openssh

openssh

1.基礎：

telnet：TCP/23端口，認證和數據的傳輸都是明文

SSH：Secure Shell tcp/22 安全shell  C/S模式

OpenSsh就是開源的ssh實現。

ssh版本：V1、V2但是V1中有缺陷，已經不怎麼使用了。

linux下：

Openssh

ssh命令可以實現ssh遠程登錄（相當於客戶端部分）。

 1.ssh -l username Remote_host

 2.ssh -l username Remote_host 'command'

 -X 和 -Y是兩個用圖形的參數，要求本地必須是圖形。

sshd是linux上ssh的服務。

windows下：

Putty，SecureCRT，sshsecureshellclient，Xmanager

2.SSH兩種安全驗證：

從客戶端來看，SSH提供兩種級別的安全驗證：

1.第一種級別是基於口令的安全驗證

只要你知道自己帳號和口令，就可以登錄到遠程主機。所有傳輸的數據都會被加密， 但是不能保證你正在連接的服務器就是你想連接的服務器。這個過程如下：

（1）遠程主機收到用戶的登錄請求，把自己的公鑰發給用戶。

（2）用戶使用這個公鑰，將登錄密碼加密後，發送回來。

（3）遠程主機用自己的私鑰，解密登錄密碼，如果密碼正確，就同意用戶登錄。這種方式可能會有別的服務器在冒充真正的服務器，將公鑰發送給客戶端，客戶端就會將密碼加密後發送給冒充的服務器，冒充的服務器就可以拿自己的私鑰獲取到密碼，也就是受到“中間人”這種方式的***。

值得一說的是當第一次鏈接遠程主機時，會提示您當前主機的“公鑰指紋”，詢問您是否繼續，如果選擇繼續後就可以輸入密碼進行登錄了，當遠程的主機接受以後，該臺服務器的公鑰就會保存到~/.ssh/known_hosts文件中。

  2. 第二種級別是基於密匙的安全驗證

需要依靠密匙，也就是你必須爲自己創建一對密匙，並把公用密匙放在需要訪問的服務器上。如果你要連接到SSH服務器上，客戶端軟件就會向服務器發出請求，請求用你的密匙進行安全驗證。服務器收到請求之後，先在該服務器上你的主目錄下尋找你的公用密匙，

然後把它和你發送過來的公用密匙進行比較。如果兩個密匙一致，服務器就用公用密匙加密“質詢”並把它發送給客戶端軟件。客戶端軟件收到“質詢”之後就可以用你的私人密匙解密再把它發送給服務器。用這種方式，你必須知道自己密匙的口令。但是，與第一種級別相比，

第二種級別不需要在網絡上傳送口令。第二種級別不僅加密所有傳送的數據，而且“中間人”這種***方式也是不可能的（因爲他沒有你的私人密匙）。但是整個登錄的過程可能需要10秒，但是相比輸入密碼的方式來說10秒也不長。

3.用不同的SSh客戶端實現密鑰登錄

在secureCRT下用密鑰登錄

SSH用RSA登陸：

開啓wheel組（在/etc/sudoers設置）

useradd -g wheel  test

passwd test

mkdir  -p /home/test/.ssh/

cd /home/test/.ssh/

用rz將公鑰上傳到/home/test/.ssh/目錄裏面

（如果創建公鑰的格式是：標準公鑰和VanDyke私鑰格式，需要用ssh-keygen -i -f轉換。如果是OpenSSH密鑰格式可直接修改文件名）

ssh-keygen -i -f /home/test/.ssh/Identity.pub > /home/test/.ssh/authorized_keys

chown -R test.wheel /home/test/.ssh/

chmod 700 /home/test/.ssh/

chmod 600 /home/test/.ssh/authorized_keys

在xshell用密鑰登陸：

開啓wheel組（在/etc/sudoers設置）

useradd -g wheel  test

passwd test

mkdir  -p /home/test/.ssh/

cd /home/test/.ssh/

用rz將公鑰上傳到/home/test/.ssh/目錄裏面

mv /home/test/.ssh/id_rsa_1024.pub > /home/test/.ssh/authorized_keys

chown -R test.wheel /home/test/.ssh/

chmod 700 /home/test/.ssh/

chmod 600 /home/test/.ssh/authorized_keys

4.兩臺linux主機之間如何基於密鑰ssh登錄。

1.生成密鑰對

ssh-keygen -t {rsa，dsa} 生成公鑰和密鑰

-f 可以指定目錄和文件名。

2.將公鑰傳到對方用戶的家目錄下的.ssh/authorized_keys

ssh-copy-id -i /path/to/public_Key username@host 這個可以直接將公鑰放到指定的地方。

也可以使用scp實現，例如：

scp id_rsa.pub 192.168.101.220:~/.ssh/authorized_keys  

scp 有兩個參數 -r 就是傳遞目錄的 -a等價 -rp

scp [option] src dest

 還有一個好用的命令就是sftp這個可以從支持ssh的服務器並且支持sftp的服務器上現在東西，所以

 沒有必要去管對方是否開啓了ftp服務，並且數據是加密的。

 5.保證ssh安全需要考慮的內容：

    1）密碼長度要長，密碼要經常改換

2）不要使用默認的端口22 

3）限制登錄客戶端的地址

4）禁止管理員賬戶直接登錄

5）僅允許指定用戶登錄

6）使用基於密鑰的認證方式登錄

7）禁止使用早起的V1版本的ssh。