凡人修云传(七:配置和保护SSH) - 指南
文章目录
1、使用 SSH 访问远程命令行
1.1 OpenSSH 介绍
实现 SSH 协议的软件套件,用于安全地访问远程框架就是OpenSSH
OpenSSH 的守护进程名为 sshd,主配置文件为
/etc/ssh/sshd_config
1.2 Secure Shell 示例
登录远程系统:使用 ssh username@hostname 命令登录远程平台。
在远程架构上运行命令:通过 ssh username@hostname “command” 形式在远程系统执行命令。
注销远程体系:使用 exit 命令注销远程系统。
查看登录用户信息:w 命令可显现当前登录系统的用户列表及相关信息,如用户登录时间、来源 IP、闲置时间等。
2、SSH 主机密钥(服务器身份验证)
2.1 核心机制:
【重点】SSH 通过公钥加密建立安全通道,防止中间人攻击
| 组件 | 位置 | 作用 |
|---|---|---|
| 服务器公钥 | /etc/ssh/ssh_host_*_key.pub | 标识服务器身份 |
| 客户端记录 | ~/.ssh/known_hosts | 存储信任的服务器公钥 |
| 系统级记录 | /etc/ssh/ssh_known_hosts | 全系统信任的服务器 |
2.2 SSH 密钥身份验证机制
SSH 采用非对称加密实现无密码安全登录。整个过程分为密钥生成、公钥分发和挑战验证三个阶段。
| 密钥类型 | 特性 | 保管方式 |
|---|---|---|
| 私钥 | 身份的唯一证明,用于解密和签名 | 严格保密,本地存储,权限设为 600 |
| 公钥 | 用于加密和验证签名,与私钥成对 | 公开分发,上传到服务器 |
- 服务器生成随机数据(Challenge)发送给客户端
- 客户端用私钥签名这段数据,返回 Signature
- 服务器用存储的公钥验证签名
- 验证借助 → 证明客户端确实持有对应私钥 → 允许登录
Tips
RHEL9 默认禁用 root 用户以密码登录
通过 ssh 命令,用户可以使用 SSH 协议安全地访问远程环境。
客户端系统将远程服务器的身份存储在~/.ssh/known_hosts和/etc/ssh/ssh_known_hosts中。
•SSH同时支持基于密码和基于密钥的身份验证
浙公网安备 33010602011771号