ssh的應用和vnc鏈接桌面

1、什麼是ssh?

一、SSH是一種網絡協議，用於計算機之間的加密登陸。若是一個用戶從本地計算機，使用SSH協議登陸另外一臺遠程計算機，咱們就能夠認爲，這種登陸是安全的，即便被中途截獲，密碼也不會泄露。SSH之因此可以保證安全，緣由在於它採用了公鑰加密。

二、SSH是傳輸層和應用層上的安全協議，它只能經過加密鏈接雙方會話的方式來保證鏈接的安全性。當使用ssh鏈接成功後，將創建客戶端和服務端之間的會話，該會話是被加密的，以後客戶端和服務端的通訊都將經過會話傳輸。

三、SSH服務的守護進程爲sshd，默認監聽在22端口上。

四、全部ssh客戶端工具，包括ssh命令，scp，sftp，ssh-copy-id等命令都是藉助於ssh鏈接來完成任務的。也就是說它們都鏈接服務端的22端口，只不過鏈接上以後將待執行的相關命令轉換傳送到遠程主機上，由遠程主機執行。

五、ssh客戶端命令(ssh、scp、sftp等)讀取兩個配置文件：全局配置文件/etc/ssh/ssh_config和用戶配置文件~/.ssh/config。實際上命令行上也能夠傳遞配置選項。它們生效的優先級是：命令行配置選項 > ~/.ssh/config > /etc/ssh/ssh_config。

ssh服務端配置文件爲/etc/ssh/sshd_config，注意和客戶端的全局配置文件/etc/ssh/ssh_config區分開來。

[root@localhost ~]# ls /etc/ssh/ moduli ssh_config sshd_config ssh_host_ecdsa_key ssh_host_ecdsa_key.pub ssh_host_ed25519_key ssh_host_ed25519_key.pub ssh_host_rsa_key ssh_host_rsa_key.pub [root@localhost ~]#

六、ssh涉及到兩個驗證：主機驗證和用戶身份驗證。經過主機驗證，再經過該主機上的用戶驗證，就能惟一肯定該用戶的身份。一個主機上能夠有不少用戶，因此每臺主機的驗證只需一次，但主機上每一個用戶都須要單獨進行用戶驗證。

七、ssh支持多種身份驗證，最經常使用的是密碼驗證機制和公鑰認證機制，其中公鑰認證機制在某些場景實現雙機互信時幾乎是必須的。雖然經常使用上述兩種認證機制，但認證時的順序默認是gssapi-with-mic,hostbased,publickey,keyboard-interactive,password。注意其中的主機認證機制hostbased不是主機驗證，因爲主機認證用的很是少(它所讀取的認證文件爲/etc/hosts.equiv或/etc/shosts.equiv)，因此網絡上比較少見到它的相關介紹。總的來講，經過在ssh配置文件(注意不是sshd配置文件)中使用指令PreferredAuthentications改變認證順序不失爲一種驗證的效率提高方式。

八、ssh客戶端其實有很多很強大的功能，如端口轉發(隧道模式)、代理認證、鏈接共享(鏈接複用)等。

九、很重要卻幾乎被人忽略的一點，ssh登陸時會請求分配一個僞終端。但有些身份認證程序如sudo能夠禁止這種類型的終端分配，致使ssh鏈接失敗。例如使用ssh執行sudo命令時sudo就會驗證是否要分配終端給ssh。

2、非對稱加密基礎

一、對稱加密：

加密和解密使用同樣的算法，只要解密時提供與加密時一致的密碼就能夠完成解密。例如QQ登陸密碼，銀行卡密碼，只要保證密碼正確就能夠。

二、非對稱加密：

經過公鑰(public key)和私鑰(private key)來加密、解密。公鑰加密的內容可使用私鑰解密，私鑰加密的內容可使用公鑰解密。通常使用公鑰加密，私鑰解密，但並不是絕對如此，例如CA簽署證書時就是使用本身的私鑰加密。在接下來介紹的SSH服務中，雖然一直建議分發公鑰，但也能夠分發私鑰。

因此，若是A生成了(私鑰A，公鑰A)，B生成了(私鑰B，公鑰B)，那麼A和B之間的非對稱加密會話情形包括：

(1).A將本身的公鑰A分發給B，B拿着公鑰A將數據進行加密，並將加密的數據發送給A，A將使用本身的私鑰A解密數據。

(2).A將本身的公鑰A分發給B，並使用本身的私鑰A加密數據，而後B使用公鑰A解密數據。

(3).B將本身的公鑰B分發給A，A拿着公鑰B將數據進行加密，並將加密的數據發送給B，B將使用本身的私鑰B解密數據。

(4).B將本身的公鑰B分發給A，並使用本身的私鑰B加密數據，而後A使用公鑰B解密數據。

雖然理論上支持4種情形，但在SSH的身份驗證階段，SSH只支持服務端保留公鑰，客戶端保留私鑰的方式，因此方式只有兩種：

客戶端生成密鑰對，將公鑰分發給服務端；服務端生成密鑰對，將私鑰分發給客戶端。只不過出於安全性和便利性，通常都是客戶端生成密鑰對並分發公鑰。後文將給出這兩種分發方式的示例。

2、ssh的驗證方式

一、 密碼驗證

直接輸入用戶名和密碼進行登錄

二、 密鑰驗證

數據加密：公鑰加密，私鑰解密

ssh

語法：

ssh 主機名/IP（使用當前用戶登陸）

當我第一次鏈接某個主機的時候，系統會提醒我，是否要記錄這個主機的公鑰指紋，目標服務特有的東西

# ssh 192.168.2.135

[root@tracker1 ~]# ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eno16777736: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:eb:05:b3 brd ff:ff:ff:ff:ff:ff inet 192.168.2.134/24 brd 192.168.2.255 scope global eno16777736 valid_lft forever preferred_lft forever inet6 fe80::20c:29ff:feeb:5b3/64 scope link valid_lft forever preferred_lft forever [root@tracker1 ~]# [root@tracker1 ~]# ssh 192.168.2.135 The authenticity of host '192.168.2.135 (192.168.2.135)' can't be established.
ECDSA key fingerprint is e0:84:42:4f:a6:75:83:c0:39:37:d8:aa:e4:da:be:f6. Are you sure you want to continue connecting (yes/no)?

判斷的方法是讀取~/.ssh/known_hosts文件和/etc/ssh/known_hosts文件，搜索是否有192.168.2.135的主機信息

若是沒有搜索到對應該地址的host key，則詢問是否保存主機B發送過來的host key，若是搜索到了該地址的host key，則將此host key和主機B發送過來的host key作比對，若是徹底相同，則表示主機A曾經保存過主機B的host key，無需再保存，直接進入下一個過程——身份驗證，若是不徹底相同，則提示是否保存主機B當前使用的host key。

[root@tracker1 ~]# ssh 192.168.2.135 The authenticity of host '192.168.2.135 (192.168.2.135)' can't be established.
ECDSA key fingerprint is e0:84:42:4f:a6:75:83:c0:39:37:d8:aa:e4:da:be:f6. #公鑰指紋 Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '192.168.2.135' (ECDSA) to the list of known hosts. root@192.168.2.135's password:
Last login: Tue Jul  2 02:25:32 2019 from 192.168.2.135 [root@tracker2 ~]#

或者windows端使用圖形界面ssh客戶端工具時：

查看主機A記錄的公鑰指紋

# cat .ssh/known_hosts

該文件中，每行一個host key

[root@tracker2 ~]# exit logout Connection to 192.168.2.135 closed. [root@tracker1 ~]# [root@tracker1 ~]# ls .ssh/ known_hosts [root@tracker1 ~]# [root@tracker1 ~]# cat .ssh/known_hosts 192.168.2.135 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBJLQ0tEV5MrvuQ/cAOorvDY19jy/egXiUNceSoRjVw1lRvFohd5x+oIfE0gUTs9E1Ho4hGQJ/yaqRILmlUkLoYc= [root@tracker1 ~]#

綜上所述，在主機驗證階段，服務端持有的是私鑰，客戶端保存的是來自於服務端的公鑰。注意，這和身份驗證階段密鑰的持有方是相反的。

鏈接到指定的遠程用戶名 

# ssh -l djl 192.168.0.56

 # ssh djl@192.168.0.56

記錄這個主機的公鑰指紋的位置

ssh配置文件、公鑰、私鑰的位置

刪除生成新的公鑰指紋

再次鏈接，原來的公鑰指紋失效

刪除原來的公鑰指紋

# rm -rf .ssh/*

 

 

要是想打開遠程圖形化界面的話，條件：

ssh客戶端：

一、 有xservice

二、 開啓x11轉發

ssh服務器：

一、 安裝xorg-x11-xauth

二、 xclient

 

查看ssh服務器是否安裝xorg-x11-xauth

# rpm -qa | grep xauth

開啓X11轉發

# ssh 192.168.0.56 -X

 

 

 

對稱加密：

公鑰

私鑰

非對稱加密：

數字簽名

 

 

 

 

 

 

生成一個密鑰對

# ssh-keygen

查看

私鑰：

id_rsa

公鑰：

id_rsa.pub

發送公鑰

# ssh-copy-id -i id_rsa.pub root@192.168.0.56

 查看保存公鑰的位置

 無密登陸實現

 

 

 

 VNC的應用

 

查看vnc工具包是否安裝

 # yum list *vnc*

 安裝VNC服務

 # yum install tigervnc-server.x86_64 -y

 

設置密碼 

# vncserver 

密碼保存位置

# ls .vnc/

# vncserver -list

修改vnc的密碼

#vncpasswd

關閉1號桌面

# vncserver -kill :1

開啓3號桌面

# vncserver :3

 

縮放桌面

 

若是多我的同時鏈接，必定要打開共享鏈接

 

 

同步服務器桌面 ,在客戶端上面就不須要指明桌面了

# x0vncserver --passwordfile=.vnc/passwd

實驗失敗，爲解決

 

參考博客：

https://www.cnblogs.com/f-ck-need-u/p/7129122.html

https://www.cnblogs.com/youngerger/p/9104144.html