SSH远程管理

SSH远程连接协议

SSH（Secure Shell）是一种安全通道协议，主要用来实现字符界面的远程登录、远程复制等功能。SSH 协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的用户口令，SSH 为建立在应用层和传输层基础上的安全协议。对数据进行压缩，加快传输速度。

优点：

安全性：数据传输是加密的，可以防止信息泄漏。
身份验证：防止未经授权的用户访问远程系统。
远程管理：可通过SSH协议登录远程服务器并执行命令，无需直接物理访问设备。
端口转发：SSH支持端口转发功能，可以安全地传输其他协议和应用程序。
传输速度: 数据传输是压缩的，可以提高传输速度。

客户端存放公钥的位置

家目录下/.ssh/know_host

连接方式

ssh ip地址

原理：

客户端首先发起连接给服务器

服务器收到请求将自己的公钥以及会话id发给客户端

客户端收到服务器的公钥，以及会话id，会做一个运算

res=会话ID+客户端的公钥

再用服务器的公钥进行加密传给服务器

服务器收到后

先用都无端自己的私钥解密

已知会话ID

res-id=客户端的公钥

服务名	主程序	配置文件
opnessh-server	/usr/sbin/sshd	/etc/ssh/sshd_config
opnessh-clients	/usr/bin/ssh	/etc/ssh/ssh_config

密钥的存放文件

自己的 /etc/ssh

对面的

家目录/，ssh/know_host

ssh 选项 IP -p 端口

ssh加密通讯原理

1.对称加密

采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密，这种加密方法称为对称加密，由于其速度快，对称性加密通常在消息发送方需要加密大量数据时使用

特点

1、加密方和解密方使用同一个密钥；
2、加密解密的速度比较快，适合数据比较长时的使用；
3、密钥传输的过程不安全，且容易被破解，密钥管理也比较麻烦；

常用算法

DES、3DES、TDEA、Blowfish、RC2、RC4、RC5、IDEA、SKIPJACK等

优点

1.算法公开 2.计算量小 3.加密速度快 4.加密效率高

缺点

在数据传送前，发送方和接收方必须商定好秘钥，然后使双方都能保存好秘钥
其次如果一方的秘钥被泄露，那么加密信息也就不安全了
每对用户每次使用对称加密算法时，都需要使用其他人不知道的独一秘钥，这会使得收、发双方所拥有的钥匙数量巨大，密钥管理成为双方的负担

2.非对称加密

非对称加密算法需要两个密钥：公开密钥（publickey:简称公钥）和私有密钥（privatekey:简称私钥）。公钥与私钥是一对，如果用公钥对数据进行加密，只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法

常用算法

RSA（RSA algorithm）：目前使用最广泛的算法
DSA（Digital Signature Algorithm）：数字签名算法，和 RSA 不同的是 DSA仅能用于数字签名，不能进行数据加密解密，其安全性和RSA相当，但其性能要比RSA快
ECC（Elliptic curve cryptography，椭圆曲线加密算法）
ECDSA：Elliptic Curve Digital Signature Algorithm，椭圆曲线签名算法，是ECC和 DSA的结合，相比于RSA算法，ECC 可以使用更小的秘钥，更高的效率，提供更高的安全保障

原理

客户端向服务端发起连接请求

服务端收到请求后，将会话id和服务端的公钥交给客户端

客户端接收后，将会话id和客户端的公钥进行异或运算得到回复信息Res(Res=会话id^客户端公钥）

客户端再将Res用服务端的公钥加密，得到密文U（U=Res+服务端的公钥id）,并将密文U交给服务端

服务端用服务端私钥将密文U解密，得到回复信息Res

服务端将Res和会话id进行异或运算，得到客户端的公钥

[root@localhost ~]# vim /etc/ssh/sshd_config 
#Port 22                     #监听端口
#AddressFamily any           #地址为任意网卡
#ListenAddress 0.0.0.0
#ListenAddress ::

#LoginGraceTime 2m           #登陆时间为2分钟
#PermitRootLogin yes         #是否允许root用户登录
#StrictModes yes             
#MaxAuthTries 6              #最大重试密码次数为6
#MaxSessions 10

#PubkeyAuthentication yes

# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
# but this is overridden so installations will only check .ssh/authorized_keys
AuthorizedKeysFile      .ssh/authorized_keys

#AuthorizedPrincipalsFile none

#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no            #禁止空密码用户登录
PasswordAuthentication yes

#UseDNS no                          #禁止DNS反向解析，提高速率

[root@localhost ~]# ssh-keygen -t ecdsa        #生成密钥文件
Generating public/private ecdsa key pair.
Enter file in which to save the key (/root/.ssh/id_ecdsa):     #密钥存放位置 
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase):                    #密码为空直接回车
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_ecdsa.
Your public key has been saved in /root/.ssh/id_ecdsa.pub.
The key fingerprint is:
SHA256:cjM0TYPcoopfBaqUoY3qJPozDpbKHlXkDERj5+Da8e0 root@localhost.localdomain
The key's randomart image is:
+---[ECDSA 256]---+
|  oB o . oo      |
|  + X . +o..     |
| + = * oo..      |
|o * = o...       |
|.o = o.oS        |
|o.= . oo o       |
|*+ . . E         |
|=o+ .            |
|o=oo             |
+----[SHA256]-----+
[root@localhost ~]# cd .ssh
[root@localhost .ssh]# ls
id_ecdsa  id_ecdsa.pub             #公钥和私钥
[root@localhost .ssh]# ssh-copy-id -i id_ecdsa.pub 192.168.118.30
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "id_ecdsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.118.30's password:                  #服务端密码
Number of key(s) added: 1

Now try logging into the machine, with:   "ssh '192.168.118.30'"
and check to make sure that only the key(s) you wanted were added.

[root@localhost .ssh]# ssh 192.168.118.30
Last login: Mon Apr 29 13:50:39 2024 from 192.168.118.20
[root@localhost ~]#