OpenSSH配置與基本使用

---

SSH訪問遠程

SSH常見分類:

• telnet-遠程登陸協議，23/TCP
  • 明文認證、明文傳輸（不安全）
• ssh(Secure SHell)-應用層協議，22/TCP
  • 通信和認證過程加密、主機認證
  • 用戶認證過程加密
  • 數據傳輸過程加密
• dropbear-嵌入式系統專用SSH

OpenSSH 簡介

OpenSSH用於在遠程系統上安全運行shell。若是您在可提供ssh服務的遠程Linux系統中擁有用戶賬戶，則ssh是一般用來遠程登陸到該系統的命令。ssh命令也可用於在遠程系統中運行命令。

SSH有兩個版本：

• v1-基於CRC-32作MAC，沒法防範中間人（man-in-middle）攻擊
• v2-雙方主機協議選擇安全的MAC方式。基於DH算法作密鑰交換，基於RSA或DSA算法實現身份認證

SSH認證方式

openssh有兩種認證方式：

• 口令認證
• 密鑰認證

openSSH工做模式

openSSH基於C/S(客戶端/服務器)構架工做

#服務器端sshd
/etc/ssh/sshd_config
#客戶端ssh
/etc/ssh/ssh_config
ssh-keygen #密鑰生成器
ssh-copy-id #公鑰傳輸至遠程服務器
scp #跨主機安全複製工具

openSSH配置基於密鑰的身份認證

用戶可經過使用公鑰身份驗證進行ssh登陸身份驗證。ssh容許用戶使用私鑰-公鑰方案進行身份驗證。這意味着將生成私鑰和公鑰這兩個密鑰。私鑰文件用做身份驗證憑據，像密碼同樣，必須妥善保管。公鑰複製到用戶但願登陸的系統，用於驗證私鑰。公鑰並不須要保密。擁有公鑰的ssh服務器能夠發佈僅持有您私鑰的系統纔可解答的問題。所以，能夠根據所持有的密鑰進行驗證。如此一來，就沒必要在每次訪問系統時鍵入密碼，但安全性仍能獲得保證。

使用ssh-keygen命令生成密鑰，將會生成私鑰和公鑰

• ~/.ssh/id_rsa #私鑰
• ~/.ssh/id_rsa.pub #公鑰

注意
生成密鑰時，系統將提供指定密碼的選項，在訪問私鑰時必須提供該密碼。若是私鑰被偷，除頒發者以外的其餘任何人很難使用該私鑰，由於已使用密碼對其進行保護。這樣，在攻擊者破解並使用私鑰前，會有足夠的時間生成新的密鑰對並刪除全部涉及舊密鑰的內容。

生成密鑰後，密鑰將默認存儲在家目錄下的.ssh/文件夾裏。
私鑰和公鑰的權限就分別爲600和644。.ssh/目錄權限必須是700。
在能夠使用基於密鑰的身份驗證前，須要將公鑰複製到目標系統上。能夠使用ssh-copy-id完成這一操做。
經過ssh-copy-id將密鑰複製到另外一系統時，它默認複製~/.ssh/id_rsa.pub文件。

#生成密鑰
[root@Lynk ~]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:kKfhcqCOlPwsS9Nb3OILPRTU4MHr0bprs/A7sPrTs08 root@Lynk
The key's randomart image is:
+---[RSA 2048]----+
|    .+o          |
|    o..o         |
|    .o* .        |
|. .. =.*         |
| +. o.* S        |
|.o+.+=.          |
|.+.*+*.E         |
|. +oBB+          |
| ooooO@.         |
+----[SHA256]-----+

#將密鑰複製給服務器
[root@Lynk ~]# ssh-copy-id root@192.168.26.129
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
The authenticity of host '192.168.26.129 (192.168.26.129)' can't be established.
ECDSA key fingerprint is SHA256:bpCNTMSwW5iFAtt2aAQ9QNrdd1ojBZDCMLsA0wJ/K3k.
ECDSA key fingerprint is MD5:1a:34:7a:fb:dd:cf:ff:ea:68:ae:3f:2f:87:ed:2c:78.
Are you sure you want to continue connecting (yes/no)? yes
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.26.129's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'root@192.168.26.129'"
and check to make sure that only the key(s) you wanted were added.

#登陸服務器
[root@Lynk ~]# ssh root@192.168.26.129
Last login: Mon Jan  7 07:05:25 2019 from 192.168.26.1
[root@LynkSer ~]#

在咱們完成服務的設置以後，可能還會有開啓防火牆來保證主機安全的需求，這時應該爲防火牆添加富規則來保證咱們的ssh服務能夠經過防火牆。

#禁止ssh服務連入
[root@LynkSer ~]# firewall-cmd --remove-service=ssh --permanent
success
[root@LynkSer ~]# firewall-cmd --reload
success

#此時遠程主機沒法經過ssh鏈接本地主機
[root@Lynk ~]# ssh root@192.168.26.129
ssh: connect to host 192.168.26.129 port 22: No route to host

#添加放行富規則
[root@LynkSer ~]# firewall-cmd --add-rich-rule 'rule family=ipv4 source address=192.168.26.128/24 service name=ssh accept' --permanent
success
#重載防火牆讓配置生效
[root@LynkSer ~]# firewall-cmd --reload
success

#再次嘗試連入本地主機
[root@Lynk ~]# ssh root@192.168.26.129
Last login: Mon Jan  7 07:38:11 2019 from 192.168.26.128
#成功了，退出吧
[root@LynkSer ~]# exit
logout
Connection to 192.168.26.129 closed.

自定義 SSH 服務配置

OpenSSH服務器一般無需修改，但會提供其餘安全措施，能夠在配置文件/etc/ssh/sshd_config中修改OpenSSH服務器的各個方面。

#是否容許root用戶遠程登陸系統
PermitRootLogin {yes|no}
#僅容許root用戶基於密鑰方式遠程登陸
PermitRootLogin without-password
#是否啓用密碼身份驗證，默認開啓
PasswordAuthentication {yes|no}

SSH使用實例

#登陸
[root@Lynk ~]# ssh root@192.168.26.129
Last login: Mon Jan  7 07:23:45 2019 from 192.168.26.128
#退出
[root@LynkSer ~]# exit
logout
Connection to 192.168.26.129 closed.
#在遠程服務器上執行一個命令
[root@Lynk ~]# ssh root@192.168.26.129 'echo "I AM LYNK" > /opt/whoami'
[root@Lynk ~]# ssh root@192.168.26.129
Last login: Mon Jan  7 07:24:50 2019 from 192.168.26.128
[root@LynkSer ~]# cat /opt/whoami 
I AM LYNK
#查看當前全部登陸到這臺主機的會話
[root@LynkSer ~]# w
 07:29:10 up 30 min,  3 users,  load average: 0.17, 0.09, 0.07
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
root     tty1                      07:00   26:06   0.73s  0.19s vim /etc/sysconfig/network-scripts/ifcfg-e
root     pts/0    192.168.26.1     07:05   23:45   0.03s  0.03s -bash
root     pts/1    192.168.26.128   07:29    2.00s  0.08s  0.04s w
***

SSH安全

• 密碼應該常常換且足夠複雜
• 使用非默認端口
• 限制登陸客戶端地址
• 僅監聽特定的IP地址
• 禁止管理員直接登陸
• 僅容許有限制用戶登陸
  • AllowUsers
  • AllowGroups
• 使用基於密鑰的認證
• 禁止使用空密碼
• 禁止使用SSHv1版本
• 設定空閒會話超時時長
• 利用防火牆設置ssh訪問策略
• 限制ssh的訪問頻度和併發在線數
• 作好日誌的備份，常常分析（集中於某臺服務器）