ssh-keygen產生公鑰與私鑰對，及密鑰分發，ssh遠程執行常用命令方法，和如何防止SSH登錄入侵或被破解

前言 

SSH是安全的加密協議，用於遠程連接Linux服務器，默認端口是22，安全協議版本是SSH2 。

SSH原理

SSH(遠程連接工具)連接原理：ssh服務是一個守護進程(demon)，系統後臺監聽客戶端的連接，ssh服務端的進程名爲sshd，負責實時監聽客戶端的請求(IP 22端口)，包括公共祕鑰等交換等信息。

ssh服務端由2部分組成： openssh(提供ssh服務)、openssl(提供加密的程序)，主要功能是提供SSH連接和作爲SFTP服務器。

ssh的客戶端：包含ssh連接命令和遠程拷貝scp命令等，可以用 XSHELL，Securecrt, Mobaxterm等工具進行連接。

SSH的工作機制 

服務器啓動的時候，自己產生一個密鑰(768bit公鑰)，本地的ssh客戶端，發送連接請求到ssh服務器，服務器檢查連接點客戶端發送的數據和IP地址，確認合法後，發送密鑰(768bits)給客戶端，此時客戶端將本地私鑰(256bit)，和服務器的公鑰(768bit)，結合成密鑰對key(1024bit)，發回給服務器端，建立連接，通過key-pair數據傳輸。       

SSH的加密技術

加密技術：傳輸過程，數據加密。            

• SSH1沒有對客戶端的祕鑰進行校驗，很容易被植入惡意代碼
• SSH2增加了一個確認聯機正確性的Diffe_Hellman機制，每次數據的傳輸，Server都會檢查數據來源的正確性，避免黑客入侵。                   

SSH2支持RSA和DSA密鑰   

• DSA:digital signature Algorithm  數字簽名
• RSA:既可以數字簽名又可以加密 

ssh-keygen產生公鑰與私鑰對

ssh-copy-id 將本機的公鑰複製到遠程機器的authorized_keys文件中，ssh-copy-id也能讓你有到遠程機器的home, ~./ssh , 和 ~/.ssh/authorized_keys的權利。

第一步:在本地機器上使用ssh-keygen產生公鑰私鑰對

azdebug_it@azdebug_it:~/$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/azdebug_it/.ssh/id_rsa):
Enter passphrase (empty for no passphrase): [Press enter key
same passphrase again: [Pess enter key]
Your identification has been saved in /home/azdebug_it/.ssh/id_rsa.
Your public key has been saved in /home/azdebug_it/.ssh/id_rsa.pub.
The key fingerprint is:

用cat命令查看是否生成產生公鑰私鑰對

azdebug_it@azdebug_it:~$ cat .ssh/id_rsa.pub
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCl9N5+xboqSIagBx02rdZ2fkROCPW8iW7hl6Gu+2hkBYYy/b1qcOm8RF/AMyas3i0QEK7Hcu9H51l2lulVbS5n9M9FaWIyYzssaS012x2mg9iA6MxPMlaXFsZ5jnVrGicndzf3VUu9kCErp5q0OzzMjsG3PKQevzWZJSBaFgc8NF5ZJ+VT54BN8ktMTHVwOo15I2Uai+bs4eP0NsuwIJmGyYIUOuvTuUtJxGV3hZ+tcjhupupqVCwYOE+cDz8VkFBGtnKsdE69hWoY2VUfEOAfHZptra7Ce9dXfDgx9jxuuNiJYtGo/bZDfe+UJ5HUv8wrL+hFeRIihdmP2CKJD8j5 azdebug_it@azdebug_it

第二步:用ssh-copy-id將公鑰複製到遠程機器中

azdebug_it@azdebug_it:~$  ssh-copy-id -i .ssh/id_rsa.pub  [email protected]

注意: ssh-copy-id 將key寫到遠程機器的 ~/ .ssh/authorized_key.文件中

第三步: 登錄到遠程機器不用輸入密碼

azdebug_it@azdebug_it:~$  ssh [email protected]
Last login: Sun Nov 16 17:22:33 2008 from 192.168.16.16

常見問題：

ssh-copy-id -u fleapx -i ~/fleapx/.ssh/id_rsa.pub ssh [email protected]
#第一次需要密碼登錄

上述是給fleapx用戶,賦予無密碼登陸的權利。

ssh-copy-id命令

ssh-copy-id命令可以把本地主機的公鑰複製到遠程主機的authorized_keys文件上，
ssh-copy-id命令也會給遠程主機的用戶主目錄（home）和~/.ssh, 和~/.ssh/authorized_keys設置合適的權限。

ssh-copy-id命令可以把本地的ssh公鑰文件安裝到遠程主機對應的賬戶下的authorized_keys文件中。

使用模式：

ssh-copy-id [-i [identity_file]] [user@]machine

描述：ssh-copy-id 是一個實用ssh去登陸到遠程服務器的腳本（假設使用一個登陸密碼，因此，密碼認證應該被激活，直到你已經清理了做了多個身份的使用）。
它也能夠改變遠程用戶名的權限，如，~/.ssh和~/.ssh/authorized_keys刪除羣組寫的權限（在其它方面，如果遠程機上的sshd，在它的配置文件中是嚴格模式的話，這能夠阻止你登陸。）。

如果這個 “-i”選項已經給出了，然後這個認證文件（默認是~/.ssh/id_rsa.pub）被使用，不管在你的ssh-agent那裏是否有任何密鑰。
另外，命令 “ssh-add -L” 提供任何輸出，它使用這個輸出優先於身份認證文件。

如果給出了參數“-i”選項，或者ssh-add不產生輸出，然後它使用身份認證文件的內容。一旦它有一個或者多個指紋，它使用ssh，將這些指紋填充到遠程機~/.ssh/authorized_keys文件中。

/usr/bin/ssh-copy-id: ERROR: No identities found

使用選項 -i ，當沒有值傳遞的時候，或者如果 ~/.ssh/identity.pub 文件不可訪問（不存在）, ssh-copy-id 將顯示上述的錯誤信息（ -i選項會優先使用將ssh-add -L的內容）

ssh遠程執行命令方法

複製SSH密鑰到目標主機，開啓無密碼SSH登錄

cd /root
ssh-keygen -t rsa
# 接下來一路回車到底
ssh-copy-id -i ~/.ssh/id_rsa.pub root@node01
ssh-copy-id -i ~/.ssh/id_rsa.pub root@node02
ssh-copy-id -i ~/.ssh/id_rsa.pub root@node03

從某主機的9906端口開啓到本地主機3306端口的隧道

#ssh -N -L 9906:localhost:3306 [email protected]
ssh -L 9906:10.1.0.2:3306 [email protected]
ssh -f -N -L 9906:10.1.0.2:3306 [email protected]
ssh -f -N -L 10.1.0.1:9906:10.1.0.2:3306 [email protected]

現在你可以直接在瀏覽器中輸入http://localhost:9906訪問這個網站。

優秀鏈接：ssh端口轉發：ssh隧道

將你的麥克風輸出到遠程計算機的揚聲器

dd if=/dev/dsp | ssh -c arcfour -C username@host dd of=/dev/dsp

這樣來自你麥克風端口的聲音將在SSH目標計算機的揚聲器端口輸出，但遺憾的是，聲音質量很差，你會聽到很多嘶嘶聲。

比較遠程和本地文件

ssh user@host cat /path/to/remotefile | diff /path/to/localfile –

在比較本地文件和遠程文件是否有差異時這個命令很管用。

通過SSH掛載目錄/文件系統

sshfs name@server:/path/to/folder /path/to/mount/point

從http://fuse.sourceforge.net/sshfs.html下載sshfs，它允許你跨網絡安全掛載一個目錄。

通過中間主機建立SSH連接

ssh -t reachable_host ssh unreachable_host

Unreachable_host表示從本地網絡無法直接訪問的主機，但可以從reachable_host所在網絡訪問，這個命令通過到reachable_host的“隱藏”連接，創建起到unreachable_host的連接。

直接連接到只能通過主機B連接的主機A

ssh -t hostA ssh hostB

當然，你要能訪問主機A纔行。

創建到目標主機的持久化連接

ssh -MNf <user>@<host>

在後臺創建到目標主機的持久化連接，將這個命令和你~/.ssh/config中的配置結合使用：

Host host
ControlPath ~/.ssh/master-%r@%h:%p
ControlMaster no

所有到目標主機的SSH連接，都將使用持久化SSH套接字，如果你使用SSH定期同步文件（使用rsync/sftp/cvs/svn），這個命令將非常有用，因爲每次打開一個SSH連接時，不會創建新的套接字。

通過SSH連接屏幕

ssh -t remote_host screen –r

laptop> ssh server.com screen -ls
#它會顯示在server.com上可用的屏幕列表像這樣[1]：
123.foo
456.bar
#登錄到server.com並做
screen -S foo
#然後再不再註銷該會話。
#要從別處重新連接，請執行
ssh -t server.com screen -dr foo
#要列出可用屏幕以進行重新對比：
screen -ls
#或者，當然，
ssh server.com screen -ls

直接連接到遠程屏幕會話（節省了無用的父bash進程）。

端口檢測（敲門）

knock <host> 3000 4000 5000 && ssh -p <port> user@host && knock <host> 5000 4000 3000

在一個端口上，敲一下，打開某個服務的端口（如SSH），再敲一下關閉該端口，需要先安裝knockd，下面是一個配置文件示例。

[options]
logfile = /var/log/knockd.log
[openSSH]
sequence = 3000,4000,5000
seq_timeout = 5
command = /sbin/iptables -A INPUT -i eth0 -s %IP% -p tcp –dport 22 -j ACCEPT
tcpflags = syn
[closeSSH]
sequence = 5000,4000,3000
seq_timeout = 5
command = /sbin/iptables -D INPUT -i eth0 -s %IP% -p tcp –dport 22 -j ACCEPT
tcpflags = syn

清除原有舊ssh密鑰方法

#ssh-keygen -R <the_offending_host>
#比如我們要將 的公鑰信息清除，使用命令（請自己將 替換成自己的IP或域名）：
ssh-keygen -f  "/root/.ssh/known_hosts" -R 192.168.0.1
#其中 -f filename     指定密鑰文件名。
#     -R hostname   從 known_hosts 文件中刪除所有屬於 hostname 的密鑰。

在這種情況下，最好使用專業的工具。

通過SSH運行，執行復雜的遠程shell命令

ssh 172.16.8.33 -l user $(<cmd.txt)
#更具移植性的版本：
ssh 172.16.8.33 -l user “`cat cmd.txt`”
ssh 172.16.8.33 -l root

替代方案：使用expect+bash shell，在ssshHost.sh腳本中封裝expect的ssh登錄自動填充密碼功能。

1. 使用expect的自動填充密碼功能+interact交互功能。
2. 將(hostIp, connectionStr)寫入配置文本或者直接在shell腳本作爲字典。
3. shell讀取用戶輸入hostIp，匹配出connectionStr，調用expect進行ssh登錄，相關操作完成後ctrl+d退出。

通過SSH將MySQL數據庫複製到新服務器（遷移數據庫最快的方法）

mysqldump –add-drop-table –extended-insert –force –log-error=error.log -uUSER -pPASS OLD_DB_NAME | ssh -C user@newhost “mysql -uUSER -pPASS NEW_DB_NAME”

通過壓縮的SSH隧道，Dump一個MySQL數據庫，將其作爲輸入傳遞給mysql命令，遷移數據庫到新服務器最快最好的方法。

刪除文本文件中的一行，修復“SSH主機密鑰更改”的警告

sed -i 8d ~/.ssh/known_hosts

從一臺沒有SSH-COPY-ID命令的主機，將你的SSH公鑰複製到服務器。

cat ~/.ssh/id_rsa.pub | ssh user@machine “mkdir ~/.ssh; cat >> ~/.ssh/authorized_keys”

如果你使用Mac OS X，或其它沒有ssh-copy-id命令的*nix變種，這個命令可以將你的公鑰複製到遠程主機，因此你照樣可以實現無密碼SSH登錄。

實時SSH網絡吞吐量測試

rpm -ivh pv-1.6.0-1.x86_64.rpm
tar -cf - --exclude=.snapshot *| pv -s $(du -sb . | awk '{print $1}') |tar -xf - -C /nas_ipr_new
yes | pv | ssh 172.16.8.13  "cat > /dev/null"

通過SSH連接到主機，顯示實時的傳輸速度，將所有傳輸數據指向/dev/null，需要先安裝pv。

#如果是Debian：
apt-get install pv
#如果是Fedora：
yum install pv

（可能需要啓用額外的軟件倉庫）。

如果建立一個可以重新連接的遠程GNU screen

ssh -t [email protected] /usr/bin/screen –xRR

人們總是喜歡在一個文本終端中打開許多shell，如果會話突然中斷，或你按下了“Ctrl-a d”，遠程主機上的shell不會受到絲毫影響，你可以重新連接，其它有用的screen命令有“Ctrl-a c”（打開新的shell）和“Ctrl-a a”（在shell之間來回切換），請訪問http://aperiodic.net/screen/quick_reference閱讀更多關於screen命令的快速參考。

繼續SCP大文件

rsync –partial –progress –rsh=ssh $file_source $user@$host:$destination_file
#它可以恢復失敗的rsync命令，當你通過VPN傳輸大文件，如備份的數據庫時這個命令非常有用，需要在兩邊的主機上安裝rsync。
rsync –partial –progress –rsh=ssh $file_source $user@$host:$destination_file local -> remote
#或
rsync –partial –progress –rsh=ssh $user@$host:$remote_file $destination_file remote -> local

通過SSH W/ WIRESHARK分析流量

ssh [email protected] ‘tshark -f “port !22″ -w -' | wireshark -k -i –
#使用tshark捕捉遠程主機上的網絡通信，通過SSH連接發送原始pcap數據，並在wireshark中顯示，
#按下Ctrl+C將停止捕捉，但也會關閉wireshark窗口，
#可以傳遞一個“-c #”參數給tshark，讓它只捕捉“#”指定的數據包類型，
#或通過命名管道重定向數據，而不是直接通過SSH傳輸給wireshark，
#建議你過濾數據包，以節約帶寬，tshark可以使用tcpdump替代：
ssh [email protected] tcpdump -w – ‘port !22′ | wireshark -k -i –

保持SSH會話永久打開

autossh -M50000 -t server.example.com ‘screen -raAd mysession’

打開一個SSH會話後，讓其保持永久打開，對於使用筆記本電腦的用戶，如果需要在Wi-Fi熱點之間切換，可以保證切換後不會丟失連接。

更穩定，更快，更強的SSH客戶端

ssh -4 -C -c blowfish-cbc

強制使用IPv4，壓縮數據流，使用Blowfish加密。

使用cstream控制帶寬

tar -cj /backup | cstream -t 777k | ssh host ‘tar -xj -C /backup’

使用bzip壓縮文件夾，然後以777k bit/s速率向遠程主機傳輸。Cstream還有更多的功能，請訪問http://www.cons.org/cracauer/cstream.html#usage瞭解詳情，例如：

echo w00t, i’m 733+ | cstream -b1 -t2

一步將SSH公鑰傳輸到另一臺機器

ssh-keygen; ssh-copy-id user@host; ssh user@host

這個命令組合允許你無密碼SSH登錄，注意，如果在本地機器的~/.ssh目錄下，已經有一個SSH密鑰對，ssh-keygen命令生成的新密鑰可能會覆蓋它們，ssh-copy-id將密鑰複製到遠程主機，並追加到遠程賬號的~/.ssh/authorized_keys文件中，使用SSH連接時，如果你沒有使用密鑰口令，調用ssh user@host後不久就會顯示遠程shell。

將標準輸入（stdin）複製到你的X11緩衝區

ssh user@host cat /path/to/some/file | xclip

你是否使用scp，將文件複製到工作用電腦上，以便複製其內容到電子郵件中？xclip可以幫到你，它可以將標準輸入複製到X11緩衝區，你需要做的就是，點擊鼠標中鍵粘貼緩衝區中的內容。

yum install xclip
#終端輸出保存到剪切板中
ls -al | xclip

此時ls -al的輸出內容，已經保存在剪切板中了，此時xclip -o可以看到剪切板的內容。
但此時還不可以粘貼到終端以外的程序中，此時需要用到：

#xclip -selection c 
ls -al | xclip -selection c
#文件內容複製到剪切板中
xclip /etc/apt/sources.list
xclip -selection c /etc/apt/sources.list
#剪切板內容輸出到終端
xclip -o
xclip -selection c -o
#剪切板內容輸出到文件
xclip -o > ~/test.txt
xclip -selection c -o > ~/test.txt

如何防止SSH登錄入侵

如何判斷自己正在遭受ssh暴力破解

打開ssh的調測進行觀察

ssh -vvv  [email protected]

或者ssh登錄服務器後，使用lastb命令。

#首次運行lastb命令會報下的錯誤：

#lastb: /var/log/btmp: No such file or directory
#Perhaps this file was removed by the operator to prevent logging lastb info.
#只需建立這個不存在的文件即可。

$#touch /var/log/btmp
#使用ssh的登錄失敗不會記錄在btmp文件中。

$#lastb | head
root ssh:notty 110.84.129.3 Tue Dec 17 06:19 - 06:19 (00:00)
root ssh:notty 110.84.129.3 Tue Dec 17 04:05 - 04:05 (00:00)
root ssh:notty 110.84.129.3 Tue Dec 17 01:52 - 01:52 (00:00)
root ssh:notty 110.84.129.3 Mon Dec 16 23:38 - 23:38 (00:00)
leonob ssh:notty 222.211.85.18 Mon Dec 16 22:18 - 22:18 (00:00)
leonob ssh:notty 222.211.85.18 Mon Dec 16 22:18 - 22:18 (00:00)
root ssh:notty 110.84.129.3 Mon Dec 16 21:25 - 21:25 (00:00)
root ssh:notty 110.84.129.3 Mon Dec 16 19:12 - 19:12 (00:00)
root ssh:notty 110.84.129.3 Mon Dec 16 17:00 - 17:00 (00:00)
admin ssh:notty 129.171.193.99 Mon Dec 16 16:52 - 16:52 (00:00)

命令會顯示最近錯誤登錄的日誌，包括通過ssh服務錯誤登錄的日誌，如果得到和上方顯示差不多的情況，出現大量的輸出，說明你的服務器，正在遭受黑客們的暴力破解。

如何防範暴力破解

修改遠程登錄端口

修改/etc/ssh/sshd_config文件中的Port ，將前方的#註釋刪除，並將22修改爲你想要使用遠程登錄的端口，例如35678。
在防火牆上添加運行端口：

iptables -I INPUT -p tcp --dport 35678 -j ACCEPT

如果您使用的ubuntu系統並使用ufw，可以使用命令：

sudo ufw allow 35678

如果您使用CentOS7系統並使用firewalld,可以使用命令：

firewall-cmd --zone=public --add-port=35678/tcp --permanent

如果是使用雲服務器，雲服務商有提供外部防火牆，例如阿里雲的安全組的情況下，還要在外部的安全組中，修改允許tcp端口35678端口的策略。 

#最後使用
serivce sshd restart
#CentOS7用戶使用
systemctl restart sshd
#重啓sshd服務即可。

重啓服務之後，登錄服務器，都需要輸入指定的遠程端口，才能夠登錄服務器，大大降低了黑客攻擊服務器的概率。

限制登錄IP

如果你的公司，或者常常需要登錄服務器的工作網絡環境，擁有固定的IP地址時，限制登錄IP地址，就可以很好的保護服務器免受黑客攻擊。如果沒有上述的條件，我們也可以通過搭建堡壘機，將所有服務器都設置爲允許堡壘機的IP地址，登錄即可保護您的服務器。
操作起來相當簡單，首先在/etc/hosts.allow中加入如下信息：

sshd:172.16.*.*

這條信息，表示sshd服務，允許向IP地址爲172.16開頭的IP地址提供服務。
其次在/etc/hosts.deny中加入如下信息：

sshd:all:deny

這條信息，表示sshd服務不允許，向所有IP地址提供服務。
如此一來服務器將只有指定的IP地址可以訪問。

使用非root用戶登錄

禁止root用戶登錄，並且設置，允許其他用戶登錄後，切換至root進行操作。這樣黑客，如果想要通過ssh登錄服務器，除了密碼之外，首先他還需要知道服務器允許登錄的用戶，這樣將大大降低黑客攻破ssh的可能性。

在服務器內創建一個用戶

首先，在服務器內創建一個用戶，fleapx:useradd fleapx

並且設置密碼：passwd fleapx,當然密碼需要儘量複雜。

允許此用戶，能夠以root用戶身份運行命令

接下來我們需要允許此用戶，能夠以root用戶身份運行命令。

使用visudo命令進入文本編輯模式，於92行附近

[root@localhost ~]# visudo
#然後在文件的最後面加入三行：
User_Alias USER_SU = test, test1
Cmnd_Alias SU = /bin/su

USER_SU ALL=(ALL) NOPASSWD: SU
ALL=(ALL) NOPASSWD:ALL

#或者下面三行：

User_Alias USER_SU = test, test1
#Cmnd_Alias SU = /bin/su

USER_SU ALL=(ALL) NOPASSWD: /bin/su

添加紅色字體信息："ALL=(ALL) NOPASSWD:ALL"，保存退出後可以驗證一下。

驗證

• 首先使用su fleapx切換至fleapx用戶，接下來，我們可以使用sudo su - 命令切換到root用戶。
• 同樣，我們也可以通過遠程登錄方式驗證，使用ssh客戶端，以fleapx用戶登錄系統後，再使用sudo su -命令進行切換。
• 再設置，可以通過fleapx用戶，登錄系統，並能夠自由切換至管理員用戶操作後，我們需要禁止root用戶，通過遠程方式登錄系統。

在/etc/ssh/sshd_config文件內添加“PermitRootLoginno”，後重啓sshd服務。啓動後，root用戶，就將無法通過ssh服務，直接連接到服務器。

總結   

SSH在linux中是非常常用的工具，通過SSH客戶端我們可以連接到運行了SSH服務器的遠程機器上，也就是說，我們可以通過ssh來遠程控制我們的電腦或者服務器。那麼ssh協議的優點就是數據傳輸是加密的，可以防止信息泄露，而且數據傳輸是壓縮的，可以提高傳輸速度。 

當然，在方便同時，還存在黑客通過ssh暴力破解登錄服務器的情況，例如使用密鑰登錄服務器等，總結以下6條防止SSH登錄入侵及被破解的方法技術。

1、用密鑰登錄，不用密碼登陸
2、牤牛陣法：解決SSH安全問題
   a.防火牆封閉SSH,指定源IP限制(局域網、信任公網)
   b.開啓SSH只監聽本地內網IP（ListenAddress 172.16.1.61）。
3、儘量不給服務器外網IP
4、最小化（軟件安裝-授權）
5、給系統的重要文件或命令做一個指紋
6、保護Linux系統文件被篡改，加上給他鎖命令 chattr +i  +a

附註：他鎖命令詳解

#鎖定文件的格式（文件將無法被修改、追加和刪除）
$# chattr +i aaa.txt
#解鎖文件的格式（文件將可以被修改、追加和刪除）
$# chattr -i aaa.txt
#鎖定文件後僅可追加內容的格式（文件將無法被修改和刪除，但是可以被追加新內容）
$# chattr +a aaa.txt
#解鎖文件只可被追加內容的格式（文件將取消無法被修改和刪除，但紅四可以被追加新內容的狀態）
$# chattr -a aaa.txt 
# 使用  (-R 遞歸地修改目錄以及其下內容的屬性) , 即可保護好directory目錄下的所有內容.
# 設置了’i’屬性的文件不能進行修改,只有超級用戶可以設置或清除該屬性.
$#chattr -R +i directory/

但保護整個業務系統的安全，最爲重要的不是幾個技術點，而是在結構設計的時候，就預先考慮到安全的因素，例如不需要向公網提供服務的服務器，就不設置公網IP地址，配置安全可靠的堡壘機。