SSH远程访问及控制
目录一、SSH远程管理
1、SSH定义
2、SSH客户端和服务端
3、SSH工作范例
3.1、对称加密
3.2、非对称加密
4、SSH工作原理
公钥传输原理
4.1、基本概念
4.2、工作过程
5、OpenSSH服务器
二、SSH远程登录方式
1、SSH直接远程登录
2、SSH指定端口登录
3、黑白名单
3.1、配置白名单
3.2、配置黑名单
三、配置密钥对验证
1、创建密钥
2、将密钥发送到服务端
3、登录验证
一、SSH远程管理
1、SSH定义
SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程 复制等功能。SSH 协议对通信双方的数据传输举行了加密处理,此中包罗用户登录时输入的用户口令,SSH 为创建在应用层和传输层基础上的安全协议。
2、SSH客户端和服务端
[*]SSH客户端: Putty、 Xshell、 CRT、MobaXterm、FinalShell
[*]SSH服务端: OpenSSH
网络
SSH客户端<------------------------------>SSH服务端
数据传输是加密的,可以防止信息泄漏
数据传输是压缩的,可以提高传输速度
3、SSH工作范例
3.1、对称加密
①、概念:
接纳单钥暗码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加 密,由于其速度快,对称性加密通常在消息发送方需要加密大量数据时利用
②、特点:
算法公开、计算量小、加密速度快、加密效率高。
③、缺点:
在数据传送前,发送方和接收方必须商定好秘钥,然后使双方都能保存好秘钥。 其次如果一方的秘钥被泄漏,那么加密信息也就不安全了。另外,每对用户每次利用对称加密算法时, 都需要利用其他人不知道的独一秘钥,这会使得收、发双方所拥有的钥匙数量巨大,密钥管理成为双方 的负担
④、常用算法:
在对称加密算法中常用的算法有:DES、3DES、TDEA、Blowfish、RC2、RC4、RC5、IDEA、SKIPJACK 等。
3.2、非对称加密
①、概念:
非对称加密算法需要两个密钥:公开密钥(publickey:简称公钥)和私有密钥(privatekey:简称私 钥)。公钥与私钥是一对,如果用公钥对数据举行加密,只有效对应的私钥才能解密。因为加密和解密 利用的是两个差别的密钥,所以这种算法叫作非对称加密算法。
②、特点:
非对称加密利用一对密钥(公钥和私钥),此中公钥可以公开,而私钥必须保密。纵然公钥被公开,只有拥有对应私钥的人才能解密数据,提供了强大的安全性。
③、缺点:
非对称加密算法(如RSA、DSA、ECC)的计算复杂度高,导致加密和解密速度慢,特殊是在处理大量数据时。
④、常用算法:
RSA(RSA algorithm):目前利用最广泛的算法
DSA(Digital Signature Algorithm):数字署名算法,和 RSA 差别的是 DSA仅能用于数字署名, 不能举行数据加密解密,其安全性和RSA相当,但其性能要比RSA快
ECC(Elliptic curve cryptography,椭圆曲线加密算法)
ECDSA:Elliptic Curve Digital Signature Algorithm,椭圆曲线署名算法,是ECC和 DSA的结合, 相比于RSA算法,ECC 可以利用更小的秘钥,更高的效率,提供更高的安全保障
特性对称加密 (Symmetric Encryption)非对称加密 (Asymmetric Encryption)原理利用雷同的密钥举行加密和解密利用一对密钥(公钥和私钥)举行加密和解密长处1. 加密解密速度快,得当大数据量加密1. 密钥管理简单,公钥公开,私钥保密2. 算法简单,计算复杂度低2. 提供更高的安全性,难以破解3. 资源占用少,得当低资源环境3. 支持数字署名和认证,确保数据完整性和身份验证缺点1. 密钥管理复杂,需安全传输和存储1. 加密解密速度慢,计算复杂度高2. 密钥泄漏会导致数据泄漏2. 资源占用多,不得当大数据量加密3. 无法实现数字署名和身份验证3. 密钥长度较长,存储和处理开销大 4、SSH工作原理
公钥传输原理
4.1、基本概念
①、公钥:
概念:公钥黑白对称加密中公开的密钥,可以自由地分发给任何人。
功能:用于加密数据:发送方利用接收方的公钥对数据举行加密,只有拥有相应私钥的接收方才能解密数据。用于验证数字署名:接收方利用发送方的公钥来验证发送方的数字署名,确保数据的真实性和完整性。
②、私钥:
概念:私钥黑白对称加密中必须保密的密钥,只能由密钥持有者自己保存,不得公开。
功能:用于解密数据:接收方利用自己的私钥解密由其公钥加密的数据。用于生成数字署名:发送方利用自己的私钥对数据举行署名,接收方可以利用发送方的公钥验证署名,确保数据没有被篡改。
4.2、工作过程
https://i-blog.csdnimg.cn/direct/9ce39192d5b542f78b60d979a6e7169a.png
①、客户端发起链接哀求
②、服务端返回自己的公钥,以及一个会话ID(这一步客户端得到服务端公钥)
③、客户端生成密钥对
④、客户端用自己的公钥异或会话ID,计算出一个值Res,并用服务端的公钥加密
⑤、客户端发送加密值到服务端,服务端用私钥解密,得到Res
⑥、服务端用解密后的值Res异或会话ID,计算出客户端的公钥(这一步服务端得到客户端公钥)
⑦、终极:双方各自持有三个秘钥,分别为自己的一对公、私钥,以及对方的公钥,之后的全部通讯都 会被加密
5、OpenSSH服务器
OpenSSH 是实现SSH协议的开源软件项目,实用于各种UNIX、 Linux 操作系统。
Centos 7系统默认已安装openssh相干软件包,并将sshd 服务添加为开机自启动。
[*]服务名称:sshd
[*]服务端主程序:/usr/sbin/sshd
[*]服务端配置文件:/etc/ssh/sshd config
https://i-blog.csdnimg.cn/direct/6f19de62cf744074945a559118dbde0a.png
[*]客户端配置文件:/etc/ssh/ssh_config
https://i-blog.csdnimg.cn/direct/044c3f5af0144f119fdc985f96554b1b.png
二、SSH远程登录方式
1、SSH直接远程登录
ssh 远程主机用户名 @远程服务器主机名或IP地点
https://i-blog.csdnimg.cn/direct/3c80051488b649d9b7abc9c9a3f84d80.png
[*]当前所登录的用户是 root 的话,当连接另一台主机时也是用 root 用户登录时,可以直接利用 ssh IP
ssh IP地点
https://i-blog.csdnimg.cn/direct/8422c20501b9407fbe64ac6d6db6bb01.png
2、SSH指定端口登录
[*]查看端口
vim /etc/ssh/sshd_config #vim查看编辑ssh端口
https://i-blog.csdnimg.cn/direct/6c48162eb62c4212937b0e36c62c1676.png
[*]进入vim编辑页面,找到端口,修改(增强安全性)
https://i-blog.csdnimg.cn/direct/1c24d40c5da949cda39c18e90e5a8aec.png
[*]保存退出,用端口连接
ssh 远程主机用户名 @远程服务器主机名或IP 地点 -p 端口
https://i-blog.csdnimg.cn/direct/7f4916014e28452fac1a1ebff6470ee1.png
[*] 第一次登录服务器时系统没有保存远程主机的信息,为了确认该主机身份会提示用户是否继续连接,输入yes 后登录,这时系统会将远程服务器信息写入用户主目录下$HOME/.ssh/known_hosts文件中,下次再举行登录时因为保存有该主机信息就不会再提示了
3、黑白名单
当盼望只允许或克制某些用户登录时,可以利用 AllowUsers 或 DenyUsers 配置,两者 用法类似(留意不要同时利用)
3.1、配置白名单
vim /etc/ssh/sshd_config #添加允许通过用户地点
https://i-blog.csdnimg.cn/direct/c8cbdb665a2b4aab85e80955475434aa.png
[*]进入vim编辑,添加
https://i-blog.csdnimg.cn/direct/940a6a8604d14849a30c1915fd83098e.png
[*] 保存退出,并且刷新sshd
systemctl restart sshd #重启sshd
https://i-blog.csdnimg.cn/direct/cba742b6b4f4487b89db96c20997d2a0.png
[*]登录
https://i-blog.csdnimg.cn/direct/13673113619b49b188971f9fc3c697a9.png
3.2、配置黑名单
vim /etc/ssh/sshd_config #添加允许通过用户地点
https://i-blog.csdnimg.cn/direct/0b9a661c148f44feb238a59221ded5dd.png
[*] 进入vim编辑,添加
https://i-blog.csdnimg.cn/direct/5c9a58b68319421fad68acef426fa1ab.png
[*] 保存退出,并且刷新sshd
systemctl restart sshd #重启sshd
https://i-blog.csdnimg.cn/direct/63ccc08a79a248b794d20ffd78c52a35.png
[*]测试登录
https://i-blog.csdnimg.cn/direct/1249aeb119ad4fcba66679932b836059.png
三、配置密钥对验证
1、创建密钥
https://i-blog.csdnimg.cn/direct/2b2d5a9e5c9f4bdd99e8f547e9d8e96f.png
2、将密钥发送到服务端
https://i-blog.csdnimg.cn/direct/b947f386c1e74d58b8b3896561bbfa1e.png
[*]查看服务端是否收到
https://i-blog.csdnimg.cn/direct/488223e1d6df496daf2db8f6be78cc6b.png
3、登录验证
https://i-blog.csdnimg.cn/direct/bea4358ca2b4401b85f0430f1cea6692.png
[*] 可开启密钥验证,关闭暗码验证,云云只有密钥的客户端才可连接到远程服务端
https://i-blog.csdnimg.cn/direct/af4d93d77518459cb881c278c506be70.png
登录测试
https://i-blog.csdnimg.cn/direct/e11ff5cdc0d84d94bc532ea032bc3d0d.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]