SSH服務的搭建
一、SSH基礎概述
目前SSH的協議版本有兩種,分別是Version1與Version2,其中Version2由於加上了連接檢測的機制,可以避免連接期間被人插入惡意的***碼,因此比Version1還要安全。
SSH服務器與客戶端連接的步驟:
1、服務器建立公鑰文件:每一次啓動sshd服務的時候,該服務會主動的去找/etc/ssh/ssh_host*文件。
2、客戶端主動請求連接(使用SSH等程序來連接)
3、服務器接收到了客戶端的連接請求,服務器就會把取得的公鑰文件發送給客戶端(這個是明碼傳送的)
4、客戶端記錄/比對服務器的公鑰數據及隨機計算自己的公私鈅,因爲客戶端是第一次連接到服務器的時候,就會將服務器的公鑰數據記錄到客戶端的用戶主目錄的~/.ssh/known_host。如果是已經記錄過該服務器的公鑰數據,則客戶端就會去比對此次接收到的與之前的是否有差異。若接收此公鑰數據,則開始計算計算機客戶端自己的公私鈅數據
5、接着,用戶將自己的公鑰傳給服務器,此時的服務器就具有了服務器的私鑰和客戶端的公鑰,而客戶端則具有服務器的公鑰和客戶端自己的私鑰。
6、這時候,當服務器向客戶端傳送數據時,將用戶的公鑰加密後發送,客戶端接收到後,用自己的私鑰來解密,而客戶端發送數據給服務器的時候,將服務器的公鑰加密後進行發送,服務器收到後,利用自己的私鑰來進行解密。
注意:客戶端的密鑰是隨機運算產生於本次連接中的,所以每一次的連接密鑰都可能不一樣。
1、來看一下 /etc/ssh/ssh_host*文件
刪除這些文件,然後重啓SSH服務
二、啓動ssh服務
三、SSHD服務器配置
Sshd服務器的配置文件爲/etc/ssh/sshd_config。
四、技巧
配置免密碼ssh登陸主機
步驟:
1、客戶端建立兩把鑰匙
2、客戶端放置好私鑰文件,也就是把Private Key放在Client上面的用戶的主目錄中,也就是 $HOME/.ssh/
3、將公鑰放置到服務器的正確目錄與文件中:把Public Key放在任何一個你想要登陸的服務器的服務器端的某User用戶主目錄內的.ssh/裏面的認證文件中。
實際演示:
1、我以xue的身份登錄,在客戶端建立兩把鑰匙
按下Enter
按下Enter
可以看到,公鑰和私鑰被放置的目錄
查看一下:
注意:還要注意上面的權限問題。
id_rsa的權限必須是600,且屬於xue自己才行。
2、將公鑰文件數據上傳到服務器
3、將公鑰放置到服務器的正確目錄與文件名
使用mo這個用戶,將剛剛上傳的id_rsa.pub數據附加到authorized_keys這個文件才行。
登錄mo用戶
五、安全設置
對於SSH,一般從以下三方面進行設置
1、服務器本身的設置強化:/etc/ssg/sshd_config
2、TCP Wrapper的使用:/etc/host.allow,/etc/host.deny
3、iptables的使用:iptables.rule,iptables.allow。