柚子快報激活碼778899分享：運(yùn)維 SSH遠(yuǎn)程訪問及控制

http://yzkb.51969.com/

一、SSH服務(wù)

1.1 SSH

SSH（Secure Shell）是一種安全通道協(xié)議，主要用于實(shí)現(xiàn)字符界面的遠(yuǎn)程登錄、遠(yuǎn)程復(fù)制、類似于ftp功能。以上三個默認(rèn)端口都是22，可修改SSH協(xié)議對通信雙方的數(shù)據(jù)傳輸進(jìn)行了加密處理，包括用戶登錄的口令輸入SSH的數(shù)據(jù)傳輸基于TCP協(xié)議，對數(shù)據(jù)傳輸加密、壓縮，從而提高傳輸速率?

ssh客戶端---------------ssh服務(wù)端（22）?

1.2 SSH協(xié)議

客戶端：xshell? moba服務(wù)端：OpenSSH是SSH協(xié)議的開源熱案件，適用于各種UNIX、Linux操作系統(tǒng)。

注：Centos 7系統(tǒng)默認(rèn)已安裝openssh相關(guān)軟件包，并將sshd 服務(wù)添加為開機(jī)自啟動。

服務(wù)名稱：sshd

服務(wù)端主程序：/usr/sbin/sshd

服務(wù)端配置文件：/etc/sshd_config

客戶端配置文件：/etc/ssh_config

1.3 SSH組成結(jié)構(gòu)

遠(yuǎn)程連接遠(yuǎn)程登錄安全文件傳輸協(xié)議

傳輸層協(xié)議：提供加密技術(shù)，密碼主機(jī)認(rèn)證。只做主機(jī)認(rèn)證，不執(zhí)行用戶認(rèn)證用戶認(rèn)證協(xié)議：運(yùn)行在傳輸層之上，開始認(rèn)證用戶之后，從底層的會話標(biāo)識接收會話的標(biāo)識符，認(rèn)證會話標(biāo)識符的所有權(quán)。建立私鑰，進(jìn)行安全通信，只認(rèn)證用戶，不負(fù)責(zé)處理連接。連接協(xié)議：處理最終的連接請求，運(yùn)行在用戶認(rèn)證協(xié)議之上，提供了交互登錄界面，遠(yuǎn)程命令，數(shù)據(jù)轉(zhuǎn)發(fā)。

1.4 遠(yuǎn)程登錄

虛擬機(jī)以命令行的方式遠(yuǎn)程登錄（登錄后，操作對本機(jī)無影響，exit退出！用完后立即退出?。?/p>

1.4.1 默認(rèn)端口號

[root@localhost ~]# ssh root@192.168.247.21 ##默認(rèn)端口號22

##root不是本機(jī)用戶，是21的用戶

##@固定格式

##192.168.247.21要登錄的服務(wù)器的IP地址

1.4.2 指定端口號

[root@localhost ~]# ssh -p 1122 root@192.168.247.22

##-p：指定端口

更改端口號：

進(jìn)入服務(wù)端配置文件

重啟服務(wù)，服務(wù)報錯?。?！

?查看運(yùn)行日志，發(fā)現(xiàn)SELinux安全機(jī)制未關(guān)?。?！然后關(guān)閉安全機(jī)制！?。?/p>

?通過另一臺主機(jī)登錄

?1.4.3 遠(yuǎn)程登錄的訪問控制

AllowUsers ##允許登錄的用戶，相當(dāng)于白名單，允許指定，拒絕所有

DenyUsers ##禁止登錄的用戶，相當(dāng)于黑名單，拒絕指定，允許所有

例：AllowUsers aa bb@192.168.233.20

##允許aa用戶登錄

##用戶bb只能通過192.168.233.20IP登錄

##多個用戶用空格隔開

注：不能將同一個用戶，既允許也拒絕

對服務(wù)端配置文件/etc/ssh/sshd_config進(jìn)行配置

驗(yàn)證：?

?1.5 遠(yuǎn)程復(fù)制

scp遠(yuǎn)程復(fù)制：從別的主機(jī)將文件或者目錄，復(fù)制到主機(jī)

#默認(rèn)端口

[root@localhost /]# scp root@192.168.247.22:/opt/1.txt /opt/rh

##scp 遠(yuǎn)程復(fù)制命令

##192.168.247.22 要登錄的IP地址

##/opt/1.txt 復(fù)制的文件位置

##/opt/rh 粘貼的文件位置

#已更改端口

[root@localhost /]# scp -P 1122 root@192.168.247.22:/opt/1.txt /opt/rh

##-P 指定端口

##-r 復(fù)制目錄

1.6 安全文件傳輸協(xié)議（sftp）

sftp：使用了基于ssh協(xié)議（端口號22）的加密解密技術(shù)，所有傳輸效率比傳統(tǒng)的ftp要慢，但是安全性更高，操作語法與ftp一樣

#默認(rèn)端口

[root@localhost /]# sftp root@192.168.247.20

#指定端口

[root@localhost /]# sftp -P 1122 root@192.168.247.20

先在test1/opt/下創(chuàng)建120.txt文件；在test2/opt/下創(chuàng)建130.txt文件

在test1中使用sftp連接test2，將test2/opt/下130.txt下載到test1的/opt/目錄下

將test1/opt/下130.txt上傳到test2/opt/ky30目錄下

切換到test2/opt/ky30查看

二、密鑰對驗(yàn)證

前言：因?yàn)榉?wù)器的密碼可以通過暴力破解的方式進(jìn)行破解，所有產(chǎn)生了更加安全的密鑰對，必須提供匹配的密鑰信息才能通過密鑰驗(yàn)證

2.1 工作方式

在客戶端創(chuàng)建一個密鑰文件密鑰文件傳送到服務(wù)短的指定位置遠(yuǎn)程登陸時，系統(tǒng)將使用密鑰進(jìn)行驗(yàn)證，實(shí)現(xiàn)免交互登錄。增強(qiáng)了一定比的安全性

注：密碼和密鑰對都開啟，服務(wù)器會優(yōu)先使用密鑰對驗(yàn)證

2.2 加密方式

ecdsa (主流）rsadsa

2.3 實(shí)驗(yàn)

[root@localhost ~]# ssh-keygen -t ecdsa

##keygen 設(shè)置密鑰

##-t ecdsa 指定加密方式

[root@localhost ~]# cd .ssh/

[root@localhost .ssh]# ls

id_ecdsa id_ecdsa.pub known_hosts

##id_ecdsa 私鑰文件

##id_ecdsa.pub 公鑰文件

1.先在客戶端生成密鑰文

?2.進(jìn)入存放路徑，將公鑰文件傳入服務(wù)端

?ssh-copy-id ：把本地主機(jī)的公鑰復(fù)制到遠(yuǎn)程主機(jī)的 authorized_keys 文件中

3.?實(shí)現(xiàn)免交互登錄

ssh-agent bash :用于啟動一個新的 Bash shell，并在該 shell 中啟動 SSH Agent。SSH Agent 是一個身份驗(yàn)證代理，用于管理和緩存 SSH 密鑰，可以在需要時自動提供身份驗(yàn)證，從而實(shí)現(xiàn)免密碼登錄等功能ssh-add :將 SSH 私鑰添加到 SSH Agent 的命令。SSH Agent身份驗(yàn)證代理，管理和緩存SSH密鑰

柚子快報激活碼778899分享：運(yùn)維 SSH遠(yuǎn)程訪問及控制

http://yzkb.51969.com/

推薦鏈接