0
  • 聊天消息
  • 系統(tǒng)消息
  • 評(píng)論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會(huì)員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

深入解析SSH協(xié)議,輕松實(shí)現(xiàn)安全高效的服務(wù)器管理

馬哥Linux運(yùn)維 ? 來源:馬哥Linux運(yùn)維 ? 2024-12-19 13:40 ? 次閱讀

什么是ssh

SSH即安全外殼協(xié)議(Secure Shell),是一種網(wǎng)絡(luò)協(xié)議,用于在計(jì)算機(jī)網(wǎng)絡(luò)上提供安全的遠(yuǎn)程登錄和命令執(zhí)行功能。SSH通過加密通信通道來保護(hù)數(shù)據(jù)傳輸,防止敏感信息在傳輸過程中被竊聽或篡改。SSH支持多種身份驗(yàn)證方法,包括密碼、公鑰和證書等,以確保只有授權(quán)用戶能夠訪問系統(tǒng)。除了遠(yuǎn)程登錄,SSH還支持文件傳輸和端口轉(zhuǎn)發(fā)等功能,使得SSH成為一種廣泛使用的安全遠(yuǎn)程管理工具。

ssh原理

1.客戶端連接服務(wù)器的SSH服務(wù)端口(默認(rèn)是22),發(fā)送隨機(jī)數(shù)、支持的加密算法列表、SSH版本號(hào)等信息。

2.服務(wù)器端SSH服務(wù)端程序會(huì)選擇一個(gè)加密算法和HASH算法,并生成自己的公鑰,發(fā)送給客戶端。

3.客戶端收到服務(wù)器的公鑰后,會(huì)進(jìn)行驗(yàn)證,如果公鑰合法,客戶端會(huì)生成會(huì)話密鑰,用服務(wù)器的公鑰加密,發(fā)送給服務(wù)器。

4.服務(wù)器收到客戶端發(fā)來的會(huì)話密鑰后,用自己的私鑰解密,確認(rèn)會(huì)話密鑰的合法性。

5.服務(wù)器和客戶端用會(huì)話密鑰、HASH算法、加密算法等信息生成一個(gè)新的密鑰,用于后續(xù)數(shù)據(jù)傳輸?shù)募用堋?/p>

6.完成上述過程后,客戶端和服務(wù)器端就可以開始進(jìn)行加密的數(shù)據(jù)傳輸了。

ssh登錄

ssh [遠(yuǎn)程主機(jī)用戶名]@[遠(yuǎn)程服務(wù)器主機(jī)名或IP地址] -p

-l :-l 選項(xiàng),指定登錄名稱。
-p: -p 選項(xiàng),指定登錄端口(當(dāng)服務(wù)端的端口非默認(rèn)時(shí),需要使用-p 指定端口進(jìn)行登錄)

[root@localhost named]# ssh 192.168.10.20  #若沒有修改配置,默認(rèn)的端口為22
The authenticity of host '192.168.10.20 (192.168.10.20)' can't be established.
ECDSA key fingerprint is SHA256:KtaBKXckd5FGPVjjbVKvTH7FlTeo5/gNAXFWe9UlBlY.
ECDSA key fingerprint is MD55fa473:0a92:7e:3542:8ebb.
Are you sure you want to continue connecting (yes/no)? 
 yes
Warning: Permanently added '192.168.10.20' (ECDSA) to the list of known hosts.
root@192.168.10.20's password: 
Last failed login: Sun May  5 15:12:57 CST 2024 from 192.168.10.10 on ssh:notty
There was 1 failed login attempt since the last successful login.
Last login: Sat May  4 17:08:06 2024 from 192.168.10.1
[root@localhost ~]#    ##這是192.168.10.20里

服務(wù)器ssh配置

ssh配置文件:/etc/ssh/sshd-config

通過修改配置文件來改變ssh的配置

ListenAddress ip
#監(jiān)聽地址設(shè)置SSHD服務(wù)器綁定的IP 地址,0.0.0.0 表示偵聽所有地址安全建議:如果主機(jī)不需要從公網(wǎng)ssh訪問,可以把監(jiān)聽地址改為內(nèi)網(wǎng)地址 這個(gè)值可以寫成本地IP地址,也可以寫成所有地址,即0.0.0.0 表示所有IP。
LoginGraceTime 2m
#用來設(shè)定如果用戶登錄失敗,在切斷連接前服務(wù)器需要等待的時(shí)間,單位為秒
PermitRootLogin yes 
#默認(rèn) ubuntu不允許root遠(yuǎn)程ssh登錄
StrictModes yes  
#檢查.ssh/文件的所有者,權(quán)限等
MaxAuthTries 
#用來設(shè)置最大失敗嘗試登陸次數(shù)為6
MaxSessions 10     
#同一個(gè)連接最大會(huì)話
PubkeyAuthentication yes   
#基于key驗(yàn)證
PermitEmptyPasswords no   
#密碼驗(yàn)證當(dāng)然是需要的!所以這里寫 yes,也可以設(shè)置為 no,在真實(shí)的生產(chǎn)服務(wù)器上,根據(jù)不同安全級(jí)別要求,有的是設(shè)置不需要密碼登陸的,通過認(rèn)證的秘鑰來登陸。
PasswordAuthentication yes  
#基于用戶名和密碼連接
GatewayPorts no
ClientAliveInterval 10 
#單位:秒
ClientAliveCountMax 3 
#默認(rèn)3
UseDNS yes 
#提高速度可改為no   內(nèi)網(wǎng)改為no  禁用反向解析
GSSAPIAuthentication yes #提高速度可改為no
MaxStartups  #未認(rèn)證連接最大值,默認(rèn)值10
Banner /path/file
#以下可以限制可登錄用戶的辦法:白名單  黑名單
#修改默認(rèn)端口
[root@localhost ssh]#vim  /etc/ssh/sshd_config
#17 行修改自己默認(rèn)的端口
17 Port 9527

ssh免密登錄

通過ssh來生成并發(fā)送到指定的IP地址

[root@localhost ~]# ssh-keygen -t rsa#生成ssh的公密鑰
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 
/root/.ssh/id_rsa already exists.
Overwrite (y/n)? y
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:4yEc1dbyJg7OaJoB7HV8em3EpJgrmFV9w0tQcEqcR0Q root@localhost.localdomain
The key's randomart image is:
+---[RSA 2048]----+
|       o=@E.     |
|      .o+o@ .    |
| .   o.o.O =     |
|  o o.=.+ = o    |
| . * .oBS= o     |
|  + o =o+o+      |
|     * ...       |
|    o            |
|                 |
+----[SHA256]-----+
[root@localhost ~]# ssh-copy-id -i root@192.168.10.10 #發(fā)送到
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.10.10's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'root@192.168.10.10'"
and check to make sure that only the key(s) you wanted were added.

[root@localhost ~]# ssh root@192.168.10.10
Last login: Sun May  5 16:58:06 2024 from 192.168.10.20
[root@localhost ~]# ssh-copy-id -i root@服務(wù)端IP#將密鑰文件拷貝給服務(wù)端,并輸入一次服務(wù)器端密碼

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
  • 服務(wù)器
    +關(guān)注

    關(guān)注

    12

    文章

    9246

    瀏覽量

    85730
  • SSH協(xié)議
    +關(guān)注

    關(guān)注

    0

    文章

    5

    瀏覽量

    1634

原文標(biāo)題:新手必看!深入解析SSH協(xié)議,輕松實(shí)現(xiàn)安全高效的服務(wù)器管理

文章出處:【微信號(hào):magedu-Linux,微信公眾號(hào):馬哥Linux運(yùn)維】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。

收藏 人收藏

    評(píng)論

    相關(guān)推薦

    ssh連接

    實(shí)現(xiàn),二者互不兼容。SSH2比SSH1在安全性,功能和性能 上提高了很多,所以目前被廣泛使用的SSH2。 1.
    發(fā)表于 03-28 16:38

    VPS服務(wù)器

    站點(diǎn)上。iDNS由三部分組成:域名服務(wù)模塊,數(shù)據(jù)庫模塊,管理模塊。軟硬件VPS服務(wù)器采用操作系統(tǒng)虛擬化技術(shù)實(shí)現(xiàn)了軟件和硬件的隔離, 從而增強(qiáng)了服務(wù)器
    發(fā)表于 08-01 10:30

    使用 PuTTY 遠(yuǎn)程登錄管理服務(wù)器 -- 轉(zhuǎn)載

    ,填入要連接的主機(jī)的 IP 地址(這里使用的是之前介紹的在本地創(chuàng)建的練手用的虛擬機(jī),現(xiàn)在 IP 是 192.168.1.14 )。SSH 端口:默認(rèn)是 22,有時(shí)為了安全需要,建議更改服務(wù)器
    發(fā)表于 07-04 23:11

    如何實(shí)現(xiàn)SSH服務(wù)器?

    你好,有人已經(jīng)實(shí)現(xiàn)SSH(2版)服務(wù)器嗎?你好嗎?SSH只是帶有SSL的telnet,還是有其他的東西有一個(gè)基本的SSH
    發(fā)表于 03-24 10:14

    OpenSSH的SSH協(xié)議實(shí)現(xiàn)

    OpenSSH 是 SSH 協(xié)議的一個(gè)實(shí)現(xiàn)。一般通過 scp 或 sftp 用于遠(yuǎn)程登錄、備份、遠(yuǎn)程文件傳輸?shù)裙δ堋?b class='flag-5'>SSH能夠完美保障兩個(gè)網(wǎng)絡(luò)或系統(tǒng)間數(shù)據(jù)傳輸?shù)谋C苄院屯暾浴1M管如此
    的頭像 發(fā)表于 03-12 15:41 ?8975次閱讀
     OpenSSH的<b class='flag-5'>SSH</b><b class='flag-5'>協(xié)議</b><b class='flag-5'>實(shí)現(xiàn)</b>

    設(shè)置面向LSF 和SSH 的遠(yuǎn)程服務(wù)器群設(shè)備

    使用 DSE II 在 Quartus Prime 中設(shè)置面向 LSF 和SSH 的遠(yuǎn)程服務(wù)器群設(shè)備
    的頭像 發(fā)表于 06-22 04:37 ?4254次閱讀
    設(shè)置面向LSF 和<b class='flag-5'>SSH</b> 的遠(yuǎn)程<b class='flag-5'>服務(wù)器</b>群設(shè)備

    SSH服務(wù)器應(yīng)用程序免費(fèi)下載

    和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議。利用 SSH 協(xié)議可以有效防止遠(yuǎn)程管理過程中的信息泄露問題。
    發(fā)表于 11-25 08:00 ?1次下載
    <b class='flag-5'>SSH</b><b class='flag-5'>服務(wù)器</b>應(yīng)用程序免費(fèi)下載

    以色列政府DNS服務(wù)器存在著Open SSH安全漏洞

    安全研究人員Eitan Caspi最近檢查了gov.il子域的HTTPS站點(diǎn)是否有安全問題,結(jié)果他在以色列政府DNS服務(wù)器上發(fā)現(xiàn)了一個(gè)開放的Open SSH訪問。
    發(fā)表于 02-12 14:41 ?957次閱讀

    如何更高效實(shí)現(xiàn)服務(wù)器安全巡檢管理

    服務(wù)器作為儲(chǔ)存數(shù)據(jù)和承載關(guān)鍵業(yè)務(wù)系統(tǒng)的主體,是企業(yè)IT系統(tǒng)的重要資產(chǎn)。服務(wù)器安全一直被認(rèn)為是整個(gè)信息安全領(lǐng)域的最后一道防線。
    發(fā)表于 04-03 11:52 ?957次閱讀

    ssh如何上傳文件到服務(wù)器

    下面恒訊科技小編將跟大家探討一下ssh如何上傳文件到服務(wù)器的呢? 一、什么是SSH? SSH是一種安全的網(wǎng)絡(luò)
    的頭像 發(fā)表于 02-16 17:21 ?1.6w次閱讀

    Linux上保護(hù) SSH 服務(wù)器連接的方法

    SSH 是一種廣泛使用的協(xié)議,用于安全地訪問 Linux 服務(wù)器。大多數(shù)用戶使用默認(rèn)設(shè)置的 SSH 連接來連接到遠(yuǎn)程
    的頭像 發(fā)表于 08-08 09:55 ?951次閱讀

    在Linux上保護(hù)SSH服務(wù)器連接的8種方法

    SSH 是一種廣泛使用的協(xié)議,用于安全地訪問 Linux 服務(wù)器。大多數(shù)用戶使用默認(rèn)設(shè)置的 SSH 連接來連接到遠(yuǎn)程
    的頭像 發(fā)表于 04-03 09:37 ?950次閱讀

    Linux上建立SSH安全連接的10種方法

    建立 SSH 安全連接的方法是通過 SSH (Secure Shell) 協(xié)議建立的加密通道,用于在服務(wù)器和客戶機(jī)之間的
    的頭像 發(fā)表于 05-29 10:29 ?6164次閱讀

    輕量服務(wù)器怎么搭建ssh?

    在搭建輕量服務(wù)器時(shí),我們通常需要設(shè)置SSH登錄,以便能夠通過SSH客戶端遠(yuǎn)程連接到服務(wù)器。下面是一些簡(jiǎn)單的步驟來幫助您搭建SSH。 第一步:
    的頭像 發(fā)表于 10-10 09:59 ?712次閱讀

    寶塔面板修改服務(wù)器密碼怎么設(shè)置?

    寶塔面板是一種用于服務(wù)器管理的Web面板,允許用戶通過圖形用戶界面輕松管理服務(wù)器。如果你想修改服務(wù)器
    的頭像 發(fā)表于 01-24 17:27 ?1145次閱讀