2. it技术
  3. 37.SSH协议概述

37.SSH协议概述

it2024-12-21  17

1.SSH概述

💖1.1 什么是SSH?

Secure Shell 的缩写 SSH 是专为远程登录会话和其他网络服务提供安全性的协议。

利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。

💖1.2 SSH主要的功能是?

主要用于客户端与远程主机的安全链接和交互。

💖1.3 SSH与Telnet之间有什么关系?

ssh默认使用端口22 ssh默认支持root直接连接。

Telnet默认使用端口23 Telnet协议是TCP/IP协议族中的一员,是Internet远程登陆服务的标准协议和主要方式。

telnet不支持root直接连接,----》shark---->follow抓包会显示普通用户密码

💖1.4 抓包分析SSH与Telnet的区别?

telnet 使用在 交换机 路由器 防火墙 等这类设备上    ssh 使用在 服务器领域 (

无论你是什么Linux的发行版本 统统都是使用ssh远程服务 )

telnet可以 使用在Linux上,用户也可以通过telnet去连接服务器?但是有问题?

1.telnet明文,,必须使用普通用户。 23/tcp

2.ssh密文,ssh默认支持root直接连接。 22/tcp

💖1.5 SSH相关客户端指令ssh、scp、sftp?

C/S (客户端,服务端)

Client / Server --> QQ 电脑客户端 --> QQ 服务端

**一 ssh:**用来连接远程Linux服务器 ( Xshell底层,调用的就是ssh命令 ) $ ssh

root@10.0.0.7 通过ssh命令 连接 10.0.0.7这台Linux服务器 使用的是 root的系统用户

二 scp:远程拷贝,全量拷贝(每次都全量) push 推: scp -rp /etc

root@172.16.1.31:/opt pull 拉: scp root@172.16.1.31:/opt/xx /tmp

参数:

递归: -r

保持属性:-p

限速:-l (8bit=1Byte ( 临时拷贝一个大文件,需要使用 ))

**三 sftp:**远程传输 --> ( XFTP工具,开发使用最多 )

rz不支持传输文件夹、同时不支持传输大于4个G的文件

Xshell 统统可以搞定,支持断点续传

💖1.6 SSH远程登录方式、用户密码、秘钥方式?

就好比手机:

密码解锁 ( 输入用户名 输入密码 )

指纹解锁 ( 秘钥方式 )

用户密码: 简单容易被破解、复杂记不住 xudeMacBook-Pro:~ xuliangwei$ ssh root@10.0.0.7 root@10.0.0.7’s password: #输入密码基于密钥的方式来实现: 生成一对拥有数学关系的秘钥对。 ( 公钥(🔐)------------私钥(🔑) ) 公钥加密---------------私钥解密。 公钥可以对外提供, 对外开放。 私钥只有自己持有,不对外开放

2.通过秘钥登录示例

实现 10.0.0.61 免密码登录 10.0.0.7讲解

10.0.0.61 生成一对 密钥对 公钥和私钥

10.0.0.7 将公钥 放一份到 10.0.0.7 服务器上

10.0.0.61 去连接 10.0.0.7

10.0.0.7 会返回 公钥询问(这个公钥是之前61 推送给7 的)

10.0.0.61 私钥解密经10.0.0.7公钥加密的信息

实现 10.0.0.61 免密码登录 10.0.0.7操作

[root@manager ~]# ssh-keygen -C 457801170@qq.com(回车回车回车) # -C 可以分清公钥是谁的 [root@manager ~]# ll ~/.ssh/ -rw------- 1 root root 1675 4月 20 11:03 id_rsa 私钥(��) -rw-r--r-- 1 root root 398 4月 20 11:03 id_rsa.pub 公钥(��) [root@manager ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub root@10.0.0.7 ssh-copy-id 拷贝公钥 -i 指定公钥的位置 拷贝到 10.0.0.7 这台服务器的 root用户下~./.ssh/目录权限700 秘钥权限600 公钥(��) [root@manager ~]# ssh root@10.0.0.7 [root@web01 ~]#

非对称加密图解:

3. SSH场景实践,借助SSH免秘实现跳板机功能

一,个人电脑生成秘钥对,推送到跳板机服务器 windows: xshell在窗口创建windows客户端秘钥对--->>>并复制公钥到 10.0.0.61 ~/.ssh/authorized_keys cd ~/.ssh/ ll -d ~/.ssh/ #权限显示700 vim ~/.ssh/authorized_keys #把windows创建的公钥粘贴到机器里 ll authorized_keys chmod 600 authorized_keys mac: 终端同Linux创建秘钥对相同 二,跳板机服务器生成秘钥对后,推送至个各内部服务器 最后manager: ssh-copy-id -i ~/.ssh/id_rsa.pub root@10.0.0.41 ssh-copy-id -i ~/.ssh/id_rsa.pub root@10.0.0.31 ssh-copy-id -i ~/.ssh/id_rsa.pub root@10.0.0.7

3.1 sshpass免交互推送公钥(扩展)

sshpass:用于非交互的ssh 密码验证 使用 -p 参数指定明文密码,然后直接登录远程服务器。 它支持密码从命令行,文件,环境变量中读取 1、从命令行方式传递密码 sshpass -p user_password ssh user_name@192.168.1.2 【登录远程机器】 sshpass -p user_password scp -P22 root@192.168.1.2:/home/test ./ 【远程机器/home/test 复制到本机当前目录】 还可以加参数 -q 【去掉进度显示】 2、从文件读取密码 echo "user_password" > user.passwd sshpass -f user.passwd ssh user_name@192.168.1.2 3、从环境变量获取密码 export SSHPASS="user_password" sshpass -e ssh user_name@192.168.1.2 4、sshpass -p user_password ssh -o StrictHostKeyChecking=no user_name@192.168.1.2 【-o StrictHostKeyChecking=no 表示远程连接时不提示是否输入yes/no】 5、使用sshpass远程免密,在远程主机上执行shell命令,如下远程执行命令:touch /opt/file.txt sshpass -p user_password ssh -o StrictHostKeyChecking=no user_name@192.168.1.2 touch /opt/file.txt [注:shell命令要和sshpass命令写在一行]

3.2 Manager服务器如何批量分发公钥信息:

**cat /server/scripts/push_public.sh** #!/bin/bash for ip in 5 6 7 8 9 31 41 51 52 61 62 63 71 do timeout 2s sshpass -p123456 ssh-copy-id -i ~/.ssh/id_rsa.pub root@172.16.1.$ip -o StrictHostKeyChecking=no &>/dev/null if [ $? -eq 0 ] then echo "host 172.16.1.$ip distribute_pub_key ok." else echo "host 172.16.1.$ip distribute_pub_key failed." fi done

授权并执行 chmod +x /server/scripts/push_public.sh sh /server/scripts/push_public.sh

4.SSH远程连接功能安全优化?

ssh连接时,要等待30s-1分钟 才提示输入密码? 可以对IP做了反向解析 ssh作为对外连接的一个服务,会不会被破解。 ( 不是很安全 ) 所以ssh的安全、我们只需要保证对外的那一台就足够了? 因为其他的节点都是内部使用,无需对外。 密码一定要三个月一换 ( 常识 )

SSH服务登录防护需进行如下配置调整,先对如下参数进行了解

vim /etc/ssh/sshd_config Port 6666 # 变更SSH服务远程连接端口 PermitRootLogin no # 禁止root用户直接远程登录 只能拿秘钥登录,慎用。 PasswordAuthentication no # 禁止使用密码直接远程登录 -->配置好了以后--->先登录系统中的普通用户---->su - root--> passwd UseDNS no # 禁止ssh进行dns反向解析,影响ssh连接效率参数 GSSAPIAuthentication no # 禁止GSS认证,减少连接时产生的延迟

变更配置一定要重启

1.更改远程连接登陆的端口 默认ssh是22端口 如果你修改为其他的端口 是不是风险就降低了很多 2.禁止ROOT管理员直接登录 root不能登录,但是可以使用普通用户 3.密码认证方式改为密钥认证 直接拒绝密码登录(较少) 4.重要服务不使用公网IP地址 * 5.使用防火墙限制来源IP地址

5. 堡垒机简单体验:

5.1 teleport软件搭建跳板机

这个的底层还是跟我们讲的ssh免密是一个思路. 安装请跳转-----> 链接

5.2 简单搭建 jumpser跳板机

主机要求: 1. 关闭selinux 2. 要求堡垒机防火墙打开配置要求: 2核4G

1.下载和配置

cat /server/scripts/install_jumpser.sh #!bin/bash cd /opt && \ rpm -qa wget if [ $? -ne 0 ];then yum install wget -y fi ls /opt/setuptools/ yum install git -y if [ $? -ne 0 ];then git clone --depth=1 https://github.com/jumpserver/setuptools.git fi cd setuptools && \ ls /opt/setuptools/config.conf if [ $? -ne 0 ];then cp config_example.conf config.conf fi

2.安装:

/opt/setuptools/jmsctl.sh install

3.启动:

/opt/setuptools/jmsctl.sh start

4.登录web页面:

Web 登陆信息: http://10.0.0.61:80 (访问你的服务器Ip和80端口)

SSH 登录信息: ssh admin@10.0.0.61 -p2222

web界面初始用户名密码: admin admin

[如果你是云服务器请在安全组放行 80 和 2222 端口]

最新回复(0)