ssh: secure shell安全的shell，一種協(xié)議,監(jiān)聽(tīng)tcp的22端口，安全的遠(yuǎn)程登錄?? （telnet 23端口，tcp）

Openssh：ssh協(xié)議的開(kāi)源實(shí)現(xiàn)

????? ?服務(wù)器????????????????? 主機(jī)

????????????《-----------------

?????????????? 主機(jī)請(qǐng)求服務(wù)

?????????????------------------》

???????服務(wù)器使用自己的私鑰加密一段數(shù)據(jù)

???????主機(jī)使用服務(wù)器的公鑰解密

安裝telnet???命令：?~]#?yum?install?telnet-server 查看安裝的包??????~]#?yum?list?all?telnet*???????????發(fā)現(xiàn)安裝了兩個(gè)包，telnet.x86_64，telnet-server.x86_64 ~]#?chkconfig?telnet?on ~]#?service?xinetd?restart ~]#?ss?-tnl???????發(fā)現(xiàn)23號(hào)端口，已經(jīng)起來(lái)了。

?? ?????????????????????????????

SSH協(xié)議版本：

v1 :基于CRC-32做MAC，不安全，易受中間人***

v2：雙方主機(jī)協(xié)議選擇安全的MAC方式，基于DH算法做秘鑰交換，基于RSA或DSA算法實(shí)現(xiàn)身份認(rèn)證。

?

兩種方式的用戶登錄認(rèn)證：v1 基于password?? v2 基于 key

OpenSSH

客戶端組件：

ssh,配置文件:/etc/ssh/ssh_config格式：?ssh?[user@]host?[command]ssh?[-l?user?host?[command] -p?prot?:設(shè)置遠(yuǎn)程服務(wù)器監(jiān)聽(tīng)的端口，盡量不要使用22號(hào)端口 -X?：支持X11轉(zhuǎn)發(fā) -Y：支持信任的X11轉(zhuǎn)發(fā) Host?PATTERN基于秘鑰的認(rèn)證： 1.在客戶端生成秘鑰對(duì) ssh?-t?rsa?[-P?'']?[-f?"~/.ssh/id_rsa"]???注釋：?-p?后面加上密碼，-f指定秘鑰保存目錄 2.把公鑰傳輸?shù)竭h(yuǎn)程服務(wù)器對(duì)應(yīng)用戶的家目錄 ssh-copy-id?[-i?[identity_file]]?[user@]machine 3.測(cè)試自加：以基于秘鑰的認(rèn)證，將centos6（MaGeCentos），192.168.1.103登陸到centos7，192.168.1.104 1.在.103主機(jī)的/root/.ssh目錄下生產(chǎn)一對(duì)秘鑰 ~]#?ssh-keygen?-t?rsa Enter?file?in?which?to?save?the?key?(/root/.ssh/id_rsa):????默認(rèn)把秘鑰保存在/root/.ssh/id_rsa中，我直接選擇默認(rèn)，按下回車(chē)鍵 Enter?passphrase?(empty?for?no?passphrase):?????是否加密，我直接按下回車(chē)鍵，選擇不加密此時(shí)，~]#?ls?.ssh/???會(huì)顯示多出了兩個(gè)文件，id_rsa??id_rsa.pub 2.把公鑰傳輸?shù)竭h(yuǎn)程服務(wù)器對(duì)應(yīng)用戶的家目錄 ~]#?ssh-copy-id?-i?.ssh/id_rsa.pub?root@192.168.1.104 3.測(cè)試 ssh?root@192.168.1.104???以后就不用輸入密碼了 問(wèn)題： Address?192.168.1.104?maps?to?bogon,?but?this?does?not?map?back?to?the?address?-?POSSIBLE?BREAK-IN?ATTEMPT! Now?try?logging?into?the?machine,?with?"ssh?'root@192.168.1.104'",?and?check?in:.ssh/authorized_keysto?make?sure?we?haven't?added?extra?keys?that?you?weren't?expecting.哈哈，以經(jīng)找到解決方法，vim?/etc/ssh/ssh_config???將GSSAPIAuthentication??值設(shè)為?no，即可解決此問(wèn)題。scp命令（跨主機(jī)的文件復(fù)制命令）： scp?[option]?SRC...?DEST/ 兩種情況： PULL：scp?[option]?[user@]host:/PATH/FROM/SOMEFILE?/PATH/TO/SOMEFILE PUSH:?scp?[option]?/PATH/FROM/SOMEFILE?[user@]host:/PATH/TO/SOMEFILE 選項(xiàng)：-r?遞歸復(fù)制（用于復(fù)制目錄） -p?保持原文件的屬性信息 -q?靜默模式 -P?PORT?：指明remote?host監(jiān)聽(tīng)的端口自加： PULL?機(jī)制演示：?????~]#?scp?root@192.168.1.104:/etc/fstab?/tmp/fstab.txt????把192.168.1.104下的/etc/fstab復(fù)制到192.168.1.103的/tmp/fstab.txt文件中fstab????????????????????????????????????????????????????????????????100%??501?????0.5KB/s???00:00 PUSH機(jī)制演示：?????~]#?scp?/etc/fstab?root@192.168.1.104:/tmp/??把192.168.1.103的/etc/fstab復(fù)制到192.168.1.104下的/tmp目錄下sftp?: sftp?[user@]host sftp>?help自加： ~]#?sftp?root@192.168.1.104

服務(wù)器端組件：

ssh?配置文件：/etc/ssh/sshd_config 常用參數(shù)： Port?22022 ListenAddress PermitRootLogin?后面建議改為NO UseDNS?改為no限制可登陸用戶的辦法：?白名單 AllowUsers?user1?user2 AllowGroups?自加：當(dāng)修改配置文件后，例如修改監(jiān)聽(tīng)端口為22022后，要重啟服務(wù)，systemctl?restart??sshd.service??(centos7上) 在Centos7上SElinux可能開(kāi)啟，使用~]#?getenforce??查看是否開(kāi)啟，如果為Enforcing則表示開(kāi)啟；使用~]#?setenforce?0??將其關(guān)閉。 在/etc/ssh/sshd_config??中?UseDNS?yes這一項(xiàng)是是否進(jìn)行DNS反解要改為no

轉(zhuǎn)載于:https://blog.51cto.com/zhoushuyu/1699290

總結(jié)

以上是生活随笔為你收集整理的Openssh学习笔记的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。