当前位置： 首页 > news >正文

网站建设服务目标,兰州正规的装修公司,网站建设群,美橙专业建站华子目录 简介概念功能 分类文字接口图形接口 文字接口ssh连接服务器浅浅介绍一下加密技术凯撒加密加密分类对称加密非对称加密非对称加密方法#xff08;也叫公钥加密#xff09; ssh两大类认证方式#xff1a;连接加密技术简介密钥解析 ssh工作过程版本协商阶段密钥和算法… 华子目录 简介概念功能 分类文字接口图形接口 文字接口ssh连接服务器浅浅介绍一下加密技术凯撒加密加密分类对称加密非对称加密非对称加密方法也叫公钥加密 ssh两大类认证方式连接加密技术简介密钥解析 ssh工作过程版本协商阶段密钥和算法协商阶段认证阶段两种认证方法 ssh服务配置安装ssh配置文件分析 ssh实验实验1实验2实验3实验4 简介 概念 远程连接服务器通过文字接口或图形接口方式来远程登录系统让你在远程终端前登录Linux主机以取得可操作主机接口(shell)而登录后的操作感觉就像坐在系统前面一样 功能 分享主机的运算能力服务器类型有限度开放连接工作站类型只对内网开放 分类 文字接口 明文传输TelnetRSH等目前非常少用 这里我们可以使用wireshark抓包工具验证telnet明文传输 第一步首先我们需要在Linux主机中安装telnet服务 [rootserver ~]# yum install telnet-server -y # 安装telnet[rootserver ~]# systemctl start telnet.socket # 启动服务第二步使用MobaXterm建立telnet连接 输入Linux主机密码进入主机 第三步启动wireshark选择VMnet8网卡 如果没有wireshark则可以在https://www.wireshark.org/download.html下载安装wireshark傻瓜式安装即可 在MobaXterm中输入ip a [rootserver ]# ip a 1: lo: LOOPBACK,UP,LOWER_UP mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00inet 127.0.0.¹⁄₈ scope host lovalid_lft forever preferred_lft foreverinet6 ::¹⁄₁₂₈ scope hostvalid_lft forever preferred_lft forever 2: ens160: BROADCAST,MULTICAST,UP,LOWER_UP mtu 1500 qdisc mq state UP group default qlen 1000link/ether 00:0c:29:9e:1d:25 brd ff:ff:ff:ff:ff:ffaltname enp3s0inet 192.168.80.¹²⁹⁄₂₄ brd 192.168.80.255 scope global noprefixroute ens160valid_lft forever preferred_lft foreverinet6 fe80::20c:29ff:fe9e:1d25/64 scope link noprefixroutevalid_lft forever preferred_lft forever在wireshark选择记录后单右键-追踪流-TCP流 我们可以看到是明文传输
密文传输ssh为主已经取代了明文传输 关闭上述的telnet连接建立ssh连接查看是否为密文传输 我们可以看到ssh为密文传输 图形接口 XDMCPVNCXRDP等 文字接口ssh连接服务器 sshSecure Shell Protocol安全壳程序协议由IETF的网络小组Network Working Group所制定可以通过数据包加密技术将等待传输的数据包加密后再传输到网络上。ssh协议本身提供两个服务器功能 一个是类似telnet的远程连接使用shell的服务器另一个就是类似ftp服务的sftp-server提供更安全的ftp服务。
浅浅介绍一下加密技术 明文原始消息 密文加密后的消息 密钥加解密的关键参数 加密算法替换位置移动等等凯撒加密 明文hello 密钥3 参考 abcdefghijklmnopq… defghijklmnopqrstuv… 密文KHOOR加密分类 对称加密 加解密使用同一个密钥DES 非对称加密 加解密双方各用一对密钥公钥和私钥 公钥公共密钥存储在公共的设备上任何用户都可以获取私钥私有密钥存储在个人计算机设备上只有自己可以使用使用公钥加密必须使用私钥加密使用私钥加密必须使用公钥解密 非对称加密方法也叫公钥加密 bob 公钥b 私钥b alice 公钥a 私钥a 1.bob 公钥b加密 —— alice 私钥b解密 不成立 2.bob 公钥a加密 —— alice 私钥a解密 能保证数据安全但不能保证身份验证 3.bob 私钥b加密 —— alice 公钥b解密 能进行身份验证但不能保证数据安全 4.bob 私钥a加密 —— alice 公钥a解密 不成立所以在生产中也就只能使用23方法 非对称加密使用rsa算法 数字证书ssh两大类认证方式 1.传统的密码认证 2.密钥认证连接加密技术简介 目前常见的网络数据包加密技术通常是通过非对称密钥系统来处理的主要通过两把不一样的公钥与私钥来进行加密与解密的过程 密钥解析 公钥public key提供给远程主机进行数据加密的行为所有人都可获得你的公钥来将数据加密私钥private key远程主机用你的公钥加密的数据在本地端就能使用私钥来进行加密私钥只有自己拥有。 ssh工作过程 服务端与客户端要经历如下5个阶段
版本协商阶段 服务器端打开端口22端口不会单独出现必须和upd和tcp进行绑定等待客户端连接客户端向服务器端发起TCP初始连接请求TCP连接建立后服务器向客户端发送第一个报文包括版本标志字符串格式为SSH-主协议版本号.次协议版本号.软件版本号协议版本号由主版本号和次版本号组成软件版本号主要是为调试使用。客户端收到报文后解析该数据包如果服务器的协议版本号比自己的低且客户端能支持服务器端的低版本就使用服务器端的低版本协议号否则使用自己的协议版本号。客户端回应服务器一个报文包含了客户端决定使用的协议版本号。服务器比较客户端发来的版本号决定是否能同客户端一起工作。如果协商成功则进入密钥和算法协商阶段否则服务器断开TCP连接注意上述报文都是采用明文方式传输 密钥和算法协商阶段 服务器端和客户端分别发送算法协商报文给对端报文中包含自己支持的公钥算法列表、加密算法列表、MACMessage Authentication Code消息验证码算法列表、压缩算法列表等等服务器端和客户端根据对端和本端支持的算法列表得出最终使用的算法服务器端和客户端利用DH交换Diffie-Hellman Exchange算法、主机密钥对等参数生成会话密钥和会话ID。由此服务器端和客户端就取得了相同的会话密钥和会话ID。对于后续传输的数据两端都会使用会话密钥进行加密和解密保证了数据传送的安全。在认证阶段两端会使用会话用于认证过程会话密钥的生成 客户端需要使用适当的客户端程序来请求连接服务器服务器将服务器的公钥发送给客户端。服务器的公钥产生过程服务器每次启动sshd服务时该服务会主动去找/etc/ssh/ssh_host*文件若系统刚装完由于没有这些公钥文件因此sshd会主动去计算出这些需要的公钥文件同时也会计算出服务器自己所需要的私钥文件。服务器生成会话ID并将会话ID发给客户端。若客户端第一次连接到此服务器则会将服务器的公钥数据记录到客户端的用户主目录内的/.ssh/known_hosts。若是已经记录过该服务器的公钥数据则客户端会去比对此次接收到的与之前的记录是否有差异。客户端生成会话密钥并用服务器的公钥加密后发送给服务器。服务器用自己的私钥将收到的数据解密获得会话密钥。服务器和客户端都知道了会话密钥以后的传输都将被会话密钥加密
认证阶段两种认证方法 基于口令的认证password认证客户端向服务器发出password认证请求将用户名和密码加密后发送给服务器服务器将该信息解密后得到用户名和密码的明文与设备上保存的用户名和密码进行比较并返回认证成功或失败消息。基于密钥的认证publickey认证 客户端产生一对公共密钥将公钥保存到将要登录的服务器上的那个账号的家目录的.ssh/authorized_keys文件中认证阶段客户端首先将公钥传给服务器端。服务器端收到公钥后会与本地该账号家目录下的authorized_keys中的公钥进行对比如果不相同则认证失败否则服务端生成一段随机字符串并先后用客户端公钥和会话密钥对其加密发送给客户端。客户端收到后将解密后的随机字符串用会话密钥发送给服务器。如果发回的字符串与服务器端之前生成的一样则认证通过否则认证失败。 注服务器端对客户端进行认证如果认证失败则向客户端发送认证失败消息其中包含可以再次认证的方法列表。客户端从认证方法列表中选取一种认证方法再次进行认证该过程反复进行。直到认证成功或者认证次数达到上限服务器关闭连接为止 ssh服务配置 安装ssh [rootserver ~]# yum install openssh-server -y[rootserver ~]# systemctl status sshd配置文件分析 [rootserver ~]# vim /etc/ssh/sshd_config21.#Port 22 # 默认监听22端口,可修改 22.#AddressFamily any # IPV4和IPV6协议家族用哪个any表示二者均有 23.#ListenAddress 0.0.0.0 # 指明监控的地址0.0.0.0表示本机的所有地址(默认可修改) 24.#ListenAddress :: # 指明监听的IPV6的所有地址格式26.#HostKey /etc/ssh/ssh_host_rsa_key # rsa私钥认证,默认 27.#HostKey /etc/ssh/ssh_host_ecdsa_key # ecdsa私钥认证 28.#HostKey /etc/ssh/ssh_host_ed25519_key # ed25519私钥认证34 #SyslogFacility AUTH # ssh登录系统的时会记录信息并保存在/var/log/secure 35.#LogLevel INFO # 日志的等级39.#LoginGraceTime 2m # 登录的宽限时间默认2分钟没有输入密码则自动断开连接 40 #PermitRootLogin prohibit-password # 只允许root以密钥形式登录不能以密码的方式登录 可以设置PermitRootLogin yes允许管理员登录 41.#StrictModes yes # 是否让sshd去检查用户主目录或相关文件的权限数据 42.#MaxAuthTries 6 # 最大认证尝试次数最多可以尝试6次输入密码。之后需要等待某段时间后才能再次输入密码 43.#MaxSessions 10 # 允许的最大会话数49.AuthorizedKeysFile .ssh/authorized_keys # 选择基于密钥验证时客户端生成一对公私钥之后会将公钥放到.ssh/authorizd_keys里面 65 #PasswordAuthentication yes # 登录ssh时是否进行密码验证 66 #PermitEmptyPasswords no # 登录ssh时是否允许密码为空…… 123.Subsystem sftp /usr/libexec/openssh/sftp-server #支持 SFTP 如果注释掉则不支持sftp连接 AllowUsers user1 user2 #登录白名单默认没有这个配置需要自己手动添加允许远程登录的用户。如果名单中没有的用户则提示拒绝登录ssh实验 实验1 配置ssh监听端口号第一步server端操作编辑配置文件 [rootserver ~]# vim /etc/ssh/sshd_configPort 2222 # 修改第21行参数去掉#改为2222第二步server端操作重启服务 [rootserver ~]# systemctl restart sshd[rootserver ~]# netstat -ntlp # 查看端口号是否改变第三步node1端操作ssh登录服务器 [rootnode1 ~]# ssh root192.168.80.129 # 默认登录会被拒绝因为我们已经把端口号改了 ssh: connect to host 192.168.80.129 port 22: Connection refused[rootnode1 ~]# ssh -p 2222 root192.168.80.129 # 使用-p执行端口登录 [rootserver ~]# 注意修改ssh端口号必须关闭selinux或者说只要涉及修改端口的操作都需要关闭selinux

定位server端修改会原来的22端口

[rootserver ~]# vim /etc/ssh/sshd_config Port 22 # 修改第21行参数去掉#改为22 [rootserver ~]# systemctl restart sshd [rootserver ~]# netstat -ntlp# 开启selinux [rootserver ~]# vim /etc/selinux/config SELINUXenforcing # 改为enforcing即开启 [rootserver ~]# reboot # 重启生效等待 [rootserver ~]# vim /etc/ssh/sshd_config # 重新修改端口号为2222 Port 2222#重启服务后会报错selinux会拦截端口号修改 [rootserver ~]# systemctl restart sshd Job for sshd.service failed because the control process exited with error code. See systemctl status sshd.service and journalctl -xeu sshd.service for details. # 输入这两条提示命令可以进行排错[rootserver ~]# setenforce 0 # 临时关闭selinux为1表示开启selinux [rootserver ~]# getenforce # 查看selinux状态 Permissive # 临时关闭不拦截但会记录行为[rootserver ~]# systemctl restart sshd # 临时关闭selinux后重启服务成功注意修改端口这类的系统参数需要关闭selinux或配置selinux让其放行 实验2 拒绝root账户远程登录方法使用配置文件中的Permitrootlogin参数进行实现参数值 注意RHEL9系统在安装系统时设置了允许使用root使用密码登录ssh时在 /etc/ssh/sshd_config.d目录下会多一个文件01-permitrootlogin.conf该文件会单独记录Permitrootlogin yes参数所以在设置允许root账户登录ssh时应在该文件中设置
[rootserver ~]# ll /etc/ssh/sshd_config.d 总用量 8 -rw-r–r–. 1 root root 141 11月 10 23:42 01-permitrootlogin.conf -rw——-. 1 root root 719 10月 30 18:23 50-redhat.conf第一步定位server编辑配置文件 [rootserver ~]# vim /etc/ssh/sshd_config.d/01-permitrootlogin.conf
PermitRootLogin no # yes修改为no表示拒绝以root身份登录服务器[rootserver ~]# systemctl restart sshd第二步定位node1测试远程登录 [rootnode1 ~]# ssh -p 2222 root192.168.48.130 # 以root身份登录被拒绝 root192.168.48.130s password: Permission denied, please try again.实验3 虚拟机之间实现免密登录 在做实验3之前我们西安介绍一些基础知识 ssh-keygen命令用于生成管理密钥格式 [rootserver ~]# ssh-keygen -t rsa分析 -t指定加密类型rsarsa公钥加密算法可以产生公钥和私钥注意执行后对应账户目录下的隐藏目录.ssh中会有2个文件 /root/.ssh/id_rsa本机私钥文件/root/.ssh/id_rsa.pub本机公钥文件 第一步定位node1制作公私对
[rootnode1 ~]# ssh-keygen -t rsa第二步定位node1将公钥上传 [rootnode1 ~]# ssh-copy-id root192.168.80.129 # 将node1公钥上传给129主机 The authenticity of host 192.168.48.130 (192.168.48.130) cant be established. ED25519 key fingerprint is SHA256:K7nvJFkfIhp9YytEGR44wLbTfpB0Y52oVou0UdG6nc. This key is not known by any other names Are you sure you want to continue connecting (yes/no/[fingerprint])? yes #输入 /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed – if you are prompted now it is to install the new keys root192.168.48.130s password: # 输入登录密码Number of key(s) added: 1Now try logging into the machine, with: ssh root192.168.48.130 and check to make sure that only the key(s) you wanted were added.第三步客户端测试在node1端进行ssh登录 [rootnode1 ~]# ssh root192.168.80.129 Activate the web console with: systemctl enable –now cockpit.socketRegister this system with Red Hat Insights: insights-client –register Create an account or view all your systems at https://red.ht/insights-dashboard Last failed login: Sun Nov 19 15:34:55 CST 2023 from 192.168.80.130 on ssh:notty There were 6 failed login attempts since the last successful login. Last login: Sun Nov 19 14:38:54 2023 from 192.168.80.1 [rootserver ~]#第四步由于目标时双向免密只需要在server端制作公私钥对将其上传给node1端即可 [rootserver ~]# ssh-keygen -t rsa #当这条命令一执行后就会在当前用户的家目录下会有一个.ssh的目录.ssh下会有id_rsa 和 id_rsa.pub[rootserver ~]# ssh-copy-id root192.168.80.130 # 当这条命令执行后192.168.80.130这台主机上的当前用户的家目录下的.ssh目录下会出现authorized_keys这个文本[rootserver ~]# ssh root192.168.80.130 Activate the web console with: systemctl enable –now cockpit.socketRegister this system with Red Hat Insights: insights-client –register Create an account or view all your systems at https://red.ht/insights-dashboard Last login: Sun Nov 19 15:42:21 2023 from 192.168.80.129 [rootnode1 ~]#最终实验3完成 实验4 xshell使用密钥登录之前xshell使用的时密码登录现在通过密钥的配置实现无密码登录

注意以下步骤检查后若有authorized_keys文件则可忽略# 先在服务器端检查/root/.ssh/authorized_keys是否存在它是存储公钥的文件若不存在需要创建# 服务器端操作

[rootserver ~]# cd /root [rootserver ~]# ls -a # 先检查 [rootserver ~]# mkdir .ssh [rootserver ~]# cd .ssh [rootserver .ssh]# vim authorized_keys #有时需要注意.ssh目录的权限