SSH遠(yuǎn)程登錄與控制

一 什么是ssh服務(wù)器

SSH（Secure Shell）是一種安全通道協(xié)議，主要用來實現(xiàn)字符界面的遠(yuǎn)程登錄、遠(yuǎn)程 復(fù)制等功能。SSH 協(xié)議對通信雙方的數(shù)據(jù)傳輸進(jìn)行了加密處理，其中包括用戶登錄時輸入的用戶口令，SSH 為建立在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議。對數(shù)據(jù)進(jìn)行壓縮，加快傳輸速度。

SSH客戶端<--------------網(wǎng)絡(luò)---------------->SSH服務(wù)端

1 協(xié)議類型

? SSH（Secure Shell）：SSH是一種加密網(wǎng)絡(luò)協(xié)議，用于通過安全通道在不安全網(wǎng)絡(luò)上進(jìn)行遠(yuǎn)程訪問和管理。它提供了加密的通信會話，包括遠(yuǎn)程登錄和執(zhí)行命令，以及傳輸文件等功能

? Telnet：雖然不安全，但仍然被用于遠(yuǎn)程登錄到服務(wù)器或設(shè)備，通常用于簡單的文本交互

? RDP（Remote Desktop Protocol）：主要用于Windows系統(tǒng)，允許用戶通過圖形界面遠(yuǎn)程訪問另一臺計算機。

? VNC（Virtual Network Computing）：允許用戶遠(yuǎn)程控制另一臺計算機的圖形界面。它是跨平臺的遠(yuǎn)程桌面協(xié)議。

? X11：用于在UNIX和Linux系統(tǒng)上進(jìn)行圖形界面的遠(yuǎn)程訪問。

? ICA（Independent Computing Architecture）：由Citrix Systems開發(fā)，用于提供應(yīng)用程序和桌面虛擬化服務(wù)

2 ssh協(xié)議優(yōu)點

數(shù)據(jù)傳輸是加密的，可以防止信息泄露

數(shù)據(jù)傳輸是壓縮的，可以提高傳輸速度

?加密通信：SSH協(xié)議通過加密技術(shù)，確保通信過程中的數(shù)據(jù)傳輸是安全的，防止數(shù)據(jù)被竊聽或篡改

? **遠(yuǎn)程登錄：**用戶可以使用SSH協(xié)議遠(yuǎn)程登錄到其他計算機或服務(wù)器，以便進(jìn)行命令行操作、文件管理等任務(wù)

?加密身份驗證：SSH協(xié)議支持使用公鑰和私鑰對進(jìn)行身份驗證，這種方式比傳統(tǒng)的基于密碼的身份驗證更加安全

?端口轉(zhuǎn)發(fā)：SSH協(xié)議支持端口轉(zhuǎn)發(fā)，可以通過安全的通道在兩個計算機之間建立安全的連接

?遠(yuǎn)程執(zhí)行命令：SSH允許用戶在遠(yuǎn)程主機上執(zhí)行命令，這對于自動化腳本和遠(yuǎn)程管理非常有用

?文件傳輸：SSH協(xié)議還支持安全的文件傳輸，可以在客戶端和服務(wù)器之間進(jìn)行安全的文件傳輸和管理

作用

sshd 服務(wù)使用 SSH 協(xié)議可以用來進(jìn)行遠(yuǎn)程控制，或在計算機之間傳送文件。

ssh服務(wù)端主要包括兩個服務(wù)功能 ssh遠(yuǎn)程鏈接和sftp服務(wù)（文件傳輸功能）

3 SSH的 軟件

SSH 客戶端： xshell putty secureCRT MobaXterm finalshell

SSH 服務(wù)端：openSSH (Centos 7 默認(rèn)安裝)

4 有關(guān)系的程序

? OpenSSH：OpenSSH 是 SSH 協(xié)議的免費開源實現(xiàn)，包括服務(wù)器端和客戶端程序。它支持加密和身份驗證功能，被廣泛用于Linux和類Unix系統(tǒng)上

? PuTTY：PuTTY 是一個流行的免費的SSH和Telnet客戶端程序，可在Windows平臺上使用。它提供了SSH連接所需的工具和功能

? WinSCP：WinSCP 是一個免費的SFTP、SCP和FTP客戶端程序，用于在Windows平臺上與遠(yuǎn)程計算機進(jìn)行安全文件傳輸。它支持SSH協(xié)議，提供了用戶友好的界面

? SecureCRT：SecureCRT 是一個商業(yè)化的SSH客戶端程序，提供了強大的功能和定制選項，適用于Windows、Mac和Linux操作系統(tǒng)

5 公鑰傳輸原理

①客戶端發(fā)起連接請求

②服務(wù)端返回自己的公鑰，以及一個會話ID（這一步客戶端得到服務(wù)端公鑰）

③客戶端生成密鑰對

④客戶端用自己的公鑰或會話ID，計算出一個值Res，并用服務(wù)端的公鑰加密

⑤客戶端發(fā)送加密后的值到服務(wù)端，服務(wù)端用密鑰解密，得到Res

⑥服務(wù)端用解密后的Res或者是會話ID，計算出客戶端的公鑰(這一步服務(wù)端得到客戶端公鑰)

⑦最終：雙方各持有三個密鑰，分別為自己的一對公鑰、私鑰、以及對方的公鑰，之后的所有的通訊都會被加密。

6 加密通訊原理

詳細(xì)闡釋：

首先ssh通過加密算法在客戶端產(chǎn)生密鑰對（公鑰和私鑰），公鑰發(fā)送給服務(wù)器端，自己保留私鑰，如果要想連接到帶有公鑰的SSH服務(wù)器，客戶端SSH軟件就會向SSH服務(wù)器發(fā)出請求，請求用聯(lián)機的用戶密鑰進(jìn)行安全驗證。SSH服務(wù)器收到請求之后，會先在該SSH服務(wù)器上連接的用戶的家目錄下

7 ssh遠(yuǎn)程登錄文件

每次使用sshd登錄到其他主機，雙方都會生成一個文件known_hosts把對方主機的公鑰在.ssh/known_hosts文件里。

8 如何確定此臺機器就是我要連的機器？

1. ssh [選項]mcb@192.168.11.9 #指定登錄用戶、目標(biāo)主機地址作為參數(shù)

2. ssh -p 20mcb@192.168.11.9 #-p為指定端口

二 ssh命令 遠(yuǎn)程連接

①直接連接：先輸入ssh IP

第一次連接服務(wù)端機器會詢問是否要驗證公鑰，同意就會自動獲取服務(wù)端公鑰

驗證是否連接正確服務(wù)機，可查看服務(wù)端的公鑰

②連接指定用戶

① ssh 用戶名@IP地址

②ssh -l 用戶名 IP地址

③指定端口號

在 /etc/ssh/sshd_config文件修改端口號

sshd服務(wù)的默認(rèn)端口號是 22，如果不是此端口，需要 -p 來指定端口

[root@localhost ~]#vim /etc/ssh/sshd_config

[root@localhost ~]#systemctl restart sshd

在另一臺虛擬機驗證，使用客戶機就需要指定端口號

跳板登錄

提供了一種安全的方式管理和連接位于內(nèi)部網(wǎng)絡(luò)中的主機，同時限制了對內(nèi)部網(wǎng)絡(luò)的直接訪問

#在目標(biāo)服務(wù)端主機上模擬防火墻拒絕客戶端連接，客戶端使用跳板連接到目標(biāo)主機上
[root@localhost .ssh]#iptables -A INPUT -s 192.168.11.5-j REJECT
[root@localhost ~]#ssh -t 192.168.11.9 ssh 192.168.11.5

三 遠(yuǎn)程登錄直接執(zhí)行操作命令

#ssh 192.168.11.9 ifconfig

**白名單：**默認(rèn)拒絕所有，只有白名單上允許的人才可以訪問

**黑名單：**默認(rèn)允許所有，只有黑名單上的用戶讓你不允許訪問

注意 實驗關(guān)閉防火墻 防護(hù) 黑白不能同時啟用

修改服務(wù)端配置文件

root@localhost ~]#vim /etc/ssh/sshd_config

① 白名單，只能登錄本機的mcb@用戶

別的用戶無法登錄

③禁止用戶登錄 ，此實驗要反復(fù)去做

借鑒他人

[root@localhost ssh]#vim /etc/ssh/sshd_config
#開啟38 行 并改為 no，默認(rèn)注釋并寫的yes
38PermitRootLogin no
#注意雖然阻止了root 但是普通用戶可以使用su
[root@localhost1 ~]#ssh zhangsan@192.168.91.100 -p 9527
zhangsan@192.168.91.100's password:
Last login: Fri Aug2716:50:352021
[zhangsan@localhost2 ~]$
[zhangsan@localhost2 ~]$ su root
密碼：
[root@localhost2 zhangsan]#


修改 pam認(rèn)證模塊
[root@localhost ssh]#vim /etc/pam.d/su
#開啟第6行，默認(rèn)注釋
6auth      required    pam_wheel.so use_uid

vim /etc/ssh/sshd_config

38 #PermitRootLogin yes 把yes該為no
Xshell就登陸不上

修改pam認(rèn)證模塊，只允許wheel組用戶可以使用 su

[root@localhost ~]# vim /etc/pam.d/su

6 #auth required pam_wheel.so use_uid
默認(rèn)是注釋掉，要讓6行開啟

操作如下：

[root@localhost ~]# vim /etc/pam.d/su

太遺憾了，過程忘了

四 SSH服務(wù)的最佳實踐

①建議使用非默認(rèn)端口22

vim /etc/ssh/sshd_config
#找到以下兩個配置項：
port 123    #設(shè)置特定的ssh服務(wù)端口號

②禁止使用 protocol version 1

因為SSH協(xié)議版本一存在多個已知的安全漏洞，其使用的加密算法和密鑰交換機制相對較弱，易受到中間人攻擊等威脅

SSH 協(xié)議版本二已經(jīng)成為現(xiàn)代標(biāo)準(zhǔn)，并且得到廣泛支持，絕大多數(shù) SSH 客戶端和服務(wù)器都默認(rèn)使用協(xié)議版本二，而且很多安全性工具也不再支持協(xié)議版本一

③限制可登錄用戶（白名單）

④設(shè)定空閑會話超時時長

vim /etc/ssh/sshd_config      #找到以下兩個配置項：

ClientAliveInterval 0

ClientAliveCountMax 3

ClientAliveInterval：表示服務(wù)器向客戶端發(fā)送空閑會話確認(rèn)消息的時間間隔，單位為秒。默認(rèn)值為0，表示不發(fā)送確認(rèn)消息。將其設(shè)置為一個正整數(shù)，表示每隔多長時間向客戶端發(fā)送一次確認(rèn)消息。

ClientAliveCountMax：表示服務(wù)器向客戶端發(fā)送確認(rèn)消息后，客戶端沒有響應(yīng)的最大次數(shù)。默認(rèn)值為3，表示如果服務(wù)器連續(xù)發(fā)送3次確認(rèn)消息后，客戶端仍未響應(yīng)，則認(rèn)為客戶端已經(jīng)斷開連接。將其設(shè)置為一個正整數(shù)，表示服務(wù)器最多發(fā)送多少次確認(rèn)消息后，認(rèn)為客戶端已經(jīng)斷開連接

⑤利用防火墻設(shè)置SSH訪問策略

#利用防火墻禁止特定IP地址：172.16.12.10訪問
iptables -A INPUT -s 172.16.12.10 -j REJECT

⑥僅監(jiān)聽特定的IP地址、公網(wǎng)、內(nèi)網(wǎng)

vim /etc/ssh/sshd_config      #找到以下三個配置項：

ClientAliveInterval 300

ClientAliveCountMax 2

ListenAddress 192.168.11.10

ClientAliveInterval：表示SSH服務(wù)器將向客戶端發(fā)送空閑會話檢查的時間間隔（以秒為單位），默認(rèn)值為0，表示禁用此功能

ClientAliveCountMax：表示SSH服務(wù)器將向客戶端發(fā)送空閑會話檢查的最大次數(shù)，如果達(dá)到此次數(shù)后仍未收到客戶端的響應(yīng)，則會話將被終止，默認(rèn)值為3

ListenAddress：監(jiān)聽特定的IP地址的SSH連接

⑦基于口令認(rèn)證時，使用強密碼策略

1. 比如：tr -cd [a-zA-Z0-9] < /dev/random ?| ?head -c 12 | xargs

2. #設(shè)定12位的隨機密碼

⑧使用基于密鑰的認(rèn)知

⑨禁止使用空密碼

vim /etc/ssh/sshd_config

#找到以下一個配置項：

PermitEmptyPasswords no #禁止使用空密碼

⑩禁止root用戶直接登錄

11 限制ssh的訪問頻率和并發(fā)在線數(shù)

vim /etc/ssh/sshd_config      #找到以下一個配置項：

MaxStartups 10          #最多允許10個并發(fā)連接，如果超過這個數(shù)量，會拒絕新的連接

使用PAM模塊：通過Pluggable Authentication Modules (PAM) 可以實現(xiàn)更復(fù)雜的控制，
例如限制用戶的并發(fā)登錄數(shù)

使用防火墻：你也可以使用防火墻軟件如iptables來限制從特定IP地址發(fā)起的并發(fā)SSH連接數(shù)

12 經(jīng)常分析日志分離

獨立sshd服務(wù)日志文件：默認(rèn)sshd服務(wù)日志在/var/log/secure下，可通過rsyslog程序?qū)shd服務(wù)日志文件獨立出來放到特定的文件夾中，方便查看和管理。
（具體操作請查看《Linux文件系統(tǒng)與日志分析》博客）

使用日志分析工具：可以使用工具如grep、awk、sed等來分析SSH日志文件。這些工具可以幫助搜索特定的關(guān)鍵字、過濾信息、提取有用的數(shù)據(jù)等

設(shè)置日志輪轉(zhuǎn)：為了避免日志文件過大，可以配置日志輪轉(zhuǎn)。通過日志輪轉(zhuǎn)，舊的日志文件會被重命名并壓縮，同時創(chuàng)建新的日志文件。可以使用logrotate工具來實現(xiàn)日志輪轉(zhuǎn)，并在其配置文件中指定SSH日志文件的處理方式（具體操作請查看《Linux文件系統(tǒng)與日志分析》博客）

五 openSSH服務(wù)器配置文件

openSSH是實現(xiàn)SSH協(xié)議的開源軟件項目，適用于各種UNIX、Linux操作系統(tǒng)

執(zhí)行“systemctl start sshd”命令即可啟動sshd服務(wù)，默認(rèn)端口使用的22端口

服務(wù)名稱：sshd

服務(wù)端主程序：/usr/sbin/sshd

服務(wù)端配置文件：/etc/ssh/sshd_config

客戶端配置文件：/etc/ssh/ssh_config

1 ssh配置文件信息

在linux中實現(xiàn)ssh，是通過opsnSSH的sshd服務(wù)提供的

2 存放ssh服務(wù)端的配置文件 /etc/ssh/sshd_config

[root@localhost ~]#vim /etc/ssh/sshd_config

六 密鑰對免交互 驗證登錄

有密碼又無需輸入密碼

1 創(chuàng)建密鑰，生成rsa算法密鑰

2 傳送到遠(yuǎn)程主機

3 登錄驗證

七 免交互登錄

客戶端先輸入 ssh-agent bash 將這個命令交給 bash 去管理

再輸入 ssh-add 是將用戶的私鑰添加到運行中的 ssh-agent 中，這樣在后續(xù)的SSH連接過程中，就不需要每次都手動輸入私鑰的密碼了。一旦私鑰被添加到ssh-agent 中，它會暫時保存解密后的私鑰以供后續(xù)使用

[root@localhost .ssh]# ssh-agent bash            #把sh-agent交給進(jìn)程管理

[root@localhost .ssh]# ssh-add                 #把密碼交給sh-agent 

Enter passphrase for /root/.ssh/id_rsa:           #輸入密鑰文件密碼

Identity added: /root/.ssh/id_rsa (/root/.ssh/id_rsa)

[root@localhost .ssh]# ssh 192.168.11.6     #無需密碼即可登錄，重啟后失效

Last login: Sun Jan 21 1403 2024 from 192.168.11.9

注：機器重啟就會失效

鏈接：https://blog.csdn.net/MCB134/article/details/135577909