Linux には ssh が付属しています。 Linux システムには独自の ssh ソフトウェアが付属しています。デフォルトは OpenSSH 関連ソフトウェア パッケージであり、起動時に自動的に開始されるように ssh サービスが追加されています。「ssh -V」コマンドを使用して、インストールされている ssh バージョン情報を表示できます。 sshd サービスを開始するには、「systemctl start sshd」コマンドを実行するだけです。デフォルトのポート 22 が使用されます。
Linux には ssh が付属していますか?
サーバーのメンテナンスを行うために毎回コンピュータ室に行かなければならない場合、不便です。そこで Linux には ssh (Secure Shell の略) という、シェルを使ってリモートからメッセージを送信できる機能があります。つまり、サーバー上でサービスが開始されてリモート アクセス データを受信し、そのデータをシステム カーネルに転送してこれらの操作を完了するため、研究開発の同僚はコンピュータ ルームに行かなくてもサーバーを保守できるようになります。
ssh では、サーバーが対応するネットワーク ポートを開く必要があります。デフォルトはポート 22 ですが、9022 などの他のポートに変更することもできます。
サーバーは外部使用用にポートを予約しており、管理目的であるため (シェルを通じてサーバーを制御できます)、ssh にはさまざまなセキュリティ制限があります。より一般的なものは、root アカウントのログインを禁止し、ログのみを許可することです。信頼された IP を使用して接続し、証明書方式を使用します。見知らぬ人が関連するアカウントと権限を取得した場合でも、そのような措置を講じると、サーバーへのログインが阻止される可能性があります。
外部コンピュータは ssh を使用してサーバーにログインするため、対応するクライアント ソフトウェアが必要です。 Linux または Mac の場合、システムには ssh ソフトウェアが付属しています (コマンド ライン モードですが)。デフォルトは OpenSSH です。ssh -V コマンドを使用して、インストールされている ssh バージョン情報を表示できます:
[root@xiaoluo xiaoluo]# ssh -V OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010
上記の情報から、ご覧のとおり、仮想マシンにインストールされている CentOS 6.4 にデフォルトでインストールされている SSH プロトコルは 1.0 です。
OpenSSHサーバー設定ファイル
サービス名: sshd
サーバーメインプログラム:/usr/sbin/sshd
サービス終了設定ファイル: /etc/ssh/sshd_config
openSSH は、SSH プロトコルを実装するオープン ソース ソフトウェア プロジェクトであり、さまざまな UNIX および Linux オペレーティング システムに適しています。
centos 7 システムには、デフォルトで openssh 関連のソフトウェア パッケージがインストールされており、起動時に自動的に開始されるように ssh サービスが追加されています。
「systemctl start sshd」コマンドを実行して、sshdサービスを開始します。デフォルトのポートはポート 22 です。
ssh_confiog と sshd_config はどちらも ssh サーバーの構成ファイルです。
この 2 つの違いは、前者がクライアント用の構成ファイルであり、後者がサーバー用の構成ファイルであることです。 。
ssh サーバーには、主に ssh リモート接続と sftp サービスの 2 つのサービス機能が含まれています。
SSHD サービスは、SSH プロトコルを使用してコンピュータ間のリモート制御やファイル転送を行うことができます。 Telnet はクリア テキストを転送し、SSH は暗号化されたデータを転送するため、以前に Telnet を使用してファイルを転送する場合と比較して、SSH を使用する方が安全になりました。
ssh リモートログイン方法
ssh でログインするには 2 つの方法があります。
初めてサーバーにログインするとき、システムはリモート ホストの情報を保存しないため、ホストの身元を確認するために、接続を続行するかどうかを尋ねるメッセージが表示されます。 「yes」を入力してログインします。このとき、システムはリモート サーバー情報をユーザーのホーム ディレクトリに書き込みます。$HOME/.ssh/known_hosts ファイル。次回ログインするとき、ホスト情報が保存されるため、再度プロンプトが表示されることはありません。
1. 方法 1
形式: ssh [リモート ホストのユーザー名] @ [リモート サーバーのホスト名または IP アドレス] -p port
Linux ホストが別の Linux ホストにリモート接続する場合、現在ログインしているユーザーが root の場合、別のホストに接続して root ユーザーとしてログインするときに、ssh IP を直接使用してログインできます。ポートはデフォルトです。デフォルトでない場合は、-p を使用してポートを指定する必要があります。
他のホストへのリモート ログイン
ssh root@192.168.100.10 最初の対話型入力は「yes」です。2 番目の対話型入力は root パスワードであり、ログインは成功します
ログインしてからログアウトすると、ローカル ホーム ディレクトリに .sshd ディレクトリが生成され、ログイン情報が記録されたファイルが作成されます。
2. ドメイン名プロセスを使用してログインします
①ローカル マッピング関係を変更します
②ログイン
3. トラブルシューティング
職場では、SSH でログインする必要がある場合があります。他のコンピュータ Linux ホストですが、SSH ログインが禁止される場合があり、次のようなプロンプトが表示されます:
警告: 既知のホストのリストに '192.168.100.10'(ECDSA) が永続的に追加されました。認証に失敗しました。
このとき、ホームディレクトリ配下の.sshディレクトリ配下のファイルを直接削除することで問題は解決します。
4. sshd サービスでサポートされる 2 つのログイン検証方法
1) パスワード検証
对服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便,但从客户端角度来看,正在连接的服务器有可能被假冒;从服务器角度来看,当遭遇密码穷举(暴力破解)攻击时,防护能力比较弱。
18位密码复杂性(大写、小写、字符、数字),修改端口为高位端口,可以提高安全性。
2)秘钥对验证
要求提供相匹配的秘钥信息才能通过验证。通常先在客户端中创建一对秘钥文件(公钥、私钥),然后将公钥文件放到服务器中指定位置,远程登录时,系统将使用公钥、私钥进行加密/解密关联验证,
大大增强了远侧还能够管理的安全性。该方式不易被假冒,且可以免交互登录,在shell中被广泛使用
当密码验证、秘钥验证都启用时,服务器将优先使用秘钥对验证。 对于安全性要求高的服务器,建立将密码验证方式禁用,只允许启用秘钥对验证方式。
配置文件中修改启用密码验证还是秘钥验证
配置文件:/etc/ssh/sshd_config
PasswordAuthentication yes #启用密码验证 PubkeyAuthentication yes #启用密钥对验证 AuthorizedKeysFile .ssh/authorized_keys #指定公钥库文件(ls -a可查看)
配置文件中其它的设置
LoginGraceTime 2m #登录验证时间为2分钟(默认2分钟) PermitRootLogin no #禁止root用户登录 MaxAuthTries 6 #最大重试次数为6次 PermitEmptyPasswords no #禁止空密码登录 PrintLastLog yes #显示上次登入的信息!默认为 yes AllowUsers #只允许或禁止某些用户登录
配置文件修改完之后,需要重启配置sshd服务
systemctl restart sshd #重启sshd服务
构建秘钥对验证的SSH
公钥和私钥的关系
在对称加密技术中,有两种秘钥,分为私钥和公钥,私钥是秘钥的创建人拥有,不可公布,公钥是创建者公布给他人的。
公钥用来给数据加密,用公钥加密的数据只能使用私钥解。
构建秘钥对验证SSH的原理
首先ssh通过加密算法在客户端产生秘钥对(公钥和私钥),公钥发送给服务端,自己保留私钥。
如果要想连接带有公钥的SSH服务器,客户端SSH软件就会向SSH服务器发出请求,请求联机的用户密钥进行安全验证。
SSH服务器收到请求之后,便在被连接的用户的家目录下寻找事先放上去的对应用户的公用秘钥
然后把它和连接的SSH客户端发送过来的公用秘钥进行比较,如果两个秘钥一致,SSH服务器就用公钥加密“质询”并把它发送给SSH客户端。
简单理解
生成密钥可以在客户端和服务端两边生成,但是我们需要将使用客户端登录到服务端,那么,客户端就一直需要的是私钥,服务端要存在公钥,所以不关密钥对在客户端还是服务端生成,客户端拿到的都会是私钥,服务端拿到的都是公钥。
通俗理解
公钥(public key)相当于一扇门,私钥(pribate key)相当于是开门的钥匙,当一台机器A需要登录到机器B的时候,就得拿着钥匙去开门,但是前提的是机器B必须要有门,所以需要给机器B装上门,那就是把机器A的公钥给到机器B。然后机器A使用私钥就可以打开机器B的公钥门。
1、scp远程复制
scp复制 :是secure copy (安全复制)的简写,用在Linux下进行远程拷贝的命令,而且scp传输时加密的。
应用场景
在系统误删环境配置文件且没有备份的时候,可以远程从其它主机上拷贝过来。
本地文件复制到服务器 scp 1.txt root@192.168.100.10:/opt 复制服务器的目录到本地 scp root@192.168.100.10:/home/sky/ ./ 本地目录复制到服务器 scp -r / root@192.168.100.10:/home
2、sftp 安全性传输
sftp 是secure file transfer protocol(安全文件传送协议) 的缩写,可以为传输文件提供一种安全的网络加密方法。
sftp与ftp有着几乎一样的语法和功能,sftp 为ssh的其中一部分,sftp本身没有单独的守护进程,它必须使用sshd守护进程(端口号默认是22)来完成相应的连接和答复操作。所以使用sftp是非常安全的,但是,由于这种传输方式使用了加密/解密技术,所以传输效率比普通的FTP要低的多。对网络安全要求更高时,可以使用SFTP代替FTP。
从服务端下载文件到本地主机
从本地主机上传文件到服务端
3、配置密钥对实验
通过ssh-keygen工具为当前用户创建密钥对文件,可用的加密算法有“RAS”、“ECDSA”、“DSA”,通过-t 选项调用相应的算法。
3.1 在服务端创建密钥对
查看密钥对的位置
3.2、修改密钥对的配置文件
修改ssd_config配置文件没关闭,关闭密码验证,开启密钥验证
vim /etc/ssh/sshd_config
加载服务
3.3、发送私钥到客户端
3.4用xshell登录
3.5、客户端创建秘钥
vim /etc/ssh/sshd_config 修改公钥位置文件
重启服务
以上がLinuxにはsshが付属していますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。