linux ssh遠程登錄命令，linux的SSH（遠程登錄）服務

2023-11-09 阅读 25 评论 0

摘要：目錄一、SSH服務 1、什么是SSH 2、SSH（Secure Shell）協議 3、OpenSSH服務器配置文件二、ssh遠程登錄方式 ?2、使用域名進程登錄 3、故障解決 4、sshd服務支持的兩種登錄驗證方式 1、密碼驗證 2、秘鑰對驗證三、構建秘鑰對驗證的SSH 1、scp遠程復制 2、sftp 安

一、SSH服務

1、什么是SSH

2、SSH（Secure Shell）協議

3、OpenSSH服務器配置文件

二、ssh遠程登錄方式

?2、使用域名進程登錄

3、故障解決

4、sshd服務支持的兩種登錄驗證方式

1、密碼驗證

2、秘鑰對驗證

三、構建秘鑰對驗證的SSH

1、scp遠程復制

2、sftp 安全性傳輸

3、配置密鑰對實驗

3.1、在服務端創建密鑰對

3.2、修改密鑰對的配置文件

3.3、發送私鑰到客戶端

3.4、用xshell登錄

3.5、客戶端創建秘鑰

總結

一、SSH服務

1、什么是SSH

是一種安全通道協議，主要用來實現字符界面的遠程登錄、遠程復制的功能。SSH協議對通道雙方的數據傳輸進行了加密處理，其中包括用戶登錄時輸入的用戶口令，SSH為建立在應用層和傳輸層基礎上的安全協議。

2、SSH（Secure Shell）協議

是一種安全通道協議
對通信數據進行了加密處理，用于遠程管理
SSH 的優點：
SSH客戶端<---------------->SSH服務端
數據傳輸的是加密的，可以防止信息泄露
數據傳輸是壓縮的，可以提高傳輸速度。

SSH客戶端： putty、xshell、CRT、MobaXterm、Finalshell
SSH服務器： Openssh

3、OpenSSH服務器配置文件

linux ssh遠程登錄命令、服務名稱：sshd
服務端主程序：/usr/sbin/sshd
服務端配置文件：/etc/ssh/sshd_config
openSSH是實現SSH協議的開源軟件項目，適用于各種UNIX、Linux操作系統。

centos 7 系統默認已安裝openssh相關軟件包，并將ssh服務添加為開機自啟動。
執行“systemctl start sshd”命令即可啟動sshd服務。默認端口使用的22端口。

ssh_confiog 和 sshd_config 都是ssh服務器的配置文件
二者區別在于前者是針對客戶端的配置文件，后者是針對服務端的配置文件。
ssh服務端主要包括兩個服務功能，ssh遠程連接和sftp服務

作用：SSHD服務使用SSH協議可以用來進行遠程控制，或在計算機之間傳輸文件。相比較之前用Telnet方式來傳輸文件要安全很多，因為Telnet是是明文傳輸，SSH是加密傳輸。

二、ssh遠程登錄方式

ssh登錄的方式有兩種。
第一次登錄服務器時，系統沒有保存遠程主機的信息，為了確認主機身份會提示用戶是否繼續連接，輸入yes后登錄，這時系統將遠程服務器信息寫入用戶主目錄下的：$HOME/.ssh/known_hosts 文件中，下次再進行登錄時，因為保存有該主機信息就不會再提示了。

遠程登錄服務協議的端口號、1、方法一
格式： ssh [ 遠程主機用戶名] @ [遠程服務器主機名或IP地址] -p port
當Linux主機上遠程連接另一臺Linux主機時，如當前所登錄的用戶是root的話，當連接另一臺主機時也是用root用戶登錄時，可以直接使用ssh IP 登錄。端口默認即可，如果不是默認的情況下，需要使用-p 指定端口。

遠程登錄其它主機

ssh root@192.168.100.10? ? 第一次交互輸入yes 第二次交互輸入root密碼登錄成功

登錄之后再退出登錄，在本地家目錄會生成一個.sshd 的目錄，里面有文件記錄了登錄的信息。

?2、使用域名進程登錄

遠程登錄服務端口號，①修改本機映射關系

②進行登錄

3、故障解決

在工作中，有時候需要SSH登陸到別的Linux主機上去，但有時候SSH登錄會被禁止，并彈出如下類似提示:

warning: Permanently added '192.168.100.10’(ECDSA) to the list of known hosts. Authentication failed.

這時直接刪除家目錄下面的 .ssh 目錄下面的文件，即可解決。

4、sshd服務支持的兩種登錄驗證方式

1、密碼驗證

ubuntu 遠程登錄？對服務器中本地系統用戶的登錄名稱、密碼進行驗證。這種方式使用最為簡便，但從客戶端角度來看，正在連接的服務器有可能被假冒；從服務器角度來看，當遭遇密碼窮舉（暴力破解）攻擊時，防護能力比較弱。
18位密碼復雜性（大寫、小寫、字符、數字），修改端口為高位端口，可以提高安全性。

2、秘鑰對驗證

要求提供相匹配的秘鑰信息才能通過驗證。通常先在客戶端中創建一對秘鑰文件（公鑰、私鑰），然后將公鑰文件放到服務器中指定位置，遠程登錄時，系統將使用公鑰、私鑰進行加密/解密關聯驗證，

大大增強了遠側還能夠管理的安全性。該方式不易被假冒，且可以免交互登錄，在shell中被廣泛使用

當密碼驗證、秘鑰驗證都啟用時，服務器將優先使用秘鑰對驗證。
對于安全性要求高的服務器，建立將密碼驗證方式禁用，只允許啟用秘鑰對驗證方式。

?配置文件中修改啟用密碼驗證還是秘鑰驗證

配置文件：/etc/ssh/sshd_config

PasswordAuthentication yes                        #啟用密碼驗證PubkeyAuthentication yes                          #啟用密鑰對驗證AuthorizedKeysFile     .ssh/authorized_keys       #指定公鑰庫文件（ls -a可查看）

用于遠程登錄的服務是？配置文件中其它的設置

LoginGraceTime 2m                #登錄驗證時間為2分鐘（默認2分鐘）
PermitRootLogin no               #禁止root用戶登錄
MaxAuthTries 6                   #最大重試次數為6次
PermitEmptyPasswords no          #禁止空密碼登錄
PrintLastLog yes                 #顯示上次登入的信息！默認為 yes
AllowUsers                       #只允許或禁止某些用戶登錄

配置文件修改完之后，需要重啟配置sshd服務

systemctl restart sshd #重啟sshd服務

三、構建秘鑰對驗證的SSH

公鑰和私鑰的關系

在對稱加密技術中，有兩種秘鑰，分為私鑰和公鑰，私鑰是秘鑰的創建人擁有，不可公布，公鑰是創建者公布給他人的。
公鑰用來給數據加密，用公鑰加密的數據只能使用私鑰解。
構建秘鑰對驗證SSH的原理

遠程登錄的服務是。首先ssh通過加密算法在客戶端產生秘鑰對（公鑰和私鑰），公鑰發送給服務端，自己保留私鑰。
如果要想連接帶有公鑰的SSH服務器，客戶端SSH軟件就會向SSH服務器發出請求，請求聯機的用戶密鑰進行安全驗證。
SSH服務器收到請求之后，便在被連接的用戶的家目錄下尋找事先放上去的對應用戶的公用秘鑰
然后把它和連接的SSH客戶端發送過來的公用秘鑰進行比較，如果兩個秘鑰一致，SSH服務器就用公鑰加密“質詢”并把它發送給SSH客戶端。
簡單理解

生成密鑰可以在客戶端和服務端兩邊生成，但是我們需要將使用客戶端登錄到服務端，那么，客戶端就一直需要的是私鑰，服務端要存在公鑰，所以不關密鑰對在客戶端還是服務端生成，客戶端拿到的都會是私鑰，服務端拿到的都是公鑰。

通俗理解

公鑰（public key）相當于一扇門，私鑰（pribate key）相當于是開門的鑰匙，當一臺機器A需要登錄到機器B的時候，就得拿著鑰匙去開門，但是前提的是機器B必須要有門，所以需要給機器B裝上門，那就是把機器A的公鑰給到機器B。然后機器A使用私鑰就可以打開機器B的公鑰門。

1、scp遠程復制

scp復制：是secure copy （安全復制）的簡寫，用在Linux下進行遠程拷貝的命令，而且scp傳輸時加密的。
應用場景
在系統誤刪環境配置文件且沒有備份的時候，可以遠程從其它主機上拷貝過來。

本地文件復制到服務器
scp 1.txt root@192.168.100.10:/opt復制服務器的目錄到本地
scp root@192.168.100.10:/home/sky/ ./本地目錄復制到服務器
scp -r / root@192.168.100.10:/home

2、sftp 安全性傳輸

ssh登錄，sftp 是secure file transfer protocol（安全文件傳送協議）的縮寫，可以為傳輸文件提供一種安全的網絡加密方法。

sftp與ftp有著幾乎一樣的語法和功能，sftp 為ssh的其中一部分，sftp本身沒有單獨的守護進程，它必須使用sshd守護進程（端口號默認是22）來完成相應的連接和答復操作。所以使用sftp是非常安全的，但是，由于這種傳輸方式使用了加密/解密技術，所以傳輸效率比普通的FTP要低的多。對網絡安全要求更高時，可以使用SFTP代替FTP。
從服務端下載文件到本地主機