前言
SSH是安全的加密協議,用於遠程連接Linux服務器,默認端口是22,安全協議版本是SSH2 。
SSH原理
SSH(遠程連接工具)連接原理:ssh服務是一個守護進程(demon),系統後臺監聽客戶端的連接,ssh服務端的進程名爲sshd,負責實時監聽客戶端的請求(IP 22端口),包括公共祕鑰等交換等信息。
ssh服務端由2部分組成: openssh(提供ssh服務)、openssl(提供加密的程序),主要功能是提供SSH連接和作爲SFTP服務器。
ssh的客戶端:包含ssh連接命令和遠程拷貝scp命令等,可以用 XSHELL,Securecrt, Mobaxterm等工具進行連接。
SSH的工作機制
服務器啓動的時候,自己產生一個密鑰(768bit公鑰),本地的ssh客戶端,發送連接請求到ssh服務器,服務器檢查連接點客戶端發送的數據和IP地址,確認合法後,發送密鑰(768bits)給客戶端,此時客戶端將本地私鑰(256bit),和服務器的公鑰(768bit),結合成密鑰對key(1024bit),發回給服務器端,建立連接,通過key-pair數據傳輸。
SSH的加密技術
加密技術:傳輸過程,數據加密。
- SSH1沒有對客戶端的祕鑰進行校驗,很容易被植入惡意代碼
- SSH2增加了一個確認聯機正確性的Diffe_Hellman機制,每次數據的傳輸,Server都會檢查數據來源的正確性,避免黑客入侵。
SSH2支持RSA和DSA密鑰
- DSA:digital signature Algorithm 數字簽名
- RSA:既可以數字簽名又可以加密
ssh-keygen產生公鑰與私鑰對
ssh-copy-id 將本機的公鑰複製到遠程機器的authorized_keys文件中,ssh-copy-id也能讓你有到遠程機器的home, ~./ssh , 和 ~/.ssh/authorized_keys的權利。
第一步:在本地機器上使用ssh-keygen產生公鑰私鑰對
azdebug_it@azdebug_it:~/$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/azdebug_it/.ssh/id_rsa):
Enter passphrase (empty for no passphrase): [Press enter key
same passphrase again: [Pess enter key]
Your identification has been saved in /home/azdebug_it/.ssh/id_rsa.
Your public key has been saved in /home/azdebug_it/.ssh/id_rsa.pub.
The key fingerprint is:
用cat命令查看是否生成產生公鑰私鑰對
azdebug_it@azdebug_it:~$ cat .ssh/id_rsa.pub
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCl9N5+xboqSIagBx02rdZ2fkROCPW8iW7hl6Gu+2hkBYYy/b1qcOm8RF/AMyas3i0QEK7Hcu9H51l2lulVbS5n9M9FaWIyYzssaS012x2mg9iA6MxPMlaXFsZ5jnVrGicndzf3VUu9kCErp5q0OzzMjsG3PKQevzWZJSBaFgc8NF5ZJ+VT54BN8ktMTHVwOo15I2Uai+bs4eP0NsuwIJmGyYIUOuvTuUtJxGV3hZ+tcjhupupqVCwYOE+cDz8VkFBGtnKsdE69hWoY2VUfEOAfHZptra7Ce9dXfDgx9jxuuNiJYtGo/bZDfe+UJ5HUv8wrL+hFeRIihdmP2CKJD8j5 azdebug_it@azdebug_it
第二步:用ssh-copy-id將公鑰複製到遠程機器中
azdebug_it@azdebug_it:~$ ssh-copy-id -i .ssh/id_rsa.pub [email protected]
注意: ssh-copy-id 將key寫到遠程機器的 ~/ .ssh/authorized_key.文件中
第三步: 登錄到遠程機器不用輸入密碼
azdebug_it@azdebug_it:~$ ssh [email protected]
Last login: Sun Nov 16 17:22:33 2008 from 192.168.16.16
常見問題:
ssh-copy-id -u fleapx -i ~/fleapx/.ssh/id_rsa.pub ssh [email protected]
#第一次需要密碼登錄
上述是給fleapx用戶,賦予無密碼登陸的權利。
ssh-copy-id命令
ssh-copy-id命令可以把本地主機的公鑰複製到遠程主機的authorized_keys文件上,
ssh-copy-id命令也會給遠程主機的用戶主目錄(home)和~/.ssh, 和~/.ssh/authorized_keys設置合適的權限。
ssh-copy-id命令可以把本地的ssh公鑰文件安裝到遠程主機對應的賬戶下的authorized_keys文件中。
使用模式:
ssh-copy-id [-i [identity_file]] [user@]machine
描述:ssh-copy-id 是一個實用ssh去登陸到遠程服務器的腳本(假設使用一個登陸密碼,因此,密碼認證應該被激活,直到你已經清理了做了多個身份的使用)。
它也能夠改變遠程用戶名的權限,如,~/.ssh和~/.ssh/authorized_keys刪除羣組寫的權限(在其它方面,如果遠程機上的sshd,在它的配置文件中是嚴格模式的話,這能夠阻止你登陸。)。
如果這個 “-i”選項已經給出了,然後這個認證文件(默認是~/.ssh/id_rsa.pub)被使用,不管在你的ssh-agent那裏是否有任何密鑰。
另外,命令 “ssh-add -L” 提供任何輸出,它使用這個輸出優先於身份認證文件。
如果給出了參數“-i”選項,或者ssh-add不產生輸出,然後它使用身份認證文件的內容。一旦它有一個或者多個指紋,它使用ssh,將這些指紋填充到遠程機~/.ssh/authorized_keys文件中。
/usr/bin/ssh-copy-id: ERROR: No identities found
使用選項 -i ,當沒有值傳遞的時候,或者如果 ~/.ssh/identity.pub 文件不可訪問(不存在), ssh-copy-id 將顯示上述的錯誤信息( -i選項會優先使用將ssh-add -L的內容)
ssh遠程執行命令方法
複製SSH密鑰到目標主機,開啓無密碼SSH登錄
cd /root
ssh-keygen -t rsa
# 接下來一路回車到底
ssh-copy-id -i ~/.ssh/id_rsa.pub root@node01
ssh-copy-id -i ~/.ssh/id_rsa.pub root@node02
ssh-copy-id -i ~/.ssh/id_rsa.pub root@node03
從某主機的9906端口開啓到本地主機3306端口的隧道
#ssh -N -L 9906:localhost:3306 [email protected]
ssh -L 9906:10.1.0.2:3306 [email protected]
ssh -f -N -L 9906:10.1.0.2:3306 [email protected]
ssh -f -N -L 10.1.0.1:9906:10.1.0.2:3306 [email protected]
現在你可以直接在瀏覽器中輸入http://localhost:9906訪問這個網站。
優秀鏈接:ssh端口轉發:ssh隧道
將你的麥克風輸出到遠程計算機的揚聲器
dd if=/dev/dsp | ssh -c arcfour -C username@host dd of=/dev/dsp
這樣來自你麥克風端口的聲音將在SSH目標計算機的揚聲器端口輸出,但遺憾的是,聲音質量很差,你會聽到很多嘶嘶聲。
比較遠程和本地文件
ssh user@host cat /path/to/remotefile | diff /path/to/localfile –
在比較本地文件和遠程文件是否有差異時這個命令很管用。
通過SSH掛載目錄/文件系統
sshfs name@server:/path/to/folder /path/to/mount/point
從http://fuse.sourceforge.net/sshfs.html下載sshfs,它允許你跨網絡安全掛載一個目錄。
通過中間主機建立SSH連接
ssh -t reachable_host ssh unreachable_host
Unreachable_host表示從本地網絡無法直接訪問的主機,但可以從reachable_host所在網絡訪問,這個命令通過到reachable_host的“隱藏”連接,創建起到unreachable_host的連接。
直接連接到只能通過主機B連接的主機A
ssh -t hostA ssh hostB
當然,你要能訪問主機A纔行。
創建到目標主機的持久化連接
ssh -MNf <user>@<host>
在後臺創建到目標主機的持久化連接,將這個命令和你~/.ssh/config中的配置結合使用:
Host host
ControlPath ~/.ssh/master-%r@%h:%p
ControlMaster no
所有到目標主機的SSH連接,都將使用持久化SSH套接字,如果你使用SSH定期同步文件(使用rsync/sftp/cvs/svn),這個命令將非常有用,因爲每次打開一個SSH連接時,不會創建新的套接字。
通過SSH連接屏幕
ssh -t remote_host screen –r
laptop> ssh server.com screen -ls
#它會顯示在server.com上可用的屏幕列表像這樣[1]:
123.foo
456.bar
#登錄到server.com並做
screen -S foo
#然後再不再註銷該會話。
#要從別處重新連接,請執行
ssh -t server.com screen -dr foo
#要列出可用屏幕以進行重新對比:
screen -ls
#或者,當然,
ssh server.com screen -ls
直接連接到遠程屏幕會話(節省了無用的父bash進程)。
端口檢測(敲門)
knock <host> 3000 4000 5000 && ssh -p <port> user@host && knock <host> 5000 4000 3000
在一個端口上,敲一下,打開某個服務的端口(如SSH),再敲一下關閉該端口,需要先安裝knockd,下面是一個配置文件示例。
[options]
logfile = /var/log/knockd.log
[openSSH]
sequence = 3000,4000,5000
seq_timeout = 5
command = /sbin/iptables -A INPUT -i eth0 -s %IP% -p tcp –dport 22 -j ACCEPT
tcpflags = syn
[closeSSH]
sequence = 5000,4000,3000
seq_timeout = 5
command = /sbin/iptables -D INPUT -i eth0 -s %IP% -p tcp –dport 22 -j ACCEPT
tcpflags = syn
清除原有舊ssh密鑰方法
#ssh-keygen -R <the_offending_host>
#比如我們要將 的公鑰信息清除,使用命令(請自己將 替換成自己的IP或域名):
ssh-keygen -f "/root/.ssh/known_hosts" -R 192.168.0.1
#其中 -f filename 指定密鑰文件名。
# -R hostname 從 known_hosts 文件中刪除所有屬於 hostname 的密鑰。
在這種情況下,最好使用專業的工具。
通過SSH運行,執行復雜的遠程shell命令
ssh 172.16.8.33 -l user $(<cmd.txt)
#更具移植性的版本:
ssh 172.16.8.33 -l user “`cat cmd.txt`”
ssh 172.16.8.33 -l root
替代方案:使用expect+bash shell,在ssshHost.sh腳本中封裝expect的ssh登錄自動填充密碼功能。
- 使用expect的自動填充密碼功能+interact交互功能。
- 將(hostIp, connectionStr)寫入配置文本或者直接在shell腳本作爲字典。
- shell讀取用戶輸入hostIp,匹配出connectionStr,調用expect進行ssh登錄,相關操作完成後ctrl+d退出。
通過SSH將MySQL數據庫複製到新服務器(遷移數據庫最快的方法)
mysqldump –add-drop-table –extended-insert –force –log-error=error.log -uUSER -pPASS OLD_DB_NAME | ssh -C user@newhost “mysql -uUSER -pPASS NEW_DB_NAME”
通過壓縮的SSH隧道,Dump一個MySQL數據庫,將其作爲輸入傳遞給mysql命令,遷移數據庫到新服務器最快最好的方法。
刪除文本文件中的一行,修復“SSH主機密鑰更改”的警告
sed -i 8d ~/.ssh/known_hosts
從一臺沒有SSH-COPY-ID命令的主機,將你的SSH公鑰複製到服務器。
cat ~/.ssh/id_rsa.pub | ssh user@machine “mkdir ~/.ssh; cat >> ~/.ssh/authorized_keys”
如果你使用Mac OS X,或其它沒有ssh-copy-id命令的*nix變種,這個命令可以將你的公鑰複製到遠程主機,因此你照樣可以實現無密碼SSH登錄。
實時SSH網絡吞吐量測試
rpm -ivh pv-1.6.0-1.x86_64.rpm
tar -cf - --exclude=.snapshot *| pv -s $(du -sb . | awk '{print $1}') |tar -xf - -C /nas_ipr_new
yes | pv | ssh 172.16.8.13 "cat > /dev/null"
通過SSH連接到主機,顯示實時的傳輸速度,將所有傳輸數據指向/dev/null,需要先安裝pv。
#如果是Debian:
apt-get install pv
#如果是Fedora:
yum install pv
(可能需要啓用額外的軟件倉庫)。
如果建立一個可以重新連接的遠程GNU screen
ssh -t [email protected] /usr/bin/screen –xRR
人們總是喜歡在一個文本終端中打開許多shell,如果會話突然中斷,或你按下了“Ctrl-a d”,遠程主機上的shell不會受到絲毫影響,你可以重新連接,其它有用的screen命令有“Ctrl-a c”(打開新的shell)和“Ctrl-a a”(在shell之間來回切換),請訪問http://aperiodic.net/screen/quick_reference閱讀更多關於screen命令的快速參考。
繼續SCP大文件
rsync –partial –progress –rsh=ssh $file_source $user@$host:$destination_file
#它可以恢復失敗的rsync命令,當你通過VPN傳輸大文件,如備份的數據庫時這個命令非常有用,需要在兩邊的主機上安裝rsync。
rsync –partial –progress –rsh=ssh $file_source $user@$host:$destination_file local -> remote
#或
rsync –partial –progress –rsh=ssh $user@$host:$remote_file $destination_file remote -> local
通過SSH W/ WIRESHARK分析流量
ssh [email protected] ‘tshark -f “port !22″ -w -' | wireshark -k -i –
#使用tshark捕捉遠程主機上的網絡通信,通過SSH連接發送原始pcap數據,並在wireshark中顯示,
#按下Ctrl+C將停止捕捉,但也會關閉wireshark窗口,
#可以傳遞一個“-c #”參數給tshark,讓它只捕捉“#”指定的數據包類型,
#或通過命名管道重定向數據,而不是直接通過SSH傳輸給wireshark,
#建議你過濾數據包,以節約帶寬,tshark可以使用tcpdump替代:
ssh [email protected] tcpdump -w – ‘port !22′ | wireshark -k -i –
保持SSH會話永久打開
autossh -M50000 -t server.example.com ‘screen -raAd mysession’
打開一個SSH會話後,讓其保持永久打開,對於使用筆記本電腦的用戶,如果需要在Wi-Fi熱點之間切換,可以保證切換後不會丟失連接。
更穩定,更快,更強的SSH客戶端
ssh -4 -C -c blowfish-cbc
強制使用IPv4,壓縮數據流,使用Blowfish加密。
使用cstream控制帶寬
tar -cj /backup | cstream -t 777k | ssh host ‘tar -xj -C /backup’
使用bzip壓縮文件夾,然後以777k bit/s速率向遠程主機傳輸。Cstream還有更多的功能,請訪問http://www.cons.org/cracauer/cstream.html#usage瞭解詳情,例如:
echo w00t, i’m 733+ | cstream -b1 -t2
一步將SSH公鑰傳輸到另一臺機器
ssh-keygen; ssh-copy-id user@host; ssh user@host
這個命令組合允許你無密碼SSH登錄,注意,如果在本地機器的~/.ssh目錄下,已經有一個SSH密鑰對,ssh-keygen命令生成的新密鑰可能會覆蓋它們,ssh-copy-id將密鑰複製到遠程主機,並追加到遠程賬號的~/.ssh/authorized_keys文件中,使用SSH連接時,如果你沒有使用密鑰口令,調用ssh user@host後不久就會顯示遠程shell。
將標準輸入(stdin)複製到你的X11緩衝區
ssh user@host cat /path/to/some/file | xclip
你是否使用scp,將文件複製到工作用電腦上,以便複製其內容到電子郵件中?xclip可以幫到你,它可以將標準輸入複製到X11緩衝區,你需要做的就是,點擊鼠標中鍵粘貼緩衝區中的內容。
yum install xclip
#終端輸出保存到剪切板中
ls -al | xclip
此時ls -al的輸出內容,已經保存在剪切板中了,此時xclip -o可以看到剪切板的內容。
但此時還不可以粘貼到終端以外的程序中,此時需要用到:
#xclip -selection c
ls -al | xclip -selection c
#文件內容複製到剪切板中
xclip /etc/apt/sources.list
xclip -selection c /etc/apt/sources.list
#剪切板內容輸出到終端
xclip -o
xclip -selection c -o
#剪切板內容輸出到文件
xclip -o > ~/test.txt
xclip -selection c -o > ~/test.txt
如何防止SSH登錄入侵
如何判斷自己正在遭受ssh暴力破解
打開ssh的調測進行觀察
ssh -vvv [email protected]
或者ssh登錄服務器後,使用lastb命令。
#首次運行lastb命令會報下的錯誤:
#lastb: /var/log/btmp: No such file or directory
#Perhaps this file was removed by the operator to prevent logging lastb info.
#只需建立這個不存在的文件即可。
$#touch /var/log/btmp
#使用ssh的登錄失敗不會記錄在btmp文件中。
$#lastb | head
root ssh:notty 110.84.129.3 Tue Dec 17 06:19 - 06:19 (00:00)
root ssh:notty 110.84.129.3 Tue Dec 17 04:05 - 04:05 (00:00)
root ssh:notty 110.84.129.3 Tue Dec 17 01:52 - 01:52 (00:00)
root ssh:notty 110.84.129.3 Mon Dec 16 23:38 - 23:38 (00:00)
leonob ssh:notty 222.211.85.18 Mon Dec 16 22:18 - 22:18 (00:00)
leonob ssh:notty 222.211.85.18 Mon Dec 16 22:18 - 22:18 (00:00)
root ssh:notty 110.84.129.3 Mon Dec 16 21:25 - 21:25 (00:00)
root ssh:notty 110.84.129.3 Mon Dec 16 19:12 - 19:12 (00:00)
root ssh:notty 110.84.129.3 Mon Dec 16 17:00 - 17:00 (00:00)
admin ssh:notty 129.171.193.99 Mon Dec 16 16:52 - 16:52 (00:00)
命令會顯示最近錯誤登錄的日誌,包括通過ssh服務錯誤登錄的日誌,如果得到和上方顯示差不多的情況,出現大量的輸出,說明你的服務器,正在遭受黑客們的暴力破解。
如何防範暴力破解
修改遠程登錄端口
修改/etc/ssh/sshd_config文件中的Port ,將前方的#註釋刪除,並將22修改爲你想要使用遠程登錄的端口,例如35678。
在防火牆上添加運行端口:
iptables -I INPUT -p tcp --dport 35678 -j ACCEPT
如果您使用的ubuntu系統並使用ufw,可以使用命令:
sudo ufw allow 35678
如果您使用CentOS7系統並使用firewalld,可以使用命令:
firewall-cmd --zone=public --add-port=35678/tcp --permanent
如果是使用雲服務器,雲服務商有提供外部防火牆,例如阿里雲的安全組的情況下,還要在外部的安全組中,修改允許tcp端口35678端口的策略。
#最後使用
serivce sshd restart
#CentOS7用戶使用
systemctl restart sshd
#重啓sshd服務即可。
重啓服務之後,登錄服務器,都需要輸入指定的遠程端口,才能夠登錄服務器,大大降低了黑客攻擊服務器的概率。
限制登錄IP
如果你的公司,或者常常需要登錄服務器的工作網絡環境,擁有固定的IP地址時,限制登錄IP地址,就可以很好的保護服務器免受黑客攻擊。如果沒有上述的條件,我們也可以通過搭建堡壘機,將所有服務器都設置爲允許堡壘機的IP地址,登錄即可保護您的服務器。
操作起來相當簡單,首先在/etc/hosts.allow中加入如下信息:
sshd:172.16.*.*
這條信息,表示sshd服務,允許向IP地址爲172.16開頭的IP地址提供服務。
其次在/etc/hosts.deny中加入如下信息:
sshd:all:deny
這條信息,表示sshd服務不允許,向所有IP地址提供服務。
如此一來服務器將只有指定的IP地址可以訪問。
使用非root用戶登錄
禁止root用戶登錄,並且設置,允許其他用戶登錄後,切換至root進行操作。這樣黑客,如果想要通過ssh登錄服務器,除了密碼之外,首先他還需要知道服務器允許登錄的用戶,這樣將大大降低黑客攻破ssh的可能性。
在服務器內創建一個用戶
首先,在服務器內創建一個用戶,fleapx:useradd fleapx
並且設置密碼:passwd fleapx,當然密碼需要儘量複雜。
允許此用戶,能夠以root用戶身份運行命令
接下來我們需要允許此用戶,能夠以root用戶身份運行命令。
使用visudo命令進入文本編輯模式,於92行附近
[root@localhost ~]# visudo
#然後在文件的最後面加入三行:
User_Alias USER_SU = test, test1
Cmnd_Alias SU = /bin/su
USER_SU ALL=(ALL) NOPASSWD: SU
ALL=(ALL) NOPASSWD:ALL
#或者下面三行:
User_Alias USER_SU = test, test1
#Cmnd_Alias SU = /bin/su
USER_SU ALL=(ALL) NOPASSWD: /bin/su
添加紅色字體信息:"ALL=(ALL) NOPASSWD:ALL",保存退出後可以驗證一下。
驗證
- 首先使用su fleapx切換至fleapx用戶,接下來,我們可以使用sudo su - 命令切換到root用戶。
- 同樣,我們也可以通過遠程登錄方式驗證,使用ssh客戶端,以fleapx用戶登錄系統後,再使用sudo su -命令進行切換。
- 再設置,可以通過fleapx用戶,登錄系統,並能夠自由切換至管理員用戶操作後,我們需要禁止root用戶,通過遠程方式登錄系統。
在/etc/ssh/sshd_config文件內添加“PermitRootLoginno”,後重啓sshd服務。啓動後,root用戶,就將無法通過ssh服務,直接連接到服務器。
總結
SSH在linux中是非常常用的工具,通過SSH客戶端我們可以連接到運行了SSH服務器的遠程機器上,也就是說,我們可以通過ssh來遠程控制我們的電腦或者服務器。那麼ssh協議的優點就是數據傳輸是加密的,可以防止信息泄露,而且數據傳輸是壓縮的,可以提高傳輸速度。
當然,在方便同時,還存在黑客通過ssh暴力破解登錄服務器的情況,例如使用密鑰登錄服務器等,總結以下6條防止SSH登錄入侵及被破解的方法技術。
1、用密鑰登錄,不用密碼登陸
2、牤牛陣法:解決SSH安全問題
a.防火牆封閉SSH,指定源IP限制(局域網、信任公網)
b.開啓SSH只監聽本地內網IP(ListenAddress 172.16.1.61)。
3、儘量不給服務器外網IP
4、最小化(軟件安裝-授權)
5、給系統的重要文件或命令做一個指紋
6、保護Linux系統文件被篡改,加上給他鎖命令 chattr +i +a
附註:他鎖命令詳解
#鎖定文件的格式(文件將無法被修改、追加和刪除)
$# chattr +i aaa.txt
#解鎖文件的格式(文件將可以被修改、追加和刪除)
$# chattr -i aaa.txt
#鎖定文件後僅可追加內容的格式(文件將無法被修改和刪除,但是可以被追加新內容)
$# chattr +a aaa.txt
#解鎖文件只可被追加內容的格式(文件將取消無法被修改和刪除,但紅四可以被追加新內容的狀態)
$# chattr -a aaa.txt
# 使用 (-R 遞歸地修改目錄以及其下內容的屬性) , 即可保護好directory目錄下的所有內容.
# 設置了’i’屬性的文件不能進行修改,只有超級用戶可以設置或清除該屬性.
$#chattr -R +i directory/
但保護整個業務系統的安全,最爲重要的不是幾個技術點,而是在結構設計的時候,就預先考慮到安全的因素,例如不需要向公網提供服務的服務器,就不設置公網IP地址,配置安全可靠的堡壘機。