OpenSSH

1. OpenSSH 介绍

            1.1   OpenSSH是使用SSH协议进行远程登录的首选连接工具。它会加密所有流量，以消除窃听，连接劫持和其他***。此外,OpenSSH还提供大量安全隧道功能，多种身份验证方法和复杂的配置选项。

            1.2   OpenSSH套件包含以下工具：使用ssh,scp和 sftp完成远程操作 。使用ssh-add,ssh-keysign,ssh-keyscan和 ssh-keygen进行密钥管理 。服务端由sshd,sftp-server和 ssh-agent组成。

2.  SSH协议有两个版本,SSH1和SSH2  

           2.1    SSH1 有 1.3 和 1.5 两个协议  它们都是使用的非对称加密算法RSA ,3DES和 Blowfish用于隐私。它使用简单的CRC进行数据完整性，结果证明是有缺陷的。

           2.2    SSH2 为了避免SSH1 RSA 专利过期问题,还有解决SSH1 具有的CRC数据完整性问题,通过使用DSA和DH算法,

它使用了真实的HMAC算法也解决了CRC问题,SSH2协议支持对称密码的许多其他选择.

3.   OpenSSH的功能

            3.1    强密码学 (AES, ChaCha20,RSA,ECDSA,Ed25519 ...)

            3.2    端口转发 (传统协议的加密通道)

            3.3    强身份验证 (公钥, 一次性密码)

            3.4    SFTP客户端和服务器的支持

4.    OpenSSH 实战思路    (两台电脑客户端和服务器,Centos6.5(ip172.16.0.2)和Rtest(ip172.16.0.1) (B/S架构 ))

            1.在服务器和客户端上创建私钥和公钥

            2.将客户端上的公钥发送给服务器里面

            3.用ssh在客户端上连接服务器

            4.使用SCP下载命令,实现服务器可以无需密码连接客户端

5.    OpenSSH 实战过程    (在防火墙开启的状态下)

            1.查看防火墙是否开启

server#systemctl status firewalld && getenfource   
client# systemctl status firewalld && getenfource

            2.在双方防火墙里面各添加ssh服务指定ip

            2.1 先移除默认的ssh,(centos6.5里面的iptables默认都允许,无需配置)

server#firewall-cmd --remove-service=ssh
client#firewall-cmd --remove-service=ssh

            2.2 在富规则里面添加ssh带ip

server#firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.0.2 service name-ssh accept' --permanent
client#firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.0.1 service name-ssh accept' --permanent

            2.3 因为是永久写入所以需要重新加载

server#firewall-cmd --reload
client#firewall-cmd --reload

            3 在客户端和服务器配置密钥

server#ssh-keygen
client#ssh-keygen

            3.2 客户端向服务器进行操作

client# ssh-copy-id 172.16.0.1

            3.3 客户端ssh连接服务器

client# ssh 172.16.0.1

              4用scp使服务器连接客户端

client# scp 172.16.0.1:/root/.ssh/id_sra.pub authorized_keys
server# ssh 172.16.0.2