ssh详解

本文深入解析SSH协议,涵盖其安全特性、版本差异、软件实现如OpenSSH与Dropbear,以及密钥交换、登录验证机制。同时,介绍了SSH端口转发、自动化运维工具如pssh和pscp,以及最佳实践,为读者提供全面的SSH应用指南。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SSH

 ssh: secure shell, protocol, 22/tcp, 安全的
 具体的软件实现:
  OpenSSH: ssh协议的开源实现,CentOS
  dropbear:另一个开源实现
 SSH协议版本
  v1: 基于CRC-32做MAC,不安全;man-
  v2:双方主机协议选择安全的MAC方式
 基于DH算法做密钥交换,基于RSA或DSA
 两种方式的用户登录认证:
  基于password
  基于key
1. Openssh软件组成
 OpenSSH介绍
  相关包:
   openssh
   openssh-clients
   openssh-server
  工具:
   基于C/S结构
   Linux Client: ssh, scp, sftp,slogin
   Windows Client:xshell, putty, securecrt, sshsecureshellclient
   Server: sshd
 ssh客户端
  客户端组件:
   ssh, 配置文件:/etc/ssh/ssh_config
    Host PATTERN
    StrictHostKeyChecking no 首次登录不显示检查提示
   /var/log/secure sshd的日志文件
  格式:ssh [user@]host [COMMAND]
  ssh [-l user] host [COMMAND]
  常见选项
   -p port:远程服务器监听的端口
   -b:指定连接的源IP
   -v:调试模式
   -C:压缩方式
   -X:支持x11转发
   -t:强制伪tty分配
   ssh -t remoteserver1 ssh -t remoteserver2 ssh remoteserver3
 允许实现对远程系统经验证地加密安全访问
 当用户远程连接ssh服务器时,会复制ssh服务器/etc/ssh/ssh_host*key.pub(CentOS7默认是ssh_host_ecdsa_key.pub)文件中的公钥到客户机的~./ssh/know_hosts中下次连接时,会自动匹配相应私钥,不能匹配,将拒绝连接

  • 公钥交换
    客户端发起链接请求
    服务端返回自己的公钥,以及一个会话ID(这一步客户端得到服务端公钥)
    客户端生成密钥对
    客户端用自己的公钥异或会话ID,计算出一个值Res,并用服务端的公钥加密
    客户端发送加密后的值到服务端,服务端用私钥解密,得到Res
    服务端用解密后的值Res异或会话ID,计算出客户端的公钥(这一步服务端得到客户端公钥)
    最终:双方各自持有三个秘钥,分别为自己的一对公、私钥,以及对方的公钥,之后的所有通讯都会被加密
  • ssh服务登录验证
    ssh服务登录验证方式
    用户/口令
    基于密钥
    基于用户和口令登录验证
     1 客户端发起ssh请求,服务器会把自己的公钥发送给用户
     2 用户会根据服务器发来的公钥对密码进行加密
     3 加密后的信息回传给服务器,服务器用自己的私钥解密,如果密码正确,则用户登录成功
    ssh服务基于密钥登录验证
     1 首先在客户端生成一对密钥(ssh-keygen)
     2 并将客户端的公钥ssh-copy-id 拷贝到服务端
     3 当客户端再次发送一个连接请求,包括ip、用户名
     4 服务端得到客户端的请求后,会到authorized_keys中查找,如果有响应的IP和用户,就会随机生成一个字符串,例如:magedu
     5 服务端将使用客户端拷贝过来的公钥进行加密,然后发送给客户端
     6 得到服务端发来的消息后,客户端会使用私钥进行解密,然后将解密后的字符串发送给服务端
     7 服务端接受到客户端发来的字符串后,跟之前的字符串进行对比,如果一致,就允许免密码登录
  • 基于key认证实现
    在客户端生成密钥对
    ssh-keygen -t rsa [-P ‘’] [-f “~/.ssh/id_rsa”]
    把公钥文件传输至远程服务器对应用户的家目录
    ssh-copy-id -i [identity_file] [user@]host(server)
    测试
     在SecureCRT或Xshell实现基于key验证
     在SecureCRT工具—>创建公钥—>生成Identity.pub文件
     转化为openssh兼容格式并复制到需登录主机上相应文件authorized_keys中注意权限必须为600,
     在需登录的ssh主机上执行:ssh-keygen -i -f Identity.pub >> .ssh/authorized_keys
     重设私钥口令:
     ssh-keygen –p
     验证代理(authentication agent)保密解密后的密钥
     这样口令就只需要输入一次
     在GNOME中,代理被自动提供给root用户
     否则运行ssh-agent bash
     钥匙通过命令添加给代理
     ssh-add
    2. 命令
  • scp命令
     scp [options] SRC… DEST/
     两种方式:
      scp [options] [user@]host:/sourcefile /destpath
      scp [options] /sourcefile [user@]host:/destpath
      常用选项:
       -C 压缩数据流
       -r 递归复制
       -p 保持原文件的属性信息
       -q 静默模式
       -P PORT 指明remote host的监听的端口
  • rsync命令
     基于ssh和rsh服务实现高效率的远程系统之间复制文件
     使用安全的shell连接做为传输方式
      rsync -av /etc server1:/tmp 复制目录和目录下文件
      rsync -av /etc/ server1:/tmp 只复制目录下文件
     比scp更快,只复制不同的文件
     常用选项:
      -n 模拟复制过程
      -v 显示详细过程
      -r 递归复制目录树
      -p 保留权限
      -t 保留时间戳
      -g 保留组信息
      -o 保留所有者信息
      -l 将软链接文件本身进行复制(默认)
      -L 将软链接文件指向的文件复制
      -a 存档,相当于–rlptgoD,但不保留ACL(-A)和SELinux属性(-X)
  • sftp命令
     交互式文件传输工具
     用法和传统的ftp工具相似
     lcd 改变的是客户端的路径
     cd 改变的是服务器端的路径
     利用ssh服务实现安全的文件上传和下载
     使用ls cd mkdir rmdir pwd get put等指令,可用?或help获取帮助信息
      sftp [user@]host
      sftp> help

3. 轻量级自动化运维工具
 pssh:基于python编写,可在多台服务器上执行命令的工具,也可实现文件复制,提供了基于ssh和scp的多个并行工具
 pdsh:Parallel remote shell program,是一个多线程远程shell客户端,可以并行执行多个远程主机上的命令pdsh可以使用几种不同的远程shell服务,包括标准的“rsh”,Kerberos IV和ssh
 mussh:Multihost SSH wrapper,是一个shell脚本,允许您使用一个命令在多个主机上通过ssh执行命令或脚本。
 mussh可使用ssh-agent和RSA / DSA密钥,以减少输入密码
 说明:以上工具都包含在EPEL源中

  • pssh工具
    pssh [options] command …
    选项如下:
     --version:查看版本
     -h:主机文件列表,内容格式"[user@]host[:port]"
     -H:主机字符串,内容格式"[user@]host[:port]"
     -A:手动输入密码模式
     -i:每个服务器内部处理信息输出
     -l:登录使用的用户名
     -p:并发的线程数[可选]
     -o:输出的文件目录[可选]
     -e:错误输出文件[可选]
     -t:TIMEOUT 超时时间设置,0无限制[可选]
     -O:SSH的选项
     -P:打印出服务器返回信息
     -v:详细模式
    pssh示例:
     通过pssh批量关闭seLinux
     pssh -H root@192.168.1.10 -i ‘sed -i “s/^SELINUX=.*/SELINUX=disabled/” /etc/selinux/config’
     批量发送指令
     pssh -H root@192.168.1.10 -i setenforce 0
     pssh -H wang@192.168.1.10 -i hostname
     当不支持ssh的key认证时,通过 -A选项,使用密码认证批量执行指令
     pssh -H wang@192.168.1.10 -A -i hostname
     将标准错误和标准正确重定向都保存至/app目录下
     pssh -H 192.168.1.10 -o /app -e /app -i “hostname”
  • pscp.pssh命令
    pscp.pssh功能是将本地文件批量复制到远程主机
     pscp [-vAr] [-h hosts_file] [-H [user@]host[:port]] [-l user] [-p par] [-o outdir] [-e errdir] [-t timeout] [-O options] [-x args] [-X arg] local remote
     pscp-pssh选项
     -v 显示复制过程
     -r 递归复制目录
    pscp示例:
    将本地curl.sh 复制到/app/目录
     pscp.pssh -H 192.168.1.10 /root/test/curl.sh /app/
     pscp.pssh -h host.txt /root/test/curl.sh /app/
     将本地多个文件批量复制到/app/目录
     pscp.pssh -H 192.168.1.10 /root/f1.sh /root/f2.sh /app/
     将本地目录批量复制到/app/目录
     pscp.pssh -H 192.168.1.10 -r /root/test/ /app/
  • pslurp命令
    pslurp功能是将远程主机的文件批量复制到本地
     pslurp [-vAr] [-h hosts_file] [-H [user@]host[:port]] [-l user] [-p par][-o outdir] [-e errdir] [-t timeout] [-O options] [-x args] [-X arg] [-L localdir] remote local(本地名)
     pslurp选项
     -L 指定从远程主机下载到本机的存储的目录,local是下载到本地后的名称
     -r 递归复制目录
     批量下载目标服务器的passwd文件至/app下,并更名为user
     pslurp -H 192.168.1.10 -L /app /etc/passwd user

4. SSH端口转发–“隧道”(tunneling)
 SSH 会自动加密和解密所有 SSH 客户端与服务端之间的网络数据
 SSH 还能够将其他 TCP 端口的网络数据通过 SSH 链接来转发,并且自动提供了相应的加密及解密服务
 SSH 为其他 TCP 链接提供了一个安全的通道来进行传输而得名。避免了用户名,密码以及隐私信息的明文传输。如果工作环境中的防火墙限制了一些网络端口的使用,但是允许 SSH 的连接,也能够通过将 TCP 端口转发来使用 SSH 进行通讯
 SSH 端口转发能够提供两大功能:
  加密 SSH Client 端至 SSH Server 端之间的通讯数据
  突破防火墙的限制完成一些之前无法建立的 TCP 连接

  • 本地转发:
     ssh client --> ssh server --> server
      -L localport:remotehost:remotehostport sshserver
     选项:
      -f 后台启用
      -N 不打开远程shell,处于等待状态
      -g 启用网关功能
     示例
     ssh客户端执行: ssh -L sport:serverIP:dport -Nfg sshserverIP
      ssh –L 9527:telnetsrv:23 -Nfg sshsrv
     发送请求到9527端口
      telnet 127.0.0.1 9527
     当访问本机的9527的端口时,被加密后转发到sshsrv的ssh服务再解密被转发到telnetsrv:23
      data<-- -->localhost:9527<-- -->localhost:XXXXX<-- -->sshsrv:22<-- -->sshsrv:YYYYY<-- -->telnetsrv:23
  • 远程转发:
     ssh server <-- ssh client --> server
      -R sshserverport:remotehost:remotehostport sshserver
     示例:
      ssh –R 9527:telnetsrv:23 –Nf sshsrv
      让sshsrv侦听9527端口的访问,如有访问,就加密后通过ssh服务转发请求到本机ssh客户端,再由本机解密后转发到telnetsrv:23
      Data<-- -->sshsrv:9527<-- -->sshsrv:22<-- -->localhost:XXXXX<-- -->localhost:YYYYY<-- -->telnetsrv:23
  • 动态端口转发:
     当用firefox访问internet时,本机的1080端口做为代理服务器,firefox的访问请求被转发到sshserver上,由sshserver替之访问internet
     ssh -D 1080 root@sshserver -fNg
     在本机firefox设置代理socket proxy:127.0.0.1:1080
      curl --socks5 127.0.0.1:1080 http://www.google.com
     X 协议转发
      所有图形化应用程序都是X客户程序
      能够通过tcp/ip连接远程X服务器
      数据没有加密机,但是它通过ssh连接隧道安全进行
     ssh -X user@remotehost gedit
      remotehost主机上的gedit工具,将会显示在本机的X服务器上,传输的数据将通过ssh连接加密
    5. ssh服务器
     服务器端:sshd, 配置文件: /etc/ssh/sshd_config
     常用参数:
      Port
      ListenAddress ip
      LoginGraceTime 2m
      PermitRootLogin yes
      StrictModes yes 检查.ssh/文件的所有者,权限等
      MaxAuthTries 6
      MaxSessions 10 同一个连接最大会话
      PubkeyAuthentication yes 是否基于key方式访问
      PermitEmptyPasswords no 空密码是否能访问
      PasswordAuthentication yes 是否基于口令方式访问
      GatewayPorts no 允许远程连接端口转发
      ClientAliveInterval 单位:秒
      ClientAliveCountMax 默认3
      UseDNS yes
      GSSAPIAuthentication yes 提高速度可改为no
      MaxStartups 未认证连接最大值,默认值10 var1:var2:var3 超过var1,以var2%进行随机拒绝访问,超过var2,拒绝访问
      Banner /path/file
     限制可登录用户的办法:
      AllowUsers user1 user2 user3 只允许指定的用户访问
      DenyUsers 不允许指定的用户访问
      AllowGroups
      DenyGroups
  • ssh服务的最佳实践
    建议使用非默认端口
    禁止使用protocol version 1
    限制可登录用户
    设定空闲会话超时时长
    利用防火墙设置ssh访问策略
    仅监听特定的IP地址
    基于口令认证时,使用强密码策略
    tr -dc A-Za-z0-9_ < /dev/urandom | head -c 12| xargs
    使用基于密钥的认证
    禁止使用空密码
    禁止root用户直接登录
    限制ssh的访问频度和并发在线数
    经常分析日志
    lastb命令查看ssh失败的连接
    6. 编译安装dropbear示例
    ssh协议的另一个实现:dropbear
    源码编译安装:
    1、安装相关包:yum install gcc
    2、2下载dropbear-2019.78.tar.bz
    3、tar xf dropbear-2019.78.tar.bz2
    4、less INSTALL README
    5、./configure
    6、make GRAMPROS=“dropbear dbclient dropbearkey dropbearconvert scp”
    7、make PROGRAMS=“dropbear dbclient dropbearkey dropbearconvert scp” install
    启动ssh服务:
    8、ls /usr/local/sbin/ /usr/local/bin/
    9、/usr/local/sbin/dropbear -h
    10、mkdir /etc/dropbear
    11、dropbearkey -t rsa -f /etc/dropbear/dropbear_rsa_host_key -s 2048
    12、dropbearkey -t dss -f /etc/dropbear/dropbear_dsa_host_key
    13、dropbear -p :2222 -F –E #前台运行
    dropbear -p :2222 #后台运行
    客户端访问:
    14、ssh -p 2222 root@127.0.0.1
    15、dbclient -p 2222 root@127.0.0.1
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值