本文深入解析SSH协议,涵盖其安全特性、版本差异、软件实现如OpenSSH与Dropbear,以及密钥交换、登录验证机制。同时,介绍了SSH端口转发、自动化运维工具如pssh和pscp,以及最佳实践,为读者提供全面的SSH应用指南。
SSH
ssh: secure shell, protocol, 22/tcp, 安全的
具体的软件实现:
OpenSSH: ssh协议的开源实现,CentOS
dropbear:另一个开源实现
SSH协议版本
v1: 基于CRC-32做MAC,不安全;man-
v2:双方主机协议选择安全的MAC方式
基于DH算法做密钥交换,基于RSA或DSA
两种方式的用户登录认证:
基于password
基于key
1. Openssh软件组成
OpenSSH介绍
相关包:
openssh
openssh-clients
openssh-server
工具:
基于C/S结构
Linux Client: ssh, scp, sftp,slogin
Windows Client:xshell, putty, securecrt, sshsecureshellclient
Server: sshd
ssh客户端
客户端组件:
ssh, 配置文件:/etc/ssh/ssh_config
Host PATTERN
StrictHostKeyChecking no 首次登录不显示检查提示
/var/log/secure sshd的日志文件
格式:ssh [user@]host [COMMAND]
ssh [-l user] host [COMMAND]
常见选项
-p port:远程服务器监听的端口
-b:指定连接的源IP
-v:调试模式
-C:压缩方式
-X:支持x11转发
-t:强制伪tty分配
ssh -t remoteserver1 ssh -t remoteserver2 ssh remoteserver3
允许实现对远程系统经验证地加密安全访问
当用户远程连接ssh服务器时,会复制ssh服务器/etc/ssh/ssh_host*key.pub(CentOS7默认是ssh_host_ecdsa_key.pub)文件中的公钥到客户机的~./ssh/know_hosts中下次连接时,会自动匹配相应私钥,不能匹配,将拒绝连接
- 公钥交换
客户端发起链接请求
服务端返回自己的公钥,以及一个会话ID(这一步客户端得到服务端公钥)
客户端生成密钥对
客户端用自己的公钥异或会话ID,计算出一个值Res,并用服务端的公钥加密
客户端发送加密后的值到服务端,服务端用私钥解密,得到Res
服务端用解密后的值Res异或会话ID,计算出客户端的公钥(这一步服务端得到客户端公钥)
最终:双方各自持有三个秘钥,分别为自己的一对公、私钥,以及对方的公钥,之后的所有通讯都会被加密 - ssh服务登录验证
ssh服务登录验证方式
用户/口令
基于密钥
基于用户和口令登录验证
1 客户端发起ssh请求,服务器会把自己的公钥发送给用户
2 用户会根据服务器发来的公钥对密码进行加密
3 加密后的信息回传给服务器,服务器用自己的私钥解密,如果密码正确,则用户登录成功
ssh服务基于密钥登录验证
1 首先在客户端生成一对密钥(ssh-keygen)
2 并将客户端的公钥ssh-copy-id 拷贝到服务端
3 当客户端再次发送一个连接请求,包括ip、用户名
4 服务端得到客户端的请求后,会到authorized_keys中查找,如果有响应的IP和用户,就会随机生成一个字符串,例如:magedu
5 服务端将使用客户端拷贝过来的公钥进行加密,然后发送给客户端
6 得到服务端发来的消息后,客户端会使用私钥进行解密,然后将解密后的字符串发送给服务端
7 服务端接受到客户端发来的字符串后,跟之前的字符串进行对比,如果一致,就允许免密码登录 - 基于key认证实现
在客户端生成密钥对
ssh-keygen -t rsa [-P ‘’] [-f “~/.ssh/id_rsa”]
把公钥文件传输至远程服务器对应用户的家目录
ssh-copy-id -i [identity_file] [user@]host(server)
测试
在SecureCRT或Xshell实现基于key验证
在SecureCRT工具—>创建公钥—>生成Identity.pub文件
转化为openssh兼容格式并复制到需登录主机上相应文件authorized_keys中注意权限必须为600,
在需登录的ssh主机上执行:ssh-keygen -i -f Identity.pub >> .ssh/authorized_keys
重设私钥口令:
ssh-keygen –p
验证代理(authentication agent)保密解密后的密钥
这样口令就只需要输入一次
在GNOME中,代理被自动提供给root用户
否则运行ssh-agent bash
钥匙通过命令添加给代理
ssh-add
2. 命令 - scp命令
scp [options] SRC… DEST/
两种方式:
scp [options] [user@]host:/sourcefile /destpath
scp [options] /sourcefile [user@]host:/destpath
常用选项:
-C 压缩数据流
-r 递归复制
-p 保持原文件的属性信息
-q 静默模式
-P PORT 指明remote host的监听的端口 - rsync命令
基于ssh和rsh服务实现高效率的远程系统之间复制文件
使用安全的shell连接做为传输方式
rsync -av /etc server1:/tmp 复制目录和目录下文件
rsync -av /etc/ server1:/tmp 只复制目录下文件
比scp更快,只复制不同的文件
常用选项:
-n 模拟复制过程
-v 显示详细过程
-r 递归复制目录树
-p 保留权限
-t 保留时间戳
-g 保留组信息
-o 保留所有者信息
-l 将软链接文件本身进行复制(默认)
-L 将软链接文件指向的文件复制
-a 存档,相当于–rlptgoD,但不保留ACL(-A)和SELinux属性(-X) - sftp命令
交互式文件传输工具
用法和传统的ftp工具相似
lcd 改变的是客户端的路径
cd 改变的是服务器端的路径
利用ssh服务实现安全的文件上传和下载
使用ls cd mkdir rmdir pwd get put等指令,可用?或help获取帮助信息
sftp [user@]host
sftp> help
3. 轻量级自动化运维工具
pssh:基于python编写,可在多台服务器上执行命令的工具,也可实现文件复制,提供了基于ssh和scp的多个并行工具
pdsh:Parallel remote shell program,是一个多线程远程shell客户端,可以并行执行多个远程主机上的命令pdsh可以使用几种不同的远程shell服务,包括标准的“rsh”,Kerberos IV和ssh
mussh:Multihost SSH wrapper,是一个shell脚本,允许您使用一个命令在多个主机上通过ssh执行命令或脚本。
mussh可使用ssh-agent和RSA / DSA密钥,以减少输入密码
说明:以上工具都包含在EPEL源中
- pssh工具
pssh [options] command …
选项如下:
--version:查看版本
-h:主机文件列表,内容格式"[user@]host[:port]"
-H:主机字符串,内容格式"[user@]host[:port]"
-A:手动输入密码模式
-i:每个服务器内部处理信息输出
-l:登录使用的用户名
-p:并发的线程数[可选]
-o:输出的文件目录[可选]
-e:错误输出文件[可选]
-t:TIMEOUT 超时时间设置,0无限制[可选]
-O:SSH的选项
-P:打印出服务器返回信息
-v:详细模式
pssh示例:
通过pssh批量关闭seLinux
pssh -H root@192.168.1.10 -i ‘sed -i “s/^SELINUX=.*/SELINUX=disabled/” /etc/selinux/config’
批量发送指令
pssh -H root@192.168.1.10 -i setenforce 0
pssh -H wang@192.168.1.10 -i hostname
当不支持ssh的key认证时,通过 -A选项,使用密码认证批量执行指令
pssh -H wang@192.168.1.10 -A -i hostname
将标准错误和标准正确重定向都保存至/app目录下
pssh -H 192.168.1.10 -o /app -e /app -i “hostname” - pscp.pssh命令
pscp.pssh功能是将本地文件批量复制到远程主机
pscp [-vAr] [-h hosts_file] [-H [user@]host[:port]] [-l user] [-p par] [-o outdir] [-e errdir] [-t timeout] [-O options] [-x args] [-X arg] local remote
pscp-pssh选项
-v 显示复制过程
-r 递归复制目录
pscp示例:
将本地curl.sh 复制到/app/目录
pscp.pssh -H 192.168.1.10 /root/test/curl.sh /app/
pscp.pssh -h host.txt /root/test/curl.sh /app/
将本地多个文件批量复制到/app/目录
pscp.pssh -H 192.168.1.10 /root/f1.sh /root/f2.sh /app/
将本地目录批量复制到/app/目录
pscp.pssh -H 192.168.1.10 -r /root/test/ /app/ - pslurp命令
pslurp功能是将远程主机的文件批量复制到本地
pslurp [-vAr] [-h hosts_file] [-H [user@]host[:port]] [-l user] [-p par][-o outdir] [-e errdir] [-t timeout] [-O options] [-x args] [-X arg] [-L localdir] remote local(本地名)
pslurp选项
-L 指定从远程主机下载到本机的存储的目录,local是下载到本地后的名称
-r 递归复制目录
批量下载目标服务器的passwd文件至/app下,并更名为user
pslurp -H 192.168.1.10 -L /app /etc/passwd user
4. SSH端口转发–“隧道”(tunneling)
SSH 会自动加密和解密所有 SSH 客户端与服务端之间的网络数据
SSH 还能够将其他 TCP 端口的网络数据通过 SSH 链接来转发,并且自动提供了相应的加密及解密服务
SSH 为其他 TCP 链接提供了一个安全的通道来进行传输而得名。避免了用户名,密码以及隐私信息的明文传输。如果工作环境中的防火墙限制了一些网络端口的使用,但是允许 SSH 的连接,也能够通过将 TCP 端口转发来使用 SSH 进行通讯
SSH 端口转发能够提供两大功能:
加密 SSH Client 端至 SSH Server 端之间的通讯数据
突破防火墙的限制完成一些之前无法建立的 TCP 连接
- 本地转发:
ssh client --> ssh server --> server
-L localport:remotehost:remotehostport sshserver
选项:
-f 后台启用
-N 不打开远程shell,处于等待状态
-g 启用网关功能
示例
ssh客户端执行: ssh -L sport:serverIP:dport -Nfg sshserverIP
ssh –L 9527:telnetsrv:23 -Nfg sshsrv
发送请求到9527端口
telnet 127.0.0.1 9527
当访问本机的9527的端口时,被加密后转发到sshsrv的ssh服务再解密被转发到telnetsrv:23
data<-- -->localhost:9527<-- -->localhost:XXXXX<-- -->sshsrv:22<-- -->sshsrv:YYYYY<-- -->telnetsrv:23 - 远程转发:
ssh server <-- ssh client --> server
-R sshserverport:remotehost:remotehostport sshserver
示例:
ssh –R 9527:telnetsrv:23 –Nf sshsrv
让sshsrv侦听9527端口的访问,如有访问,就加密后通过ssh服务转发请求到本机ssh客户端,再由本机解密后转发到telnetsrv:23
Data<-- -->sshsrv:9527<-- -->sshsrv:22<-- -->localhost:XXXXX<-- -->localhost:YYYYY<-- -->telnetsrv:23 - 动态端口转发:
当用firefox访问internet时,本机的1080端口做为代理服务器,firefox的访问请求被转发到sshserver上,由sshserver替之访问internet
ssh -D 1080 root@sshserver -fNg
在本机firefox设置代理socket proxy:127.0.0.1:1080
curl --socks5 127.0.0.1:1080 http://www.google.com
X 协议转发
所有图形化应用程序都是X客户程序
能够通过tcp/ip连接远程X服务器
数据没有加密机,但是它通过ssh连接隧道安全进行
ssh -X user@remotehost gedit
remotehost主机上的gedit工具,将会显示在本机的X服务器上,传输的数据将通过ssh连接加密
5. ssh服务器
服务器端:sshd, 配置文件: /etc/ssh/sshd_config
常用参数:
Port
ListenAddress ip
LoginGraceTime 2m
PermitRootLogin yes
StrictModes yes 检查.ssh/文件的所有者,权限等
MaxAuthTries 6
MaxSessions 10 同一个连接最大会话
PubkeyAuthentication yes 是否基于key方式访问
PermitEmptyPasswords no 空密码是否能访问
PasswordAuthentication yes 是否基于口令方式访问
GatewayPorts no 允许远程连接端口转发
ClientAliveInterval 单位:秒
ClientAliveCountMax 默认3
UseDNS yes
GSSAPIAuthentication yes 提高速度可改为no
MaxStartups 未认证连接最大值,默认值10 var1:var2:var3 超过var1,以var2%进行随机拒绝访问,超过var2,拒绝访问
Banner /path/file
限制可登录用户的办法:
AllowUsers user1 user2 user3 只允许指定的用户访问
DenyUsers 不允许指定的用户访问
AllowGroups
DenyGroups - ssh服务的最佳实践
建议使用非默认端口
禁止使用protocol version 1
限制可登录用户
设定空闲会话超时时长
利用防火墙设置ssh访问策略
仅监听特定的IP地址
基于口令认证时,使用强密码策略
tr -dc A-Za-z0-9_ < /dev/urandom | head -c 12| xargs
使用基于密钥的认证
禁止使用空密码
禁止root用户直接登录
限制ssh的访问频度和并发在线数
经常分析日志
lastb命令查看ssh失败的连接
6. 编译安装dropbear示例
ssh协议的另一个实现:dropbear
源码编译安装:
1、安装相关包:yum install gcc
2、2下载dropbear-2019.78.tar.bz
3、tar xf dropbear-2019.78.tar.bz2
4、less INSTALL README
5、./configure
6、make GRAMPROS=“dropbear dbclient dropbearkey dropbearconvert scp”
7、make PROGRAMS=“dropbear dbclient dropbearkey dropbearconvert scp” install
启动ssh服务:
8、ls /usr/local/sbin/ /usr/local/bin/
9、/usr/local/sbin/dropbear -h
10、mkdir /etc/dropbear
11、dropbearkey -t rsa -f /etc/dropbear/dropbear_rsa_host_key -s 2048
12、dropbearkey -t dss -f /etc/dropbear/dropbear_dsa_host_key
13、dropbear -p :2222 -F –E #前台运行
dropbear -p :2222 #后台运行
客户端访问:
14、ssh -p 2222 root@127.0.0.1
15、dbclient -p 2222 root@127.0.0.1
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
