OpenSSH

1. OpenSSH 介紹

            1.1   OpenSSH是使用SSH協議進行遠程登錄的首選連接工具。它會加密所有流量，以消除竊聽，連接劫持和其他***。此外,OpenSSH還提供大量安全隧道功能，多種身份驗證方法和複雜的配置選項。

            1.2   OpenSSH套件包含以下工具：使用ssh,scp和 sftp完成遠程操作 。使用ssh-add,ssh-keysign,ssh-keyscan和 ssh-keygen進行密鑰管理 。服務端由sshd,sftp-server和 ssh-agent組成。

2.  SSH協議有兩個版本,SSH1和SSH2  

           2.1    SSH1 有 1.3 和 1.5 兩個協議  它們都是使用的非對稱加密算法RSA ,3DES和 Blowfish用於隱私。它使用簡單的CRC進行數據完整性，結果證明是有缺陷的。

           2.2    SSH2 爲了避免SSH1 RSA 專利過期問題,還有解決SSH1 具有的CRC數據完整性問題,通過使用DSA和DH算法,

它使用了真實的HMAC算法也解決了CRC問題,SSH2協議支持對稱密碼的許多其他選擇.

3.   OpenSSH的功能

            3.1    強密碼學 (AES, ChaCha20,RSA,ECDSA,Ed25519 ...)

            3.2    端口轉發 (傳統協議的加密通道)

            3.3    強身份驗證 (公鑰, 一次性密碼)

            3.4    SFTP客戶端和服務器的支持

4.    OpenSSH 實戰思路    (兩臺電腦客戶端和服務器,Centos6.5(ip172.16.0.2)和Rtest(ip172.16.0.1) (B/S架構 ))

            1.在服務器和客戶端上創建私鑰和公鑰

            2.將客戶端上的公鑰發送給服務器裏面

            3.用ssh在客戶端上連接服務器

            4.使用SCP下載命令,實現服務器可以無需密碼連接客戶端

5.    OpenSSH 實戰過程    (在防火牆開啓的狀態下)

            1.查看防火牆是否開啓

server#systemctl status firewalld && getenfource   
client# systemctl status firewalld && getenfource

            2.在雙方防火牆裏面各添加ssh服務指定ip

            2.1 先移除默認的ssh,(centos6.5裏面的iptables默認都允許,無需配置)

server#firewall-cmd --remove-service=ssh
client#firewall-cmd --remove-service=ssh

            2.2 在富規則裏面添加ssh帶ip

server#firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.0.2 service name-ssh accept' --permanent
client#firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.0.1 service name-ssh accept' --permanent

            2.3 因爲是永久寫入所以需要重新加載

server#firewall-cmd --reload
client#firewall-cmd --reload

            3 在客戶端和服務器配置密鑰

server#ssh-keygen
client#ssh-keygen

            3.2 客戶端向服務器進行操作

client# ssh-copy-id 172.16.0.1

            3.3 客戶端ssh連接服務器

client# ssh 172.16.0.1

              4用scp使服務器連接客戶端

client# scp 172.16.0.1:/root/.ssh/id_sra.pub authorized_keys
server# ssh 172.16.0.2