注意:此处的操作都是在CentOS(Redhat)下完成的,其他linux系统下的配置可能略有不同。
[TOC]
几个名词
ssh
Security SHell的简写。他主要是用于解决telnet的明文认证过程。
ssh有两个版本,下文用v1和v2表示这两个版本。
OpenSSH
ssh的开源实现版本
ssh客户端
- linux
- ssh
- windows
- putty
- SecureCRT
- x-manager
- sshSecureShellClient
ssh服务端
一般而言,ssh的服务端都是linux下的,windows下的服务端并未听说。
此处指的也是linux下的ssh服务端--sshd
默认的sshd都是运行在后台,监听于 22号 端口
[root@c2 ~]# netstat -tnlp | grep ssh
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 2581/sshd
tcp 0 0 127.0.0.1:6010 0.0.0.0:* LISTEN 3124/sshd
tcp 0 0 :::22 :::* LISTEN 2581/sshd
tcp 0 0 ::1:6010 :::* LISTEN 3124/sshd
[root@c2 ~]# service sshd status
openssh-daemon (pid 2581) is running...
ssh认证方式
基于口令
在这种比较传统的方式下,无论是明文口令还是相当复杂的加密之后的口令,最终都会在网络上传输给远程主机以验证登陆者的身份。当然,这种方式不是ssh认证的推荐方式,在此也不讨论该种方式,重点在基于秘钥的认证。也不重点讨论基于秘钥的认证过程原理,重点讨论如何配置(OpenSSH)基于秘钥的认证。
基于秘钥
简言之,这种方式就是服务端和客户端“对暗号”,而不再是传输口令。至于具体的原理请搜索对称加密算法,比如rsa、dsa。
基本方式就是:发送方用自己的私钥加密数据,接收方用公钥解密数据。
一般情况下,ssh是禁止root用户直接进行远程登录的,都是先用普通用户登录到系统,之后在su到root用户。比如,ubuntu系统默认是禁止root远程登录的。
ssh配置文件
一般在CentOS/RedHat下,ssh服务端和客户端的配置文件都在/etc/ssh/目录下,修改配置之后一般需要重启或重新加载sshd服务的配置。
脚本位置:/etc/init.d/sshd
具体用法:
sshd {start|stop|restart|reload|force-reload|condrestart|try-restart|status}
[root@c2 ~]# tree /etc/ssh/
/etc/ssh/
├── moduli
├── ssh_config # 服务端配置文件
├── sshd_config # 客户端配置文件
├── ssh_host_dsa_key # v2-基于dsa的主机秘钥
├── ssh_host_dsa_key.pub # v2-基于dsa的主机秘钥
├── ssh_host_key # v1
├── ssh_host_key.pub # v1
├── ssh_host_rsa_key # v2-基于rsa的主机秘钥
└── ssh_host_rsa_key.pub# # v2-基于rsa的主机秘钥
sshd_config
以下是部分常用配置
其他具体配置请使用 man sshd_config
# ………………
Port 22 #端口
Protocol 2 #sshd启用的协议版本
AddressFamily any # 支持的ip协议版本,any表示同时支持ipv4h和ipv6
# v1对应的主机秘钥
#HostKey /etc/ssh/ssh_host_key
# v2对应的主机秘钥
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
# 秘钥重新生成的时间间隔,每一小时更换一次“暗号”
KeyRegenerationInterval 1h
# 服务器端秘钥长度
ServerKeyBits 1024
# 登录认证宽限期:2分钟
LoginGraceTime 2m
# 禁用root通过远程登录
PermitRootLogin no
# 是否使用严格模式
StrictModes yes
# 认证失败时允许重试的次数
MaxAuthTries 6
#是否支持基于rsa的秘钥认证
RSAAuthentication yes
#是否支持基于秘钥的认证
PubkeyAuthentication yes
#认证秘钥的存放位置
AuthorizedKeysFile .ssh/authorized_keys
#是否启用基于口令的认证
PasswordAuthentication yes
#是否允许空口令
PermitEmptyPasswords no
# ………………
# ssh远程登录成功后的欢迎语所在文件的路径
#Banner /path/to/some/file
# 是否打印 /etc/motd文件内容
PrintMotd yes
# 是否打印上次登录日志
PrintLastLog yes
# override default of no subsystems
Subsystem sftp /usr/libexec/openssh/sftp-server
#PidFile /var/run/sshd.pid
用户家目录下的配置文件
一般情况下,只要你使用过ssh服务,用户家目录下会生成一个名为 .ssh的目录。
drwx------. 2 root root 4096 Sep 17 15:32 .ssh
并且该目录的权限为700,若该目录是你手动创建,请注意手动修改权限,否则ssh服务可能无法正常使用。
[root@c2 ~]# tree ~/.ssh/
/root/.ssh/
├── authorized_keys #受信任的认证过的主机秘钥信息
├── id_rsa #私钥
├── id_rsa.pub #公钥
└── known_hosts #已知主机
- known_hosts:该文件保存着登录过的已知的主机秘钥信息,文件内容可能如下所示:
c2 ssh-rsa A...Fw==
127.0.0.1 ssh-rsa AAA...oFw==
c3,192.168.110.143 ssh-rsa AAsdfsdf......oFw==
常用命令
ssh
ssh -l <user-name> <host> ['command']
ssh -l root 127.0.0.1 #登录到127.0.0.1
ssh -l root 127.0.0.1 'ifconfig' #发送命令到远程主机执行
ssh <user-name>@<host> ['command']
ssh root@127.0.0.1 #登录到127.0.0.1
ssh root@127.0.0.1 'ifconfig' #发送命令到远程主机执行
scp
顾名思义,就是基于ssh的copy命令。能够实现在主机间传输数据。而且是基于ssh基名传输的。用法和copy命令类型。
scp [option] <src> <dest>
option
-a
-r
-p
scp ~/.bashrc root@c3:/home/tmp.file
该命令既可以当下载命令也可以当上载命令。取决于src和dest的实际意义。
ssh-keygen
该命令用于生成秘钥
ssh-keygen
-t :算法类型 rsa|dsa
-f :生成的秘钥文件
-N :'password'
# 将会在~/.ssh/下生成文件id_rsa(私钥)和id_rsa.pub(公钥)
ssh-keygen -t rsa -f ~/.ssh/id_rsa
ssh-keygen -t rsa #省略-f选项时默认的文件为~/.ssh/id_rsa
ssh-copy-id
专门用于传输公钥的命令
ssh-copy-id -i /path/to/pub-key user@remotehost
ssh-copy-id -i ~/.ssh/id_rsa.pub root@c3
sftp
可以理解为ssh版本的ftp
sftp user@remotehost
应用
ssh免登陆配置
此处以c2主机免登陆c3主机为例
- (1) c2上生成一对秘钥
ssh-keygen -t rsa -f ~/.ssh/id_rsa
- (2) 将公钥传输至服务器端(c3)某用户家目录下
~/.ssh/authorized_keys文件中
方式一:ssh-copy-id
ssh-copy-id -i ~/.ssh/id_rsa.pub root@c3
方式二:scp复制公钥并追加至服务端某用户家目录下~/.ssh/authorized_keys文件中,其实ssh-copy-id命令实际上也是做了类似的事情
- (3) 测试登录
ssh root@c3
