linux是否自帶有ssh
本文小編為大家詳細(xì)介紹“l(fā)inux是否自帶有ssh”���,內(nèi)容詳細(xì)���,步驟清晰�����,細(xì)節(jié)處理妥當(dāng)�����,希望這篇“l(fā)inux是否自帶有ssh”文章能幫助大家解決疑惑�����,下面跟著小編的思路慢慢深入����,一起來學(xué)習(xí)新知識(shí)吧。
linux自帶有ssh����。linux系統(tǒng)會(huì)自帶ssh軟件,默認(rèn)就是OpenSSH相關(guān)軟件包����,并將ssh服務(wù)添加為開機(jī)自啟動(dòng)���,可以通過“ssh -V”命令來查看安裝的ssh版本信息。執(zhí)行“systemctl start sshd”命令即可啟動(dòng)sshd服務(wù)���,默認(rèn)端口使用的22端口����。
linux自帶有ssh嗎
服務(wù)器一般都在機(jī)房����,如果每次維護(hù)服務(wù)器都要去機(jī)房,就沒有舒服了���。所以linux有一個(gè)功能可以遠(yuǎn)程使用shell的方式發(fā)�����,就是ssh(Secure Shell 的縮寫)����。 也就是在服務(wù)器上會(huì)啟動(dòng)一個(gè)服務(wù),專門接收遠(yuǎn)程的訪問數(shù)據(jù)�����,然后再把這些數(shù)據(jù)轉(zhuǎn)發(fā)給系統(tǒng)內(nèi)核�����,完成這些操作�����,這樣研發(fā)的同事就不需要去機(jī)房就可以維護(hù)服務(wù)器�����。
ssh需要服務(wù)器開放相應(yīng)的網(wǎng)絡(luò)端口���,默認(rèn)是22端口,也可以修改為其他端口���,例如9022等���。
因?yàn)榭紤]服務(wù)器對(duì)外保留端口,而且是管理類的(通過shell,就可以控制服務(wù)器了)����,因此ssh提供有各種安全限制方式,比較常見的是禁止root賬號(hào)登錄���、只允許可信ip登錄���,以及使用證書方式。 這樣可以避免陌生人登錄服務(wù)器�����,哪怕他以及獲取到了相關(guān)的賬號(hào)和權(quán)限�����。
外部電腦使用ssh登錄服務(wù)器����,需要有對(duì)應(yīng)的客戶端軟件。如果是linux或者mac����,系統(tǒng)會(huì)自帶ssh軟件(雖然是命令行方式的)����,默認(rèn)就是OpenSSH�����,可以通過 ssh -V 命令來查看安裝的ssh版本信息:
[root@xiaoluo xiaoluo]# ssh -V
OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010
從上述信息可以看到���,我這臺(tái)安裝在虛擬機(jī)上的CentOS6.4默認(rèn)安裝的SSH其協(xié)議是1.0的���。
OpenSSH服務(wù)器配置文件
服務(wù)名稱:sshd
服務(wù)端主程序:/usr/sbin/sshd
服務(wù)端配置文件:/etc/ssh/sshd_config
openSSH是實(shí)現(xiàn)SSH協(xié)議的開源軟件項(xiàng)目,適用于各種UNIX����、Linux操作系統(tǒng)���。
centos 7 系統(tǒng)默認(rèn)已安裝openssh相關(guān)軟件包���,并將ssh服務(wù)添加為開機(jī)自啟動(dòng)。
執(zhí)行“systemctl start sshd”命令即可啟動(dòng)sshd服務(wù)����。默認(rèn)端口使用的22端口���。
ssh_confiog 和 sshd_config 都是ssh服務(wù)器的配置文件
二者區(qū)別在于前者是針對(duì)客戶端的配置文件,后者是針對(duì)服務(wù)端的配置文件���。
ssh服務(wù)端主要包括兩個(gè)服務(wù)功能���,ssh遠(yuǎn)程連接和sftp服務(wù)
作用:SSHD服務(wù)使用SSH協(xié)議可以用來進(jìn)行遠(yuǎn)程控制,或在計(jì)算機(jī)之間傳輸文件�����。相比較之前用Telnet方式來傳輸文件要安全很多���,因?yàn)門elnet是是明文傳輸���,SSH是加密傳輸。
ssh遠(yuǎn)程登錄方式
ssh登錄的方式有兩種�����。
第一次登錄服務(wù)器時(shí)�����,系統(tǒng)沒有保存遠(yuǎn)程主機(jī)的信息,為了確認(rèn)主機(jī)身份會(huì)提示用戶是否繼續(xù)連接���,輸入yes后登錄����,這時(shí)系統(tǒng)將遠(yuǎn)程服務(wù)器信息寫入用戶主目錄下的:$HOME/.ssh/known_hosts 文件中�����,下次再進(jìn)行登錄時(shí)�����,因?yàn)楸4嬗性撝鳈C(jī)信息就不會(huì)再提示了�����。
1���、方法一
格式: ssh [ 遠(yuǎn)程主機(jī)用戶名] @ [遠(yuǎn)程服務(wù)器主機(jī)名或IP地址] -p port
當(dāng)Linux主機(jī)上遠(yuǎn)程連接另一臺(tái)Linux主機(jī)時(shí),如當(dāng)前所登錄的用戶是root的話���,當(dāng)連接另一臺(tái)主機(jī)時(shí)也是用root用戶登錄時(shí)���,可以直接使用ssh IP 登錄�����。端口默認(rèn)即可����,如果不是默認(rèn)的情況下�����,需要使用-p 指定端口���。
遠(yuǎn)程登錄其它主機(jī)
ssh root@192.168.100.10 第一次交互輸入yes 第二次交互輸入root密碼 登錄成功
登錄之后再退出登錄�����,在本地家目錄會(huì)生成一個(gè).sshd 的目錄����,里面有文件記錄了登錄的信息���。
2�����、使用域名進(jìn)程登錄
①修改本機(jī)映射關(guān)系
②進(jìn)行登錄
3�����、故障解決
在工作中�����,有時(shí)候需要SSH登陸到別的Linux主機(jī)上去���,但有時(shí)候SSH登錄會(huì)被禁止����,并彈出如下類似提示:
warning: Permanently added '192.168.100.10’(ECDSA) to the list of known hosts. Authentication failed.
這時(shí)直接刪除家目錄下面的 .ssh 目錄下面的文件���,即可解決����。
4���、sshd服務(wù)支持的兩種登錄驗(yàn)證方式
1)密碼驗(yàn)證
對(duì)服務(wù)器中本地系統(tǒng)用戶的登錄名稱���、密碼進(jìn)行驗(yàn)證。這種方式使用最為簡(jiǎn)便���,但從客戶端角度來看����,正在連接的服務(wù)器有可能被假冒����;從服務(wù)器角度來看,當(dāng)遭遇密碼窮舉(暴力破解)攻擊時(shí)�����,防護(hù)能力比較弱�����。
18位密碼復(fù)雜性(大寫���、小寫���、字符����、數(shù)字)���,修改端口為高位端口����,可以提高安全性���。
2)秘鑰對(duì)驗(yàn)證
要求提供相匹配的秘鑰信息才能通過驗(yàn)證���。通常先在客戶端中創(chuàng)建一對(duì)秘鑰文件(公鑰、私鑰)�����,然后將公鑰文件放到服務(wù)器中指定位置���,遠(yuǎn)程登錄時(shí)�����,系統(tǒng)將使用公鑰����、私鑰進(jìn)行加密/解密關(guān)聯(lián)驗(yàn)證���,
大大增強(qiáng)了遠(yuǎn)側(cè)還能夠管理的安全性����。該方式不易被假冒���,且可以免交互登錄�����,在shell中被廣泛使用
當(dāng)密碼驗(yàn)證����、秘鑰驗(yàn)證都啟用時(shí)�����,服務(wù)器將優(yōu)先使用秘鑰對(duì)驗(yàn)證���。
對(duì)于安全性要求高的服務(wù)器����,建立將密碼驗(yàn)證方式禁用,只允許啟用秘鑰對(duì)驗(yàn)證方式�����。
配置文件中修改啟用密碼驗(yàn)證還是秘鑰驗(yàn)證
配置文件:/etc/ssh/sshd_config
PasswordAuthentication yes #啟用密碼驗(yàn)證
PubkeyAuthentication yes #啟用密鑰對(duì)驗(yàn)證
AuthorizedKeysFile .ssh/authorized_keys #指定公鑰庫文件(ls -a可查看)
配置文件中其它的設(shè)置
LoginGraceTime 2m #登錄驗(yàn)證時(shí)間為2分鐘(默認(rèn)2分鐘)
PermitRootLogin no #禁止root用戶登錄
MaxAuthTries 6 #最大重試次數(shù)為6次
PermitEmptyPasswords no #禁止空密碼登錄
PrintLastLog yes #顯示上次登入的信息����!默認(rèn)為 yes
AllowUsers #只允許或禁止某些用戶登錄
配置文件修改完之后,需要重啟配置sshd服務(wù)
systemctl restart sshd #重啟sshd服務(wù)
構(gòu)建秘鑰對(duì)驗(yàn)證的SSH
公鑰和私鑰的關(guān)系
在對(duì)稱加密技術(shù)中����,有兩種秘鑰,分為私鑰和公鑰�����,私鑰是秘鑰的創(chuàng)建人擁有����,不可公布,公鑰是創(chuàng)建者公布給他人的���。
公鑰用來給數(shù)據(jù)加密���,用公鑰加密的數(shù)據(jù)只能使用私鑰解����。
構(gòu)建秘鑰對(duì)驗(yàn)證SSH的原理
首先ssh通過加密算法在客戶端產(chǎn)生秘鑰對(duì)(公鑰和私鑰)���,公鑰發(fā)送給服務(wù)端,自己保留私鑰�����。
如果要想連接帶有公鑰的SSH服務(wù)器�����,客戶端SSH軟件就會(huì)向SSH服務(wù)器發(fā)出請(qǐng)求�����,請(qǐng)求聯(lián)機(jī)的用戶密鑰進(jìn)行安全驗(yàn)證���。
SSH服務(wù)器收到請(qǐng)求之后�����,便在被連接的用戶的家目錄下尋找事先放上去的對(duì)應(yīng)用戶的公用秘鑰
然后把它和連接的SSH客戶端發(fā)送過來的公用秘鑰進(jìn)行比較����,如果兩個(gè)秘鑰一致,SSH服務(wù)器就用公鑰加密“質(zhì)詢”并把它發(fā)送給SSH客戶端���。
簡(jiǎn)單理解
生成密鑰可以在客戶端和服務(wù)端兩邊生成����,但是我們需要將使用客戶端登錄到服務(wù)端���,那么����,客戶端就一直需要的是私鑰����,服務(wù)端要存在公鑰,所以不關(guān)密鑰對(duì)在客戶端還是服務(wù)端生成����,客戶端拿到的都會(huì)是私鑰�����,服務(wù)端拿到的都是公鑰�����。
通俗理解
公鑰(public key)相當(dāng)于一扇門����,私鑰(pribate key)相當(dāng)于是開門的鑰匙�����,當(dāng)一臺(tái)機(jī)器A需要登錄到機(jī)器B的時(shí)候���,就得拿著鑰匙去開門,但是前提的是機(jī)器B必須要有門���,所以需要給機(jī)器B裝上門����,那就是把機(jī)器A的公鑰給到機(jī)器B���。然后機(jī)器A使用私鑰就可以打開機(jī)器B的公鑰門�����。
1���、scp遠(yuǎn)程復(fù)制
scp復(fù)制 :是secure copy (安全復(fù)制)的簡(jiǎn)寫���,用在Linux下進(jìn)行遠(yuǎn)程拷貝的命令,而且scp傳輸時(shí)加密的����。
應(yīng)用場(chǎng)景
在系統(tǒng)誤刪環(huán)境配置文件且沒有備份的時(shí)候,可以遠(yuǎn)程從其它主機(jī)上拷貝過來���。
本地文件復(fù)制到服務(wù)器
scp 1.txt root@192.168.100.10:/opt
復(fù)制服務(wù)器的目錄到本地
scp root@192.168.100.10:/home/sky/ ./
本地目錄復(fù)制到服務(wù)器
scp -r / root@192.168.100.10:/home
2����、sftp 安全性傳輸
sftp 是secure file transfer protocol(安全文件傳送協(xié)議) 的縮寫�����,可以為傳輸文件提供一種安全的網(wǎng)絡(luò)加密方法�����。
sftp與ftp有著幾乎一樣的語法和功能,sftp 為ssh的其中一部分����,sftp本身沒有單獨(dú)的守護(hù)進(jìn)程,它必須使用sshd守護(hù)進(jìn)程(端口號(hào)默認(rèn)是22)來完成相應(yīng)的連接和答復(fù)操作�����。所以使用sftp是非常安全的����,但是,由于這種傳輸方式使用了加密/解密技術(shù)����,所以傳輸效率比普通的FTP要低的多�����。對(duì)網(wǎng)絡(luò)安全要求更高時(shí)���,可以使用SFTP代替FTP����。
3、配置密鑰對(duì)實(shí)驗(yàn)
通過ssh-keygen工具為當(dāng)前用戶創(chuàng)建密鑰對(duì)文件����,可用的加密算法有“RAS”、“ECDSA”���、“DSA”���,通過-t 選項(xiàng)調(diào)用相應(yīng)的算法。
3.1 在服務(wù)端創(chuàng)建密鑰對(duì)
查看密鑰對(duì)的位置
3.2�����、修改密鑰對(duì)的配置文件
修改ssd_config配置文件沒關(guān)閉���,關(guān)閉密碼驗(yàn)證����,開啟密鑰驗(yàn)證
vim /etc/ssh/sshd_config
加載服務(wù)
3.3���、發(fā)送私鑰到客戶端
3.4用xshell登錄
3.5����、客戶端創(chuàng)建秘鑰
vim /etc/ssh/sshd_config 修改公鑰位置文件
重啟服務(wù)
讀到這里,這篇“l(fā)inux是否自帶有ssh”文章已經(jīng)介紹完畢�����,想要掌握這篇文章的知識(shí)點(diǎn)還需要大家自己動(dòng)手實(shí)踐使用過才能領(lǐng)會(huì)����,如果想了解更多相關(guān)內(nèi)容的文章,歡迎關(guān)注億速云行業(yè)資訊頻道�����。
