linux笔记(SSH)

一、基本概念

• 定义
  • SSH 是一种网络协议，用于在不安全的网络上安全地进行远程登录和其他网络服务。它通过加密技术提供了安全的通信通道，确保数据传输的保密性、完整性和认证性。
• 主要用途
  • 远程登录：允许用户通过网络连接到远程服务器，就像在本地终端操作一样。例如，系统管理员可以从自己的办公电脑 SSH 到数据中心的服务器进行管理操作。
  • 文件传输：支持安全的文件传输，如使用 SCP（Secure Copy）和 SFTP（SSH File Transfer Protocol）。这在备份数据、部署网站文件等场景中非常有用。
  • 端口转发：可以将本地端口映射到远程服务器端口或者反之，用于访问受限制的网络资源或安全地访问内部服务。

二、工作原理

• 加密算法
  • 对称加密：SSH 使用对称加密算法（如 AES）来加密传输的数据。在通信开始时，双方会协商一个密钥用于加密和解密数据。
  • 非对称加密：利用公钥和私钥对来进行身份认证。服务器的公钥发送给客户端，客户端用这个公钥加密信息，只有服务器的私钥才能解密，从而保证了通信的安全性。
  • 哈希算法：用于验证数据的完整性，如 SHA - 256。在数据传输过程中，会对数据进行哈希计算，接收方通过重新计算哈希值并与发送方提供的哈希值进行比较，来判断数据是否被篡改。
• 认证方式
  • 基于密码的认证：这是最常见的认证方式。用户输入用户名和密码，客户端将其发送到服务器进行验证。不过这种方式相对安全性稍低，因为密码可能被窃取。
  • 基于密钥的认证：更为安全。用户生成一对密钥（公钥和私钥），将公钥放置在服务器的授权密钥文件中。当客户端尝试连接时，服务器使用公钥加密一个随机数，客户端用私钥解密并返回结果，以此来验证身份。

三、SSH 客户端和服务器配置

• 服务器配置
  • 安装和启动：在 Linux 系统中，通常使用包管理器（如 apt、yum）安装 OpenSSH 服务器软件（如 openssh - server），安装完成后启动服务（systemctl start sshd）。
  • 配置文件修改：主要的配置文件是 sshd_config，在这里可以设置监听端口（默认为 22）、允许或禁止 root 登录、认证方式等选项。例如，要更改监听端口可以修改 "Port" 选项。
  • 密钥管理：服务器的主机密钥在安装时自动生成，这些密钥用于识别服务器身份。如果主机密钥发生变化，客户端会收到警告，这可能意味着存在中间人攻击。
• 客户端配置
  • 基本连接：在 Linux 或 macOS 系统中，可以使用命令行工具 "ssh" 进行连接。例如，"ssh user@server_ip"，其中 "user" 是远程服务器的用户名，"server_ip" 是服务器的 IP 地址。
  • 配置文件（~/.ssh/config）：可以在客户端的配置文件中设置常用的连接选项，如别名、代理设置、默认的密钥等。例如，可以为经常访问的服务器设置别名，这样通过别名就可以快速连接。

四，配置文件分析：

vim /etc/ssh/sshd_config

21.#Port 22 # 默认监听22端口,可修改
22.#AddressFamily any # IPV4和IPV6协议家族用哪个，any表示二者均有
23.#ListenAddress 0.0.0.0 # 指明监控的地址，0.0.0.0表示本机的所有地址(默认可修改)
24.#ListenAddress :: # 指明监听的IPV6的所有地址格式

26.#HostKey /etc/ssh/ssh_host_rsa_key # rsa私钥认证,默认
27.#HostKey /etc/ssh/ssh_host_ecdsa_key # ecdsa私钥认证
28.#HostKey /etc/ssh/ssh_host_ed25519_key # ed25519私钥认证

34 #SyslogFacility AUTH # ssh登录系统的时会记录信息并保存在/var/log/secure
35.#LogLevel INFO # 日志的等级

39.#LoginGraceTime 2m # 登录的宽限时间，默认2分钟没有输入密码，则自动断开连接
40 PermitRootLogin yes # 允许管理员root登录
41.#StrictModes yes # 是否让sshd去检查用户主目录或相关文件的权限数据
42.#MaxAuthTries 6 # 最大认证尝试次数，最多可以尝试6次输入密码。之后需要等待某段时间后才能再次输入密码
43.#MaxSessions 10 # 允许的最大会话数

49.AuthorizedKeysFile .ssh/authorized_keys # 选择基于密钥验证时，客户端生成一对公私钥之后，会将公钥放到.ssh/authorizd_keys里面
65 #PasswordAuthentication yes # 登录ssh时是否进行密码验证
66 #PermitEmptyPasswords no # 登录ssh时是否允许密码为空

......
123.Subsystem sftp /usr/libexec/openssh/sftp-server #支持 SFTP ，如果注释掉，则不支持sftp连接
AllowUsers user1 user2#登录白名单（默认没有这个配置，需要自己手动添加），允许远程登录的用户。如果名单中没有的用户，则提示拒绝登录