15 815
OpenSSHSSH (Secure SHell) 协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控制和文件传输过程中的数据,并由此来代替原来的类似服务。
openssh服务
caojue0773的博客
07-02 812
使用 SSH 访问远程命令行1.1 OpenSSH 简介1.2 SSH 版本1.3 SSH 认证方式1.4 openSSH 的工作模式1.4 Secure Shell 示例1.5 SSH 主机密钥 配置基于 SSH 密钥的身份验证 自定义 SSH 服务配置 SSH 安全注意事项 1.1 OpenSSH 简介 OpenSSH这一术语指系统中使用的Secure Shell软件的软件实施。用于在远程...
OpenSSH
一别的博客
09-26 7624
1、OpenSSH 简介 OpenSSH这一术语指系统中使用的Secure Shell软件的软件实施。用于在远程系统上安全运行shell。如果您在可提供ssh服务的远程Linux系统中拥有用户帐户,则ssh是通常用来远程登录到该系统的命令。ssh命令也可用于在远程系统中运行命令。 常用的远程工具 telnet //远程登录协议,23/TCP 认证明文 数据传输明文 ssh //Secure SHell,应用层协议,22/TCP 通信过程及认证过程是
openssh 10.0p2离线包
10-27
OpenSSH是一个用于执行安全网络通信的开放源码软件套件,它实现了SSH协议,该协议广泛用于远程登录会话、文件传输以及其他网络服务。它允许用户在不安全的网络中以加密的方式安全地连接到远程机器。OpenSSH的安全性...
升级OpenSSH10.0p1
10-14
OpenSSH是一种用于安全网络通信的工具集,它能够在客户端和服务器之间提供安全的数据传输。升级到OpenSSH 10.0p1版本,意味着用户能够获得一系列增强的功能和安全更新。10.0p1版本在之前的版本基础上修复了许多已知...
精选资源
openssh9.9p1
10-08
OpenSSH是一个广泛使用的开源工具套件,它实现了SSH协议,支持安全地进行网络服务,包括远程登录、密钥管理、文件传输等。OpenSSH 9.9p1是该套件的最新版本,它为用户提供了一系列改进和修复旧版本中已知问题的特性...
OpenSSH-Win64.zip
07-12
OpenSSH-Win64.zip是一个压缩文件,其中包含的是OpenSSH的64位Windows版本。OpenSSH是一个广泛使用的开源软件套件,它提供了网络访问安全协议(如SSH1和SSH2)的实现,用于在不安全的网络中为计算机之间提供安全的...
Openssh
weixin_65309423的博客
03-19 1373
OpenSSH这一术语指系统中使用的Secure Shell软件的软件实施,用于在远程系统上安全运行shell。
使用public key的方式登陆linux操作系统
kiwi的专栏
09-13 2579
添加public key的用户 useradd -g oinstall -G dba yaoxin passwd yaoxin [yaoxin@bdcadb ~]$ source .bash_profile [yaoxin@bdcadb ~]$ mkdir .ssh [yaoxin@bdcadb ~]$ chmod 700 .ssh [yaoxin@bdcadb ~]$ cd .ssh [yao
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值