一、 前言
使用SSH可以在本地主机和远程服务器之间进行加密地传输数据,实现数据的安全。而OpenSSH是SSH协议的免费开源实现,它采用安全、加密的网络连接工具代替了telnet、ftp等古老明文传输工具。
SSH(Secure Shell)是建立在应用层和传输层基础上的安全协议。SSH是目前较可靠,专为远程登陆会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。
SSH可以将所有的传输数据加密,这样“中间人”这种攻击方式就不可能实现了,而且也可以防止DNS和IP欺骗。还有一个额外的好处就是传输的数据经过压缩的,可以加快传输的速度。
二、 SSH工作原理
SSH是由服务端和客户端的软件组成,服务端是一个守护进程,它在后台运行并响应来自客户端的连接请求。
SSH的工作机制大体是:本地客户端发送一个连接请求到远程的服务端,服务端检查申请的包和IP地址再发送密钥给SSH客户端,本地再将密钥发回给服务端,到此为止,连接建立。
启动SSH服务器后,sshd进程运行并在默认的22端口进行监听。安全验证方式:
基于口令的安全验证(账号密码),也有可能受到中间人攻击基于密钥的安全验证,就是提供一对密钥,把公钥放在需要访问的服务器上,如果连接到SSH服务器上,客户端就会向服务器发出请求,请求用密钥进行安全验证,服务器收到请求之后,先在改服务器的主目录下寻找公钥,然后把它和发送过来的公钥进行比较。如果两个密钥一致,服务器就用公钥加密“质询”并把它发送给客户端。客户端收到“质询”之后就可以用私钥解密再把它发给服务器端。基于这种方式,相对比较安全。
三、OpenSSH服务器安装和配置,客户端一般都有
先查看Linux系统中openssh-server、openssh、openssh-clients、openssh-askpass软件包是否已经安装,如果没有则安装。
依赖关系太多了,固用yum方式安装:yum install openssh-askpass -y
好了,都装好了。
四、客户端配置
ssh: 配置文件 /etc/ssh/ssh_config
1、客户端程序
例子:客户端ip:192.168.1.120 服务端ip:192.168.1.109
生成公钥:
测试:
删除密钥 :rm -rf .ssh/id_rsa*
2、scp命令,类似与cp
将本地的/etc/fstab 复制到服务端主机的/tmp目录下
将远程主机上的的/root/1.sh复制过来
3、sftp安全的文件传输程序,类似于ftp,它的所有操作都是加密ssh传输。
连接至远程主机,可以get一些资源
五、服务器端配置
几个主要的配置如下:
六、ssh 服务的最佳实践:
1、不要使用默认端口;
2、禁止使用 protocol version 1;
3、限制可登录的用户;
4、设定空闲会话超时时长;
5、利用防火墙设置 ssh 访问策略;
6、仅监听特定的 IP 地址;
7、基于口令认证时,使用强密码策略; tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30 | xargs
8、使用基于密钥的认证;
9、禁止使用空密码;
10、禁止 root 用户直接登录;
11、限制 ssh 的访问频度和并发在线数;
12、做好日志,经常分析; /var/log/secure
文章来源:马哥教育
官方微信:马哥linux运维
技术交流群:485374463
本文出自 “马哥Linux培训” 博客,请务必保留此出处http://mageedu.blog.51cto.com/4265610/1893448
原文:http://mageedu.blog.51cto.com/4265610/1893448