SSH连接原理及ssh-key

一、SSH的介绍

1、SSH是再进行数据传输之前，SSH先对联机数据包通过加密技术进行加密处理，加密后再进行数据传输，确保了传递的数据安全。

2、SSH是专为远程登录会话和其他网络服务提供的安全协议。利用SSH协议可以有效的防止远程管理过程中的信息泄露问题，在当前的生产环境运维工作中，绝大多数企业普通采用SSH协议服务来代替传统的不安全的远程练级服务软件。

3.在默认状态下，SSH服务主要提供两个服务功能：一个是提供类似telnet远程联机服务器的服务，及上面提到的SSH服务；另一个是类似FTP服务的sftp-server,借助SSH协议来传输数据的，提供更安全的SFTP服务vsftp和proftp

提别提示：SSH客户端（SSH命令）还包含一个很有用的远程安全拷贝命令scp，也是通过SSH协议工作的。

4、telnet是不安全的远程连接，连接内容是明文的；ssh是加密的远程连接，连接内容是加密的。

5、SSH是安全的加密协议，用于远程连接Linux服务器。SSH默认端口是22，安全协议版本SSH2，除了2之外还有SSH1(有漏洞)。SSH服务端主要包含两个服务功能SSH远程连接和SFTP服务。Linux SSH客户

客户端包含ssh远程连接命令，以及远程拷贝scp命令等。

6、SSH服务端是一个守护进程，SSH服务端的进程名为sshd，负责实时监听远程SSH客户端的连接请求，并进行处理，一般包括公共密钥认证，密钥交换，对称密钥加密和非安全连接等。

7、ssh的工作机制大致是本地的ssh客户端先发送一个连接请求到远程的ssh服务端，服务端检查连接的客户端发送 的数据包和ip地址，如果确认合法，就会发送密钥发回服务端，自此连接建立。

二、运用ssh_keys连接

1、先查看家目录下是否存在隐藏目录.ssh，如果没有就创建一个

ls -a

mkdir .ssh

2、服务机生成密钥对

ssh-keygen

第一行是让你输入文件名

第二行是让你输入密钥对的验证密码

第三行是让你再次输入密码

id_rsa是私钥，id_rsa.pub 是公钥，known_hosts记录用密钥连接的来访信息

3、服务机将公钥id_rsa.pub文件复制到另外一台服务器的用户家目录下的.ssh目录下

scp ~/.id_rsa.pub root@192.168.254.134:~/.ssh/

输入对方root的密码

~代表用户家目录的路径

4、客户机将拷贝过去的id_rsa.pub文件里内容追加到~/.ssh/authorized_keys文件里

touch authorized_keys

cat id_rsa.pub >> authorized_keys

5、此时回到服务机进行远程SSH连接

ssh root@192.168.254.132

无密码登陆成功

三、工作中常用的两条非交互命令

1、非交互式一条命令创建密钥对

ssh-keygen -t dsa -f ~/.ssh/id_dsa -P ""

ssh-keygen : 创建密钥对命令

-t : 制定加密类型（rsa , dsa）

-f : 制定密钥对文件的名字

-P ： 指定密码

2、通过ssh-copy-id进行公钥的自动分发

将本地公钥拷贝到192.168.254.134服务器的root目录

ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.254.134

四、更改ssh默认登录配置

修改SSH服务的运行参数，是通过修改配置文件/etc/ssh/sshd.config文件来实现的。

13　　#Port   22    #ssh连接端口 22

15　　#ListenAddress 0.0.0.0   #设置SSHD服务监听的客户端IP地址范围

42　　#PermitRootLogin  yes #是否允许root用户远程登录 

 65　　#PermitEmptyPasswords  no #是否允许空密码

122　　#UseDNS  yes #是否使用DNS

#号代表注释，去掉#此条命令才算被使用

一旦修改了Post,那么ssh登录是就需要-p指定端口号，不然会登录失败，ssh默认登录22端口。

一但修改了ListenAddress,监听地址，那么不再地址范围内的所有客户端将无法远程登陆服务器。

一旦启动42行，那么root账号将不能进行ssh远程登录

一旦启动65行，那么所有无密码的用户也就可以远程登录了，并且是免密码的方式

122行建议用no，不需要对DNS进行反向解析，可以加快ssh连接速度

修改配置文件后，需要重启sshd服务才能生效