🎶一.ssh和telnet区别小实验！

1.ssh

ssh为secure shell的缩写，ssh为建立在应用层基础上的安全协议。在进行数据传输时，会对数据包进行加密处理，加密后在进行数据传输。确保了数据传输安全.

主要功能是：

1.提供远程连接功能

2.提供安全加密服务

2.telnet

3.两者之间的远程连接小测试

telnet:

1.安装包

yum -y install telnet-server systemctl start telnet.socket

2. 监听

yum -y install net-tool net-stat -lntp

3.xshell,设置telnet连接

4.登陆

5.抓包

①打开wireshark。

②选择监听，获取那个网卡

③ 我们xshell telnet连接

④在wireshark中会显示出tcp telnet一下过程。

我们找到telnet记录，并追踪它的TCP。可以查看到里面的报文信息是明文的。

shell

①我们在用wireshake观察ssh连接

4.总结

1.抓包分析SSH与Telnet的区别?

名称文件信息类型端口号特征ssh密文22/tcproot登录telnet明文23/tcp不支持直接root登录

2.ssh和telnet应用场景？

名称应用场景sshlinux mac ubuntutelnet企业级（路由器 交换机 防火墙）

3.安全性对比原理图

🎶二.SSH相关客户端指令ssh、scp、sftp?

ssh --> 连接服务器

ssh root@10.0.0.1 -->连接10.0.0.1服务器,使用root用户

ssh 10.0.0.1 -->连接10.0.0.1服务器,使用的用户取决于当前登录系统的用户

-p

ssh root@10.0.0.1 -p 22 指定连接对端服务器的端口

scp 远程拷贝

推送push

1.将本地oldxu.com文件, 推送到31服务器的/root目录下,使用的是31服务器的root系统用户身份

[root@backup ~]# scp oldxu.com root@172.16.1.31:/root/

拉取pull

2.获取31服务器的/root/oldxu.com文件,至本地/tmp目录,使用的是31的root系统用户身份

[root@backup ~]# scp root@172.16.1.31:/root/oldxu.com /tmp/

3.拷贝目录

-r 参数

-P 端口

-l 限速 #限速为8096kb，换算为MB，要除以 8096/8=1024KB=1MB

[root@backup ~]# scp -r -P2222 etc.tar.gz root@172.16.1.31:/tmp/

4.scp建议:

1.通常用来拷贝配置文件

2.大文件方式

1.先打包,在推送

2.rsync方式

限速非常的重要

🎶三.SSH远程登录方式、用户密码、秘钥方式?

1.用户密码:

lastpass | 1password

1.密码复杂容易忘

2.密码简单不安全

2.秘钥方式:

锁(公钥) 钥匙(私钥)

💗3.本地虚拟机免密码登录

我们现在完成不需要输入密码登录。

实验环境：准备两台虚拟机一台管理(manager)m10.0.0.61和backup10.0.0.41服务器

我们没有设置前ssh是需要输入密码登录的。ssh root@172.16.1.41

1) 生成秘钥对 172.16.1.61

[root@manager ~]# ssh-keygen 【 -C（指定邮箱） 552408925@qq.com】

查看生产的秘钥对文件

2) 将A服务器公钥推送到B服务器 172.16.1.61 —> 172.16.1.41

[root@manager ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub root@172.16.1.31

#将61服务器的root用户的公钥推送给31服务器的root用户

3) 测试A服务器是否能免密码登录B服务器

[root@manager ~]# ssh ‘root@172.16.1.41’

Last login: Mon Dec 2 11:03:45 2019 from m01

[root@backup ~]#

💗4. 本地虚拟机免密码登录阿里云服务器成功

塞key 。老师 公钥 -----> 学生 公司的服务器上

你想登录哪台服务器:

1.要知道那台服务器的密码

2.将你的公钥放置对应服务器的对应目录下即可

实验环境：

1）我们先准备一个有外网的服务器（阿里云ecs）

2)我们把ecs01当作学生的服务器，我们把m当作老师

a.m刚才上面已经创建好了秘钥对 ，我们把公钥复制到ecs01服务器上面。

[root@m01 ~]# cat ~/.ssh/id_rsa.pub 查看老师m的公钥

b.复制m的公钥粘贴到ecs01学生机服务器放置密钥的配置文件中 ~/.ssh/authorized_keys

[root@iZ8vbeeelmyzkhyl14sb80Z ~]# vim ~/.ssh/authorized_keys

c.测试老师m去免密码远程连接到阿里云服务器ecs01上。

🎶四.ssh优化

SSH远程连接功能安全优化?

SSH作为远程连接服务，通常我们需要考虑到该服务的安全，所以需要对该服务进行安全方面的配置。

1.不使用公网IP地址

2.禁止ROOT管理员直接登录 -->

3.更改远程连接登陆的端口 --> 6666 3344 44555 52179

4.密码认证方式改为密钥认证 -->

5.使用防火墙限制来源IP地址

SSH服务登录防护需进行如下配置调整，先对如下参数进行了解

vim /etc/ssh/sshd_config Port 6666 # 变更SSH服务远程连接端口 PermitRootLogin no # 禁止root用户直接远程登录 PasswordAuthentication no # 禁止使用密码直接远程登录 UseDNS no # 禁止ssh进行dns反向解析，影响ssh连接效率参数 GSSAPIAuthentication no # 禁止GSS认证，减少连接时产生的延迟 将如下具体配置添加至/etc/ssh/sshd_config文件中，参数需根据实际情况进行调整 ###SSH### #Port 6666 #PasswordAuthentication no #PermitRootLogin no GSSAPIAuthentication no UseDNS no ###END###

🎶五.fail2ban监控系统日志：

fail2ban可以监控系统日志，并且根据一定规则匹配异常IP后使用Firewalld将其屏蔽，尤其是针对一些爆破/扫描（nmap）等非常有效。

1.开启Firewalld防火墙

[root@bgx ~]# systemctl start firewalld [root@bgx ~]# systemctl enable firewalld [root@bgx ~]# firewall-cmd --state running

2.修改firewalld规则，启用Firewalld后会禁止一些服务的传输，但默认会放行常用的22端口, 如果想添加更多，以下是放行SSH端口（22）示例，供参考：

#放行SSHD服务端口 [root@bgx ~]# firewall-cmd --permanent --add-service=ssh --add-service=http #重载配置 [root@bgx ~]# firewall-cmd --reload #查看已放行端口 [root@bgx ~]# firewall-cmd --list-service

3.安装fail2ban,需要有epel

[root@bgx ~]# yum install fail2ban fail2ban-firewalld mailx -y

4.配置fail2ban规则.local会覆盖.conf文件

[root@bgx fail2ban]# cat /etc/fail2ban/jail.local [DEFAULT] ignoreip = 127.0.0.1/8 bantime = 86400 findtime = 600 maxretry = 5 banaction = firewallcmd-ipset action = %(action_mwl)s [sshd] enabled = true filter = sshd port = 22 action = %(action_mwl)s logpath = /var/log/secure

5.启动服务，并检查状态

[root@bgx ~]# systemctl start fail2ban.service [root@bgx ~]# fail2ban-client status sshd

6.清除被封掉的IP地址

[root@bgx ~]# fail2ban-client set sshd unbanip 10.0.0.1