目录
SSH (Secure Shell Protocol,安全壳程序协议)由IETF的网络小组(Network Working
Group)所制定,可以通过数据包加密技术将等待传输的数据包加密后再传输到网络上。
●ssh协议本身提供两个服务器功能:
。一个是类似telnet的远程连接使用shell的服务器;
。另一个就是类似ftp服务的sftp-server,提供更安全的ftp服务。
SSH工作过程:
●服务端与客户端要经历如下五个阶段:
过程 说明
版本号协商阶段 SSH目前包括SSH1和SSH2两个版本,双方通过版本协
商确定使用的版本
密钥和算法协商阶段 SSH支持多种加密算法,双方根据本端和对端支持的算 法,协商出最终使用的算法
认证阶段 SSH客户端向服务器端发起认证请求,服务器端对客户 端 进行认证
会话请求阶段 认证通过后,客户端向服务器端发送会话请求
交互会话阶段 会话请求通过后,服务器端和客户端进行信息的交互
1.1版本协商阶段
服务器端打开端口22,等待客户端连接;
.客户端向服务器端发起TCP初始连接请求,TCP连接建立后,服务器向客户端发送第一个报文,
包括版本标志字符串,格式为SSH-<主协议版本号>. <次协议版本号>. <软件版本号>,协议版本号
由主版本号和次版本号组成,软件版本号主要是为调试使用。
●客户端收到报文后,解析该数据包,如果服务器的协议版本号比自己的低,且客户端能支持服务
器端的低版本,就使用服务器端的低版本协议号,否则使用自己的协议版本号。
●客户端回应服务器一个报文,包含了客户端决定使用的协议版本号。服务器比较客户端发来的版
本号,决定是否能同客户端一起工作。如果协商成功,则进入密钥和算法协商阶段,否则服务器
断开TCP连接
●注意: .上述报文都是采用明文方式传输
1.2密钥和算法协商阶段
●服务器端和客户端分别发送算法协商报文给对端,报文中包含自己支持的公钥算法列表、加密算
法列表、MAC (Message Authentication Code,消息验证码)算法列表、压缩算法列表等等
●服务器端和客户端根据对端和本端支持的算法列表得出最终使用的算法
●服务器端和客户端利用DH交换(Diffie-Hellman Exchange) 算法、主机密钥对等参数,生成
会话密钥和会话ID。
由此,服务器端和客户端就取得了相同的会话密钥和会话ID。对于后续传输的数据,两端都会使
用会话密钥进行加密和解密,保证了数据传送的安全。在认证阶段,两端会使用会话用于认证过
程
●会话密钥的生成:
。客户端需要使用适当的客户端程序来请求连接服务器,服务器将服务器的公钥发送给客户端。
(服务器的公钥产生过程:服务器每次启动.shd服务时,该服务会主动去找/etc/ssh/ssh_ host*文件,若系统刚装完,由于没有这些公钥文件,因此sshd会主动去计算出这些需要的公钥文件,同时也会计算出服务器自己所需要的私钥文件。)
。服务器生成会话ID,并将会话ID发给客户端。
。若客户端第一次连接到此服务器,则会将服务器的公钥数据记录到客户端的用户主目录内的
~/.ssh/known_ hosts。若是已经记录过该服务器的公钥数据,则客户端会去比对此次接收到
的与之前的记录是否有差异。客户端生成会话密钥,并用服务器的公钥加密后,发送给服务
器。
。服务器用自己的私钥将收到的数据解密,获得会话密钥。
。服务器和客户端都知道了会话密钥,以后的传输都将被会话密钥加密
1.3认证阶段(两种认证方法):
●基于口令的认证(password认证) :客户端向服务器发出password认证请求,将用户名和密
码加密后发送给服务器,服务器将该信息解密后得到用户名和密码的明文,与设备上保存的用户
名和密码进行比较,并返回认证成功或失败消息。
●基于密钥的认证(publickey认证) :
。客户端产生- -对公共密钥, 将公钥保存到将要登录的服务器上的那个账号的家目录
的.ssh/authorized_ keys文件中
。认证阶段:客户端首先将公钥传给服务器端服务器端收到公钥后会 与本地该账号家目录下的
authorized_ keys中的公钥进行对比,如果不相同,则认证失败;否则服务端生成一-段随机字
符串,并先后用客户端公钥和会话密钥对其加密,发送给客户端。客户端收到后将解密后的随
机字符串用会话密钥发送给服务器。如果发回的字符串与服务器端之前生成的- -样,则认证通
过,否则,认证失败。
●注:服务器端对客户端进行认证,如果认证失败,则向客户端发送认证失败消息,其中包含可以
再次认证的方法列表。客户端从认证方法列表中选取一种认证方法再次进行认证,该过程反复进
行。直到认证成功或者认证次数达到上限,服务器关闭连接为止
2.1.安装ssh
root@server \~\]# yum install openssh-server ### 2.2.配置文件分析: \[root@server \~\]# vim /etc/ssh/sshd_ config #Port 22 #默认监听22端口,可修改 #AddressFamily any # IPV4和IPV6协议家族用哪个,any表示二者均有 #ListenAddress 0.0.0.0 #指明监控的地址,0.0.0.0表示本机的所有地址(默认可修改) #ListenAddress :: #指明监听的IPV6的所有地址格式 #HostKey /etc/ssh/ssh. _host_ _rsa _key # rsa私钥认证,默认 #HostKey /etc/ssh/ssh_ _host_ ecdsa _key # ecdsa私钥认证 #HostKey /etc/ssh/ssh_ host_ ed25519_ _key # ed25519私钥认证 #SyslogFacility AUTH # ssh登录系统的时会记录信息并保存在/var/1og/secure #LogLeve1 INFO #日志的等级 #Logi nGraceTime 2m # .登录的宽限时间,默认2分钟没有输入密码,则自动断开连接 #Pe rmi tRootLogin prohibit-password # 只允许root以密钥形式登录,不能以密码的方 式登录可以设置Permi tRootLogin yes, 允许管理员登录 #StrictModes yes # .是否让sshd去检查用户主目录或相关文件的权限数据 #MaxAuthTries 6 # 最大认证尝试次数,最多可以尝试6次输入密码。之后需要等待某段时间 后才能再次输入密码 #MaxSessions 10 #允许的最大会话数 AuthorizedKeysFile . ssh/ authorized _keys #选择基于密钥验证时,客户端生成一 对公 私钥之后,会将公钥放到. ssh/authorizd_ _ke里面 #Pa{swordAuthentication yes # 登录ssh时是否进行密码验证 #Permi tEmptyPasswords no #登录ssh时是否允许密码为空 Subsystem sftp /usr/libexec/openssh/sftp-server #支持SFTP ,如果注释掉,贝 不支持sftp连接 AllowUsers user1 user2 #登录白名单(默认没有这个配置,需要自己手动添加),允许远程登录 的用户。如果名单中没有的用户,则提示拒绝登录 ### 3.1配置ssh监听端口号 ●第一步:server端操作,编辑配置文件 \[root@server \~\]# vim /etc/ssh/sshd_ config port 2222 #修改第21行参数,去掉#,改为2222 ●第二步:server端操作,重启服务 \[root@server \~\]# systemctl restart sshd \[ root@server \~\]# netstat -ntlp #查看端口号是否改变 ●第三步: node1端操作,ssh登录服务器 \[root@node1 \~\]# ssh root@192.168.48.130 # 默认登录会被拒绝 ssh: connect to host 192.168.48.130 port 22: Connection refused \[root@node1 \~\]# ssh -p 2222 root@192.168.48.130 #指明以2222端口号登录 root@192.168.48.130's password: \[root@server \~\]# 注销. Connection to 192.168.48.130 closed. \[ root@node1 \~\]# ●注意:修改ssh端口号时必须关闭selinux #定位server端, 修改会原来的22端口 \[rogt@server \~\]# vim /etc/ssh/sshd_config \[root@server \~\]# systemctl restart sshd \[root@server \~\]# netstat -ntlp #开启selinux \[root@server \~\]# vim /etc/selinux/config SELINUX=enforcing # 改为enforcing即启 \[ root@server \~\]# reboot #重启生效,等待 \[root@server \~\]# vim /etc/ssh/sshd_ config #重新修改端口号为3333 Port 3333 #重启服务后会报错,selinux会拦截端口号修改 \[ root@server \~\]# systemctl restart sshd Job for sshd.service fai led because the contro1 process exited with error code . See "systemctl status sshd. service" and "journalct1 -xeu sshd. service" for details. \[root@server \~\]# setenforce 0 # 临时关闭selinux \[root@server \~\]# getenforce #查看selinux状态 Permissive #临时关闭,不拦截但会记录行为 \[root@server \~\]# systemct\] restart sshd #临时关闭selinux后重后限务成功 #注意:修改聊口这类的系统参数,需要关闭seitinux或配Tselinux让其放行 ### 3.2拒绝以root身份登录服务器 ●ssh-keygen:用于生成、管理密钥 ●格式 \[root@node1 \~\]# ssh-keygen -t rsa ●分析 。-t: 指定加密类型 。rsa: rsa公钥加密算法,可以产生公钥和私钥 。注意:执行后对应账户目录下的隐藏目录.ssh中有2个文件: ■/root/.ssh/id_ rsa: 本机私钥文件 ■/root/.ssh/id_ rsa.pub: 本机公钥文件 ●第一步:定位server,编辑配置文件 \[root@server \~\]# vim /etc/ssh/sshd_config. d/01-permitrootlogin. conf Permi tRootLogin no # yes修改为no,拒绝以root身份登录服务器 \[root@server \~\]# systemctl restart sshd ●第二步:定位node1,测试远程登录 \[root@node1 \~\]# ssh root@192.168.48.130 #以root身份登录被拒绝 root@192 . 168.48.130's passwordI Permission denied, please try again. ### 3.3虚拟机之间实现免密登录 ●第一步:定位node1,制作公私对 \[ root@node1 \~\]# ssh-keygen -t rsa #一路回车即可 ●第二步:定位node1,将公钥上传 \[root@node1 \~\]# ssh-copy-id root@13.168.48.130 #将node1公钥上传给130主机 The authenticity of host ' 192.168.48.130 (192.168.48.130)' can't be established . ED25519 key fingerprint is SHA256: K7nvJFkfIh+p9YytEGR44wLbTfpB0Y52oVou0UdG6nc. This key is not known by any other names Are you sure you want to continue connecting (yes/no/ \[fingerprint\])? yes # 输入 /usr/bin/ssh-copy-id: INFO: attempting to 1og in with the new key(s), to filter out any that are already installed /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to insta11 the new keys root@192.168.48.130's password: #输入登录密码 第三步:客户端测试 \[root@node主\~\]# ssh root@192.168.48.130 Activate the web console with: systemct1 enable --now cockpit. socket Register this system with Red Hat Insights: insights-client --register Create an account or view a11 your systems at https://red. ht/insights- dashboard Last login: Wed May 31 08:32:15 2023 from 192.168.48.1 ' \[root@server \~\]# 注销 Connection to 192.168. 48.130 closed. 第四步:由于目标是双向免密,只需要在server'端制作公私钥对,将其上传给node1端即可 ### 3.4xshell免密登录 ●xshell使用密钥登陆 ●之前xshell使用的是密码登录,现在通过密钥的配置,实现无密码登录 #注意:先在服务器端检查/root/ . ssh/authorized_ keys是否存在,它时存储公钥的文件,若不存 在需要新建 #服务器端操作 \[ root@server \~\]# cd / root \[root@server \~\]# 1s -a \[root@server \~\]# mkdir . ssh \[root@server \~\]# cd .ssh \[root@server .ssh\]# vim authorized_ keys #有时需要注意. ssh目录的权限.         