学计算机网站开发好吗,网站建设公司的前端,wordpress教育培训模板,国外哪些做问卷的网站目录
一、ssh协议简介
1、实现远程访问的协议和程序
2、ssh协议的概念及功能
3、ssh协议的工作原理
3.1 对称加密与非对称加密
3.1.1 对称加密#xff08;Symmetric Encryption#xff09;
3.1.2 非对称加密#xff08;Asymmetric Encryption#xff09;
3.2 公钥传…目录
一、ssh协议简介
1、实现远程访问的协议和程序
2、ssh协议的概念及功能
3、ssh协议的工作原理
3.1 对称加密与非对称加密
3.1.1 对称加密Symmetric Encryption
3.1.2 非对称加密Asymmetric Encryption
3.2 公钥传输的原理
3.3 加密通讯的原理
二、openSSH程序
1、openSSH程序及配置文件
2、ssh命令基本用法
2.1 直接远程连接
2.2 连接指定用户
2.3 指定端口号
2.4 跳板登录
2.5 远程执行命令操作 3、黑白名单
3.1 黑名单
3.2 白名单 4、禁止root用户登录 5、ssh服务器的最佳调优
三、使用密钥对免交互验证登录
1、创建密钥
2、将密钥文件传送到远程服务端
3、 登录验证
4、免交互登录无须密钥密码验证 一、ssh协议简介
1、实现远程访问的协议和程序
协议
SSHSecure ShellSSH是一种加密网络协议用于通过安全通道在不安全网络上进行远程访问和管理。它提供了加密的通信会话包括远程登录和执行命令以及传输文件等功能Telnet虽然不安全但仍然被用于远程登录到服务器或设备通常用于简单的文本交互RDPRemote Desktop Protocol主要用于Windows系统允许用户通过图形界面远程访问另一台计算机。VNCVirtual Network Computing允许用户远程控制另一台计算机的图形界面。它是跨平台的远程桌面协议。X11用于在UNIX和Linux系统上进行图形界面的远程访问。ICAIndependent Computing Architecture由Citrix Systems开发用于提供应用程序和桌面虚拟化服务
程序 OpenSSHOpenSSH 是 SSH 协议的免费开源实现包括服务器端和客户端程序。它支持加密和身份验证功能被广泛用于Linux和类Unix系统上 PuTTYPuTTY 是一个流行的免费的SSH和Telnet客户端程序可在Windows平台上使用。它提供了SSH连接所需的工具和功能 WinSCPWinSCP 是一个免费的SFTP、SCP和FTP客户端程序用于在Windows平台上与远程计算机进行安全文件传输。它支持SSH协议提供了用户友好的界面 SecureCRTSecureCRT 是一个商业化的SSH客户端程序提供了强大的功能和定制选项适用于Windows、Mac和Linux操作系统
接下来主要详细介绍ssh协议和OpenSSH程序
2、ssh协议的概念及功能
SSHSecure Shell是一种加密网络协议用于在不安全的网络中安全地进行远程访问和管理。它通过加密数据传输防止信息被窃听或篡改
功能
加密通信SSH协议通过加密技术确保通信过程中的数据传输是安全的防止数据被窃听或篡改远程登录用户可以使用SSH协议远程登录到其他计算机或服务器以便进行命令行操作、文件管理等任务加密身份验证SSH协议支持使用公钥和私钥对进行身份验证这种方式比传统的基于密码的身份验证更加安全端口转发SSH协议支持端口转发可以通过安全的通道在两个计算机之间建立安全的连接远程执行命令SSH允许用户在远程主机上执行命令这对于自动化脚本和远程管理非常有用文件传输SSH协议还支持安全的文件传输可以在客户端和服务器之间进行安全的文件传输和管理
3、ssh协议的工作原理
3.1 对称加密与非对称加密
3.1.1 对称加密Symmetric Encryption 概念在对称加密中加密和解密使用相同的密钥。发送方使用密钥将消息加密接收方使用相同的密钥将消息解密。常见的对称加密算法包括AES高级加密标准、DES数据加密标准和3DES等 优点对称加密算法加密和解密速度快适合大量数据的加密和解密操作 缺点密钥的安全分发是对称加密的一个挑战因为发送方和接收方都需要共享相同的密钥。如果密钥在传输过程中被截获那么加密的安全性就会受到威胁
3.1.2 非对称加密Asymmetric Encryption 概念在非对称加密中加密和解密使用不同的密钥分别称为公钥和私钥。公钥用于加密私钥用于解密。常见的非对称加密算法包括RSA、Diffie-Hellman和ECC椭圆曲线加密等 优点非对称加密算法解决了密钥分发的问题因为公钥可以公开发布而私钥则只有接收方知道 缺点非对称加密算法的加密和解密速度比对称加密算法慢因此不适合大规模数据的加密和解密操作
区别对称加密非对称加密密钥数量使用相同的密钥进行加密和解密使用不同的密钥进行加密和解密速度较快较慢密钥分发需要解决密钥分发的问题通过公钥和私钥的方式解决了密钥分发的问题安全性较低更高
3.2 公钥传输的原理
SSH协议中的公钥传输原理通常涉及到公钥认证和密钥交换 详细阐释
① 客户端向服务端发起连接请求
② 服务端接收到请求后返回自己的公钥以及一个会话id(此处客户端得到服务端的公钥)
③ 客户端生成密钥对客户端用自己的公钥异或会话id计算出一个值res并用服务端的公钥加密
④客户端发送加密值到服务端服务端用私钥解密得到res
⑥ 服务端用解密后的值res异或会话id计算出客户端的公钥此处服务端得到客户端公钥
⑦ 最终双方各自持有三个密钥分别为自己的一对公钥、私钥以及对方的公钥之后所有的通讯都会被加密
3.3 加密通讯的原理 详细阐释
首先ssh通过加密算法在客户端产生密钥对公钥和私钥公钥发送给服务器端自己保留私钥如果要想连接到带有公钥的SSH服务器客户端SSH软件就会向SSH服务器发出请求请求用联机的用户密钥进行安全验证。SSH服务器收到请求之后会先在该SSH服务器上连接的用户的家目录下
二、openSSH程序
1、openSSH程序及配置文件
openSSH是实现SSH协议的开源软件项目适用于各种UNIX、Linux操作系统
执行“systemctl start sshd”命令即可启动sshd服务默认端口使用的22端口
sshd服务名称
/usr/sbin/sshd 服务端主程序
/etc/ssh/sshd_config服务端配置文件设置与服务端相关的应用可通过此文件实现 /etc/ssh/ssh_config客户端配置文件设置与客户端相关的应用可通过此文件实现 ~/.ssh/known_hosts客户端用来存储已知服务端公钥信息的文件 ①当SSH客户端连接到一个新的服务端时它会检查这个服务端的公钥是否在~/.ssh/known_hosts 文件中。如果公钥在这个文件中则说明这个服务端是可信的SSH 客户端会继续连接并进行认证如果公钥不在这个文件中则 SSH 客户端会给出一个警告提示用户这个服务端可能不是可信的并询问用户是否继续连接 ②如果客户端之前已经连接过这个服务端那么它就会在 ~/.ssh/known_hosts 文件中找到这个服务端的公钥并使用它进行加密通信。再次连接时可通过对比文件中的公钥来确定连接的服务器是否正确。如果客户端之前没有连接过这个服务端那么它就会将这个服务端的公钥添加到 ~/.ssh/known_hosts 文件中以便下次连接时使用 注 如果服务端的公钥发生了变化比如重新安装了操作系统或者更换了硬件那么客户端会提示服务端的公钥发生了变化并询问用户是否继续连接。这是因为公钥的变化可能意味着服务端的身份已经被篡改因此需要用户确认服务端的身份。解决方法将之前的密钥文件删除重新连接新的服务端生成新的密钥文件 2、ssh命令基本用法
用于建立安全的远程连接
2.1 直接远程连接
ssh IP地址 2.2 连接指定用户
ssh 用户名IP地址
ssh -l 用户名 IP地址 2.3 指定端口号
ssh ip地址 -p 端口号
首先可在服务端的/etc/ssh/sshd_config配置文件修改端口号 systemctl restart sshd #重启sshd服务修改的配置才能生效
那在客户端远程连接服务端时可通过-p选项来指定服务端的端口号才能登录 2.4 跳板登录
SSH跳板登录SSH jump host是一种通过一个中间主机跳板主机来访问其他无法直接访问的目标主机的方法。它提供了一种安全的方式来管理和连接到位于内部网络中的主机同时限制了对内部网络的直接访问
使用SSH命令从本地计算机连接到跳板主机再通过跳板主机连接到目标主机
ssh -t 跳板机ip地址 ssh -t 跳板机ip地址 ........ ssh -t 目的机ip地址
#在目标服务端主机上模拟防火墙拒绝客户端连接客户端使用跳板连接到目标主机上
[rootlocalhost .ssh]#iptables -A INPUT -s 172.16.12.10 -j REJECT
[rootlocalhost ~]#ssh -t 172.16.12.12 ssh 172.16.12.13 2.5 远程执行命令操作
SSH服务可以通过远程执行命令的方式进行远程操作。通过在ssh命令后直接跟上要执行的命令可以在远程主机上执行该命令而无需登录到远程主机的shell中 ssh ip地址 想使用的命令 3、黑白名单
SSH的黑白名单通常指的是用于限制SSH连接的IP地址列表以便控制哪些IP地址可以连接到SSH服务器黑名单或者哪些IP地址不允许连接到SSH服务器白名单
3.1 黑名单
黑名单是一种限制访问的方式其中列出的IP地址被禁止连接到SSH服务器而不在黑名单的IP地址允许连接到SSH服务器
设置黑名单
①通常由系统管理员在SSH服务器的配置文件中定义。在OpenSSH中这通常是在/etc/ssh/sshd_config文件中进行配置
②可以使用DenyUsers或DenyGroups选项来指定禁止连接的用户或用户组 3.2 白名单
白名单是一种允许访问的方式其中列出的IP地址被允许连接到SSH服务器。只有在白名单中列出的IP地址才能建立SSH连接其他IP地址将被拒绝
设置白名单
①通常由系统管理员在SSH服务器的配置文件中定义。在OpenSSH中这通常是在/etc/ssh/sshd_config文件中进行配置
②可以使用AllowUsers或AllowGroups选项来指定允许连接的用户或用户组
在172.16.12.12服务器上配置允许所有主机连接本机的mimi用户却只允许172.16.12.10主机连接本机的dh用户修改完之后重启sshd服务 只允许172.16.12.10客户端连接服务端的dh用户 允许所有主机连接本机的mimi用户 4、禁止root用户登录
修改服务端配置禁止root用户登录再重启sshd服务 5、ssh服务器的最佳调优
①建议使用非默认端口
②禁止使用protocol version 1
③限制可登录用户的白名单
④设定空闲会话超时时长
⑤利用防火墙设置ssh访问策略
⑥仅监听特定的IP地址
⑦基于口令认证时使用强密码策略
比如tr -cd [a-zA-Z0-9] /dev/urandom | head -c 12 | xargs
⑧使用基于密钥的认证
⑨禁止使用空密码
⑩禁止root用户直接登录
⑪限制ssh的访问频度和并发在线数
⑫经常分析日志分离
三、使用密钥对免交互验证登录
1、创建密钥
可指定算法类型输入 ssh-keygen -t ed25519 ecdsa
[rootlocalhost ~]#ssh-keygen #客户端创建密钥 2、将密钥文件传送到远程服务端
#客户端将密钥传送到远程服务端
[rootlocalhost ~]#ssh-copy-id -i /root/.ssh/id_rsa.pub 172.16.12.10 3、 登录验证
此时我们去登录服务端会使用密钥文件进行验证提高了安全性 为保障更安全可开启密钥验证关闭密码验证如此只有密钥的客户端才可连接到远程服务端 4、免交互登录无须密钥密码验证
客户端先输入 ssh-agent bash 将这个命令交给 bash 去管理
再输入 ssh-add 是将用户的私钥添加到运行中的 ssh-agent 中这样在后续的SSH连接过程中就不需要每次都手动输入私钥的密码了。一旦私钥被添加到ssh-agent 中它会暂时保存解密后的私钥以供后续使用
但重启客户端设备后就会失效需要重新进行上述操作
