Linuxssh远程登录协议

一.ssh服务

1.简介

ssh是一种安全通道协议&＃xff0c;主要用来实现字符界面的远程登录&＃xff0c;远程复制等功能&＃xff0c;ssh协议对通信双方的数据传输进行了加密处理&＃xff0c;其中包括用户登录时输入的用户口令&＃xff0c;ssh为建立在应用层和传输层基础上的安全协议。对数据进行压缩&＃xff0c;加快传输速度。

2.优点

• 数据传输是加密的&＃xff0c;可以防止信息泄露
• 数据传输是压缩的&＃xff0c;可以提高传输速度

3.常见的ssh协议

• Linux客户端&＃xff1a;

  ssh&＃xff0c;scp&＃xff0c;sftp&＃xff0c;slogin

• windows 客户端&＃xff1a;

  xshell&＃xff0c; mobaxterm&＃xff0c;putty&＃xff0c;securecrt&＃xff0c;sshsecureshellclient

• OpenSSH 是实现SSH协议的开源软件项目&＃xff0c;适用于各种UNIX、 Linux 操作系统。

  Centos 7系统默认已安装openssh相关软件包&＃xff0c;并将sshd 服务添加为开机自启动。

  执行"systemctl start sshd"命令即可启动sshd 服务

  sshd 服务默认使用的是TCP的22端口&＃xff0c;安全协议版本sshv2&＃xff0c;出来2之外还有1&＃xff08;有漏洞&＃xff09;

  sshd服务的默认配置文件是/etc/ssh/sshd_config
  ssh_config和sshd_config都是ssh服务器的配置文件&＃xff0c;二者区别在于前者是针对客户端的配置文件&＃xff0c;后者则是针对服务端的配置文件

4.ssh原理

• 公钥传输原理&＃xff1a;

  • 客户端发起链接请求
  • 服务端返回自己的公钥&＃xff0c;以及一个会话ID
  • 客户端生成秘钥对
  • 客户端用自己的公钥或会话ID&＃xff0c;计算出一个值res&＃xff0c;并用服务端的公钥加密
  • 客户端发送加密后的值到服务端&＃xff0c;服务端用私钥解密&＃xff0c;得到res
  • 服务端用解密后的res值异或会话ID&＃xff0c;计算出客户端的公钥
  • 最终&＃xff1a;双方各自持有三个秘钥&＃xff0c;分别为自己的额一对公私钥&＃xff0c;以及对方的公钥。之后所有的通讯都会被加密

• 登录

  • #登录 方法一&＃xff1a;
ssh [远程主机用户名]&＃64;[远程服务器主机名或IP地址] -p port当在 Linux 主机上远程连接另一台 Linux 主机时&＃xff0c;如当前所登录的用户是 root 的话&＃xff0c;当连接另一台主机时也是用 root 用户登录时&＃xff0c;可以直接使用 ssh IP&＃xff0c;端口默认即可&＃xff0c;如果端口不是默认的情况下&＃xff0c;需要使用-p 指定端口。例&＃xff1a;
[root&＃64;ky15 ~]#ssh root&＃64;192.168.91.101
#默认使用22端口 root&＃xff08;登录对方的用户&＃xff09;加IP 地址&＃xff0c;首次登录会询问&＃xff0c;并要求输入密码
The authenticity of host &＃39;192.168.59.117(192.168.59.107)&＃39; can&＃39;t be established.
ECDSA key fingerprint is SHA256:o72&＃43;YjT&＃43;8laQRofsv2dFlcx099aeoI92rloek3ZVrUY.
ECDSA key fingerprint is MD5:a7:9c:69:35:16:17:21:cb:0e:4f:0d:42:44:16:3a:f7.
Are you sure you want to continue connecting (yes/no)?
root&＃64;192.168.59.101&＃39;s password:
Last login: Tue Sep 28 22:23:52 2021
[root&＃64;ky15-1 ~]##登录方法二
ssh -l [远程主机用户名] [远程服务器主机名或IP 地址] -p port
-l &＃xff1a;-l 选项&＃xff0c;指定登录名称。
-p&＃xff1a;-p 选项&＃xff0c;指定登录端口&＃xff08;当服务端的端口非默认时&＃xff0c;需要使用-p 指定端口进行登录&＃xff09;例&＃xff1a;
[root&＃64;ky15 ~]#ssh -l root 192.168.59.117
root&＃64;192.168.91.101&＃39;s password:
Last login: Tue Sep 28 22:25:40 2021 from 192.168.59.102


• 服务端配置

  • sshd服务支持登录验证方式

    • 密码验证&＃xff1a;以服务器中本地系统用户的登录名称&＃xff0c;密码进行验证。这种方式使用最为简单&＃xff0c;但从客户机角度来看&＃xff0c;正在连接的服务器有可能被假冒&＃xff0c;从服务器角度来看&＃xff0c;当遭遇到密码暴力破解攻击时防御能力比较弱
    • 密钥对验证&＃xff1a;要求提供相匹配的秘钥信息才能通过验证&＃xff0c;通常现在客户机中创建一对秘钥文件&＃xff0c;然后将公钥文件放到服务器中的指定位置&＃xff0c;远程登录时&＃xff0c;系统将使用公钥私钥进行加密/解密验证&＃xff0c;增强了远程管理的安全性

  • 基于秘钥常用配置项

    #生成密钥文件
[root&＃64;localhost ~]# ssh-keygen -t ecdsa
&＃xff08;如果设置免密登录&＃xff0c;则重新设置&＃xff0c;不设置密码&＃xff0c;一路回车&＃xff09;
#将公钥文件导入对方用户的 注意路径
[root&＃64;localhost .ssh]# ssh-copy-id -i /root/.ssh/id_ecdsa.pub root&＃64;192.168.59.117#登录客户机


  • 

  • 

  • 

5.轻量级自动化运维工具pssh

• pssh&＃xff1a;基于python编写&＃xff0c;可在多台服务器上执行命令的工具&＃xff0c;也可实现文件复制&＃xff0c;提供了基于ssh和scp的多个并行工具
• pdsh&＃xff1a;是一个多线程远程shell客户端&＃xff0c;可以并行执行多个主机上的命令。可使用几种不同的远程shell服务&＃xff0c;包括rsh&＃xff0c;kerberosIV和ssh
• mussh&＃xff1a;是一个shell脚本&＃xff0c;允许使用命令在多个主机上通过ssh

执行命令&＃xff0c;可使用ssh-agent和RSA/DSA秘钥&＃xff0c;以减少输入密码

• pssh命令选项

  • -H&＃xff1a;主机字符串&＃xff0c;内容格式”[user&＃64;]host[:port]”-h file&＃xff1a;主机列表文件&＃xff0c;内容格式”[user&＃64;]host[:port]”-A&＃xff1a;手动输入密码模式-i&＃xff1a;每个服务器内部处理信息输出-l&＃xff1a;登录使用的用户名 -p&＃xff1a;并发的线程数【可选】-o&＃xff1a;输出的文件目录【可选】-e&＃xff1a;错误输出文件【可选】-t&＃xff1a;TIMEOUT 超时时间设置&＃xff0c;0无限制【可选】-O&＃xff1a;SSH的选项-P&＃xff1a;打印出服务器返回信息-v&＃xff1a;详细模式--version&＃xff1a;查看版本

• pssh配置步骤

  #安装需要配置开发源
[root&＃64;localhost ~]## cd /etc/yum.repos.d
[root&＃64;localhost ~]## vim CentOS-Base.repo#最后一行添加
[epel]
name&＃61;epel
baseurl&＃61;https://mirrors.aliyun.com/epel/$releasever/x86_64https://mirrors.cloud.tencent.com/epel/$releasever/x86_64https://mirrors.huaweicloud.com/epel/$releasever/x86_64https://mirrors.tuna.tsinghua.edu.cn/epel/$releasever/x86_64
gpgcheck&＃61;0#清除缓存
[root&＃64;localhost yum.repos.d]# yum clean all#安装pssh
[root&＃64;localhost yum.repos.d]# yum install pssh -y#生成密钥&＃xff0c;一路回车
[root&＃64;localhost yum.repos.d]# ssh-keygen#上传秘钥对
[root&＃64;localhost .ssh]# ssh-copy-id 192.168.59.102
[root&＃64;localhost .ssh]# ssh-copy-id 192.168.59.108#同时管理查看多台客户机的某文件
[root&＃64;localhost .ssh]# pssh -H "192.168.59.102 192.168.59.108" -i cat /etc/passwd

[root&＃64;ky15-1 yum.repos.d]#yum clean all #清楚缓存
[root&＃64;ky15-1 yum.repos.d]#ssh-keygen #enter键然后一路回车
[root&＃64;ky15-1 yum.repos.d]#ssh-copy-id 192.168.91.102
[root&＃64;ky15-1 yum.repos.d]# ssh-copy-id 192.168.91.105#上传密钥对
[root&＃64;ky15-1 yum.repos.d]# pssh -H 192.168.91.102 hostname -i


• 管理多台&＃xff0c;写入一个文件

  [root&＃64;ky15-1 yum.repos.d]#vi ww.txt
[root&＃64;ky15-1 yum.repos.d]#pssh -h ww.txt -i hostname