SSH服务

最新推荐文章于 2022-01-16 17:15:54 发布

原创最新推荐文章于 2022-01-16 17:15:54 发布 · 285 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#SSH服务

Linux 专栏收录该内容

3 篇文章

订阅专栏

SSH（Secure Shell）是一种加密的网络协议，用于远程登录和其他网络服务，确保数据传输的安全性。本文详细介绍了SSH服务协议、加密技术、配置文件、服务软件、认证类型，特别是基于密钥的认证方法，以及如何解决SSH连接慢的问题。还探讨了如何配置和管理SSH服务，包括安装、配置文件路径和常用参数。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

SSH服务

## 1.1 SSH服务协议说明

SSH 是 Secure Shell Protocol 的简写，由 IETF 网络工作小组（Network Working Group )制定；在进行数据传输之前，SSH先对联机数据包通过加密技术进行加密处理，加密后在进行数据传输。确保了传递的数据安全。

SSH是专为远程登录会话和其他网络服务提供的安全性协议。利用 SSH 协议可以有效的防止远程管理过程中的信息泄露问题，在当前的生产环境运维工作中，绝大多数企业普遍采用SSH协议服务来代替传统的不安全的远程联机服务软件，如telnet(23端口，非加密的)等。

在默认状态下，SSH服务主要提供两个服务功能：

一是提供类似telnet远程联机服务器的服务，即上面提到的SSH服务。
另一个是类似FTP服务的sftp-server,借助SSH协议来传输数据的.提供更安全的SFTP服务(vsftp，proftp)。

1.1.1 ssh远程连接排错过程

在这里插入图片描述
1.2 SSH加密技术说明

简单的说，SSH加密技术就是将人类可以看得懂的数据，通过一些特殊的程序算法，把这些数据变成杂乱的无意义的信怠，然后，通过网络进行传输，而当到了目的地后，在通过对应的解密算法，把传过来的加密的数据信怠解密成加密前的可读的正常数据。因此，当数据在互联网上传输时即使被有心的黑客监听窃取了，也很难获取到真正黑要的数据。

当前，网络上的数据包加密技术一般是通过所谓的一对公钥与私钥（PublickeyandPivatekey)组合成的密钥对进行加密与解密操作。如下图，A-Server要给B_Client传数据，首先会通过本地的公钥加密后再到发到网络上传输。而加密的数据到达B_Client端后，再经由B_Client本地的私钥将加密的数据解密出来。由于在intemet上传输过程中的数据是加密过的，所以，传输的数据内容一般来说是比较安全的。

在这里插入图片描述
图1-1 ssh认证连接的过程

1.2.2 ssh实现安全链接建立，利用钥匙和锁头

钥匙=私钥锁头=公钥，私钥可以解密公钥
公钥可以再网络中传输，私钥再本地主机保存

1.2.3 ssh加密算法

v1漏洞：密钥不更换

v2 定期更换密钥

利用Diffie-Hellman机制定期更新密钥

1.3 ssh知识要点：

ssh是安全的加密协议，用于远程链接linux服务器

ssh 默认端口是22，安全协议版本sshv2，出来2之外还有1（有漏洞）

ssh服务端主要包括两个服务功能 ssh远程链接和sftp服务

linux ssh 客户端包括ssh 远程链接命令，以及远程拷贝scp命令等

1.4 SSH服务软件详细说明

1.4.1 什么是ssh服务

SSH服务端是一个守护讲程 (daemon).他在后台运行并响应来自客户端的连接请求。 SSH服务端的讲程名为sshd，负责实时监听远程SSH客户端的远程连接请求，并进行处理，一般包括公共密钥认证、密钥交换、对称密钥加密和非安全连接等。这个SSH服务就是我们前面基础系统优化中保留开机自启动的服务之。

ssh客户端包含ssh以及像scp(远程拷贝） slogin(远程登陆) sftp(安全FTP文件传输）等应用程序。

ssh的工作机制大致是本地的ssh客户端先发送一个连接请求到远程的ssh服务端，服务端检查连接的客户端发送的数据包和IP地址，如果确认合法，就会发送密钥给 SSH的客户端，此时，客户端本地再将密钥发回给服务端，自此连接建立。

1.4.2 ssh软件安装

客户端

[root@nfs01 ~]# rpm -qf which ssh

openssh-clients-5.3p1-122.el6.x86_64

服务端软件

[root@nfs01 ~]# rpm -qf which sshd

openssh-server-5.3p1-122.el6.x86_64

1.4.3 openssh-clinets 软件的主要内容：

[root@nfs01 ~]# rpm -ql openssh-clients

/etc/ssh/ssh_config         ---ssh客户端配置文件

/usr/bin/.ssh.hmac

/usr/bin/scp                  ---远程复制命令

/usr/bin/sftp                 ---远程文件传输服务

/usr/bin/slogin              ---远程登陆命令

/usr/bin/ssh                  ---ssh远程登陆管理主机

/usr/bin/ssh-add

/usr/bin/ssh-agent

/usr/bin/ssh-copy-id        ---ssh服务分发公钥命令

/usr/bin/ssh-keyscan

1.4.4 openssh-server 软件的主要内容

[root@nfs01 ~]# rpm -ql openssh-server

/etc/rc.d/init.d/sshd      #ssh服务启动脚本

/etc/ssh/sshd_config       #ssh服务配置文件

/etc/sysconfig/sshd        #ssh创建密钥有关

/usr/sbin/.sshd.hmac       #ssh加密算法有关文件

/usr/sbin/sshd             #ssh服务进程启动命令

注意：使用sshd采用绝对路径进行启动

[root@test ~]# sshd

sshd re-exec requires execution with an absolute path

1.5 ssh服务配置文件说明：

配置文件中所有注释信息，表示默认参数配置
配置文件中#空格后面内容表示说明信息
```
      #参数 表示配置参数信息
```
配置文件参数信息修改后，一旦变为注释，即还原为默认配置

1.5.1 ssh服务的配置文件路径

vim  /etc/ssh/sshd_config

修改SSH服务的运行参数，是通过修改配置文件/etc/ssh/sshd_config实现的。

一般来说SSH服务使用默认的配置已经能够很好的工作了，如果对安全要求不高，仅仅提供SSH服务的情况，可以不需要修改任何配置。

1.5.2 配置文件中常用配置说明
[root@test ~]# vim /etc/ssh/sshd_config

$OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $ # This is the sshd server system-wide configuration file. See # sshd_config(5) for more information. # This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin # The strategy used for options in the default sshd_config shipped with # OpenSSH is to specify options with their default value where # possible, but leave them commented. Uncommented options change a # default value. # OpenSSH is to specify options with their default value where # possible, but leave them commented. Uncommented options change a # default value.

Port 25113                   #端口

ListenAddress 10.0.0.41   #监听地址（本地网卡地址），指定本地网卡那个网卡提供服务

PermitRootLogin no         #是否允许root用户登陆

#PermitEmptyPasswords no  #禁止空密码登陆

#UseDNS no                   #不使用DNS

GSSAPIAuthentication no    #API认证

连接慢的解决

#AddressFamily any #指定监听ipv4地址，或是ipv6地址，或者所有都监听

配置文件内容说明：

井号(#)注释的参数信息为默认配置

井号(#)后面有空格的为描述信息

井号(#)后面没有空格的为参数信息

另外：配置文件参数信息修改后，一旦变为注释，即还原为默认配置

1.5.3 配置文件语法检查方法

使用sshd -t 命令对配置文件的语法进行检查

正确↓

[root@backup ~]# sshd -t /etc/ssh/sshd

Extra argument /etc/ssh/sshd.

语法格式有错误 ↓

[root@test ~]# sshd -t /etc/ssh/sshd_config

/etc/ssh/sshd_config: line 50: Bad configuration option: uthorizedKeysFile

/etc/ssh/sshd_config: terminating, 1 bad configuration options

1.5.4 ListenAddress 监听地址的说明

图1-2 ssh服务监听参数说明

如图所示，sshd_config配置文件中实际监听本地的网卡，并非网络地址

监听地址只能监听本地网卡上配置的地址，监听的网卡可以对请求做出相应，为未监听的网卡不响应请求。

1.5.5 SSH配置文件相关参数详细说明

命令参数

参数说明

Port

指定sshd进程监听的端口号，默认为22.可以使用多条指令监听多个端口.

默认将在本机的所有网络接□上监听，但是可以通过ListenAddress指走只在某个特定的接口上监听.

PermitEmptyPasswords

是否允许密码为空的用户远程登录.默认为"no"

PermitRootLogin

是否允许root登录.可用值如下：“yes”(默认）表示允许."no"表示禁止.

"without-password"表示禁止使用密码认证登录."forced-commands-only"表示只有在指走了command选项的情况下才允许使用公钥认证登录.同时其它认证方法全部被禁止.这个值常用于做远程备份之类的事情.

1.多开一个窗口

2.临时多部署一条连接方式

3.给普通用户sudo权限

UseDNS

指定定sshd是否应该对远程主机名进行反向解折，以检查此主机名是否与其IP地址真实对应.默认值为"yes”.

ListenAddress

指定监听并提供服务相应的网卡地址信息

1.5.6 快速修改配置参数
sed -i ‘13 iPort 52113\nPermitRootLogin no\nPermitEmptyPasswords no\nUseDNS no\nGSSAPIAuthentication no’ /etc/ssh/sshd_config

1.6 ssh服务认证类型

基于口令认证方式
基于密钥认证方式

1.6.1 基于密码的认证类型

基于口令的安全验证的方式就是大家现在一直在用的，只要知道服务器的SSH连接帐号和口令(当然也要知道对应服务器的 IP及开放的 SSH端口，默认为22 ),就可以通过 ssh客户端登录到这台远程主机。此时，联机过程中所有传输的数据都是加密的。

演示了 SecureCR及ssh客户端连接，口令验证的测试。

[root@test ~]# ssh 10.0.0.250

The authenticity of host '10.0.0.250 (10.0.0.250)' can't be established.

RSA key fingerprint is d3:41:bb:0d:43:88:da:a3:2c:e8:36:91:11:c9:e4:9c.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added '10.0.0.250' (RSA) to the list of known hosts.

root@10.0.0.250's password:    #需要输入密码

Last login: Mon Oct 16 21:13:58 2017 from 10.0.0.1

[root@test ~]#

1.6.2 基于密钥的安全认证方法

基于密钥的安全验证方式是指，需要依靠密钥，也就是必须事先建立一对密钥对，然后把公用密钥(锁头)（Public key)放在需要访问的目标服务器上，另外，还需要把私有密钥（钥匙）（Private key）放到SSH的客户端或对应的窖户端服务器上。

私钥不能在网络中传输—私钥可以解密公钥

公钥可以再网路中传输—公钥不能解密私钥

此时，如果要想连接到这个带有公用密钥的SSH服务器，客户端SSH软件或者客户端服务器就会向SSH服务器发出请求，请求用联机的用户密钥进行安全验证。SSH服务器收到请求之后，会先在该SSH服务器上连接的用户的家目录下寻找事先放上去的对应用户的公用密钥，然后把它和连接的SSH客户端发送过来的公用密钥进行比较。如果两个密钥一致，SSH服务器就用公用密钥加密"质询"（challenge)并把它发送给SSH客户端。

1.7 基于秘钥登录配置

1.7.1 环境准备

作用

主机名

管理服务器

m01

10.0.0.61

备份服务器

backup

10.0.0.41

存储服务器

nfs01

10.0.0.31

1.7.2 第一个里程碑：在备份服务器上创建密钥对

[root@backup ~]# ssh-keygen -t rsa

Generating public/private rsa key pair.

Enter file in which to save the key (/root/.ssh/id_rsa):   #指定密钥对的保存路径

Enter passphrase (empty for no passphrase):        #为密钥对创建密码

Enter same passphrase again:                          #确认为密钥对创建的密码

Your identification has been saved in /root/.ssh/id_rsa.

Your public key has been saved in /root/.ssh/id_rsa.pub.

The key fingerprint is:

72:48:65:1d:25:69:e1:4c:ae:2b:6f:a5:aa:70:96:1e root@backup

The key's randomart image is:

+--[ RSA 2048]----+     #2048表示加密的位数为2048位