SSH 只能用于远程 Linux 主机?那说明你见识太小了!
点
Telnet和SSH
Telnet
Telnet是一个远程连接服务是一个C/S架构,具有Server端和Client端,Client通过telnet协议连接到服务器端,这是早期常用的远程连接方法.然后改方法进行连接的过程中使用的都是明文进行传输,在同一网络中的其他用户很容易通过网络工具捕捉到该数据包进行分析进而获取到密码.这是一个很不安全的连接方法.telnet协议使用的是23号端口是基于tcp的链接。
SSH
telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的, 就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。所谓“中间人”的攻击方式, 就是“中间人”冒充真正的服务器接收你的传给服务器的数据,然后再冒充你把数据传给真正的服务器。
服务器和你之间的数据传送被“中间人”一转手做了手脚之后,就会出现很严重的问题。
SSH 简介
SSH的英文全称是Secure Shell
。通过使用SSH,你可以把所有传输的数据进行加密,这样“中间人”这种攻击方式就不可能实现了,而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替telnet,又可以为ftp、pop、甚至ppp提供一个安全的“通道”。
最初SSH是由芬兰的一家公司开发的。但是因为受版权和加密算法的限制,现在很多人都转而使用OpenSSH。OpenSSH是SSH的替代软件,而且是免费的,可以预计将来会有越来越多的人使用它而不是SSH。SSH是由客户端和服务端的软件组成的,有两个不兼容的版本分别是:1.x和2.x。用SSH 2.x的客户程序是不能连接到SSH 1.x的服务程序上去的。OpenSSH 2.x同时支持SSH 1.x和2.x。
SSH是如何工作的?
SSH 由服务器
和客户端
组成,在整个通信过程中,为建立安全的SSH通道,会经历如下几个阶段
:
连接建立
SSH服务器在指定的端口侦听客户端的连接请求,在客户端向服务器发起连接请求后,双方建立一个TCP连接。
版本协商
SSH协议目前存在SSH1.X(SSH2.0之前的版本)和SSH2.0版本。SSH2.0协议相比SSH1.X协议来说,在结构上做了扩展,可以支持更多的认证方法和密钥交换方法,同时提高了服务能力。SSH服务器和客户端通过协商确定最终使用的SSH版本号。
算法协商
SSH支持多种加密算法,双方根据各自支持的算法,协商出最终用于产生会话密钥的密钥交换算法、用于数据信息加密的加密算法、用于进行数字签名和认证的公钥算法以及用于数据完整性保护的HMAC算法。
密钥交换
服务器和客户端通过密钥交换算法,动态生成共享的会话密钥和会话ID,建立加密通道。会话密钥主要用于后续数据传输的加密,会话ID用于在认证过程中标识该SSH连接。
用户认证
SSH客户端向服务器端发起认证请求,服务器端对客户端进行认证。SSH支持以下几种认证方式:
密码(password)认证:客户端通过用户名和密码的方式进行认证,将加密后的用户名和密码发送给服务器,服务器解密后与本地保存的用户名和密码进行对比,并向客户端返回认证成功或失败的消息。 密钥(publickey)认证:客户端通过用户名,公钥以及公钥算法等信息来与服务器进行认证。 password-publickey认证:指用户需要 同时满足
密码认证和密钥认证才能登录。all认证:只要满足密码认证和密钥认证其中一种即可。
基于口令的认证过程:
基于密钥的认证过程:
会话请求
认证通过后,SSH客户端向服务器端发送会话请求,请求服务器提供某种类型的服务,即请求与服务器建立相应的会话。
会话交互
会话建立后,SSH服务器端和客户端在该会话上进行数据信息的交互。
SSH 配置选项
SSH 的配置文件主要分为服务器端
和客户端
:
服务器端:/etc/ssh/sshd_config 客户端:/etc/ssh/ssh_config
限制root用户远程登录
# vi /etc/ssh/sshd_config
PermitRootLogin no
通过控制用户访问限制 SSH 访问
# vi /etc/ssh/sshd_config
AllowUsers fsmythe bnice swilson
DenyUsers jhacker joebadguy jripper
# vi /etc/ssh/sshd_config
Protocol 2
不要支持闲置会话,并配置 Idle Log Out Timeout 间隔:
#当客户端连上服务器端后,若没有任何操作则,服务器端默认会
#每隔一定时间发送一个alive消息给客户端寻求客户端应答,
#默认一共发三次.若都没有回应,则断开连其中
#ClientAliveInterval设置每隔多少秒发送一次alive消息
#ClientAliveCountMax 设置一共发多少次.
# vi /etc/ssh/sshd_config
ClientAliveInterval 600
# (Set to 600 seconds = 10 minutes)
ClientAliveCountMax 0
禁用基于主机的身份验证:(这种认证方式是不安全的)
# vi /etc/ssh/sshd_config
HostbasedAuthentication no
6.使用 Chroot SSHD 将 SFTP 用户局限于其自己的主目录
# vi /etc/ssh/sshd_config
ChrootDirectory /home/%u
禁用空密码
# vi /etc/ssh/sshd_config
PermitEmptyPasswords no
指令压缩
Compression {yes|no|delayed}
#默认是delayed 意思就是等到用户认证结束后再对数据进行压缩
设置日志级别
#LogLevel INFO 默认是INFO级别,调试的时候可以选择DEBUG
#级别,这样调试信息更加详细
支持图形界面操作
X11Forwarding yes
#对Xwindows的数据进行转发,开启该项并使用xshell程序远程登
#录服务器是可以打开图形界面程序
其它选项
PrintMotd no
# 登入后是否显示出一些信息呢?例如上次登入的时间、地点等,预设是 yes ,但是,如果为了安全,可以考虑改为 no !
PrintLastLog yes
# 显示上次登入的信息!可以啊!预设也是 yes !
KeepAlive yes
# 一般而言,如果设定这项目的话,那么 SSH Server 会传送
# KeepAlive 的讯息给 Client 端,以确保两者的联机正常!
# 在这个情况下,任何一端死掉后, SSH 可以立刻知道!而不会
# 有僵尸程序的发生!
Banner /to/somefile
# 指定在用户完成认证前输出到终端的信息
GSSAPIAuthentication no
#指定是否使用基于GSSAPI的用户认证默认为no
MaxAuthTries 默认值为6
#每一个链接最多尝试验证的次数为这个值得一半,此外失败的信息还会记录在/var/log/message
UseDNS yes
#是否对主机名进行dns解析(常用与没有固定IP只有域名的场合)
SSH 密钥认证实践
生成密钥(客户端操作)
[root@wwww ~]# ssh-keygen -t rsa -b 4096
#-t 指定生成密钥的算法 -b指定密钥的位数
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
#询问生成的密钥放在的位置,默认放在家目录下的.ssh目录
Enter passphrase (empty for no passphrase):
#询问是否对私钥再进行加密
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
e7:60:45:fe:d8:09:24:c1:1e:ef:35:cc:c1:c3:24:e4 root@wwww.axhu.com
#生成的指纹信息
注: 这里使用ssh-keygen -t rsa -b 4096 -f /path/to/KEY_FILE -P '指定加密私钥的密码' 这样既可实现自动化,不要交互了。
传送密钥至远程服务器
方式一:
[root@wwww ~]# scp ~/.ssh/id_rsa.pub root@192.168.157.132:~/
The authenticity of host '192.168.157.132 (192.168.157.132)' can't be established.
RSA key fingerprint is 6e:0f:f8:f8:c7:c2:11:e6:4d:99:aa:16:6a:81:4a:02.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.157.132' (RSA) to the list of known hosts.
root@192.168.157.132's password:
id_rsa.pub 100% 740 0.7KB/s 00:00
然后远程连接到远程主机进行设置:
[root@wwww ~]# ssh root@192.168.157.132
root@192.168.157.132's password:
Last login: Sat Jan 18 21:16:49 2014 from 192.168.157.128
[root@bogon ~]# mkdir .ssh
#这个目录默认不存在,但是这太机子若连接过其他服务器就会自动生成.ssh目录用来保存known_hosts文件
[root@bogon ~]# chmod 700 .ssh
#这个权限很重要,设置不对的话是没法通过验证
[root@bogon ~]# cat id_rsa.pub >> ~/.ssh/authorized_keys
#这里最好每次都是以>>追加的形式输出,不然会覆盖其他主机的公钥
[root@bogon ~]# chmod 600 ~/.ssh/authorized_keys
#修改权限放在其他用户修改查看
到此配置完成
方式二
[root@wwww ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.157.132
root@192.168.157.132's password:
Now try logging into the machine, with "ssh 'root@192.168.157.132'", and check in:
.ssh/authorized_keys
to make sure we haven't added extra keys that you weren't expecting.
#直接通过命令完成.推荐使用,但是并不是每台机器上都会装有这个命令.
SSH双机互信脚本
#!/usr/bin/expect
#author Jeff_linux
#Time 2022-01-18
set local_passwd "server"
set des_passwd "server"
set timeout 10
set localip "192.168.0.254"
set desip "192.168.0.251"
spawn ssh-keygen -t rsa -b 4096 -f ~/.ssh/id_rsa -P ""
spawn ssh-copy-id -i /root/.ssh/id_rsa.pub root@$desip
expect {
"yes/no" { send "yes\r";exp_continue}
"password:" {send "$des_passwd\r";exp_continue}
}
spawn ssh $desip "ssh-keygen -t rsa -b 4096 -f ~/.ssh/id_rsa -P \"\""
spawn scp $desip:/root/.ssh/id_rsa.pub /root/.ssh/authorized_keys
expect {
"yes/no" { send "yes\r";exp_continue}
"password:" {send "$local_passwd\r";exp_continue}
}
SSH 命令
语法格式
ssh [options] [user@]hostname [command]
参数说明
-b bind_address :在本地主机上绑定用于ssh连接的地址,当系统有多个ip时才生效。
-E log_file :将debug日志写入到log_file中,而不是默认的标准错误输出stderr。
-F configfile :指定用户配置文件,默认为~/.ssh/config。
-f :请求ssh在工作在后台模式。该选项隐含了"-n"选项,所以标准输入将变为/dev/null。
-i identity_file:指定公钥认证时要读取的私钥文件。默认为~/.ssh/id_rsa。
-l login_name :指定登录在远程机器上的用户名。也可以在全局配置文件中设置。
-N :显式指明ssh不执行远程命令。一般用于端口转发,见后文端口转发的示例分析。
-n :将/dev/null作为标准输入stdin,可以防止从标准输入中读取内容。ssh在后台运行时默认该项。
-p port :指定要连接远程主机上哪个端口,也可在全局配置文件中指定默认的连接端口。
-q :静默模式。大多数警告信息将不输出。
-T :禁止为ssh分配伪终端。
-t :强制分配伪终端,重复使用该选项"-tt"将进一步强制。
-v :详细模式,将输出debug消息,可用于调试。"-vvv"可更详细。
-V :显示版本号并退出。
-o :指定额外选项,选项非常多。
user@hostname
:指定ssh以远程主机hostname上的用户user连接到的远程主机上,若省略user部分,则表示使用本地当前用户。
:如果在hostname上不存在user用户,则连接将失败(将不断进行身份验证)。
command
:要在远程主机上执行的命令。指定该参数时,ssh的行为将不再是登录,而是执行命令,命令执行完毕时ssh连接就关闭。
更多关于SSH 命令的操作详解请参考:每天学一个 Linux 命令(59):ssh
SSH 端口转发
SSH 不仅仅能够自动加密和解密 SSH 客户端与服务端之间的网络数据,同时,SSH 还能够提供了一个非常有用的功能,那就是端口转发,即将TCP 端口的网络数据,转发到指定的主机某个端口上,在转发的同时会对数据进行相应的加密及解密。如果工作环境中的防火墙限制了一些网络端口的使用,但是允许 SSH 的连接,那么也是能够通过使用SSH转发后的端口进行通信。转发主要分为本地转发与远程转发两种类型。
转发的参数
-C:压缩数据
-f :后台认证用户/密码,通常和-N连用,不用登录到远程主机。
-N :不执行脚本或命令,通常与-f连用。
-g :在-L/-R/-D参数中,允许远程主机连接到建立的转发的端口,如果不加这个参数,只允许本地主机建立连接。
-L : 本地端口:目标IP:目标端口
-D : 动态端口转发
-R : 远程端口转发
-T :不分配 TTY 只做代理用
-q :安静模式,不输出错误/警告信息
本地转发
有本地网络服务器的某个端口,转发到远程服务器某个端口。说白了就是,将发送到本地端口的请求,转发到目标端口。格式如下:
ssh -L 本地网卡地址:本地端口:目标地址:目标端口 用户@目标地址。
现在我们利用本地转发来解决一个问题,比如我们有两台机器,如下:
centos A(192.168.13.139) centos B(192.168.13.142)
现在,centos B(192.168.13.142)机器上面安装了mysql,并设置了运行任何主机连接,如下:
此时,在centos A(192.168.13.139)上面是可以连上centos B(192.168.13.142)的mysql,如下:
那么,现在我开始centos B(192.168.13.142)限制不允许外部ip连接,仅仅让127.0.0.1连接,如下:
此时,centos A(192.168.13.139)上面怎么连接上centos B(192.168.13.142)的mysql呢?
此时,我们还是使用上面的mysql连接方式,肯定会报错,如下:
当然在centos B(192.168.13.142)mysql还是可访问的。
这个时候,我们就可以使用本地端口转发了,将本地的某个端口,映射到centos B(192.168.13.142)机器上面的,如下:
ssh -L 127.0.0.1:3306:127.0.0.1:3306 root@192.168.13.142
因为本地网卡地址是可以省略的,上面的转发,可以简写为:
ssh -L 3306:127.0.0.1:3306 root@192.168.13.142
当然,ssh连接的时候,若两台机器的用户名相同,也是可以省略的,即命令可以简写为:
ssh -L 3306:127.0.0.1:3306 192.168.13.14
上面的代码就是将本地的3306端口,转发到192.168.13.142的3306端口。因为centos B(192.168.13.142)上面的mysql使用的3606端口。当然,我们首先得看看本地的3306端口是否被占用,如被占用,可以使用其他的端口。
数据流向如图
首先,centos A(192.168.13.139)上的应用将数据发送到本地的127.0.0.1上面的3306端口。 然后,centos A(192.168.13.139)将3306端口的数据,通过SSH转发到centos B(192.168.13.142)的3306端口。 接着,centos B(192.168.13.142)将处理后的数据,原路返回给centos A(192.168.13.139)。
如果是首次通过ssh连接cetosB该机器,则会提示确认公钥,并让你选择是否确定连接。
此时,我们在centos A上面连接centos B上面的mysql,就可以这么写了。
bin/mysql -h127.0.0.1 -uroot -p
如下:
远程转发
由远程服务器的某个端口,转发到本地网络的服务器某个端口。说白了,就是将发送到远程端口的请求,转发到目标端口。格式如下:
ssh -R 远程网卡地址:远程端口:目标地址:目标端口
下面三台机器为例,如下:
centos A(192.168.13.139) centos B(192.168.13.142) win7(10.18.78.135)
假设,win7(10.18.78.135)与centos B(192.168.13.142)不能直接连接,但是win7(10.18.78.135)与centos A(192.168.13.139)可以连接centos B(192.168.13.142)也可以centos A(192.168.13.139)连接,那么,我们就可以在centos A(192.168.13.139)上面使用远程端口转发了,让win7(10.18.78.135)与centos B(192.168.13.142)进行通信。
ssh -R 127.0.0.1:80:10.18.78.135:80 root@192.168.13.142
即centos B(192.168.13.142)监听自己的80端口,然后将所有数据,由centos A(192.168.13.139)发给win7(10.18.78.135)。
SSH的远程操作
ssh远程操作,主要用于在远程的机器上面执行某个操作,格式如下:
ssh user@host 'command'
案例1、在机器A(192.168.13.148)中查看机器B(192.168.13.149)的操作系统类型。
在A机器上面执行如下代码:
ssh dequan@192.168.13.149 'uname -a'
案例2、将机器A(192.168.13.148)中test文件夹复制到B机器(192.168.13.149)。
在A机器上面,执行如下命令:
tar -cz test | ssh dequan@192.168.13.149 'tar -xz'
当然,我们也可以使用scp命令或rz命令,传输文件。
案例3、在机器A(192.168.13.148)处查看B机器(192.168.13.149)是否监听了1080端口。
在A机器上面,执行如下命令:
ssh dequan@192.168.13.149 'netstat -tln |grep 1080'
SSH的本地转发
本地转发,说白了,就是把发到本地的某个端口请求,转发到远程的某台机器上面。格式如下:
ssh -L [本地地址:]本地端口:远程地址:远程端口 远程用户@远程地址
案例1、在机器B(192.168.13.149)上面访问机器A(192.168.13.148)的服务。
现在,我们在A机器上面,启动了Nginx服务,如下:
我们希望B机器也能够这样使用A机器上面的服务。需要把B机器上面80端口请求,转发到A机器上面。目前在B机器这样执行,是报错的,如下:
需要在B机器上面,执行如下代码:
ssh -f -N -L 127.0.01:80:192.168.13.148:80 dequan@192.168.13.148
然后,在B机器上面,访问A机器的服务,就想访问自身的服务一样。
SSH的远程转发
远程转发,即把发给远程机器的某个端口请求,转发到本地的机器上面。格式如下:
ssh -R [远程地址:]远程端口:本地地址:本地端口 远程用户@远程地址
在上面的案例中,我们也可以通过远程转发来实现。即在A机器上面执行如下代码:
sudo ssh -f -N -R 8081:127.0.0.1:80 dequan@192.168.13.149
我们监听了B机器的8081端口,把该端口的请求,转发到A机器上面。
可以在B机器上面看到,我们的监听,如下:
此时,执行如下命令,就会被转发到A机器的127.0.0.1的80端口,如下:
利用远程转发,实现代理功能
目前B机器,只能在自己127.0.0.1的80端口监听并转发,如何让B机器作为代理,转发其他机器的请求到A机器上面呢?比如,现在有一台机器C(192.168.13.143),C不能访问A,但是能够访问B。如何让C利用B来访问A呢?
此时,需要将B的监听,由127.0.0.1:8081,改为0:0.0.0:8081,修改sshd的配置/etc/ssh/sshd_config。
vim /etc/ssh/sshd_config 如果有GatewayPorts no改为GatewayPorts yes
没有,添加即可然后重启sshd
sudo service sshd restart
然后重新,设置动态转发,如下:
ssh -f -g -N -R 8081:127.0.0.1:80 dequan@192.168.13.149
可以看到,此时B机器,已经监听了0:0.0.0:8081
在C机器上面,我们通过curl模拟请求,利用B机器做代理,如下:
curl -x 192.168.13.149:8081 127.0.0.1
当然,如果还有其他机器,也可以使用类似的方式,来请求A机器。
SSH 的动态转发
对于SSH的本地转发和远程转发,都需要将本地端口和远程端口一一绑定,格式如下:
ssh -D [本地地址:]本地端口号 远程用户@远程地址
比如,把发到B机器上面的请求,都转发到A机器上面,让A机器去执行请求。
SSH存在的问题
如果有人截获了登录请求,然后冒充远程主机,将伪造的公钥发给用户,那么用户很难辨别真伪。因为不像https协议,SSH协议的公钥是没有证书中心(CA)公证的,也就是说,都是自己签发的。
可以设想,如果攻击者插在用户与远程主机之间(比如在公共的wifi区域),用伪造的公钥,获取用户的登录密码。再用这个密码登录远程主机,那么SSH的安全机制就荡然无存了。这种风险就是著名的"中间人攻击"(Man-in-the-middle attack)。
注:整理于网络素材,版权归原作者所有。如需转载请注明出自:民工哥技术之路公众号。
Jenkins+Docker 实现一键自动化部署项目!少走坑路
转发 关注
点亮下方“在看”图标
更多人看到