ssh详解与配置免密钥互信过程_ssh-keygen -f

ssh简介

官网：https://www.openssh.com/

OpenSSH是用于使用SSH协议进行远程登录的主要连接工具。它对所有流量进行加密，以消除窃听，连接劫持和其他攻击。此外，OpenSSH还提供了一整套安全的隧道功能，多种身份验证方法和复杂的配置选项。

OpenSSH套件包含以下工具：
远程操作使用 ssh， scp和 sftp完成。 使用ssh-add， ssh-keysign，ssh-keyscan和 ssh-keygen进行密钥管理 。 服务 端由sshd， sftp-server和 ssh-agent组成。

ssh(Secure Shell Protocol,安全的壳协议)

ssh是建立在应用层基础上的安全协议，其SSH客户端适用于多种平台，可以有效防止远程管理过程中的信息泄露问题。
ssh（SSH客户端）是用于登录到远程计算机并在远程计算机上执行命令的程序。它旨在通过不安全的网络在两个不受信任的主机之间提供安全的加密通信。X11连接，任意TCP端口和 UNIX域套接字也可以通过安全通道转发。
ssh本身提供类似两个服务的功能：一个是类似Telnet的远程连接使用shell的服务；另一个是类似ftp服务的ftp-server，提供安全的ftp服务。

ssh的基本框架

SSH协议框架中最主要的部分是三个协议： 传输层协议、 用户认证协议和连接协议。 同时，SSH协议框架还为许多高层的网络安全应用协议提供扩展的支持。
（1）在SSH的协议框架中， 传输层协议（ TheTransport Layer Protocol)，提供服务器认证、 数据机密性、 信息完整性等支持；
（2）用户认证协议(The User Authentication Protocol) 为服务器提供客户端的身份鉴别；
（3）连接协议 (The Connection Protocol ) 将加密的信息隨道复用成若干个逻辑通道， 提供给更高层的应用协议使用；
注：各种高层应用协议可以相对地独立于SSH基本体系之外， 并依靠这个基本框架， 通过连接协议使用SSH的安全机制。

SSH服务由服务端软件OpenSSH（openssl）和客户端（常见的有SSH），SecureCRT，Putty，xshell组成，SSH服务默认使用22端口提供服务，它有两个不兼容的SSH协议版本，分别是1.x和2.x。

查看服务端的相关软件包

[root@chen ~]# rpm -qa | grep 'openss'
apr-util-openssl-1.6.1-6.el8.x86_64
openssl-1.1.1c-15.el8.x86_64
openssl-libs-1.1.1c-15.el8.x86_64
openssh-server-8.0p1-4.el8_1.x86_64
openssh-8.0p1-4.el8_1.x86_64
openssh-clients-8.0p1-4.el8_1.x86_64
xmlsec1-openssl-1.2.25-4.el8.x86_64
openssl-pkcs11-0.4.10-2.el8.x86_64
1
2
3
4
5
6
7
8
9

OpenSSH同时支持SSH1.x和2.x。用SSH 2.x的客户端程序不能连接到SSH 1.x的服务程序上（向下兼容）。
SSH服务端是一个守护进程（daemon），它在后台运行并响应来自客户端的连接请求。SSH服务端的进程名为sshd，负责实时监听远程SSH客户端的连接请求，并进行处理，一般包括公共密钥认证，密钥交换，对称密钥加密和非安全连接等。这个SSH服务就是我们前面基础系统优化中保留开机自启动的服务之一。

ssh的工作过程
在整个通讯过程中，为实现SSH的安全连接，客户端和服务端主要经历五个阶段。

一、版本协商阶段
1、服务器端打开端口22，等待客户端连接；
2、客户端向服务器端发起TCP初始连接请求，TCP连接建立后，服务器向客户端发送第一个报文，包括版本标志字符串，格式为“SSH-<主协议版本号>.<次协议版本号>.<软件版本号>”，协议版本号由主版本号和次版本号组成，软件版本号主要是为调试使用。
3、客户端收到报文后，解析该数据包，如果服务器的协议版本号比自己的低，且客户端能支持服务器端的低版本，就使用服务器端的低版本协议号，否则使用自己的协议版本号。
4、客户端回应服务器一个报文，包含了客户端决定使用的协议版本号。服务器比较客户端发来的版本号，决定是否能同客户端一起工作。如果协商成功，则进入密钥和算法协商阶段，否则服务器断开TCP连接。
说明：上述报文都是采用明文方式传输。

二、密钥和算法协商阶段
1、服务器端和客户端分别发送算法协商报文给对端，报文中包含自己支持的公钥算法列表、加密算法列表、MAC（Message Authentication Code，消息验证码）算法列表、压缩算法列表等等。
2、服务器端和客户端根据对端和本端支持的算法列表得出最终使用的算法。
3、服务器端和客户端利用DH交换（Diffie-Hellman Exchange）算法、主机密钥对等参数，生成会话密钥和会话ID。
由此，服务器端和客户端就取得了相同的会话密钥和会话ID。对于后续传输的数据，两端都会使用会话密钥进行加密和解密，保证了数据传送的安全。在认证阶段，两端会使用会话用于认证过程。

会话密钥的生成：
1、客户端需要使用适当的客户端程序来请求连接服务器，服务器将服务器的公钥发送给客户端。（服务器的公钥产生过程：服务器每次启动sshd服务时，该服务会主动去找/etc/ssh/ssh_host*文件，若系统刚装完，由于没有这些公钥文件，因此sshd会主动去计算出这些需要的公钥文件，同时也会计算出服务器自己所需要的私钥文件。）
2、服务器生成会话ID，并将会话ID发给客户端。
3、若客户端第一次连接到此服务器，则会将服务器的公钥数据记录到客户端的用户主目录内的~/.ssh/known_hosts。若是已经记录过该服务器的公钥数据，则客户端会去比对此次接收到的与之前的记录是否有差异。客户端生成会话密钥，并用服务器的公钥加密后，发送给服务器。
4、服务器用自己的私钥将收到的数据解密，获得会话密钥。
5、服务器和客户端都知道了会话密钥，以后的传输都将被会话密钥加密。

三、认证阶段 SSH提供两种认证方法：
基于口令的认证（password认证）：客户端向服务器发出password认证请求，将用户名和密码加密后发送给服务器，服务器将该信息解密后得到用户名和密码的明文，与设备上保存的用户名和密码进行比较，并返回认证成功或失败消息。
基于密钥的认证（publickey认证）：客户端产生一对公共密钥，将公钥保存到将要登录的服务器上的那个账号的家目录的.ssh/authorized_keys文件中。认证阶段：客户端首先将公钥传给服务器端。服务器端收到公钥后会与本地该账号家目录下的authorized_keys中的公钥进行对比，如果不相同，则认证失败；否则服务端生成一段随机字符串，并先后用客户端公钥和会话密钥对其加密，发送给客户端。客户端收到后将解密后的随机字符串用会话密钥发送给服务器。如果发回的字符串与服务器端之前生成的一样，则认证通过，否则，认证失败。
注：服务器端对客户端进行认证，如果认证失败，则向客户端发送认证失败消息，其中包含可以再次认证的方法列表。客户端从认证方法列表中选取一种认证方法再次进行认证，该过程反复进行。直到认证成功或者认证次数达到上限，服务器关闭连接为止。

四，会话交互阶段
服务器接受用户身份后，服务器将在非交互式会话中执行给定命令，或者，如果未指定命令，则登录到计算机并为用户提供一个普通的外壳作为交互式会话。与远程命令或外壳程序的所有通信将被自动加密。

如果ssh 默认情况下请求了交互式会话，则仅当客户端有一个交互式会话时才请求伪终端（pty）。标志-T和 -t可用于替代此行为。

如果已分配了伪终端，则用户可以使用下面指出的转义字符。

如果未分配伪终端，则该会话是透明的，可用于可靠地传输二进制数据。在大多数系统上，即使使用tty，将转义字符设置为“none”也将使会话透明。

当远程计算机上的命令或外壳程序退出并且所有X11和TCP连接都已关闭时，会话终止。

sshd服务配置文件详解
配置文件 /etc/ssh/sshd_confi

客户端软件的连接方式：

ssh 连接并登录到指定的 目的地，可以指定为[user @] hostname或ssh：// [user @] hostname
[：port]形式的URI 。

ssh username@ip	       ##文本模式的连接
ssh -X username@ip	    ##可以在连接成功后开启图形
ssh远程连接的常用参数：
-p  连接到远程主机上的端口。可以在配置文件中按主机指定。
-q  静音模式。使大多数警告和诊断消息被抑制。
1
2
3
4
5

两主机之间配置免密钥互信

(1)在客户端主机中生成“密钥对”
[root@chen ~]# ssh-keygen -f ~/.ssh/id_rsa -P '' -q #ssh-keygen - 生成、管理和转换认证密钥   -f 指定生成公私钥位置   -P 密码‘’（空密码）-q 静默模式
[root@chen ~]# ll .ssh/
total 8
-rw-------. 1 root root 2602 Nov  8 22:32 id_rsa
-rw-r--r--. 1 root root  570 Nov  8 22:32 id_rsa.pub
(2)把客户端主机中生成的公钥文件传送至远程主机
[root@chen ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.150.128
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
The authenticity of host '192.168.150.128 (192.168.150.128)' can't be established.
ECDSA key fingerprint is SHA256:zlIzq4goUh6IdLgoyOnf4iSBAp7f4QHmoVBRnu/t64E.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.150.128's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'root@192.168.150.128'"
and check to make sure that only the key(s) you wanted were added.

[root@chen ~]# 

（3）配置ssh编辑/etc/ssh/sshd_config
RSAAuthentication yes

PubkeyAuthentication yes

AuthorizedKeysFile .ssh/authorized_keys

systemctl restart sshd 重起sshd服务
(4)在客户端测试登录到服务器
[root@chen ~]# ssh 192.168.150.128
Last login: Sun Nov  8 22:40:09 2020 from 192.168.150.111
[root@bogon ~]# 
登录成功未使用密码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37

ssh-keygen参数

 ssh-keygen [-q] [-b bits] [-t type] [-N new_passphrase] [-C comment]
            [-f output_keyfile]
 ssh-keygen -p [-P old_passphrase] [-N new_passphrase] [-f keyfile]
 ssh-keygen -i [-m key_format] [-f input_keyfile]
 ssh-keygen -e [-m key_format] [-f input_keyfile]
 ssh-keygen -y [-f input_keyfile]
 ssh-keygen -c [-P passphrase] [-C comment] [-f keyfile]
 ssh-keygen -l [-f input_keyfile]
 ssh-keygen -B [-f input_keyfile]
 ssh-keygen -D pkcs11
 ssh-keygen -F hostname [-f known_hosts_file] [-l]
 ssh-keygen -H [-f known_hosts_file]
 ssh-keygen -R hostname [-f known_hosts_file]
 ssh-keygen -R hostname [-f known_hosts_file]
 ssh-keygen -r hostname [-f input_keyfile] [-g]
 ssh-keygen -G output_file [-v] [-b bits] [-M memory] [-S start_point]
 ssh-keygen -T output_file -f input_file [-v] [-a rounds] [-J num_lines]
            [-j start_line] [-K checkpt] [-W generator]
 ssh-keygen -s ca_key -I certificate_identity [-h] [-n principals] [-O option]
            [-V validity_interval] [-z serial_number] file ...
 ssh-keygen -L [-f input_keyfile]
 ssh-keygen -A
 ssh-keygen -k -f krl_file [-u] [-s ca_public] [-z version_number] file ...
 ssh-keygen -Q -f krl_file file ...
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

ssh-keygen常用参数

-b 指定密钥中要创建的位数。
-f 指定密钥文件的文件名。
-P 提供（旧）密码短语。
-p 请求更改私钥文件的密码短语，而不是创建新私钥。
-t 指定要创建的键的类型。协议版本1的可能值为“rsa1”，协议版本2的可能值为“dsa”、“ecdsa”、“ed25519”或“rsa”。

scp — OpenSSH安全文件副本
使用方法

scp	[ -346ABCpqrTv] [-c 密码] [-F ssh_config] [-i identity_file] [-J 目的地] [-l 限制] [-o ssh_option] [-P 港口] [-S 程序] 源...目标
1

scp 在网络上的主机之间复制文件。

它用 ssh用于数据传输，并使用与登录会话相同的身份验证并提供相同的安全性。scp协议需要执行远程用户的外壳程序才能执行
模式匹配。
scp 会要求输入密码或密码短语以进行身份​​验证。
本地 的 资源 和 目标 可以以[user @] host：[path]的形式指定为本地路径名，具有可选路径的远程主机，或者以scp：//[user @] host [：port] [/ path]的形式指定URI。可以使用绝对或相对路径名来明确显示本地文件名，以避免scp将包含“：”的文件名视为主机说明符。
在两个远程主机之间复制时，如果使用URI格式，则 端口 只能在 目标如果使用该-3选项。

sftp — OpenSSH安全文件传输

使用方法

sftp	[ -46AaCfNpqrv] [-B 缓冲区大小] [-b 批处理文件] [-c 密码] [-D sftp_server_path] [-F ssh_config] [-i identity_file] [-J 目的地] [-l 限制] [-o ssh_option] [-P 港口] [-R num_requests] [-S 程序] [-s 子系统 | sftp_服务器] 目的地
1

sftp简介

sftp 是文件传输程序，类似于 ftp，它通过加密执行所有操作ssh运输。它还可能使用ssh的许多功能，例如公钥身份验证和压缩。的目的地可以指定为[user @] host [：path]或sftp：// [user @] host [：port] [/path]形式的URI 。
如果 目的地 包括一个 路径它不是目录，sftp如果使用非交互式身份验证方法，它将自动检索文件；否则，它将在成功进行交互式身份验证之后执行此操作。

如果不 路径 已指定，或者路径是目录，sftp将登录到指定目录主办然后进入交互式命令模式，如果已指定，则切换到远程目录。可选的尾部斜杠可用于强制路径 被解释为目录。
由于目标格式使用冒号字符将主机名与路径名或端口号分隔，因此IPv6地址必须括在方括号中，以避免产生歧义。

交互命令

进入交互模式后，将sftp了解类似于以下内容的一组命令：
ftp命令不区分大小写。包含空格的路径名必须用引号引起来。路径名中包含的任何特殊字符都可以被识别 必须使用反斜杠（’’）进行转义。

cd [路径]将远程目录更改为 路径。如果 路径 未指定，然后将目录更改为会话开始所在的目录。 chgrp [ -h]grp 路径、更改文件组 路径 至 grp。如果-h指定了该标志，则不会跟随符号链接。路径 可能含有特殊字符，并且可以匹配多个文件。 grp必须为数字GID。  
chmod [ -h]模式 路径 更改文件权限 路径 至 模式。如果-h指定了该标志，则不会跟随符号链接。路径可能含有特殊字符，并且可以匹配多个文件。   
chown [ -h]拥有 路径 变更档案拥有者 路径拥有。如果-h指定了该标志，则不会跟随符号链接。路径 可能含有特殊字符，并且可以匹配多个文件。 拥有 必须是数字UID。   
df [-hi] [路径] 显示保存当前目录的文件系统的使用信息（或 路径如果指定）。如果-h指定了该 标志，则将使用“人类可读”后缀显示容量信息。-i除了容量信息外，该 标志还请求显示inode信息。仅在实现“statvfs@openssh.com”扩展名的服务器上支持此命令。 
exit 退出sftp。 
get [ -afpR]远程路径[局部路径] 检索 远程路径并将其存储在本地计算机上。如果未指定本地路径名，则使用与远程计算机上相同的名称。远程路径可能含有特殊字符，并且可以匹配多个文件。如果确实如此，局部路径 指定，然后 局部路径
必须指定目录。如果-a指定了该标志，则尝试恢复现有文件的部分传输。请注意，恢复操作假定本地文件的任何部分副本都与远程副本匹配。如果远程文件的内容与部分本地副本不同，则结果文件可能已损坏。如果-f指定了标志，则 fsyn 文件传输完成后将调用，以将文件刷新到磁盘。如果-p指定了该标志，那么还将复制完整的文件许可权和访问时间。 如果-R指定了该标志，则将递归复制目录。请注意，sftp在执行递归传输时， 它不遵循符号链接。
help 显示帮助文本。 
lcd [路径] 将本地目录更改为 路径。如果 路径 未指定，然后将目录更改为本地用户的主目录。 
lls[ls选项 [路径]] 显示其中一个的本地目录列表 路径 或当前目录（如果） 路径 未指定。 
ls选项 可能包含本地系统支持的任何标志
ls   命令。 路径 可能含有 特殊字符，并且可以匹配多个文件。 
lmkdir 路径 创建指定的本地目录 路径。 
ln [-s]老路 新路径 从创建链接 老路 至 新路径。如果-s指定了标志，则创建的链接为符号链接，否则为硬链接。 
lpwd打印本地工作目录。 
ls [ -1afhlnrSt] [路径] 显示任一目录的远程目录 路径 或当前目录（如果） 路径 未指定。 路径 可能含有 特殊字符，并且可以匹配多个文件。


**识别以下标志并相应地更改其行为 ls：**
-1 产生单列输出。
-a 列出以点（'。'）开头的文件。
-f 不要对列表进行排序。默认排序顺序为字典顺序。
-h 当与长格式选项一起使用时，请使用单位后缀：字节，千字节，兆字节，千兆字节，太字节，千万兆字节和埃字节，以便使用2的幂（大小为K）将位数减少到四位或更少（K= 1024，M = 1048576等）。
-l 显示其他详细信息，包括权限和所有权信息。
-n 生成长列表，并以数字形式显示用户和组信息。
-r 反转列表的排序顺序。
-S 按文件大小对列表进行排序。
-t 按上次修改时间对列表进行排序。
pwd           显示远程工作目录。 
quit          退出sftp。 
rename        旧路径新路径重命名远程文件 老路 至 新路径。 
rm            路径删除指定的远程文件 路径。 
rmdir         路径删除指定的远程目录 路径。 
symlink       旧路径新路径从创建符号链接 老路 至 新路径。 
version       显示sftp协议版本。



> 此处ssh就介绍完了

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40