RHCE---第三章：远程连接服务器

第三章 远程连接服务器

判断服务是否运行：
 # 查看某一程序是否运行
    [root@localhost ~]# ps -aux | grep 程序名
    [root@localhost ~]# systemctl status 程序名
    [root@localhost ~]# systemctl is-active 程序名   
[root@localhost ~]# lsof -i:端口号       # 查看某一段端口是否有运行

概念

• 远程连接服务器通过文字或图形接口方式来远程登录系统，让你在远程终端前登录linux主机以取得可操作主机接口（shell），而登录后的操作感觉就像是坐在系统前面一样

功能:

• 分享主机的运算能力

• 服务器类型：有限度开放连接

• 工作站类型：只对内网开放

分类

文字接口:

• 明文传输：Telnet、RSH等，目前非常少用

# 使用wireshark抓包分析工具验证telnet明文传输

[root@server ~]# yum  install telnet-server -y  # 安装telnet
[root@server ~]# systemctl start  telnet.socket  # 启动服务

# 使用xshell 新建telnet连接

# 在https://www.wireshark.org/download.html下载安装wireshar

# 启动wireshark，选择捕获VMnet8网卡

# 在xshell中输入ip a 或其它命令

# 在wireshark选择记录后单右->追踪流->TCP流

# 可以看到是明文传输

• 加密传输：SSH为主，已经取代明文传输

# 关闭上述telnet连接，建立ssh连接，查看是否为加密传输

图形接口：

• XDMCP、VNC、XRDP等

文字接口连接服务器:

• SSH（Secure Shell Protocol，安全壳程序协议）由 IETF 的网络小组（Network Working Group）所制定，可以通过数据包加密技术将等待传输的数据包加密后再传输到网络上。

• ssh协议本身提供两个服务器功能：

  • 一个是类似telnet的远程连接使用shell的服务器；
  • 另一个就是类似ftp服务的sftp-server，提供更安全的ftp服务。

连接加密技术简介

• 目前常见的网络数据包加密技术通常是通过“非对称密钥系统”来处理的。
• 主要通过两把不一样的公钥与私钥来进行加密与解密的过程。

密钥解析：

• 公钥（public key）：提供给远程主机进行数据加密的行为，所有人都可获得你的公钥来将数据加密。
• 私钥（private key）：远程主机使用你的公钥加密的数据，在本地端就能够使用私钥来进行解密。私钥只有自己拥有。

**对称加密：**同一秘钥既可以进行加密也可以进行解密

​ 优势：使用一个秘钥它的加密效率高一些（快一些）

​ 缺陷：秘钥传输的安全性（在网络传输中不传输秘钥）

​ 应用: 传输数据（数据的双向传输）

**非对称加密：**产生一对秘：公钥：公钥加密 私钥：私钥解密（不会进行网络传输）

​ 缺陷：公钥的安全性 客户端去访问一个服务器（假设数据被我们的hacker拦截了，hacker发送了自己的公钥给客户端，客户端用 hacker的公钥对数据进行加密，然后hacker用自己的私钥进行解密。从而获取到用户传送的隐私（用户和密码）信息，进一步对服务器动机）；传送速度慢（效率低）

​ 优势：安全性更高

​ 应用: 单向的认证阶段（建立安全的连接保证后面对称加密的秘钥安全）

SSH工作过程：

• 服务端与客户端要经历如下五个阶段：

过程	说明
版本号协商阶段	SSH目前包括SSH1和SSH2两个版本，双方通过版本协商确定使用的版本
密钥和算法协商阶段	SSH支持多种加密算法，双方根据本端和对端支持的算法，协商出最终使用的算法
认证阶段	SSH客户端向服务器端发起认证请求，服务器端对客户端进行认证
会话请求阶段	认证通过后，客户端向服务器端发送会话请求
交互会话阶段	会话请求通过后，服务器端和客户端进行信息的交互

版本协商阶段

• 服务器端打开端口22，等待客户端连接；

• 客户端向服务器端发起TCP初始连接请求，TCP连接建立后，服务器向客户端发送第一个报文，包括版本标志字符串，格式为SSH-<主协议版本号>.<次协议版本号>.<软件版本号>，协议版本号由主版本号和次版本号组成，软件版本号主要是为调试使用。

• 客户端收到报文后，解析该数据包，如果服务器的协议版本号比自己的低，且客户端能支持服务器端的低版本，就使用服务器端的低版本协议号，否则使用自己的协议版本号。

• 客户端回应服务器一个报文，包含了客户端决定使用的协议版本号。服务器比较客户端发来的版本号，决定是否能同客户端一起工作。如果协商成功，则进入密钥和算法协商阶段，否则服务器断开TCP连接

• 注意：上述报文都是采用明文方式传输

密钥和算法协商阶段

• 服务器端和客户端分别发送算法协商报文给对端，报文中包含自己支持的公钥算法列表、加密算法列表、MAC（Message Authentication Code，消息验证码）算法列表、压缩算法列表等等

• 服务器端和客户端根据对端和本端支持的算法列表得出最终使用的算法

• 服务器端和客户端利用DH交换（Diffie-Hellman Exchange）算法、主机密钥对等参数，生成会话密钥和会话ID。

  进行秘钥交换：dh**迪菲－赫尔曼**算法 https://blog.youkuaiyun.com/itworld123/article/details/115902978
  素数又叫质数。素数，指的是“大于1的整数中，只能被1和这个数本身整除的数”。
  ​       **20以内的素数**：2、3、5、7、11、13、17、19.
  ​       DH秘钥交换算法数学模型
  - ​        客户端发往服务器的DH初始化参数：ecdh public key
  - ​        客户端发送自己的公钥给服务器
  - ​        服务端发送自己的公钥给客户端
  - ​        计算出对称加密的秘钥（sessionkey）--NewKeys
  - ​        客户端计算出对称加密的秘钥（sessionkey）--newkeys
  - ​        解决了一个问题：保证了进行传输时候对称加密秘钥的安全。（能不能用的上这个秘钥，还取决于认证阶段是否成功）
  

  

• 由此，服务器端和客户端就取得了相同的会话密钥和会话ID。对于后续传输的数据，两端都会使用会话密钥进行加密和解密，保证了数据传送的安全。在认证阶段，两端会使用会话用于认证过程

• 会话密钥的生成：

  • 客户端需要使用适当的客户端程序来请求连接服务器，服务器将服务器的公钥发送给客户端。（服务器的公钥产生过程：服务器每次启动sshd服务时，该服务会主动去找/etc/ssh/ssh_host*文件，若系统刚装完，由于没有这些公钥文件，因此sshd会主动去计算出这些需要的公钥文件，同时也会计算出服务器自己所需要的私钥文件。）
  • 服务器生成会话ID，并将会话ID发给客户端。
  • 若客户端第一次连接到此服务器，则会将服务器的公钥数据记录到客户端的用户主目录内的~/.ssh/known_hosts。若是已经记录过该服务器的公钥数据，则客户端会去比对此次接收到的与之前的记录是否有差异。客户端生成会话密钥，并用服务器的公钥加密后，发送给服务器。
  • 服务器用自己的私钥将收到的数据解密，获得会话密钥。
  • 服务器和客户端都知道了会话密钥，以后的传输都将被会话密钥加密

认证阶段(两种认证方法)：

• SSH客户端向服务端发起认证请求，服务端对客户端进行认证

  （1）基于口令的认证：

  
  

  （2）基于公钥的认证：

1.Client将自己的公钥存放在Server上，追加在文件authorized_keys中。

2.Server端接收到Client的连接请求后，会在authorized_keys中匹配到Client的公钥pubKey，并生成随机数R，用Client的公钥对该随机数进行加密得到pubKey®，然后将加密后信息发送给Client。

3.Client端通过私钥进行解密得到随机数R，然后对随机数R和本次会话的SessionKey利用MD5生成摘要Digest1，发送给Server端。

4.Server端会也会对R和SessionKey利用同样摘要算法生成Digest2。

5.Server端会最后比较Digest1和Digest2是否相同，完成认证过程。

• 注：服务器端对客户端进行认证，如果认证失败，则向客户端发送认证失败消息，其中包含可以再次认证的方法列表。客户端从认证方法列表中选取一种认证方法再次进行认证，该过程反复进行。直到认证成功或者认证次数达到上限，服务器关闭连接为止

第四阶段:会话请求阶段：

​ 认证通过后，客户端向服务器端发送会话请求,建立新的连接

**第五阶段：交互会话阶段：**会话请求通过后，服务器端和客户端进行信息的交互

​ 传输数据的的阶段：数据时要被加密（对称加密方式），对称加密的秘钥就是sessionKey(客户端和服务服务端在秘钥交换阶段互相计算出来的，sessionKey未进行网络传输)

SSH服务配置

安装ssh

[root@server ~]# yum  install  openssh-server

配置文件分析:

[root@server ~]# vim  /etc/ssh/sshd_config

21.#Port 22  # 默认监听22端口,可修改
22.#AddressFamily any  # IPV4和IPV6协议家族用哪个，any表示二者均有
23.#ListenAddress 0.0.0.0 # 指明监控的地址，0.0.0.0表示本机的所有地址(默认可修改)
24.#ListenAddress :: # 指明监听的IPV6的所有地址格式

26.#HostKey /etc/ssh/ssh_host_rsa_key     # rsa私钥认证,默认
27.#HostKey /etc/ssh/ssh_host_ecdsa_key   # ecdsa私钥认证
28.#HostKey /etc/ssh/ssh_host_ed25519_key # ed25519私钥认证


34 #SyslogFacility AUTH  # ssh登录系统的时会记录信息并保存在/var/log/secure
35.#LogLevel INFO   # 日志的等级

39.#LoginGraceTime 2m   # 登录的宽限时间，默认2分钟没有输入密码，则自动断开连接
40 PermitRootLogin yes # 允许管理员root登录 
41.#StrictModes yes   # 是否让sshd去检查用户主目录或相关文件的权限数据
42.#MaxAuthTries 6  # 最大认证尝试次数，最多可以尝试6次输入密码。之后需要等待某段时间后才能再次输入密码
43.#MaxSessions 10   # 允许的最大会话数

49.AuthorizedKeysFile .ssh/authorized_keys # 选择基于密钥验证时，客户端生成一对公私钥之后，会将公钥放到.ssh/authorizd_keys里面
65 #PasswordAuthentication yes  # 登录ssh时是否进行密码验证
66 #PermitEmptyPasswords no    # 登录ssh时是否允许密码为空

……
123.Subsystem sftp /usr/libexec/openssh/sftp-server #支持 SFTP ，如果注释掉，则不支持sftp连接
AllowUsers user1 user2 #登录白名单（默认没有这个配置，需要自己手动添加），允许远程登录的用户。如果名单中没有的用户，则提示拒绝登录

ssh实验

实验1

• 修改ssh服务器端的端口号

• 第一步：服务端操作，编辑配置文件，修改端口号

[root@server ~]# vim  /etc/ssh/sshd_config  # 定位第21行，去掉# 后修改端口号
 21 Port 2222

• 第二步：服务端操作，重启服务

[root@server ~]# systemctl restart  sshd   # 注意：ssh的服务名位sshd

• 第三步：客户端操作，ssh登录服务端

[root@node1 ~]# ssh  root@192.168.48.130
# 尝试登录被拒绝，22端口已关闭
ssh: connect to host 192.168.48.130 port 22: Connection refused  

root@node1 ~]# ssh  -p  2222  root@192.168.48.130  # 指明以2222端口登录服务端
The authenticity of host '[192.168.48.130]:2222 ([192.168.48.130]:2222)' can't be established.
ED25519 key fingerprint is SHA256:K7nvJFkfIh+p9YytEGR44wLbTfpB0Y52oVou0UdG6nc.
This key is not known by any other names
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes # 输入yes
Warning: Permanently added '[192.168.48.130]:2222' (ED25519) to the list of known hosts.
root@192.168.48.130's password:   # 输入服务端账户密码
Activate the web console with: systemctl enable --now cockpit.socket

Register this system with Red Hat Insights: insights-client --register
Create an account or view all your systems at https://red.ht/insights-dashboard
Last login: Tue May 30 13:57:25 2023 from 192.168.48.1
[root@server ~]# 

# 注销登录
[root@server ~]# exit   # 注销，回到node1主机，或者使用ctrl+d进行注销
注销
Connection to 192.168.48.130 closed.

实验2

• 拒绝root账户远程登录

• 方法：使用配置文件中的Permitrootlogin参数进行实现

• 参数值：

参数类别	是否允许ssh登录	登录方式	交互shell
yes	允许	无限制	无限制
no	不允许	无	无
prohibit-password	允许	仅允许使用密码	无限制
forced-commands only	允许	仅允许密钥	授权的口令

[root@server ~]# vim  /etc/ssh/sshd_config
PermitRootLogin no         # yes修改为no

• 第二步：服务端重启服务

[root@server ~]# systemctl restart  sshd

• 第三步：客户端，测试

[root@node1 ~]# ssh  root@192.168.48.130
root@192.168.48.130's password:         # 拒绝root连接ssh
Permission denied, please try again.

实验3

• 允许特定账户进行ssh登录，其它账户无法登录
• 第一步：服务端添加新账户

[root@server ~]# useradd  test
[root@server ~]# passwd  test

• 第二步：服务端修改主配置文件

[root@server ~]# vim  /etc/ssh/sshd_config
AllowUsers   test  # 第一行添加
[root@server ~]# systemctl restart  sshd

• 第三步：客户端测试

[root@node1 ~]# ssh  test@192.168.48.130
The authenticity of host '192.168.48.130 (192.168.48.130)' can't be established.
ED25519 key fingerprint is SHA256:K7nvJFkfIh+p9YytEGR44wLbTfpB0Y52oVou0UdG6nc.
This key is not known by any other names
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes  # 输入yes
Warning: Permanently added '192.168.48.130' (ED25519) to the list of known hosts.
test@192.168.48.130's password:   # 密码123456
Register this system with Red Hat Insights: insights-client --register
Create an account or view all your systems at https://red.ht/insights-dashboard
[test@server ~]$           # 按下ctrl+d进行注销
注销

[root@node1 ~]# ssh  root@192.168.48.130   # 测试其它账户可否登录
root@192.168.48.130's password: 
Permission denied, please try again

实验4

ssh-keygen

• ssh-keygen是用于生成、管理、转换密钥的工具
• 格式：

[root@server ~]# ssh-keygen  -t  rsa

• 分析
  • -t：指定密钥类型
  • rsa：使用rsa公钥加密算法，可以产生公钥和私钥
  • 执行后会在对应账户目录中产生一个隐藏目录.ssh，其中有2个文件
    • id_rsa:私钥文件
    • id_rsa.pub：公钥文件

虚拟之间实现密钥的登录（免密登录）

• 预处理：2台机子都恢复快照

• 第一步：定位客户端，制作公私钥对

[root@node1 ~]# ssh-keygen  -t  rsa  # 一路回车
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):    Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa
Your public key has been saved in /root/.ssh/id_rsa.pub
The key fingerprint is:
SHA256:ucvCxb7L8L2ej8h/qND0bYCMTOHewR1xFjzMBa/mVBg root@Client
The key's randomart image is:
+---[RSA 3072]----+
|      .   o=E+.  |
|     . o . +=+   |
|      o o . ..o  |
|     + + +   o   |
|      +.S . +    |
|       ooo *     |
|     .ooo ..+    |
|      oB.+.+.    |
|       .@*B+.    |
+----[SHA256]-----+
[root@node1 ~]# ll .ssh/
total 8
-rw-------. 1 root root 2590 Oct 19 09:48 id_rsa
-rw-r--r--. 1 root root  565 Oct 19 09:48 id_rsa.pub

• 第二步：定位客户端，将公钥上传到服务器端

[root@node1 ~]# ssh-copy-id   root@192.168.48.130  # 输入服务端的账户及IP地址
The authenticity of host '192.168.48.130 (192.168.48.130)' can't be established.
ED25519 key fingerprint is SHA256:K7nvJFkfIh+p9YytEGR44wLbTfpB0Y52oVou0UdG6nc.
This key is not known by any other names
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes  # 输入yes
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.48.130's password:  # 输入服务端root账户的的密码 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'root@192.168.48.130'"
and check to make sure that only the key(s) you wanted were added. 

# 注意：客户端将公钥上传到服务器端后，服务器端的/root/.ssh/authorized_keys文件会存储客户端的公钥数据

• 第三步：客户端测试

[root@node1 ~]# ssh  root@192.168.48.130
Activate the web console with: systemctl enable --now cockpit.socket

Register this system with Red Hat Insights: insights-client --register
Create an account or view all your systems at https://red.ht/insights-dashboard
Last login: Wed Mar 22 11:31:31 2023
[root@server ~]# 

• 第四步：由于是要实现服务端与客户端相互免密，则将上述操作在服务端在执行一遍

实验5

• xshell使用密钥登陆

• 之前xshell使用的是密码登录，现在通过密钥的配置，实现无密码登录

# 注意：先在服务器端检查/root/.ssh/authorized_keys是否存在，它时存储公钥的文件，若不存在需要新建

# 服务器端操作
[root@server ~]# cd  /root
[root@server ~]# ls  -a
[root@server ~]# mkdir  .ssh
[root@server ~]# cd  .ssh

# 有时需要注意.ssh目录的权限

• 打开xshell开始操作，新建密钥：

• 下一步：

• 设置密钥文件名加密密码（可不设）

• 产生公钥，并另存为文件

• 将windows中保存的公钥文件以记事本的方式打开，复制内容，拷贝到Linux服务器端的/root/.ssh/authorized_keys文件中后保存退出，并重启服务：

[root@server .ssh]# vim  authorized_keys   # 在该文件下添加生成的密钥内容（使用xftp连接，用记事本打开编辑）
ssh-rsa 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

然后重启sshd服务：
[root@server .ssh]# systemctl restart sshd

• xshell中新建会话：

• 点击用户身份验证，选择Public Key 方式验证登录，点击连接

• 设置以什么身份登录：

• 输入密钥密码

• 成功

网络协议

常见网络协议及端口号
SSH（Secure Shell）
端口号：22
用途：用于远程登录和安全文件传输的协议。通过SSH，用户可以通过加密的连接远程访问Linux系统。
HTTP（HyperText Transfer Protocol）
端口号：80
用途：用于在Web浏览器和Web服务器之间传输数据。大多数Web服务器使用该端口提供HTTP服务。此外，8080、3128、8081、9098等端口也常被用作HTTP代理服务器的端口。
HTTPS（HTTP Secure）
端口号：443
用途：HTTPS是HTTP的安全版本，通过使用加密协议（如SSL/TLS）对传输的数据进行加密。它用于安全地传输敏感信息，如网上银行和电子商务网站。
SMTP（Simple Mail Transfer Protocol）
端口号：25、465
用途：用于电子邮件的传输。它是邮件服务器之间进行电子邮件交换的标准协议。其中，25端口用于SMTP明文传输，而465端口则用于SMTP的SSL加密传输。
DNS（Domain Name System）
端口号：53
用途：用于将域名解析为IP地址，使用户能够通过域名访问网站。
FTP（File Transfer Protocol）
端口号：21
用途：用于文件在客户端和服务器之间的传输。它允许用户上传和下载文件。
MySQL
端口号：3306
用途：MySQL是一种流行的关系型数据库管理系统，使用3306端口提供数据存储和管理的功能。
PostgreSQL
端口号：5432
用途：PostgreSQL是一种开源的关系型数据库管理系统，使用5432端口。它具有高度的可扩展性和灵活性，被广泛用于企业级应用和数据分析。
MongoDB
端口号：27017
用途：MongoDB是一种NoSQL数据库，使用27017端口。它以文档形式存储数据，并提供高性能和可扩展性。
Redis
端口号：6379
用途：Redis是一个开源的使用内存中的数据结构存储系统，它可以用作数据库、缓存和消息中间件。

其他常见端口号及用途
23/tcp端口：TELNET终端仿真服务。
110/tcp端口：POP3（E-mail）。
119端口：Network News Transfer Protocol（NNTP），用于网络新闻传输。
123端口：NTP（Network Time Protocol），网络时间协议。
135、137、138、139端口：局域网相关默认端口，出于安全考虑，这些端口应关闭。
161端口：SNMP（Simple Network Management Protocol），简单网络管理协议。
389端口：LDAP（Lightweight Directory Access Protocol），轻量级目录访问协议；ILS（Indexing Location Service），定位服务。
873端口：rsync，远程同步工具。
1080端口：SOCKS代理协议服务器。
8888端口：Nginx服务器的端口。
9000端口：php-fpm，PHP FastCGI Process Manager，PHP的FastCGI管理器。
9080端口：WebSphere应用程序。
9090端口：WebSphere管理工具。
9200端口：Elasticsearch服务器。
10050端口：Zabbix_server。
11211端口：Memcache，高速缓存系统。
22122端口：FastDFS服务器默认端口。

查看Linux端口号的方法
netstat：用于查看网络连接和端口的信息。此命令将显示所有正在侦听或已建立连接的端口。
lsof：可以列出所有打开的文件，包括网络套接字。此命令将显示所有正在使用的端口。
ss：与netstat类似，但提供了更详细的信息。
grep：可以从文本文件中搜索特定模式。要搜索端口号，可以执行“grep ":port_number" /proc/net/tcp”命令，此命令将搜索包含指定端口号的/proc/net/tcp文件。