标签:linux ssh openssl openssh sshd
Openssh:
ssh:secure shell,protocol,22/tcp 安全的远程登录
openssh:ssh协议的开源实现
dropbear:另一个开源实现
server端c/s架构随时监听一个端口(22) ,client基于tcp协议安全远程登录
telnet:早期用telnet,也是c/s架构监听23号端口,所有信息明文发送,不安全
]# yum -y install telnet-server
安装telnetserver端,启用telnet#chkconfig telnet on #service xinetd restart
xinetd超级守护进程,瞬时守护进程代为监听23号端口
telnet为明文,禁止管理员直接登录
SSH协议版本
v1: 基于CRC-32做MAC,不安全;man-in-middle
v2:双方主机协议选择安全的MAC方式
基于DH算法做密钥交换,基于RSA或DSA算法实现身份认证;
两种方式的用户登录认证:1password、2key
在tcp三次握手后,server会发送一个主机秘钥公钥到client,然后基于这个公钥进行协商
1、客户端连接上服务器之后,服务器把自己的公钥传给客户端
2、客户端输入服务器密码通过公钥加密之后传给服务器
3、服务器根据自己的私钥解密登录密码,如果正确那么就让客户端登录
client在本地生成一对私钥和公钥,将公钥发送到server端 ./ssh/known_hosts
1、客户端生成RSA公钥和私钥
2、客户端将自己的公钥存放到服务器
3、客户端请求连接服务器,服务器将一个随机字符串发送给客户端
4、客户端根据自己的私钥加密这个随机字符串之后再发送给服务器
5、服务器接受到加密后的字符串之后用公钥解密,如果正确就让客户端登录,否则拒绝。这样就不用使用密码了。
openssh其实就是ssh协议的实现
C/S:
C: ssh, scp, sftp
Windows客户端:
xshell, putty, securecrt, sshsecureshellclient
S: sshd
客户端组件:
ssh, 配置文件:/etc/ssh/ssh_config
服务端:
sshd,配置文件:/etc/ssh/sshd_config
基于key方式登录
client生成一对指定加密方式秘钥ssh -t rsa [-P ‘‘] [-f "~/.ssh/id_rsa"]
$ ssh-keygen -t rsa -C "localhost"
Generating public/private rsa key pair.
Enter file in which to save the key(/Users/simonwang/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /Users/simonwang/.ssh/id_rsa.
Your public key has been saved in /Users/simonwang/.ssh/id_rsa.pub.
The key fingerprint is:
保存在
ls ~/.ssh/
config id_rsa id_rsa.pub known_hosts
pubkey传至server
ssh-copy-id[-i [identity_file]]
$ ssh-copy-id -i ~/.ssh/
config id_rsa id_rsa.pub known_hosts
echo:.ssh simonwang$ ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.5.77
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed:"/Users/simonwang/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), tofilter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if youare prompted now it is to install the new keys
root@192.168.5.77‘s password:
Number of key(s) added: 1
Now try logging into the machine, with: "ssh‘root@192.168.5.77‘"
and check to make sure that only the key(s) you wanted were added.
PS:做集群时经常要用到这种认证方式
windows xshell新建生成秘钥
1、不要使用默认端口;
2、禁止使用protocol version 1;
3、限制可登录用户;
4、设定空闲会话超时时长;
5、利用防火墙设置ssh访问策略;
6、仅监听特定的IP地址;
7、基于口令认证时,使用强密码策略;
# tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30 | xargs
8、使用基于密钥的认证;
9、禁止使用空密码;
10、禁止root用户直接登录;
11、限制ssh的访问频度和并发在线数;
12、做好日志,经常分析;
dropbearkey -t rsa -f /etc/dropbear/dropbear_rsa_host_key -s 2048
dropbearkey -t dss -f /etc/dropbear/dropbear_dss_host_key
dropbear -p [ip:]port -F -E
本文出自 “勤能补拙” 博客,请务必保留此出处http://echoroot.blog.51cto.com/11804540/1946876
标签:linux ssh openssl openssh sshd
原文地址:http://echoroot.blog.51cto.com/11804540/1946876