pycharm 网站开发,长沙网络推广联系昔年下拉,凡科做的网站可以在百度搜到吗,wordpress 栏目链接一.SSH基础
1.1 什么是ssh
SSH#xff08;Secure Shell#xff09;协议是一种用于字符界面远程登录和数据加密传输的协议。
1.2 ssh优点
优点#xff1a; 数据传输是加密的#xff0c;可以防止信息泄漏 数据传输是压缩的#xff0c;可以提高传输速度
注意#xff…一.SSH基础
1.1 什么是ssh
SSHSecure Shell协议是一种用于字符界面远程登录和数据加密传输的协议。
1.2 ssh优点
优点 数据传输是加密的可以防止信息泄漏 数据传输是压缩的可以提高传输速度
注意telnet对比ssh 1.没有压缩功能 2.明文传输数据不安全
1.3 ssh原理
1.公钥传输原理 1.客户端发起链接请求 2.服务端返回自己的公钥以及一个会话ID这一步客户端得到服务端公钥 3.客户端生成密钥对 4.客户端用自己的公钥异或会话ID计算出一个值Res并用服务端的公钥加密 5.客户端发送加密值到服务端服务端用私钥解密得到Res 6.服务端用解密后的值Res异或会话ID计算出客户端的公钥这一步服务端得到客户端公钥 7.最终双方各自持有三个秘钥分别为自己的一对公、私钥以及对方的公钥之后的所有通讯都会被加密
2.ssh加密传输原理
1.对称加密采用单钥密码系统的加密方法同一个密钥可以同时用作信息的加密和解密这种加密方法称为对称加密
2.非对称加密非对称加密算法需要两个密钥公开密钥publickey:简称公钥和私有密钥privatekey:简称私钥。公钥与私钥是一对如果用公钥对数据进行加密只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥所以这种算法叫作非对称加密算法。
非对称加密原理重点首先ssh通过加密算法在客户端产生密钥对公钥和私钥公钥发送给服务器端自己保留私钥如果要想连接到带有公钥的SSH服务器客户端SSH软件就会向SSH服务器发出请求请求用联机的用户密钥进行安全验证。SSH服务器收到请求之后会先在该SSH服务器上连接的用户的家目录下
1.4 ssh验证方式
1.密码认证通过用户名和密码登录 2.密钥认证使用密钥公钥和私钥进行无密码登录
1.5 ssh工作方式 1.6 ssh登录方式
第一种方法ssh [远程主机用户名][远程服务器主机名或IP地址] -p port:端口第二种方法ssh -l [远程主机用户名] [远程服务器主机名或IP地址] -p port:端口注意 -p 当服务端的端口非默认时需要使用-p 指定端口号进行登录
注意-t 选项的作用就是强制 SSH 分配一个伪终端给远程会话,适用于跳板机连接。 二.SSH客户端和服务端
2.1 常用文件
OpenSSH是以 SSH协议开发的软件提供sshd服务常用配置文件有两个/etc/ssh/ssh_config 和/etc/sshd_config。ssh_config为客户端配置文件设置与客户端相关的应用可通过此文件实现sshd_config为服务器端配置文件设置与服务端相关的应用可通过此文件实现服务名称sshd服务端主程序/usr/sbin/sshd 服务端配置文件/etc/ssh/sshd_config 客户端配置文件/etc/ssh/ssh_config
注意ssh服务端主要包括两个服务功能 ssh远程连接和sftp服务文件传输功能
2.2 服务端常见配置项
·1.修改默认端口 2.禁止root用户登录 将其中修改为yes: PermitRootLogin yes #默认 ubuntu不允许root远程ssh登录、每次需要从普通用户切换到root用户
3.设定用户登录失败服务器切断连接前等待的时间单位为秒 LoginGraceTime 2m
4.限定同一连接打开的窗口数 MaxSessions 10 #同一个连接最大会话
5.提高ssh速度重点
注意无论内网还是外网都要改为no 禁用反向解析
6.白名单黑名单列表
白名单默认拒绝所有只有加进来才可以
黑名单默认允许所有加进来才不可以 2.3ssh 服务的最佳实践 建议使用非默认端口 22 禁止使用protocol version 1 限制可登录用户 白名单黑名单 设定空闲会话超时时长 利用防火墙设置ssh访问策略 仅监听特定的IP地址 公网 内网 基于口令认证时使用强密码策略比如tr -dc A-Za-z0-9_ /dev/urandom | head -c 12| xargs 使用基于密钥的认证 禁止使用空密码 禁止root用户直接登录 限制ssh的访问频度和并发在线数 经常分析日志 分离
三.基础操作
1.免确认交互问题客户端
解决客户端免确认交互直接输入密码登录问题 2.远程免密登录
1.在客户机生成密钥对ssh-keygen 2.在客户机存放公钥的文件夹中发送自己的公钥给服务器 ssh-copy-id -i id_ecdsa.pub IP地址
3.结果 注意此结果是服务器31生成密钥对后将公钥发送给客户机11后的结果其过程省略
3.模拟服务器新旧更换重点
实验准备一台客户端、一台旧服务器ip不变、一台新服务器 ip不变
实验目的模拟在生产环境中如果旧的服务器设备更换新的服务器ip还是原先旧的ip的情况下产生的安全问题导致远程连接不上服务器。
1.将旧服务器关机模拟 2.在新服务器上添加旧服务器ip测试 3. 在客户机测试远程连接服务器
注意为什么会出现这种问题因为密钥不匹配 解决方法找到存放曾经连过主机公钥的文件删除曾经连过此服务器对应的公钥就可以解决。
4.删除存放曾经连过服务器公钥文件中此服务器 5.测试远程连接 注意在生产环境中硬盘更换、网卡更换、内存更换等设备更换都会导致远程登录不上。
4.如何确认登录服务器正确
1.客户端连接
2.服务端自己连接自己
3.总结
由1、2两张图可以看到公钥是一样的由此可以判断对方就是要连的服务器在能知道对面服务器密码的情况下此方法是可行
