SSH服務(wù)的介紹：

SSH 是目前較可靠，專為遠程登錄會話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議，利用 SSH 協(xié)議可以有效防止遠程管理過程中的信息泄露問題。

SSH是Secure Shell的縮寫，是建立在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議。SSH是目前較為安全可靠的遠程登錄會話和傳輸協(xié)議。目前絕大多數(shù)的Linux都采用SSH遠程登錄方式且SSH客戶端適用于多種平臺。

SSH是C/S架構(gòu)，即Client/Server(客戶端/服務(wù)端)結(jié)構(gòu)。

目前，SSH有1.x和2.x兩個版本。連接SSH服務(wù)時要注意客戶程序與SSH服務(wù)端版本是否一致，OpenSSH 2.x同時支持SSH 1.x和2.x。

SSH的功能：

• SSH可有效地防止DNS欺騙以及IP欺騙。
• 壓縮傳輸數(shù)據(jù)。
• SSH提供了多種傳輸方式。
• SSH構(gòu)建Socket5代理。

SSH服務(wù)端的安裝：（Linux中）

如果在安裝系統(tǒng)時不是選擇的最小化安裝，SSH服務(wù)都將會默認(rèn)安裝在系統(tǒng)中，無須自行安裝。如果系統(tǒng)沒有自帶SSH服務(wù)，可按照如下情況自行安裝。
Redhat、CentOS等使用RPM包的發(fā)行版：

yum install openssh-server openssh-clients

Debian、Ubuntu等使用DEB包的發(fā)行版：

apt-get install openssh-server openssh-client

其中openssh-server是SSH服務(wù)端，openssh-client為SSH的客戶端

SSH服務(wù)端的配置

配置文件說明：
在Linux操作系統(tǒng)中，SSH服務(wù)端配置文件默認(rèn)路徑為： /etc/ssh/sshd_config

常用配置說明：

Port 22 #SSH端口設(shè)置，這里默認(rèn)使用的是22端口 Protocol 2，1 #選擇SSH協(xié)議版本 ListenAddress 0.0.0.0 #監(jiān)聽的網(wǎng)卡IP PermitRootLogin no #是否允許root登入，默認(rèn)是允許的 PasswordAuthentication yes #是否開啟密碼驗證 PermitEmptyPasswords no #是否允許密碼為空 PrintMotd no #登入后是否顯示一些信息，如上次登入時間及地點等。 PrintLastLog yes #顯示上次登入的信息 KeepAlive yes #發(fā)送KeepAlive信息給客戶端 MaxStartups 10 #允許尚未登入的聯(lián)機畫面數(shù) DenyUsers * #禁止用戶登錄，*表示所有用戶 AllowUsers * #允許用戶登錄

SSH客戶端的選擇

SSH客戶端支持多平臺：
1. 蘋果OS X操作系統(tǒng):
自帶terminal中包含有SSH客戶端，與Linux SSH客戶端使用方法相同
2. Linux操作系統(tǒng):
OpenSSH-client
3. Windows操作系統(tǒng):
PuTTY、Xshell、SecureCRT、Plink、WinScp等

SSH的認(rèn)證方式

SSH服務(wù)的安全性不僅僅體現(xiàn)在加密的數(shù)據(jù)傳輸方式，同時還具有多種身份驗證方式，配合SSH本身訪問策略以及Linux系統(tǒng)中自帶的防火墻和TCP Wrappers提供對訪問權(quán)限的控制。

口令認(rèn)證方式：
口令是SSH服務(wù)的基礎(chǔ)認(rèn)證方式，在不對SSH進行相應(yīng)配置的情況下口令認(rèn)證方式是默認(rèn)啟用的。

在Linux操作系統(tǒng)中，使用SSH客戶端的命令格式如下：

ssh options username@hostname ‘command’

基于密鑰的認(rèn)證方式：
密鑰認(rèn)證是Linux運維中常用的較為安全的認(rèn)證方式，由于無須輸入口令，固應(yīng)用與自動化與集群運維中。

生成密鑰與公鑰文件
ssh-keygen 命令可以生成公鑰與密鑰

將公鑰文件加入主機的認(rèn)證文件中

cat id_rsa.pub >> ~/.ssh/authorized_keys

注意：.ssh目錄權(quán)限為700，authorized_keys文件為600

SSH的訪問策略：

1.限制用戶連接SSH
基于用戶的訪問策略需要在SSH服務(wù)的配置文件中進行配置： /etc/ssh/sshd_config

DenyUsers test #禁止test用戶登入 AllowUsers test #允許test用戶登入 DenyGroups test #禁止test群組登入 AllowUsers test #允許test群組登入

2.限制IP連接SSH
基于IP地址的訪問策略有兩種方式實現(xiàn)：
ptables防火墻

iptables -A INPUT -p tcp --dport 22 -s 192.168.0.10/32 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j DROP

TCP Wrappers
/etc/hosts.allow(允許某個ip地址訪問本機的某個服務(wù))

sshd:192.168.0.10/255.255.255.255

/etc/hosts.deny（不允許某個ip地址訪問本機的某個服務(wù)）

sshd:ALL 或 sshd:ALL EXCEPT 192.168.0.10

TCP Wrappers只支持長格式掩碼，不能用192.168.0.0/24

SSH的實際運維中的應(yīng)用：

• SSH執(zhí)行遠程主機命令
• SSH構(gòu)建跳板隧道
• SSH指定密鑰路徑、端口、用戶及配置文件
• 調(diào)式模式與綁定IP地址
• 構(gòu)建Socket5代理

SSH執(zhí)行遠程主機命令格式：

ssh username@hostname ‘command’

總結(jié)

以上是生活随笔為你收集整理的SSH服务--Linux学习笔记的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。