Linux网络服务之SSH（远程访问及控制）_ssh ip

SSH基础

什么是SSH协议？

• SSH（Secure Shell）是一种安全通道协议，主要用来实现字符界面的远程登录、远程 复制等功能；
• SSH 协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的用户口令；
• SSH 为建立在应用层和传输层基础上的安全协议。对数据进行压缩，加快传输速度。
• SSH使用传输层TCP协议的22号端口。

SSH客户端<--------------网络---------------->SSH服务端

SSH的优点

远程管理Linux系统基本上都要失业到ssh，原因很简单：telnet、FTP等传输方式是以明文传送用户认证信息，本质上是不安全的，存在被网络窃听的危险。SSH（Secure Shell）目前较可靠，是专为远程等； 会话和其他忘了服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题，通过SSH可以对所有传输的数据进行加密，也能够防止DNS欺骗和IP欺骗

• 数据传输是加密的，可以防止信息泄漏
• 数据传输是压缩的，可以提高传输速度

常见的SSH服务软件/工具

客户端软件：

• Linux 客户端: ssh, scp, sftp，slogin
• Windows 客户端：xshell, MobaXterm,putty, securecrt, ssh secure shell client

服务端软件：

• 软件名sshd，闭源。
• 软件名openssh，服务名sshd。CENTOS 7默认安装的是这个软件包。

OpenSSH软件包

• 服务名称：sshd

• 服务端主程序：/usr/sbin/sshd

• 服务端配置文件：/etc/ssh/sshd_config

• 客户端配置文件：/etc/ssh/ssh.config

• OpenSSH 是实现SSH协议的开源软件项目，适用于各种UNIX、 Linux 操作系统。
  ​

• Centos 7系统默认已安装openssh相关软件包，并将sshd 服务添加为开机自启动。
  ​

• 执行"systemctl start sshd"命令即可启动sshd 服务
  ​

• sshd 服务默认使用的是TCP的22端口，安全协议版本sshv2，除了2之外还有1（有漏洞）。

ssh服务端主要包括两个服务功能ssh远程连接和sftp服务。

作用：SSHD服务使用SSH协议可以用来进行远程控制，或在计算机之间传输文件。

相比较之前的telnet方式传输文件要安全很多，因为telnet使用明文密码，别人抓包就能看见，非常不安全。

ssh原理

公钥传输原理

• 客户端发起链接请求。
• 服务端返回自己的公钥，以及一个会话ID（这一步客户端得到服务端公钥）。
• 客户端生成密钥对。
• 客户端用自己的公钥异或会话ID，计算出一个值Res，并用服务端的公钥加密。
• 客户端发送加密后的值到服务端，服务端用私钥解密，得到Res。
• 服务端用解密后的值Res异或会话ID，计算出客户端的公钥（这一步服务端得到客户端公钥）。
• 最终：双方各自持有三个秘钥，分别为自己的一对公、私钥，以及对方的公钥，之后的所有通讯都会被加密。

登录

登录方式一：
ssh [远程主机用户名]@[远程服务器主机名或IP地址] [-p port]

示例：

1）当在 Linux 主机上远程连接另一台 Linux 主机时，如当前所登录的用户是 root 的话，当连接另一台主机时也是用 root 用户登录时，可以直接使用 ssh IP，端口默认即可，如果端口不是默认的情况下，需要使用-p 指定端口。

2）以用户lulu的身份进行登录访问。

known_hosts 文件

ssh会把每个你访问过的服务端的公钥（public key）都记录在known_hosts 文件中。 同时服务端也会记录客户端的公钥。

文件位置：~/.ssh/known_hosts

known_hosts 文件的作用：

A通过ssh首次连接到B，B会将公钥1（host key）传递给A，A将公钥1存入known_hosts文件中，以后A再连接B时，B依然会传递给A一个公钥2，OpenSSH会核对公钥，通过对比公钥1与公钥2 是否相同来进行简单的验证，如果公钥不同，OpenSSH会发出警告， 避免你受到DNS Hijack之类的攻击。

举例说明：

如果主机A的known_hosts 文件，已经记录了主机B（IP地址为192.168.72.129）的公钥，下次主机C将IP地址修改成了和B的一样假冒B，那么A使用ssh连接192.168.72.129时，就会出现冲突警告，因为C的公钥和 known_hosts 文件中记录的不一致，系统不允许连接。

sshd服务端配置

sshd服务端配置文件：/etc/ssh/sshd_config

服务监听选项：

• 端口号、协议版本、监听IP地址
• 禁用反向解析

常用参数说明：
[root@192t ~]# cat /etc/ssh/sshd_config

17 #Port 22 //端口号，生产环境建议修改端口号
18 #AddressFamily any
19 #ListenAddress 0.0.0.0
20 #ListenAddress ::
​
38 #LoginGraceTime 2m //发起连接后多少时间内必须登录，超时断开连接
39 #PermitRootLogin yes //是否允许root用户登录，ubantu不允许root远程ssh登录
40 #StrictModes yes //检查.ssh/文件的所有者，权限等
41 #MaxAuthTries 6 //最多允许输错几次密码（centos7默认3次，修改也无效）
42 #MaxSessions 10 //同一时间最多允许10个远程连接
​
65 #PermitEmptyPasswords no //是否允许空密码用户登录
66 PasswordAuthentication yes //基于用户和密码验证
​
116 #UseDNS no //禁用反向解析，提高速度可设置为no
​
​
#设置黑白名单
#llowUsers yuji@192.168.72.10 lisi //只允许yuji用户从192.168.72.10访问，允许lisi从所有地址访问
#enyUsers liwu //不允许使用liwu用户登录
​
#白名单的优先级高于黑名单。如果一个用户同时加入了白名单和黑名单，那么该用户是可以访问的。
#如果不设置白名单，则所有用户都可以登录访问。一旦设置了白名单，那么只有白名单内的用户可以访问。

sshd客户端配置

客户端配置文件

客户端配置文件：/etc/ssh/ssh_config

客户端首次连接服务端时，系统询问是否交换公钥，进行安全确认。这是由客户端配置文件默认的，可以修改配置文件ssh_config取消询问。

注：

这种做法只在内网中使用，如果服务器暴露在外网中，不建议这样操作，非常危险。

sftp命令

SFTP是SSH File Transfer Protocol的缩写，安全文件传送协议。SFTP与FTP有着几乎一样的语法和功能。SFTP为SSH的其中一部分，是一种传输档案至 Blogger 伺服器的安全方式。其实在SSH软件包中，已经包含了一个叫作SFTP的安全文件信息传输子系统，SFTP本身没有单独的守护进程，它必须使用sshd守护进程(端口号默认是22)来完成相应的连接和答复操作，所以从某种意义上来说，SFTP并不像一个服务器程序，而更像是一个客户端程序。

sftp和ftp的区别：

• 连接方式：FTP使用TCP端口21上的控制连接建立连接。而，SFTP是在客户端和服务器之间通过SSH协议(TCP端口22)建立的安全连接来传输文件。
• 安全性：SFTP使用加密传输认证信息和传输的数据，所以使用SFTP相对于FTP是非常安全。
• 效率：SFTP这种传输方式使用了加密解密技术，所以传输效率比普通的FTP要低得多。

免密码登录

sshd服务支持登录验证方式

• 密码验证： 以服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便，但从客户机角度来看，正在连接的服务器有可能被假冒，从服务器角度来看，当遭遇密码暴力破解攻击时防御能力比较弱。

• 密钥对验证： 要求提供相匹配的密钥信息才能通过验证，通常先在客户机中创建一对密钥文件（公钥和私钥），然后将公钥文件放到服务器中的指定位置。远程登录时，系统将使用公钥、私钥进行加密/解密关联验证，增强了远程管理的安全性。

• 公钥和私钥是成对生成的，这两个密钥互不相同，可以互相加密和解密；

• 不能根据一个密码来推算出另一个密钥；

• 公钥对外公开，私钥只有私钥的持有人才知道。

设置免密码登录

免密码原理流程：

1. 首先在客户端生成一对密钥（ssh-keygen）。
2. 并将客户端的公钥ssh-copy-id 拷贝到服务端。
3. 当客户端再次发送一个连接请求时，包括ip、用户名。
4. 服务端得到客户端的请求后，会到 authorized_keys 文件中查找，如果有相应的IP和用户，就会随机生成一个字符串，例如：kfc。
5. 服务端将使用客户端拷贝过来的公钥进行加密，然后发送给客户端。
6. 得到服务端发来的消息后，客户端会使用私钥进行解密，然后将解密后的字符串发送给服务端。
7. 服务端接受到客户端发来的字符串后，跟之前的字符串进行对比，如果一致，就进行免密码登录。

客户端使用命令生成密钥文件。

家目录 ~/.ssh/ 下会生成两个密钥文件，一个公钥一个私钥，.pub结尾的是公钥。

[root@localhost ~]# ssh-keygen -t ecdsa //生成密钥文件
Generating public/private ecdsa key pair.
Enter file in which to save the key (/root/.ssh/id_ecdsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_ecdsa.
Your public key has been saved in /root/.ssh/id_ecdsa.pub.
The key fingerprint is:
SHA256:7chFnJIV8f9fOJhVCk1U+F+3EtGX1NqCWaX5rZZnQEI root@localhost.localdomain
The key’s randomart image is:
±–[ECDSA 256]—+
| +oE.===|
| + + +o=o|
| o + +++o|
| + oo+*|
| S o *.B|
| . + = B.|
| o . o B =|
| . +o|
| .|
±—[SHA256]-----+
[root@localhost ~]# cd ~/.ssh //切换到sshd服务的家目录下
[root@localhost .ssh]# ls
id_ecdsa id_ecdsa.pub known_hosts //同时生成公钥和私钥文件

将客户端的公钥文件拷贝到服务端。注意路径不要写错。

[root@localhost .ssh]# ssh-copy-id -i /root/.ssh/id_ecdsa.pub root@192.168.72.129
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: “/root/.ssh/id_ecdsa.pub”
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed – if you are prompted now it is to install the new keys
root@192.168.72.129’s password:
​
Number of key(s) added: 1
​
Now try logging into the machine, with: “ssh ‘root@192.168.72.129’”
and check to make sure that only the key(s) you wanted were added.
​
测试远程连接服务端时，是否免密码。

[root@localhost .ssh]# ssh 192.168.72.129
Last failed login: Wed Mar 23 01:32:09 CST 2022 from 192.168.72.10 on ssh:notty
There were 13 failed login attempts since the last successful login.
Last login: Tue Mar 22 23:57:20 2022 from 192.168.72.10

TCP Wrappers 访问控制

TCP_Wrappers是一个工作在第四层（传输层）的的安全工具，对有状态连接的特定服务进行安全检测并实现访问控制，凡是包含有libwrap.so库文件的的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问，常见的程序有 rpcbind、vsftpd、sshd、telnet。
有些进程不受tcp_wrappers管理，例如 httpd、smb、squid等。

工作原理

TCP_Wrappers有一个TCP的守护进程叫作tcpd。以ssh为例，每当有ssh的连接请求时，tcpd即会截获请求，先读取系统管理员所设置的访问控制文件，符合要求，则会把这次连接原封不动的转给真正的ssh进程，由ssh完成后续工作；如果这次连接发起的ip不符合访问控制文件中的设置，则会中断连接请求，拒绝提供ssh服务。

保护机制实现方式：

• 方式1：通过tcpd程序对其他服务程序进行包装
• 方式2：由其他服务程序调用libwrap.so.*链接库