OpenSSH服务简介

1.Openssh概念

OpenSSH 是 SSH （Secure SHell） 协议的免费开源实现。SSH协议族可以用来进行远程控制， 或在计算机之间传送文件。而实现此功能的传统方式，如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的，并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具，用来加密远程控件和文件传输过程中的数据，并由此来代替原来的类似服务。

2.使用ftp演示不安全性

 1.启动ftp服务

   Service    vsftpd  restart

 2.启动后查看21端口是否处于监听状态

Netstat -tnl

 3.执行操作，如添加用户等

Useradd   xiaoming

Passwd  xiaoming

输入密码

 4.使用tcpdump(抓包命令)查看刚才的操作信息

   tcpdump  -i  etho  -nnX  port  21

 5.在windows中使用ftp  hostName  连接刚才创建的用户

 6.查看抓到的包信息

  以上说明ftp协议是不安全的。

3.Openssh简介

   1.SSH端口：22

   2.Linux中守护进程：sshd

   3.安装服务：OpenSSH

   4.服务端主程序：/usr/sbin/sshd

   5.客户端主程序：/usr/bin/ssh

   6.服务端配置文件：/etc/ssh/sshd_config

   7.客户端配置文件：/etc/ssh/ssh_config

4.SSH加密原理

SSH之所以能够保证安全，原因在于它采用了公钥加密。

整个过程是这样的：（1）远程主机收到用户的登录请求，把自己的公钥发给 用户。（2）用户使用这个公钥，将登录密码加密后，发送回来。（3）远程主机用自己的私钥，解密登录密码，如果密码正确，就同意用户登录。

这个过程本身是安全的，但是实施的时候存在一个风险：如果有人截获了登录请求，然后冒充远程主机，将伪造的公钥发给用户，那么用户很难辨别真伪。因为不像https协议，SSH协议的公钥是没有证书中心（CA）公证的，也就是说，都是自己签发的。

可以设想，如果攻击者插在用户与远程主机之间（比如在公共的wifi区域），用伪造的公钥，获取用户的登录密码。再用这个密码登录远程主机，那么SSH的安全机制就荡然无存了。这种风险就是著名的"中间人攻击"（Man-in-the-middle attack）。

SSH协议是如何应对的呢？

SSH使用的是口令登录来保证身份验证的，具体如下：

如果你是第一次登录对方主机，系统会出现下面的提示：

这段话的意思是，无法确认host主机的真实性，只知道它的公钥指纹，问你还想继续连接吗？

所谓"公钥指纹"，是指公钥长度较长（这里采用RSA算法，长达1024位），很难比对，所以对其进行MD5计算，将它变成一个128位的指纹。上例中是98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d，再进行比较，就容易多了。

很自然的一个问题就是，用户怎么知道远程主机的公钥指纹应该是多少？回答是没有好办法，远程主机必须在自己的网站上贴出公钥指纹，以便用户自行核对。

假定经过风险衡量以后，用户决定接受这个远程主机的公钥。

系统会出现一句提示，表示host主机已经得到认可。

然后，会要求输入密码。

如果密码正确，就可以登录了。

当远程主机的公钥被接受以后，它就会被保存在文件 $HOME/.ssh/known_hosts之中。下次再连接这台主机，系统就会认出它的公钥已经保存在本地了，从而跳过警告部分，直接提示输入密码。

每个SSH用户都有自己的known_hosts文件，此外系统也有一个这样的文件，通常是/etc/ssh/ssh_known_hosts，保存一些对所有用户都可信赖的远程主机的公钥。

 公钥登录

使用密码登录，每次都必须输入密码，非常麻烦。好在SSH还提供了公钥登录，可以省去输入密码的步骤。

所谓"公钥登录"，原理很简单，就是用户将自己的公钥储存在远程主机上。登录的时候，远程主机会向用户发送一段随机字符串，用户用自己的私钥加密后，再发回来。远程主机用事先储存的公钥进行解密，如果成功，就证明用户是可信的，直接允许登录shell，不再要求密码。

这种方法要求用户必须提供自己的公钥。如果没有现成的，可以直接用ssh-keygen生成一个：

运行上面的命令以后，系统会出现一系列提示，可以一路回车。其中有一个问题是，要不要对私钥设置口令（passphrase），如果担心私钥的安全，这里可以设置一个。

运行结束以后，在$HOME/.ssh/目录下，会新生成两个文件：id_rsa.pub和id_rsa。前者是你的公钥，后者是你的私钥。

这时再输入下面的命令，将公钥传送到远程主机host上面：

好了，从此你再登录，就不需要输入密码了。

如果还是不行，就打开远程主机的/etc/ssh/sshd_config这个文件，检查下面几行前面"#"注释是否取掉。

然后，重启远程主机的ssh服务。

authorized_keys文件

 远程主机将用户的公钥，保存在登录后的用户主目录的$HOME/.ssh/authorized_keys文件中。公钥就是一段字符串，只要把它追加在authorized_keys文件的末尾就行了。

这里不使用上面的ssh-copy-id命令，改用下面的命令，解释公钥的保存过程：

这条命令由多个语句组成，依次分解开来看：（1）"$ ssh user@host"，表示登录远程主机；（2）单引号中的mkdir .ssh && cat >> .ssh/authorized_keys，表示登录后在远程shell上执行的命令：（3）"$ mkdir -p .ssh"的作用是，如果用户主目录中的.ssh目录不存在，就创建一个；（4）‘cat >> .ssh/authorized_keys‘ < ~/.ssh/id_rsa.pub的作用是，将本地的公钥文件~/.ssh/id_rsa.pub，重定向追加到远程文件authorized_keys的末尾。

写入authorized_keys文件后，公钥登录的设置就完成了。

我们一般建议使用秘钥登录，更加安全

5.SSH配置文件

1) 客户端配置文件默认路径/etc/ssh/ssh_config，服务器端配置文件默认路径/etc/ssh/sshd_config

2) 服务器端Sshd_config配置文件介绍（日常常用的配置项）

#Port 22 （默认的监听端口，如果需要改端口需打开注释）

#AddressFamily any

#ListenAddress 0.0.0.0 （监听IP,0.0.0.0表示监听任何ip）

#ListenAddress ::

# Disable legacy (protocol version 1) support in the server for new

# installations. In future the default will change to require explicit

# activation of protocol 1

          Protocol 2 

            （设置使用的ssh协议为ssh1或ssh2，如果仅仅使用ssh2，

                        设置为Protocol 2即可）

# HostKeys for protocol version 2

#HostKey /etc/ssh/ssh_host_rsa_key  （私钥的保存位置）

#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key

#KeyRegenerationInterval 1h

#ServerKeyBits 1024  （私钥的位数）

# Logging

# obsoletes QuietMode and FascistLogging

#SyslogFacility AUTH  （日志记录SSH登录情况）

SyslogFacility AUTHPRIV

#LogLevel INFO      （日志级别）

# Authentication:

#LoginGraceTime 2m

#PermitRootLogin yes  （允许root的ssh登录，一般设置为no）

#StrictModes yes

#MaxAuthTries 6

#MaxSessions 10

#RSAAuthentication yes

#PubkeyAuthentication yes （是否使用公钥验证）

#AuthorizedKeysFile.ssh/authorized_keys （公钥保存位置）

#AuthorizedKeysCommand none

#AuthorizedKeysCommandRunAs nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts

#RhostsRSAAuthentication no

# similar for protocol version 2

#HostbasedAuthentication no

# Change to yes if you don‘t trust ~/.ssh/known_hosts for

# RhostsRSAAuthentication and HostbasedAuthentication

#IgnoreUserKnownHosts no

# Don‘t read the user‘s ~/.rhosts and ~/.shosts files

#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!

#PasswordAuthentication yes  （允许使用密码验证登录）

#PermitEmptyPasswords no    （不允许空密码登录）

PasswordAuthentication yes

# Change to no to disable s/key passwords

#ChallengeResponseAuthentication yes

ChallengeResponseAuthentication no

# Kerberos options

#KerberosAuthentication no

#KerberosOrLocalPasswd yes

#KerberosTicketCleanup yes

#KerberosGetAFSToken no

#KerberosUseKuserok yes

# GSSAPI options

#GSSAPIAuthentication no

GSSAPIAuthentication yes （GSSAPI认证开启）

#GSSAPICleanupCredentials yes

GSSAPICleanupCredentials yes

#GSSAPIStrictAcceptorCheck yes

#GSSAPIKeyExchange no

6.SSH命令

  1）.SSH远程管理命令

      ssh  用户名@IP

  2）scp远程复制

      下载：scp  root@192.168.44.2:/root/test.txt

      上传：scp  -r /root/123/  root@192.168.44.2/root

  3)sftp文件传输

        Sftp  root@192.168.4.2

          -ls   查看服务器端数据

          -cd  切换服务器端目录

          -lls  查看本地数据

         -lcd 切换本地目录

         -get   下载

         -put   上传

   例子：get  bcd  /root  (把bcd文件下载到本地root目录下)

本文出自 “德泽无忧” 博客，谢绝转载！

OpenSSH服务简介