linux服务四——SSH服务详解

第1章 SSH服务

1.1 SSH服务协议说明

SSH 是 Secure Shell Protocol 的简写，由 IETF 网络工作小组（Network Working Group )制定；在进行数据传输之前，SSH先对联机数据包通过加密技术进行加密处理，加密后在进行数据传输。确保了传递的数据安全。

 SSH是专为远程登录会话和其他网络服务提供的安全性协议。利用 SSH 协议可以有效的防止远程管理过程中的信息泄露问题，在当前的生产环境运维工作中，绝大多数企业普遍采用SSH协议服务来代替传统的不安全的远程联机服务软件，如telnet(23端口，非加密的)等。

 在默认状态下，SSH服务主要提供两个服务功能：

n 一是提供类似telnet远程联机服务器的服务，即上面提到的SSH服务。

n 另一个是类似FTP服务的sftp-server,借助SSH协议来传输数据的.提供更安全的SFTP服务(vsftp，proftp)

1.2 SSH加密技术说明

简单的说，SSH加密技术就是将人类可以看得懂的数据，通过一些特殊的程序算法，把这些数据变成杂乱的无意义的信怠，然后，通过网络进行传输，而当到了目的地后，在通过对应的解密算法，把传过来的加密的数据信怠解密成加密前的可读的正常数据。因此，当数据在互联网上传输时即使被有心的黑客监听窃取了，也很难获取到真正黑要的数据。

当前，网络上的数据包加密技术一般是通过所谓的一对公钥与私钥（PublickeyandPivatekey)组合成的密钥对进行加密与解密操作。如下图，A-Server要给B_Client传数据，首先会通过本地的公钥加密后再到发到网络上传输。而加密的数据到达B_Client端后，再经由B_Client本地的私钥将加密的数据解密出来。由于在intemet上传输过程中的数据是加密过的，所以，传输的数据内容一般来说是比较安全的。

1.2.2 ssh实现安全链接建立，利用要是和锁头

1. 钥匙=私钥 锁头=公钥，私钥可以解密公钥

2. 公钥可以再网络中传输，私钥再本地主机保存

1.2.3 ssh加密算法

v1漏洞： 密钥不更换

v2 定期更换密钥

利用Diffie-Hellman机制定期更新密钥

1.3 ssh知识要点：

    ssh是安全的加密协议，用于远程链接linux服务器
    ssh 默认端口是22，安全协议版本sshv2，出来2之外还有1（有漏洞）
    ssh服务端主要包括两个服务功能 ssh远程链接和sftp服务
    linux ssh 客户端包括ssh 远程链接命令，以及远程拷贝scp命令等

1.4 SSH服务软件详细说明

1.4.1 什么是ssh服务

SSH服务端是一个守护讲程 (daemon).他在后台运行并响应来自客户端的连接请求。 SSH服务端的讲程名为sshd，负责实时监听远程SSH客户端的远程连接请求，并进行处理，一般包括公共密钥认证、密钥交换、对称密钥加密和非安全连接等。这个SSH服务就是我们前面基础系统优化中保留开机自启动的服务之。

ssh客户端包含ssh以及像scp(远程拷贝） slogin(远程登陆) sftp(安全FTP文件传输）等应用程序。

ssh的工作机制大致是本地的ssh客户端先发送一个连接请求到远程的ssh服务端，服务端检查连接的客户端发送的数据包和IP地址，如果确认合法，就会发送密钥给 SSH的客户端，此时，客户端本地再将密钥发回给服务端，自此连接建立。

1.4.2 ssh软件安装

客户端

[root@iso-all ~]# rpm -qf `which ssh`
openssh-clients-7.4p1-16.el7.x86_64

服务端软件

[root@iso-all ~]# rpm -qf `which sshd`
openssh-server-7.4p1-16.el7.x86_64

1.4.3 openssh-clinets 软件的主要内容：

[root@iso-all ~]# rpm -ql openssh-clients
/etc/ssh/ssh_config         #ssh客户端配置文件
/usr/bin/.ssh.hmac
/usr/bin/scp                  #远程复制命令
/usr/bin/sftp                 #远程文件传输服务
/usr/bin/slogin              #远程登陆命令
/usr/bin/ssh                  #ssh远程登陆管理主机
/usr/bin/ssh-add
/usr/bin/ssh-agent
/usr/bin/ssh-copy-id        #ssh服务分发公钥命令
/usr/bin/ssh-keyscan

1.4.4 openssh-server 软件的主要内容

[root@iso-all ~]#  rpm -ql openssh-server
/etc/rc.d/init.d/sshd      #ssh服务启动脚本
/etc/ssh/sshd_config       #ssh服务配置文件
/etc/sysconfig/sshd        #ssh创建密钥有关
/usr/sbin/.sshd.hmac       #ssh加密算法有关文件
/usr/sbin/sshd             #ssh服务进程启动命令

注意：使用sshd采用绝对路径进行启动

[root@iso-all ~]# sshd
sshd re-exec requires execution with an absolute path

1.5 ssh服务配置文件说明：

01. 配置文件中所有注释信息，表示默认参数配置

02. 配置文件中#空格 后面内容表示说明信息

              #参数 表示配置参数信息

03. 配置文件参数信息修改后，一旦变为注释，即还原为默认配置

1.5.1 ssh服务的配置文件路径

vim  /etc/ssh/sshd_config

修改SSH服务的运行参数，是通过修改配置文件/etc/ssh/sshd_config实现的。

一般来说SSH服务使用默认的配置已经能够很好的工作了，如果对安全要求不高，仅仅提供SSH服务的情况，可以不需要修改任何配置。

1.5.2 配置文件中常用配置说明

[root@iso-all ~]# vim /etc/ssh/sshd_config
#       $OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $
 
# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.
 
# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin
 
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.
 
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.
 
Port 10000                   #端口
ListenAddress 10.0.0.15   #监听地址（本地网卡地址），指定本地网卡那个网卡提供服务
PermitRootLogin no         #是否允许root用户登陆
#PermitEmptyPasswords no  #禁止空密码登陆
#UseDNS no                   #不使用DNS
GSSAPIAuthentication no    #API认证
# 连接慢的解决
#AddressFamily any         #指定监听ipv4地址，或是ipv6地址，或者所有都监听

配置文件内容说明：

井号(#)注释的参数信息为默认配置
井号(#)后面有空格的为描述信息
井号(#)后面没有空格的为参数信息
另外：配置文件参数信息修改后，一旦变为注释，即还原为默认配置

1.5.3 配置文件语法检查方法

使用sshd -t 命令 对配置文件的语法进行检查

正确
[root@iso-all ~]# sshd  -t /etc/ssh/sshd_config
Extra argument /etc/ssh/sshd_config.
语法格式有错误
[root@iso-all ~]# sshd  -t /etc/ssh/sshd_config
/etc/ssh/sshd_config: line 17: Bad configuration option: ort
/etc/ssh/sshd_config: terminating, 1 bad configuration options

1.5.4SSH配置文件相关参数详细说明

命令参数	参数说明
Port	指定sshd进程监听的端口号，默认为22.可以使用多条指令监听多个端口. 默认将在本机的所有网络接□上监听，但是可以通过ListenAddress指走只在某个特定的接口上监听.
PermitEmptyPasswords	是否允许密码为空的用户远程登录.默认为"no"
PermitRootLogin	是否允许root登录.可用值如下："yes"(默认）表示允许."no"表示禁止. "without-password"表示禁止使用密码认证登录."forced-commands-only"表示只有在指走了command选项的情况下才允许使用公钥认证登录.同时其它认证方法全部被禁止.这个值常用于做远程备份之类的事情. 1.多开一个窗口 2.临时多部署一条连接方式 3.给普通用户sudo权限
UseDNS	指定定sshd是否应该对远程主机名进行反向解折，以检查此主机名是否与其IP地址真实对应.默认值为"yes”.
ListenAddress	指定监听并提供服务相应的网卡地址信息

1.5.6 快速修改配置参数

sed -i '13 iPort 10000\nPermitRootLogin no\nPermitEmptyPasswords no\nUseDNS no\nGSSAPIAuthentication no'  /etc/ssh/sshd_config

1.6 ssh服务认证类型

01. 基于口令认证方式

02. 基于密钥认证方式

1.6.1 基于密码的认证类型

基于口令的安全验证的方式就是大家现在一直在用的，只要知道服务器的SSH连接帐号和口令(当然也要知道对应服务器的 IP及开放的 SSH端口，默认为22 ),就可以通过 ssh客户端登录到这台远程主机。此时，联机过程中所有传输的数据都是加密的。

演示了 xshell及ssh客户端连接，口令验证的测试。

1.6.2 基于密钥的安全认证方法

基于密钥的安全验证方式是指，需要依靠密钥，也就是必须事先建立一对密钥对，然后把公用密钥(锁头)（Public key)放在需要访问的目标服务器上，另外，还需要把私有密钥（钥匙）（Private key）放到SSH的客户端或对应的窖户端服务器上。

公钥可以再网路中传输---公钥不能解密私钥 

此时，如果要想连接到这个带有公用密钥的SSH服务器，客户端SSH软件或者客户端服务器就会向SSH服务器发出请求，请求用联机的用户密钥进行安全验证。SSH服务器收到请求之后，会先在该SSH服务器上连接的用户的家目录下寻找事先放上去的对应用户的公用密钥，然后把它和连接的SSH客户端发送过来的公用密钥进行比较。如果两个密钥一致，SSH服务器就用公用密钥加密"质询"（challenge)并把它发送给SSH客户端。

1.7 基于秘钥登录配置

1.7.1 环境准备

作用	主机名	ip
服务器1	iso-all	10.0.0.15
服务器2	10e0e0e17	10.0.0.17
服务器3	10e0e0e12	10.0.0.12

1.7.2 第一个里程碑： 在备份服务器上创建密钥对

[root@iso-all ~]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:XWghzIACGsJeg9WtQ2sp37F2f1+wwwEDM/OT+uv+468 root@iso-all
The key's randomart image is:
+---[RSA 2048]----+
|=.o...o+. *      |
|o+.o.o .o. O .   |
|o ..o +   o B    |
| . . * . o o +   |
|    + o S o   o  |
|     . + . . . + |
|      . . . . + .|
|           . o...|
|           o=oE=.|
+----[SHA256]-----+
[root@iso-all ~]# 

参数说明：

      -t 指定创建密钥对的类型，可以创建的类型如下

Specifies the type of key to create.  The possible values are “rsa1” for protocol version 1 and “dsa”, “ecdsa” or “rsa” for protocol version 2.

查看创建出来的密钥对：

[root@iso-all ~]# ll ~/.ssh/
总用量 8
-rw------- 1 root root 1675 9月  23 23:41 id_rsa
-rw-r--r-- 1 root root  394 9月  23 23:41 id_rsa.pub

1.7.3 第二个里程：将公钥分发给服务器2

[root@iso-all ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub 10.0.0.17    #用户使用当前用户
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
The authenticity of host '10.0.0.17 (10.0.0.17)' can't be established.
ECDSA key fingerprint is SHA256:50iZHi5gziDbUudtJ37ijhno5lyuCWTmNnURkgi2imc.
ECDSA key fingerprint is MD5:ff:c1:42:e0:c4:00:95:e1:14:0a:e9:96:0d:bb:8d:f6.
Are you sure you want to continue connecting (yes/no)? yes
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@10.0.0.17's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh '10.0.0.17'"
and check to make sure that only the key(s) you wanted were added.

Formatting page, please wait...
SSH-COPY-ID(1)                                                  SSH-COPY-ID(1)
NAME
       ssh-copy-id  -  install  your  public  key in a remote machine's autho-
       rized_keys
SYNOPSIS
       ssh-copy-id [-i [identity_file]] [user@]machine

1.7.4 第三个里程碑：进行登录测试

[root@iso-all ~]# ssh 10.0.0.17
Last login: Wed Sep 23 23:29:12 2020 from 10.0.0.1
[root@10e0e0e17 ~]# 

1.8 telnet服务简介

1.8.1 部署telnet服务

第一个里程碑：安装telnet服务软件

[root@iso-all ~]#  yum install telnet telnet-server -y

1.8.2 客户端测试

说明：

    telnet服务默认不支持root用户直接登陆。

[root@iso-all ~]# telnet 10.0.0.17 22
Trying 10.0.0.17...
Connected to 10.0.0.17.
Escape character is '^]'.
SSH-2.0-OpenSSH_7.4

第2章 重点知识补充

2.1 一个服务始终无法启动

　　01.服务的查日志/系统日志

　　02.检查服务端口有没有冲突

2.2 给你一个端口如何命令行查出对应的服务是什么?

测试服务端口有没有开启

ss -lntup|grep 22
netstat -lntup|grep -w "22"
lsof -i:22
grep  "\b22/\b" /etc/services
nmap -p 22 10.0.0.17
nc 10.0.0.17 22
telnet 10.0.0.17 22

.2.1 根据进程名查看对应的端口是什么

netstat/ss –lntup|grep 进程或服务名字

2.3 ssh入侵案例说明

IP何防止SSH登录入侵小结：

    1、用密钥登录，不用密码登陆
    2、牤牛阵法：解决SSH安全问题
    　　a.防火墙封闭SSH,指定源IP限制(局域网、信任公网)
    　　b.开启 SSH 只监听本地内网 IP ( ListenAddress 172.16.1.61 )
    3、尽量不给服务器外网ip
    4、最小化(软件安装-授权)
    5、给系统的重要文件或命令做一个指纹
    6、给他锁上 chattr +i +a

第3章 扩展问题

3.1系统负载过高，无法连接ssh怎么办

可以通过修改 进程优先级的方法来是sshd服务能够更多的使用资源，保证sshd的连接

修改进程优先级的方法：

　　优先系数由系统内核决定，不可更改
　　nice值可以手动更改，范围是 -20~19
　　优先级的值越低，优先级越高；优先级的值越高，优先级越低。
　　所以想调整成最高优先级的话，就将nice值设为-20；想调整成最低优先级的话，将nice值设为19。

1、任务未运行前进行调整

shell> nice -n-20 sh a.sh   #以最高优先级运行a.sh这个脚本
shell> nice -n19 sh  a.sh    #以最低优先级运行a.sh这个脚本

2、任务已经开始运行的情况下调整
①方法一

# top                        #查看系统当前进程运行情况
> r                          #键入小r
> PID to renice:             #提示输入运行的进程的pid
> Renice PID 23302 to value: #把这个进程的nice值设置为多少,根据需要进行调整

② 方法二

shell> renice -20 PID    #将进程的nice值改为-20
shell> renice 19 PID     #将进程的nice值改为19

 查看进程优先级

[root@iso-all ~]# ps -lef |grep sshd 
4 S root       6818      1  0  80   0 - 28218 poll_s 9月23 ?       00:00:00 /usr/sbin/sshd -D
4 S root       7101   6818  0  80   0 - 40370 poll_s 9月23 ?       00:00:00 sshd: root@pts/0
0 R root       7303   7103  0  80   0 - 28181 -      00:29 pts/0    00:00:00 grep --color=auto sshd