SSH(Secure Shell)是一种网络协议,用于在不安全的网络上安全地进行远程登录和文件传输。它通过加密数据传输和身份验证来保护通信的安全性。

SSH协议提供了一种安全的方式,使用户可以在远程计算机上执行命令。它在互联网上广泛应用于远程管理服务器和安全传输文件。SSH提供了一种加密的连接,以防止未经授权的访问和数据泄露。
SSH使用客户端-服务器模型,其中客户端连接到远程服务器,将用户的输入发送到服务器,并将服务器的响应返回给客户端。为了建立和保持连接的安全性,SSH使用非对称加密,并通过用户名和密码或公钥进行身份验证。
SSH还支持文件传输,您可以使用SCP(Secure Copy)或SFTP(SSH File Transfer Protocol)命令通过网络安全地传输文件。
总结起来,SSH是一种加密的远程登录协议,提供安全的远程操作和文件传输功能,使用户可以安全地管理远程服务器。

1.认识SSH服务

  1.1、SSH服务配置文件路径:/etc/ssh/sshd_config

ls /etc/ssh

 2、查看SSH服务的运行状态

systemctl status sshd.service

 SSH服务配置文件详解

1、SSH服务配置文件路径:/etc/ssh/sshd_config

 SSH服务配置文件详解 

SSH(Secure Shell)是一种加密的网络协议,用于在不安全的网络上安全地传输数据和执行命令。SSH服务是提供此功能的服务器程序。SSH服务的配置文件是一个文本文件,它包含配置SSH服务的选项。一般而言,SSH服务的配置文件的路径是/etc/ssh/sshd_config。(注意,在某些操作系统中,配置文件的路径可能有所不同。)

以下是SSH服务配置文件中一些常用选项的说明:

- Port:指定SSH服务监听的端口号。默认是22。可以修改为其他端口号来增强安全性(尽管这并不是一个完美的解决方案,但可以减少对此端口的暴力攻击)。如果需要让SSH服务在多个端口上监听,则需要多次指定此选项。
- ListenAddress:指定SSH服务监听的IP地址。默认是所有可用的IP地址(即0.0.0.0)。可以指定特定的IP地址,比如本地回环地址127.0.0.1或某个特定的网络接口地址。这在需要限制谁可以访问SSH服务时非常有用。
- HostKey:SSH服务使用的主机密钥文件的路径。通常,在安装SSH服务时,会在/etc/ssh目录下生成三个主机密钥文件:/etc/ssh/ssh_host_rsa_key、/etc/ssh/ssh_host_dsa_key和/etc/ssh/ssh_host_ecdsa_key。如果需要自己生成主机密钥,则可以使用ssh-keygen命令。
- PermitRootLogin:指定是否允许以root用户身份登录SSH服务。默认是yes。为了安全,建议将其修改为no,并创建一个非特权用户进行登录和管理。
- PasswordAuthentication:指定是否允许使用密码进行身份验证。默认是yes。为了安全,建议将其修改为no,并使用公钥身份验证方式进行登录。
- PubkeyAuthentication:指定是否允许使用公钥进行身份验证。默认是yes。为了安全,建议只使用公钥身份验证方式进行登录。
- AuthorizedKeysFile:指定含有公钥的文件的路径。默认是~/.ssh/authorized_keys。如果将此文件放到其他地方,则需要修改此选项的值。
- PermitEmptyPasswords:指定是否允许空密码登录。默认是no。建议设置为no,以防止未经授权的登录。
- ChallengeResponseAuthentication:指定是否启用挑战-响应身份验证。默认是no。如果需要使用两因素身份验证(如基于Google Authenticator的身份验证),则需要将其设置为yes。
- UsePAM:指定是否在登录时使用PAM进行身份验证。默认是yes。建议不要禁用此选项,以便使用系统中其他PAM模块来增强安全性。
- X11Forwarding:指定是否启用X11转发。默认是no。在需要在SSH会话中运行图形界面应用程序时,需要将其设置为yes。
- MaxAuthTries:指定登录尝试次数上限。默认是6。为了避免暴力攻击,建议将其调低。
- AllowUsers和DenyUsers:分别用于指定允许登录的用户和禁止登录的用户。可以使用通配符进行匹配。
- LogLevel:指定日志记录的级别。默认是INFO。可以设置为DEBUG、VERBOSE、SILENT等级别。

上述选项只是SSH服务配置文件中的一部分,不同的SSH服务可能支持不同的选项。为了在生产环境中提高SSH服务的安全性,请务必了解和正确配置所有选项。

SSH服务常用命令 - ssh

1、systemctl status/stop/start/restart sshd.service    # SSH服务器 启动/关闭/重启

 systemctl status/stop/start/restart sshd.service

- `systemctl status sshd.service`:显示SSH服务器服务的当前状态,包括已启动、正在运行、故障等等。
- `systemctl stop sshd.service`:停止SSH服务器服务。
- `systemctl start sshd.service`:启动SSH服务器服务。
- `systemctl restart sshd.service`:重启SSH服务器服务。

2. ssh [远程主机用户名]@[远程服务器主机名或IP地址] [-p port]

- `ssh`:SSH的命令。
- `[远程主机用户名]@[远程服务器主机名或IP地址]`:登录远程主机的用户名和主机名或IP地址。
- `[-p port]`:可选参数,指定远程SSH服务器的端口号。如果未指定此参数,则默认端口号为22。

3. 如果没有指定-p参数,则默认ssh端口为22,22端口是高危端口

- SSH服务器的默认端口是22。攻击者会经常扫描这个端口来尝试寻找可以入侵的目标。
- 为了提高安全性,可以将SSH服务器的端口改为非标准端口,例如4422。
- 注意,非标准端口不是安全的保障,攻击者仍然可以在扫描端口时找到您的服务器。因此,除了更改端口外,还需要采取其他安全措施,例如禁用密码身份验证,启用公钥身份验证等。

SSH服务常用命令 - scp

利用ssh协议传输文件和获取文件:

1、scp root@xxxx:/etc/passwd  /root/passwd10.txt    #下行复制,将远程主机中的etc/passwd文件复制到本机

2、scp -r /etc/ssh  root@xxxx:/opt                 #上行复制,将本机的etc/ssh复制到远程主机,因为是复制目录所以要-r

SCP(Secure Copy)是SSH协议的一部分,用于在本地和远程计算机之间安全地复制文件和目录。下面是一些常用的SCP命令示例:

1. 从远程服务器下载文件到本地:
   ```
   scp username@remote_host:/path/to/file /local/path
   ```
   将远程服务器上的文件复制到本地计算机指定的路径。

2. 将本地文件上传到远程服务器:
   ```
   scp /local/file username@remote_host:/path/to/destination
   ```
   将本地计算机上的文件复制到远程服务器的指定路径。

3. 复制整个目录:
   ```
   scp -r /local/directory username@remote_host:/path/to/destination
   ```
   这将递归地复制本地目录及其所有子目录和文件到远程服务器。

4. 指定端口:
   ```
   scp -P port /local/file username@remote_host:/path/to/destination
   ```
   如果SSH服务器监听非标准端口(默认为22),您可以使用此选项指定使用的端口号。

5. 从远程服务器下载文件到本地,并保留文件的时间戳和权限:
   ```
   scp -p username@remote_host:/path/to/file /local/path
   ```
   使用-p选项将会保留复制文件的原始时间戳和权限。

这些是使用SCP命令进行常见文件复制操作的示例。请记住,您需要替换实际的用户名、主机名或路径来适应您的环境。

使用方式:

scp [参数] [原路径] [目标路径]

常用可选参数:

  • -B 使用批处理模式(传输过程中不询问传输口令或短语)
  • -C 允许压缩。(将-C标志传递给ssh,从而打开压缩功能)
  • -p 保留原文件的修改时间,访问时间和访问权限。
  • -r 递归复制整个目录。
  • -P port 注意是大写的P, port是指定数据传输用到的端口号

路径规则:

user@IP:dirname
user:登录用户名
IP:登录服务器地址
dirname:文件路径

例如: root@123.123.123.123:/etc/share/test.js 表示123.123.123.123服务器上,root用户/etc/share/下的test.js文件

注意:

  1. 执行scp命令之后,会要求输入user的登录密码,(如果两台机器之前已部署ssh身份验证,则不需要);
  2. 如果是从服务器获取文件,则目标路径直接填写本地存放路径即可。
  3. 如果是上传文件到服务器,则原路径填写本地文件路径即可。

例子:

例1:从远程服务器复制文件到本机目录

$scp root@123.123.123.123:/opt/soft/test.js /etc/share/

表示:复制123.123.123.123机器上/opt/soft/目录下test.js文件到本机/etc/share/下。

例2:传输本机文件到远程机器指定目录

$scp /etc/share/test.js root@123.123.123.123:/opt/soft/test.js

表示:复制本机器/etc/share/目录下test.js文件到远程123.123.123.123机器上的/opt/soft/目录下。

实践:

将远程连接的主机中的/etc/passwd文件复制到本机

scp root@192.168.134.225:/etc/passwd /root/passwd1.txt

scp -r root@192.168.134.222:passwd1.txt /

 SSH服务免密登陆:

SSH配置—Linux下实现免密码登录icon-default.png?t=N7T8https://www.cnblogs.com/hanwen1014/p/9048717.html

 原理:

 

SSH服务免密登录可以使得用户从本地直接登录远程SSH服务器上,而无需每次都输入密码。这大大方便了用户的操作。

下面是SSH服务免密登录的大致步骤:

  1. 生成公钥和私钥

在本地机器上使用ssh-keygen命令生成公钥和私钥,将公钥存放在远程主机的~/.ssh/authorized_keys文件中

ssh-keygen -t rsa

  1. 将公钥复制到远程服务器

将本地机器生成的公钥复制到远程服务器的~/.ssh目录下,并将公钥重命名为authorized_keys

ssh-copy-id -i ~/.ssh/id_rsa.pub remote_username@server_ip

 ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.134.225

  1. 配置远程服务器的sshd_config

在远程服务器的sshd_config文件中进行如下设置:

PubkeyAuthentication yes
AuthorizedKeysFile  .ssh/authorized_keys
PasswordAuthentication no

  1. 重启sshd服务
systemctl restart sshd

完成以上步骤后,用户直接登录远程服务器即可实现SSH服务免密登录。

需要注意的是,为了确保SSH服务的安全

Logo

开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!

更多推荐