SSH基本概述
SSH是一个安全协议,在进行数据传输时,会对数据包进行加密处理,加密后再进行数据传输。确保了数据传输安全。SSH服务主要有哪些功能?
1.提供远程连接服务器的服务
2.对传输的数据进行加密除了SSH协议能提供远程连接服务,Telnet也能提供远程连接服务。
SSH和Telnet区别:
ssh 服务会对传输数据进行加密,监听在本地 22/tcp 端口,ssh服务默认支持root用户登录
telnet 服务不对数据进行加密,监听在本地 23/tcp 端口,Telnet默认不支持root用户登录
| 服务连接方式 | 服务数据传输 | 服务监听端口 | 服务登陆用户 |
|---|---|---|---|
| ssh | 加密 | 22/tcp | 默认支持root用户登陆 |
| telnet | 明文 | 23/tcp | 不支持root用户登陆 |
服务对应端口
| 服务 | 端口 |
|---|---|
| ftp | 21 |
| dns | 53 |
| ssh | 22 |
| telnet | 23 |
| mysql | 3306 |
| http | 80 |
| https | 443 |
| rsync | 873 |
1.ssh远程连接
1.windows连接linux服务器,过程中都需要弹框输入密码
例如:windows连接到10.0.0.41服务器上
2.linux服务器连接到linux服务器,默认为22端口注:用户ssh远程连接时,不添加root@的话,默认会以当前用户连接对方门当户对的
用户。
【root用户连接】
【baozi用户连接】会需要对方baozi用户的密码
3.指定连接端口
【1】修改ssh连接端口号
10.0.0.7:
vim /etc/ssh/sshd_config
【2】重启ssh服务
systemctl restart sshd
【2】指定端口号连接10.0.0.7【1】取消该行注释,并修改为2233
【2】10.0.0.7重启服务
【3】连接10.0.0.7
4.可以用主机名、IP、域名连接相应服务器
主机名需要在本地/etc/hosts文件配置相应IP地址
【配置本地/etc/hosts】
【用主机名连接10.0.0.7】
2.scp命令---->(ssh cp)
scp是远程全量拷贝命令,复制数据至远程主机的命令。
参数:
-P 指定端口,默认22端口
-r 表示递归拷贝目录
-p 表示在拷贝文件前后保持文件或目录属性不变
-l 限制传输使用带宽(默认kb)
案例1.本地创建test.txt文件传输到10.0.0.7:/tmp/目录下
【-P2233】
【为了方便后面修改回默认端口号22】
【重启sshd服务】
案例2.将10.0.0.7下的/etc/hosts文件拷贝到本地/tmp/目录下
注:为了减少磁盘IO可以先压缩再传输
【scp】
案例3.本地将/etc/目录拷贝到10.0.0.7:/root/目录下
【-r递归】
【10.0.0.7查看结果】
【压缩】
【scp传输压缩包】
【10.0.0.7查看结果】
案例4.限速将10.0.0.7的小说拉取到本地,限速为8000kb/s~1MB
【-l】
结论:
1.scp通过ssh协议加密方式进行文件或目录的拷贝。
2.scp连接时的用户作为拷贝文件或目录的权限。
3.scp支持数据推送和拉取,每次都是全量拷贝,效率较低。
3.ssh免密钥远程连接
需求:本地想要免密远程登陆10.0.0.7服务器
1.生成密钥对,一路回车
2.将公钥配置到10.0.0.7服务器下
【生成密钥对】
【-i 是指定公钥文件,不添加则默认是.ssh/id_rsa.pub】
【不用 -i】
【ssh连接】
SSH场景时实践
用户通过Windows/MAC/Linux客户端连接跳板机免密码登陆,跳板机连接后端无外网的Linux主机实现免密登陆,架构图如下。
步骤一:本地xshell生成密钥对并下发给10.0.0.31
【1.首先打开工具】
【2.用户密钥管理者】
【3】
【4】
【5.一直点下一步然后复制公钥,点击完成】
【6.粘贴公钥】
【7.修改密码文件权限】
【8.禁止通过密码登陆10.0.0.31跳板机】
【9.重启服务】
【10.内网通过密码连接10.0.0.31查看结果】
【11.用户通过xshell的密钥连接10.0.0.31跳板机】
【12.点击确定进入即可】
步骤二:跳板机172.16.1.31下发公钥到172.16.1.41和172.16.1.7主机
注意:这里是使用内网172.16.1.0/24段来连接发布公钥,这里我们关闭
内网主机的eth0网卡
【1.关机eth0网卡】
【2.跳板机生成密钥对】
【3.跳板机下发公钥给172.16.1.7】
【4.跳板机下发公钥给172.16.1.41】
【5.再次开启两个跳板机窗口,通过172.16.1.0/24段直接ssh连接即可】
【5.1 连接172.16.1.7】
【5.2 连接172.16.1.41】
以上场景实践完成,可以通过
ifup eth0 命令恢复网卡
🌼微微加料
SSH安全优化
SSH作为远程连接服务,通常我们需要考虑到该服务的安全,所以需要对该服务进行安全方面的配置。
1.更改远程连接登陆的端口
2.禁止ROOT管理员直接登陆(可以先登陆普通用户,再通过su - 登陆ROOT管理员)
3.密码认证方式改为密钥认证
4.重要服务不使用公网IP地址
5.使用防火墙限制来源IP地址在 /etc/ssh/sshd.config文件中配置:
Port 2233 # 变成SSH服务远程连接端口
PermitRootLogin no # 禁止root用户直接远程登陆
PasswordAuthentication no # 禁止使用密码直接远程登陆
UseDNS no # 禁止ssh进行dns反向解析,影响ssh连接效率参数
GSSAPIAuthentication no # 禁止GSS认证,减少连接时产生的延迟