sshd服务

已于 2025-03-20 10:19:13 修改
阅读量5.2k 收藏 21
点赞数 2
分类专栏: ssh Windows 文章标签: ssh 服务器 linux
于 2022-06-29 10:29:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/omaidb/article/details/125515711
版权

sshd服务

Linux安装sshd

sshd命令 是openssh软件套件中的服务器守护进程

 # ubuntu/debian安装ssh
sudo apt install ssh openssh-server
 
# Centos安装ssh
sudo yum install openssh-server -y

# 启动sshd并设置sshd开机自启
sudo systemctl enable --now sshd

# 单独安装ssh-client
yum install openssh-clients -y
apt install openssh-client -y
dnf install openssh-clients -y

openssh套件提供交互算法使用的素数模数(/etc/ssh/moduli),生成主机认证公私密钥的工具(/usr/bin/ssh- keygen)


调整SELinux和防火墙策略

请勿照搬

# 永久关闭SELinux
# 修改SELinux的配置为disabled
vi /etc/selinux/config
## 将SELINUX=enforcing改为SELINUX=disabled

# 关闭SELinux
setenforce 0

# 清空防火墙策略(非必须)
iptables -F

# 启动sshd并设置sshd开机自启
sudo systemctl enable --now sshd


# 查看ssh服务是否启动
ps -ef|findstr sshd

## 需要依赖grep
ps -ef|grep sshd 
 
# A和B分别测试下可用性
ssh localhost

Windows安装sshd服务

Win32-openssh项目:https://github.com/PowerShell/Win32-OpenSSH


手动安装openssh

参考:https://github.com/Dream4ever/Knowledge-Base/issues/84
先去Releases页面下载最新版本的OpenSSH,注意要下载64位版本的,并将压缩包里的文件解压至C:\Program Files\OpenSSH目录下

# 执行安装脚本
powershell.exe -ExecutionPolicy Bypass -File install-sshd.ps1

# windows防火墙放行22端口
New-NetFirewallRule -Name sshd -DisplayName 'OpenSSH Server (sshd)' -Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22

# 启动sshd服务
net start sshd

# 设置sshd服务自动启动
Set-Service sshd -StartupType Automatic

choco安装openssh

安装openssh套件ssh-copy-id

# 安装openssh和ssh-copy-id
choco install openssh ssh-copy-id -y

启动sshd服务

# 进入sshd目录
cd "C:\Program Files\OpenSSH-Win64"

# 执行install-sshd.ps1脚本
.\install-sshd.ps1

# 重启sshd服务
Restart-Service sshd

# 重启ssh-agent服务(ssh认证服务)
Restart-Service ssh-agent

# 将sshd服务设置开机自启动
Set-Service -Name sshd -StartupType Automatic

# 将ssh-agent服务设置开机自启动
Set-Service -Name ssh-agent -StartupType Automatic

# 查看sshd服务
Get-Service sshd

# 查看ssh认证服务
Get-Service ssh-agent

在这里插入图片描述


查看22端口是否处于监听状态

# 查看22端口是否处于监听状态
netstat -ano|findstr 22
netstat -ano|grep 22

# telnet测试本地22端口是开放
telnet 127.0.0.1 22

配置Win10的sshd服务–(必须配置)

sshd的配置文件在C:\ProgramData\ssh\sshd_config

vim C:\ProgramData\ssh\sshd_config

# 允许密钥登录
PubkeyAuthentication yes

# 指定授权密钥文件
# AuthorizedKeysFile  .ssh/authorized_keys

# 密码认证(需要将默认的yes改为no,才能密钥登录)
PasswordAuthentication no

必须要注释文件最后几行

 #Match Group administrators
       #AuthorizedKeysFile __PROGRAMDATA__/ssh/administrators_authorized_keys

在这里插入图片描述

修改完配置一定要重启sshd服务

# 重启sshd服务
Restart-Service sshd

# 重启ssh认证服务
Restart-Service ssh-agent

设置ssh登录后默认的shell

设置ssh登录后的shell的主目录

New-ItemProperty -Path "HKLM:\SOFTWARE\OpenSSH" -Name DefaultShellCommandOption -Value "/c" -PropertyType String -Force

设置ssh登录后的shellpowershell

New-ItemProperty -Path "HKLM:\SOFTWARE\OpenSSH" -Name DefaultShell -Value "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -PropertyType String -Force

设置ssh登录后的shellpwsh7

New-ItemProperty -Path "HKLM:\SOFTWARE\OpenSSH" -Name DefaultShell -Value "C:\Program Files\PowerShell\7\pwsh.exe" -PropertyType String -Force

设置ssh登录后的shellmsysbash

# 先安装cmder--必须
choco install cmder -y

# 设置shell
New-ItemProperty -Path "HKLM:\SOFTWARE\OpenSSH" -Name DefaultShell -Value "C:\tools\msys64\usr\bin\bash.exe" -PropertyType String -Force

在这里插入图片描述


配置ssh密钥免密登录

https://blog.youkuaiyun.com/omaidb/article/details/120028143

# 生成密钥对
ssh-keygen

# 将私钥加载到ssh-agent
ssh-add ~\.ssh\id_rsa

sshd服务器创建authorized_keys文件

Widnows的sshd服务默认没有authorized_keys文件

# 上传私钥到ssh服务器
scp ~\.ssh\id_rsa.pub username@windows服务器ip:~\.ssh\authorized_keys

ssh-copy-id上传公钥到ssh服务器

ssh-copy-id没成功,报错umask问题

# 配置ssh免密登录
ssh-copy-id username@hostip

# ssh登录Windows-sshd服务器
ssh username@windows服务器ip

sshd服务详解

sshd命令 是openssh软件套件中的服务器守护进程。


sshd配置文件

/etc/ssh/ssh_config客户端配置文件
/etc/ssh/sshd_config服务端配置文件

# 编辑sshd配置文件
vim /etc/ssh/sshd_config

只监听IPV4

# 查看AddressFamily配置
grep AddressFamily /etc/ssh/sshd_config

在这里插入图片描述

# 只监听IPv4
AddressFamily inet

在这里插入图片描述


指定ssh协议版本

https://developer.aliyun.com/article/269860

# 指定ssh协议版本为2
Protocol 2

自定义sshd端口

vim /etc/ssh/sshd_config

# 取消sshd_config第17行第注释
Port 3389  # 将22修改为3389

修改完配置后重启sshd服务

# 修改完ssh_config配置,重启sshd服务后配置才会生效
systemctl restart sshd

sshd安全配置


禁止使用密码登陆ssh

# 大约65行 或 78行
## yes打开密钥认证 | no 关闭密钥认证
PasswordAuthentication yes

## yes开启密码认证 | no 关闭密钥认证
PubkeyAuthentication no

##输入密码次数限制 6代表输错六次就退出     
MaxAuthTries 6

修改完配置后重启sshd服务

# 修改完ssh_config配置,重启sshd服务后配置才会生效
systemctl restart sshd

不允许root登录

默认为prohibit-password(没有密码)。建议配置为no,即禁止root远程登录
如果未禁止root账号远程登录,那么攻击者获取到root口令之后就可以从网络上远程登录服务器进行攻击行为,否则只能从服务器机房内部近端登录,可大幅减小攻击面

# 是否允许root登录
## no 禁止root登录
PermitRootLogin no

不允许空密码

# 允许空密码,默认为no。
## 应禁止配置该字段为yes,避免无密码用户登录。
PermitEmptyPasswords no

使用PAM策略

# 使用PAM策略,默认为no。
## PAM策略对用户认证和管理,有登录次数限制,超次锁定用户,到时解锁用户功能。 
## sshd_config的MaxAuthTries仅有登录次数限制。该字段应配置为yes,使用PAM策略,可以起到防暴力破解。
UsePAM no

系统日志设施

该配置表示,可通过rsyslog服务的设施分类规则记录日志。在 /etc/rsyslog.conf已有规则authpriv.* /var/log/secure用于记录安全日志。建议对照该规则配置SyslogFacilityAUTHPRIV, 这样可以记录SSH服务日志,比如用户的认证鉴权日志登入登出日志等,为安全事件提供日志支撑。

# 系统日志设施,默认为AUTH。
SyslogFacility AUTH

# 记录ssh日志到rsyslog
# SyslogFacility AUTHPRIV

忽略Rhosts

Rlogin协议中,Rhosts配置表示授权远程访问,由于Rlogin协议已不安全,所 以应禁止使用Rhosts配置。建议配置为yes

# 忽略Rhosts,默认为yes
IgnoreRhosts yes

指定SSH强加密算法

https://eulixos.com/docs/2.0/SecHarden/%E7%B3%BB%E7%BB%9F%E6%9C%8D%E5%8A%A1.html#%E5%8A%A0%E5%9B%BA-ssh-%E6%9C%8D%E5%8A%A1

推荐:AES-256SHA-512加密算法。

# 列出支持的密码
ssh -Q cipher
# 列出支持的 MAC
ssh -Q mac
# 列出支持的公钥类型
ssh -Q key

# 客户端获取支持密钥交换算法列表
ssh -Q kex

在这里插入图片描述

# 服务端获取支持算法列表
sshd -T | grep kex

在这里插入图片描述

修改/etc/ssh/sshd_config文件,将下列语句直接加到该文件后面
https://www.openssh.com/legacy.html

# 指定`Ciphers`采用强加密算法--SSH数据传输的加密算法
Ciphers aes256-ctr,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com

# 设置SSH数据校验的哈希算法--用于检测流量修改的消息验证码
MACs hmac-sha2-512,hmac-sha2-512-etm@openssh.com

# 用于生成每个连接密钥的密钥交换算法
KexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256

# SSH 服务器接受的公钥算法,用于向 SSH 客户端验证自身身份
# HostkeyAlgorithms ssh-ed25519-cert-v01@openssh.com,ssh-rsa-cert-v01@openssh.com,ssh-ed25519,ssh-rsa

当然,最后要重启ssh服务才能使配置生效。

# 客户端验证ssh加密算法
ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 -v  10.0.1.220

ssh登录优化

ssh登录速度慢,可以通过下列配置优化。


判断客户端是否合法-UserDNS

# 使用dns反查客户端的主机名,会导致登陆变慢
UserDNS yes

# 一般内网时设置为no,连接速度会加快
UserDNS no

在sshd服务端上查看ssh客户端的ip

# 在sshd服务端上查看ssh客户端的ip地址
env|grep -i ssh

在这里插入图片描述


-vvv显示登陆详情–debug时使用

https://wangchujiang.com/linux-command/c/sshd.html
ssh客户端debug模式

# debug模式--显示登陆时的所有信息,方便调试诊断
## -v -vv -vvv
ssh -vvv 用户名@服务器地址

ssh系统登录提示

Linux 系统通过 /etc/issue/etc/issue.net/etc/motd 以及 /run/motd.dynamic 来显示登录后的提示信息,通常用于向用户提示系统版本、硬件信息等,

  • /etc/issue/etc/issue.net 通常在未登录终端前显示,
  • /etc/motd/run/motd.dynamic 则是在成功登录终端后显示。
  • 此外还有 /etc/profile/etc/profile.d/,在登录后会运行其中的脚本。

ssh登录后欢迎语

/etc/motd/run/motd.dynamic文件里面保存的是ssh登录后欢迎语

# 插入  你好吗
echo '你好吗'> /etc/motd
# 登陆后会打印 你好吗

在这里插入图片描述


sshd服务无法启动错误排查

可能导致ssh错误的原因:

  • 升级内核
  • 升级sshd服务
  • 配置sshd服务
  • 修改iptables策略
  • 配置hosts.deny
  • 修改内核参数
  • 修改limits.conf
  • 配置SElinux
  • 配置PAM认证机制
  • 系统负载过高
  • 安装第三方安全防护软件

sshd故障排查步骤

分析sshd日志

# 从最后500条日志中过滤sshd关键字
tail -500 /var/log/secure | grep 'sshd'

测试sshd是否可以启动

https://wangchujiang.com/linux-command/c/sshd.html

# 对sshd进行测试,并给出错误提示
sshd -t

调试模式启动sshd

# 调试模式启动sshd
sshd -d

# 详细调试模式启动sshd
sshd -ddd

查看sshd的ssh协议版本

https://developer.aliyun.com/article/269860

# 安装scanssh
## 安装epel源
yum install -y epel-release

## yum安装scanssh
yum install -y scanssh

# 扫描sshd协议版本
## -n 指定ssh服务端的端口
scanssh -s ssh -n 端口 ip或ip段

在这里插入图片描述


sshd常见故障


ssh证书登陆失败

错误提示: ssh Permission denied (publickey)

解决办法参考


ssh启动错误提示:Missing privilege separation directory: /run/sshd

原因分析: openssh-Server的Bug


临时解决办法1:

# 创建缺失的目录
mkdir -p /run/sshd

# 修改权限
chmod -R 0755 /run/sshd
chown -R root:root /run/sshd

解决方法2:

修改配置文件
修改/usr/lib/tmpfiles.d/sshd.conf,修改d /var/run/sshd 0755 rootd /run/sshd 0755 root root
在这里插入图片描述


解决办法3–建议:

升级openssh可以解决此Bug

ubuntu18.04.2下sshd服务安装包
11-30
在Ubuntu中,SSHD服务通常通过OpenSSH服务器实现。要安装OpenSSH服务器,打开终端并输入以下命令: ``` sudo apt update sudo apt install openssh-server ``` 这两个命令会更新系统软件列表并安装OpenSSH...
SSH服务
2302_76824193的博客
04-20 5839
ssh 密文传输、ssh密钥对配置、ssh密钥对面交互登录、TCP Wrappers,图文详解
Linux服务篇-sshd服务
浅水鲤鱼的博客
09-21 1万+
SSHD服务详细讲解,配置文件说明 如何防止暴力破解 fail2ban的使用 如何利用SSH发送数据
Windows电脑如何开启SSH服务器功能
最新发布
诸神缄默不语的博客
02-19 1965
本文介绍Windows电脑如何开启SSH服务器功能
sshd简介及服务
weixin_42566251的博客
04-10 7176
一、sshd简介 sshd=secure shell 可以通过网络在主机中开启shell的服务 客户端软件 sshd 连接方式: ssh username@ip 文本模式的链接 ssh -X username@ip 可以在连接成功后开机图形 注意:第一次链接陌生主机是要建立认证文件,所以会询问是否建立,需要输入yes 在次链接此台主机时,因为已经生成~/....
Linux基础服务sshd简介
SunMy的博客
09-08 1万+
sshd由OpenSSH来提供 SSH 协议:Secure Shell,安全的shell协议。 SSH 为建立在应用层和传输层基础上的安全协议。 sshd服务使用SSH协议可以用来进行远程控制, 或在计算机之间传送文件。 sshd使用加密传输,较之使用明文传输的telnet传输文件要安全很多。 sshd配置文件 /etc/ssh/sshd_config 如果井号开头的和后面参数没有空格的,表示默认值,是生效的 如果井号开头和后面有空格的,表示纯注释 调优参数 端口 默认端口22,外网生产环境需要修
基于sshd构建sftp服务器
10-10
它允许开发者轻松地构建自己的SSH服务,包括SFTP服务器SSHD支持多种身份验证方式,包括密码和密钥对验证,这使得它在安全性方面具有显著优势。 **搭建sftp服务器步骤** 1. **安装依赖**:首先,你需要在你的开发...
Linux sshd服务搭建管理和防止暴力破解
04-27
Linux sshd服务搭建管理和防止暴力破解,非常不错,很好
sshd服务自动升级
01-19
当我们谈论"sshd服务自动升级"时,我们关注的是如何确保这个服务始终运行最新、最安全的版本,以防止潜在的安全威胁。 标题"sshd服务自动升级"暗示了我们需要讨论的内容是关于如何自动化更新`sshd`服务的过程。这...
Android 类sshd服务
03-26
Android下类sshd服务,支持Root授权,提供SSH和SFTP服务
sshd服务器搭建和配置
05-28
文档中详细记录了sshd服务器搭建过程以及应该注意的一些问题和相关的一些配置。
sshd服务项目和ssh免密登录详细笔记和文档总结
07-02
sshd 服务项目和 ssh 免密登录详细笔记和文档总结 ssh 服务项目是 Linux 系统中的一种安全shell 协议,用于远程登录和管理服务器。下面是 ssh 服务项目和 ssh 免密登录的详细笔记和文档总结: 一、ssh 服务项目 ...
android sshd 服务 的apk包
08-23
**Android SSHD服务详解** Android SSHD服务是一种在Android设备上实现Secure Shell (SSH)服务的应用,它允许用户通过SSH协议远程访问和管理他们的设备。SSH是一种加密网络协议,广泛用于安全地执行命令、传输文件...
sshd离线安装包
11-06
ssh服务离线安装包,ubuntu 离线安装,一定要按顺序启动 sudo dpkg -i openssh-client_6.6p1-2ubuntu1_amd64.deb sudo dpkg -i openssh-sftp-server_6.6p1-2ubuntu1_amd64.deb sudo dpkg -i libck-connector0_0.4.5-...
Windows系统配置SSH服务
sunnygirl's house
04-04 4779
选择【OpenSSH 服务端】,切记不是【OpenSSH 客户端】(如果安装一个不行,就都安装,我都安装了可以用),然后点击下载即可。新增连接,填入主机的IP就行,然后点击连接,会弹出用户名和密码的输入框,填入即可。右键-属性,启动类型选择:【自动】,这样就实现了开机自启。按下【win】+R键,输入【services.msc】搜索到【OpenSSH SSH Server】服务。下载完成后会自动安装,安装成功会出现在列表中。打开【设置】-【应用】选择【管理可选功能】点击【添加可选功能】
2-1-搭建Linux实验环境-sshd服务搭建与管理与防治暴力破解-课堂笔记
weixin_30265103的博客
05-10 281
1、学习Linux服务前期环境准备、搭建一个RHEL6环境 注意:本章学习推荐大家用centos6.X 系列的系统,用RHEL也可以 实验环境搭建: 系统安装 安装RHEL6或者centos 6系列 64位系统 不要用32位 CENTOS6X86_64 从6.5 -6.8 都可以 下载地址:http://pan.baidu.com/s/1o7DxkQu密码: ...
sshd服务的用法
热门推荐
zzzluyao的博客
10-11 3万+
一.sshd简介 sshd(secure shell)服务使用ssh协议远程开启其他主机shell的服务。首先需要打开sshd 服务 二.sshd服务状态调整  systemctl status sshd        查看服务状态  systemctl start sshd           打开服务 systemctl stop sshd            关闭服务 syst...
重启 sshd 服务
02-08
### 如何在 Linux 中重启 SSHD 服务Linux 系统中,有多种方式可以用于重启 `sshd` 服务。具体方法取决于所使用的初始化系统。 对于采用 System V init 的较旧版本 Linux 发行版: ```bash sudo /etc/init.d/ssh restart ``` 此命令会调用位于 `/etc/init.d/` 下的脚本来管理服务生命周期[^2]。 而在现代基于 systemd 的发行版上,则推荐使用如下命令来执行相同的操作: ```bash sudo systemctl restart sshd.service ``` 这条指令告诉 systemd 重新加载并激活指定的服务单元文件,从而实现对 `sshd` 进程的有效重启[^1]。 另外一种通用的方式是利用 `service` 命令来进行操作: ```bash sudo service ssh restart ``` 这同样适用于大多数主流 Linux 发行版,并且能够兼容不同的初始化管理系统[^3]。 值得注意的是,在某些情况下如果遇到因权限问题导致无法正常启动的情况时,可能需要调整相关目录或配置文件的读写属性后再尝试重启服务。例如当 `/var/empty/sshd` 文件夹存在不恰当的权限设置时,可通过更改其权限为更安全合理的数值如744之后再试一次启动过程[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

教Linux的李老师

赞赏是第一生产力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值