ssh远程连接服务器

客户端需要使用适当的客户端程序来请求连接服务器，服务器将服务器的公钥发送给客户端。（服务器的公钥产生过程：服务器每次启动sshd服务时，该服务会主动找/etc/ssh/ssh_host*文件，若系统刚装完，由于没有这些公钥文件，因此sshd会主动去计算出这些需要的公钥文件，同时也会计算出服务器自己所需要的私钥文件。）
服务器生成会话ID，并将会话ID发给客户端。
若客户端第一次连接到此服务器，则会将服务器的公钥数据记录到客户端的用户主目录内的 ~/.ssh/known_hosts。若是已经记录过该服务器的公钥数据，则客户端会去比对此次接收到的与之前的记录是否有差异。客户端生成会话密钥，并用服务器的公钥加密后，发送给服务器。
服务器用自己的私钥将收到的数据解密，获得会话密钥。
服务器和客户端都知道了会话密钥，以后的传输都将被会话密钥加密。

注意：之后的阶段都会用会话密钥加密

（3）认证阶段

SSH提供两种认证方法：
基于口令的认证（password认证）：

客户端向服务器发出password认证请求，将用户名和密码加密后发送给服务器，服务器将该信息解密后得到用户名和密码的明文，与设备上保存的用户名和密码进行比较，并返回认证成功或失败消息。

基于密钥的认证（publickey认证）：

客户端产生一对公共密钥，将公钥保存到将要登录的服务器上的那个账号的家目录的.ssh/authorized_keys文件中。认证阶段：客户端首先将公钥传给服务器端。服务器端收到公钥后会与本地该账号家目录下的authorized_keys中的公钥进行对比，如果不相同，则认证失败；否则服务端生成一段随机字符串，并先后用客户端公钥和会话密钥对其加密，发送给客户端。客户端收到后将解密后的随机字符串用会话密钥发送给服务器。如果发回的字符串与服务器端之前生成的一样，则认证通过，否则，认证失败。
（注：服务器端对客户端进行认证，如果认证失败，则向客户端发送认证失败消息，其中包含可以再次认证的方法列表。客户端从认证方法列表中选取一种认证方法再次进行认证，该过程反复进行。直到认证成功或者认证次数达到上限，服务器关闭连接为止。）
这个阶段总共会认证三次

SSH服务配置

ssh相关的部分文件：

（文件大多来自openssh-server包，可以用rpm -qa | grep 去查找需要的文件信息）

.ssh/authorized_keys ---- 选择基于密钥验证时，客户端生成一对公私钥之后，会将公钥放到里面（通过追加放入信息）

/etc/ssh/sshd_config ---- 主配置文件

/etc/ssh/sshd_config.d ---- 这是主配置文件的一个子目录，在这目录下面的配置文件也会生效（有时实验配置有问题可以去该目录下的文件查看一下）

/etc/ssh/sshd_config文件下的部分内容：

bash 复制代码

[root@server ~]# vim /etc/ssh/sshd_config

Port 22 #监听端口，默认监听22端口 【默认可修改】

#AddressFamily any #IPV4和IPV6协议家族用哪个，any表示二者均有

#ListenAddress 0.0.0.0 #指明监控的地址，0.0.0.0表示本机的所有地址 【默认可修改】

#ListenAddress :: #指明监听的IPV6的所有地址格式

#HostKey /etc/ssh/ssh_host_rsa_key # rsa私钥认证 【默认】
#HostKey /etc/ssh/ssh_host_dsa_key # dsa私钥认证
#HostKey /etc/ssh/ssh_host_ecdsa_key # ecdsa私钥认证
#HostKey /etc/ssh/ssh_host_ed25519_key # ed25519私钥认证

#SyslogFacility AUTHPRIV #当有人使用ssh登录系统的时候，SSH会记录信息，信息保在/var/log/secure里面

#LoginGraceTime 2m #登录的宽限时间，默认2分钟没有输入密码，则自动断开连接

PermitRootLogin yes #是否允许管理员远程登录，'yes'表示允许

#MaxAuthTries 6 #最大认证尝试次数，最多可以尝试6次输入密码。之后需要等待某段时间后才能再次输入密码

#MaxSessions 10 #允许的最大会话数

AuthorizedKeysFile .ssh/authorized_keys #选择基于密钥验证时，客户端生成一对公私钥之后，会将公钥放到.ssh/authorizd_keys里面

#PasswordAuthentication yes #是否允许支持基于口令的认证

#ChallengeResponseAuthentication no #是否允许使用键盘输入身份验证，也就是xshell的第三个登录方式

#UseDNS yes #是否反解DNS，如果想让客户端连接服务器端快一些，这个可以改为no

#Subsystem sftp /usr/libexec/openssh/sftp-server #支持 SFTP ，如果注释掉，则不支持sftp连接

AllowUsers user1 user2 #登录白名单（默认没有这个配置，需要自己手动添加），允许远程登录的用户。如果名单中没有的用户，则提示拒绝登录

实验1：修改ssh服务的端口号

bash 复制代码

#修改ssh服务的端口号
[root@server ~]# vim /etc/ssh/sshd_config
Port 2222 #修改开放的端口号
#关闭防火墙
[root@server ~]# systemctl disable firewalld
#因为selinux的原因，需要将其临时关闭
[root@server ~]# setenforce  0
[root@server ~]# getenforce
Permissive
#重启服务
[root@server ~]# systemctl restart sshd

#之后可以通过ssh -p 指定端口连接

实验2：拒绝root用户远程登陆

bash 复制代码

[root@server ~]# vim /etc/ssh/sshd_config
#保持服务器上至少有一个可以远程登陆的普通远程账号
#修改配置文件如下：
PermitRootLogin no
#重启服务后生效

实验3：允许特定用户ssh登陆，其他用户都无法登陆

bash 复制代码

[root@server ~]# vim /etc/ssh/sshd_config
#编辑配置文件，在最后添加如下内容：
AllowUsers USERNAME

实验4：linux客户端通过秘钥登录服务端root用户

bash 复制代码

#创建密钥对
[root@server ~]# ssh-keygen -t rsa

#复制该公钥文件到服务端的该目录下
[root@server ~]# ssh-copy-id root@192.168.230.136

#在本地服务器上登陆对端服务器
[root@server ~]# ssh root@192.168.230.136


#ssh-keygen：
-f     指定密钥文件保存的路径
-N     指定私钥文件的密码

#非交互式生成密钥的命令
ssh-keygen -f /root/.ssh/id_rsa -N ""

可以到 /root/.ssh 下查看生成的密钥文件
id_rsa            ----- 私钥文件
id_rsa.pub        ----- 公钥文件


除了上面 ssh-copy-id命令复制文件公钥，
也可以将直接将生成的公钥信息id_rsa.pub内的内容复制到另一台虚拟机
 /root/.ssh/authorized_keys 中（或另一个用户家目录下/home/user1/.ssh下）
（如果没有这个文件需要先创建，注意文件的读取权限）