ssh远程登录服务

目录

1.1版本协商阶段

1.2密钥和算法协商阶段

1.3认证阶段(两种认证方法):

2.1.安装ssh

2.2.配置文件分析:

3.1配置ssh监听端口号

3.2拒绝以root身份登录服务器

3.3虚拟机之间实现免密登录

3.4xshell免密登录


SSH (Secure Shell Protocol,安全壳程序协议)由IETF的网络小组(Network Working
Group)所制定,可以通过数据包加密技术将等待传输的数据包加密后再传输到网络上。
●ssh协议本身提供两个服务器功能:
。一个是类似telnet的远程连接使用shell的服务器;
。另一个就是类似ftp服务的sftp-server,提供更安全的ftp服务。
 

SSH工作过程:
●服务端与客户端要经历如下五个阶段:
       过程                                                                                        说明


版本号协商阶段                                       SSH目前包括SSH1和SSH2两个版本,双方通过版本协

                                                                商确定使用的版本

密钥和算法协商阶段                                 SSH支持多种加密算法,双方根据本端和对端支持的算                                                                        法,协商出最终使用的算法

认证阶段                                                  SSH客户端向服务器端发起认证请求,服务器端对客户                                                                    端 进行认证

会话请求阶段                                          认证通过后,客户端向服务器端发送会话请求


交互会话阶段                                          会话请求通过后,服务器端和客户端进行信息的交互



 

1.1版本协商阶段


服务器端打开端口22,等待客户端连接;
.客户端向服务器端发起TCP初始连接请求,TCP连接建立后,服务器向客户端发送第一个报文,
包括版本标志字符串,格式为SSH-<主协议版本号>. <次协议版本号>. <软件版本号>,协议版本号
由主版本号和次版本号组成,软件版本号主要是为调试使用。
●客户端收到报文后,解析该数据包,如果服务器的协议版本号比自己的低,且客户端能支持服务
器端的低版本,就使用服务器端的低版本协议号,否则使用自己的协议版本号。
●客户端回应服务器一个报文,包含了客户端决定使用的协议版本号。服务器比较客户端发来的版
本号,决定是否能同客户端一起工作。如果协商成功,则进入密钥和算法协商阶段,否则服务器
断开TCP连接
●注意: .上述报文都是采用明文方式传输
 


1.2密钥和算法协商阶段


●服务器端和客户端分别发送算法协商报文给对端,报文中包含自己支持的公钥算法列表、加密算
法列表、MAC (Message Authentication Code,消息验证码)算法列表、压缩算法列表等等
●服务器端和客户端根据对端和本端支持的算法列表得出最终使用的算法
●服务器端和客户端利用DH交换(Diffie-Hellman Exchange) 算法、主机密钥对等参数,生成
会话密钥和会话ID。
由此,服务器端和客户端就取得了相同的会话密钥和会话ID。对于后续传输的数据,两端都会使
用会话密钥进行加密和解密,保证了数据传送的安全。在认证阶段,两端会使用会话用于认证过

●会话密钥的生成:
。客户端需要使用适当的客户端程序来请求连接服务器,服务器将服务器的公钥发送给客户端。
(服务器的公钥产生过程:服务器每次启动.shd服务时,该服务会主动去找/etc/ssh/ssh_ host*文件,若系统刚装完,由于没有这些公钥文件,因此sshd会主动去计算出这些需要的公钥文件,同时也会计算出服务器自己所需要的私钥文件。)
。服务器生成会话ID,并将会话ID发给客户端。
。若客户端第一次连接到此服务器,则会将服务器的公钥数据记录到客户端的用户主目录内的
~/.ssh/known_ hosts。若是已经记录过该服务器的公钥数据,则客户端会去比对此次接收到
的与之前的记录是否有差异。客户端生成会话密钥,并用服务器的公钥加密后,发送给服务
器。
。服务器用自己的私钥将收到的数据解密,获得会话密钥。
。服务器和客户端都知道了会话密钥,以后的传输都将被会话密钥加密
 

1.3认证阶段(两种认证方法):


●基于口令的认证(password认证) :客户端向服务器发出password认证请求,将用户名和密
码加密后发送给服务器,服务器将该信息解密后得到用户名和密码的明文,与设备上保存的用户
名和密码进行比较,并返回认证成功或失败消息。
●基于密钥的认证(publickey认证) :
。客户端产生- -对公共密钥, 将公钥保存到将要登录的服务器上的那个账号的家目录
的.ssh/authorized_ keys文件中
。认证阶段:客户端首先将公钥传给服务器端服务器端收到公钥后会 与本地该账号家目录下的
authorized_ keys中的公钥进行对比,如果不相同,则认证失败;否则服务端生成一-段随机字
符串,并先后用客户端公钥和会话密钥对其加密,发送给客户端。客户端收到后将解密后的随
机字符串用会话密钥发送给服务器。如果发回的字符串与服务器端之前生成的- -样,则认证通
过,否则,认证失败。
●注:服务器端对客户端进行认证,如果认证失败,则向客户端发送认证失败消息,其中包含可以
再次认证的方法列表。客户端从认证方法列表中选取一种认证方法再次进行认证,该过程反复进
行。直到认证成功或者认证次数达到上限,服务器关闭连接为止
 


2.1.安装ssh


[root@server ~]# yum install openssh-server 


2.2.配置文件分析:



[root@server ~]# vim /etc/ssh/sshd_ config
#Port 22 #默认监听22端口,可修改
#AddressFamily any # IPV4和IPV6协议家族用哪个,any表示二者均有
#ListenAddress 0.0.0.0 #指明监控的地址,0.0.0.0表示本机的所有地址(默认可修改)
#ListenAddress :: #指明监听的IPV6的所有地址格式
#HostKey /etc/ssh/ssh. _host_ _rsa _key    # rsa私钥认证,默认
#HostKey /etc/ssh/ssh_ _host_ ecdsa _key # ecdsa私钥认证
#HostKey /etc/ssh/ssh_ host_ ed25519_ _key # ed25519私钥认证
#SyslogFacility AUTH  # ssh登录系统的时会记录信息并保存在/var/1og/secure
#LogLeve1 INFO         #日志的等级

#Logi nGraceTime 2m  # .登录的宽限时间,默认2分钟没有输入密码,则自动断开连接
#Pe rmi tRootLogin prohibit-password # 只允许root以密钥形式登录,不能以密码的方
式登录可以设置Permi tRootLogin yes, 允许管理员登录
#StrictModes yes   # .是否让sshd去检查用户主目录或相关文件的权限数据
#MaxAuthTries 6  # 最大认证尝试次数,最多可以尝试6次输入密码。之后需要等待某段时间
                              后才能再次输入密码
#MaxSessions 10        #允许的最大会话数

AuthorizedKeysFile . ssh/ authorized _keys      #选择基于密钥验证时,客户端生成一 对公
                                                              私钥之后,会将公钥放到. ssh/authorizd_ _ke里面
#Pa{swordAuthentication yes # 登录ssh时是否进行密码验证
#Permi tEmptyPasswords no   #登录ssh时是否允许密码为空

Subsystem sftp /usr/libexec/openssh/sftp-server      #支持SFTP ,如果注释掉,贝
                                                                                  不支持sftp连接
AllowUsers user1 user2      #登录白名单(默认没有这个配置,需要自己手动添加),允许远程登录
                                            的用户。如果名单中没有的用户,则提示拒绝登录
 


3.1配置ssh监听端口号



●第一步:server端操作,编辑配置文件
[root@server ~]# vim /etc/ssh/sshd_ config
port 2222          #修改第21行参数,去掉#,改为2222


●第二步:server端操作,重启服务
[root@server ~]# systemctl restart sshd
[ root@server ~]# netstat -ntlp #查看端口号是否改变


●第三步: node1端操作,ssh登录服务器
 [root@node1 ~]# ssh root@192.168.48.130 # 默认登录会被拒绝
ssh: connect to host 192.168.48.130 port 22: Connection refused

[root@node1 ~]# ssh -p 2222   root@192.168.48.130   #指明以2222端口号登录
root@192.168.48.130's password:

 [root@server ~]#
注销.
Connection to 192.168.48.130 closed.
[ root@node1 ~]#
●注意:修改ssh端口号时必须关闭selinux
#定位server端, 修改会原来的22端口
[rogt@server ~]# vim /etc/ssh/sshd_config
[root@server ~]# systemctl restart sshd
[root@server ~]# netstat -ntlp 
 

#开启selinux
 [root@server ~]# vim /etc/selinux/config
SELINUX=enforcing # 改为enforcing即启
[ root@server ~]# reboot
#重启生效,等待
[root@server ~]# vim /etc/ssh/sshd_ config
#重新修改端口号为3333
Port 3333
#重启服务后会报错,selinux会拦截端口号修改
 [ root@server ~]# systemctl restart sshd
 Job for sshd.service fai led because the contro1 process exited with error
code .
See "systemctl status sshd. service" and "journalct1 -xeu sshd. service" for
details.

[root@server ~]# setenforce 0   # 临时关闭selinux
[root@server ~]# getenforce     #查看selinux状态
Permissive                                #临时关闭,不拦截但会记录行为
 [root@server ~]# systemct] restart sshd      #临时关闭selinux后重后限务成功
#注意:修改聊口这类的系统参数,需要关闭seitinux或配Tselinux让其放行

 

3.2拒绝以root身份登录服务器



●ssh-keygen:用于生成、管理密钥
●格式
 [root@node1 ~]# ssh-keygen     -t    rsa
●分析
。-t: 指定加密类型
。rsa: rsa公钥加密算法,可以产生公钥和私钥
。注意:执行后对应账户目录下的隐藏目录.ssh中有2个文件:
■/root/.ssh/id_ rsa: 本机私钥文件
■/root/.ssh/id_ rsa.pub: 本机公钥文件
 

●第一步:定位server,编辑配置文件
[root@server ~]# vim  /etc/ssh/sshd_config. d/01-permitrootlogin. conf 

Permi tRootLogin no          # yes修改为no,拒绝以root身份登录服务器
[root@server ~]# systemctl restart sshd
●第二步:定位node1,测试远程登录
[root@node1 ~]# ssh root@192.168.48.130        #以root身份登录被拒绝
root@192 . 168.48.130's passwordI
Permission denied, please try again.
 

3.3虚拟机之间实现免密登录


●第一步:定位node1,制作公私对
 [ root@node1 ~]# ssh-keygen    -t  rsa    #一路回车即可
●第二步:定位node1,将公钥上传
[root@node1 ~]# ssh-copy-id    root@13.168.48.130  #将node1公钥上传给130主机
The authenticity of host ' 192.168.48.130 (192.168.48.130)' can't be
established .
ED25519 key fingerprint is
SHA256: K7nvJFkfIh+p9YytEGR44wLbTfpB0Y52oVou0UdG6nc.
This key is not known by any other names
 Are you sure you want to continue connecting (yes/no/ [fingerprint])? yes #
输入
 /usr/bin/ssh-copy-id: INFO: attempting to 1og in with the new key(s), to
filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are
prompted now it is to insta11 the new keys
root@192.168.48.130's password:
#输入登录密码
 

第三步:客户端测试

[root@node主~]# ssh root@192.168.48.130
Activate the web console with: systemct1 enable --now cockpit. socket
Register this system with Red Hat Insights: insights-client --register
Create an account or view a11 your systems at https://red. ht/insights-
dashboard
Last login: Wed May 31 08:32:15 2023 from 192.168.48.1
’ [root@server ~]#
注销
Connection to 192.168. 48.130 closed.
第四步:由于目标是双向免密,只需要在server'端制作公私钥对,将其上传给node1端即可
 

3.4xshell免密登录


●xshell使用密钥登陆
●之前xshell使用的是密码登录,现在通过密钥的配置,实现无密码登录
#注意:先在服务器端检查/root/ . ssh/authorized_ keys是否存在,它时存储公钥的文件,若不存
在需要新建

#服务器端操作

 [ root@server ~]# cd / root
 [root@server ~]# 1s -a
 [root@server ~]# mkdir . ssh
 [root@server ~]# cd   .ssh
[root@server .ssh]# vim  authorized_ keys
#有时需要注意. ssh目录的权限.
 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/128700.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

模电学习路径

交流通路实质 列出电路方程1&#xff0c;方程1对时刻t做微分 所得方程1‘ 即为 交流通路 方程1对时刻t做微分&#xff1a;两个不同时刻的方程1相减&#xff0c;并 令两时刻差为 无穷小 微分 改成 差 模电学习路径&#xff1a; 理论 《电路原理》清华大学 于歆杰 朱桂萍 陆文…

透析远程办公效率低下的原因,这些问题有解决方法

远程办公是近年来越来越受欢迎的一种工作方式&#xff0c;许多人喜欢在家中或咖啡馆里工作&#xff0c;享受更自由的工作时间和空间。然而&#xff0c;远程办公也经常面临效率低下的问题&#xff0c;因为一些原因导致在办公室时高效率的工作方式在远程工作上不再适用。 首先&a…

【向生活低头】win7打印机共享给win11使用,win11无法连接问题的解决

打印机是跟win7的电脑连接的&#xff0c;然后试了很多方法&#xff0c;win11都没法添加该打印机去使用。 网上的方法乱七八糟啥都有&#xff0c;但试了以后&#xff0c;发现基本没什么用。 刚刚发现知乎上的一个回答是有用的&#xff0c;这里做记录以备后用。 1.打开控制面板的…

Linux 调试 (objdump/strace/strings)

目录 1. Linux 调试 (objdump/strace/strings)1.1. 查看系统 glibc 版本号1.2. 查看 so/bin 中的依赖1.3. 调试 bin 报错原因1.4. 查看 so/bin 中字符串 1. Linux 调试 (objdump/strace/strings) 1.1. 查看系统 glibc 版本号 1. 第一种 # ldd --version ldd (Ubuntu GLIBC 2.…

修复国产电脑麒麟系统开机出现initramfs 问题

目录预览 一、问题描述二、原因分析三、解决方案四、知识点呀initramfsBusyBox 五、参考链接 一、问题描述 国产麒麟系统出现 initramfs 模式 二、原因分析 一般在拷贝卡顿过程【强制关机】或者电【脑异常断电】的情况下概率性导致系统分区损坏&#xff0c;重启后大概率就会进…

数字孪生技术:金融业合规与自动化的未来

在当今数字化时代&#xff0c;金融行业正积极探索数字孪生技术&#xff0c;以实现更高效的运营和更好的客户体验。数字孪生是一种将实体世界的对象、过程和系统数字化为虚拟模型的技术&#xff0c;金融机构正在充分利用它带来的众多优势。 1. 风险管理与模拟 数字孪生模型可用…

解决ECharts柱形图自定义单个柱子颜色图例无法显示

legend里data和series里的name需要对应series里对象需要设置stack属性&#xff0c;属性值都一样即可显示单柱重点在于series里对象data属性设置&#xff0c;必须使用&#xff0c;否则影响柱体上数值显示tooltip的值需要自定义&#xff0c;否则会显示堆叠柱状图的tooltip格式&am…

Linux解决nvcc -V出现的-bash: nvcc command not found问题

两种解决办法&#xff1a; 1、第一种直接在bashrc文件中添加本地cuda路径&#xff1a; vim ~/.bashrc 定位到内容末尾&#xff0c;最末尾 添加命令&#xff1a; export LD_LIBRARY_PATH/usr/local/cuda/lib export PATH$PATH:/usr/local/cuda/bin添加后激活 source ~/.bashrc…

Ubuntu:解决PyCharm中不能输入中文或者输入一个中文解决方法

1.问题&#xff1a; Ubuntu22.04中&#xff0c;在pycharm里打字输入中文&#xff0c;每次都是只能输入第一个中文&#xff0c;后面输入的都变成了英文字母。。。无论咋调输入法&#xff0c;都没用&#xff0c;反正除了第一个字其他的输进去都是英文&#xff0c;而且汉字下面还…

软考 系统架构设计师系列知识点之设计模式(12)

接前一篇文章&#xff1a;软考 系统架构设计师系列知识点之设计模式&#xff08;11&#xff09; 所属章节&#xff1a; 老版&#xff08;第一版&#xff09;教材 第7章. 设计模式 第2节. 设计模式实例 11. 某公司开发一个文档编辑器&#xff0c;改变及其允许在文档中直接嵌入…

2023年【R1快开门式压力容器操作】试题及解析及R1快开门式压力容器操作模拟试题

题库来源&#xff1a;安全生产模拟考试一点通公众号小程序 2023年【R1快开门式压力容器操作】试题及解析及R1快开门式压力容器操作模拟试题&#xff0c;包含R1快开门式压力容器操作试题及解析答案和解析及R1快开门式压力容器操作模拟试题练习。安全生产模拟考试一点通结合国家…

Java 线程池规范

目录 1、为什么要使用线程池&#xff1f;2、线程池如何命名3、不要使用 Executors 下自带线程池4、Async 正确用法5、项目中可以定义多个线程池吗&#xff1f; 1、为什么要使用线程池&#xff1f; 在使用多线程时&#xff0c;频繁地创建和销毁线程会带来显著的性能开销。使用线…

论文 辅助笔记:t2vec train.py

1 train 1.1 加载training和validation数据 def train(args):logging.basicConfig(filenameos.path.join(args.data, "training.log"), levellogging.INFO)设置了日志的基本配置。将日志信息保存到名为 "training.log" 的文件中日志的级别被设置为 INFO&…

iZotope Ozone 11 Advanced for mac(臭氧11)11.0.0激活版

iZotope Ozone 11是一款功能丰富的母带处理工具&#xff0c;也是混音师和母带工程师工作中必备的工具之一。它能够满足母带的全部流程&#xff0c;包括均衡器&#xff08;EQ&#xff09;、压缩器&#xff08;Comp&#xff09;、限制器&#xff08;Limiter&#xff09;、多段宽度…

DQN强化学习

算是自己写的第一个强化学习环境&#xff0c;目前还有很多纰漏&#xff0c;逐步改进ing。 希望能在两周内施工完成。 import numpy as np import torch import torch.nn as nn import torch.optim as optim import random from collections import deque import matplotlib.pyp…

[100天算法】-二叉树剪枝(day 48)

题目描述 给定二叉树根结点 root &#xff0c;此外树的每个结点的值要么是 0&#xff0c;要么是 1。返回移除了所有不包含 1 的子树的原二叉树。( 节点 X 的子树为 X 本身&#xff0c;以及所有 X 的后代。)示例1: 输入: [1,null,0,0,1] 输出: [1,null,0,null,1]示例2: 输入: […

Vue3 实现 clipboard 复制功能

一个很小的交互功能&#xff0c;网上搜了一下有一个 vue3-clipboard 直接支持vue3&#xff0c;到github仓库看了下&#xff0c;原作者已经不维护这个项目了&#xff1a; 推荐使用 vueuse 自带的 useclipboard 功能&#xff0c;由 vue 团队维护&#xff0c;稳定性基本没问题 官…

十六章反射与注解总结

16.1 反射 反射&#xff08;Reflection&#xff09;是指在运行时获取类的信息&#xff0c;并可以动态调用类的方法、访问或修改类的属性&#xff0c;以及构造对象的能力。 Java的反射提供了一套API&#xff0c;允许你在运行时检查类的结构、调用类的方法、获取和设置类的属性&…

学习笔记三十三:准入控制

ResourceQuota准入控制器 ResourceQuota准入控制器限制cpu、内存、pod、deployment数量限制存储空间大小 LimitRanger准入控制器在limit名称空间创建pod&#xff0c;不指定资源&#xff0c;看看是否会被limitrange规则自动附加其资源限制创建pod&#xff0c;指定cpu请求是100m&…

git init

git init&#xff1a;初始化版本库 比喻&#xff1a;想象你有一块空白的画布&#xff0c;上面什么都没有。你希望开始绘制一幅画&#xff0c;但在开始之前&#xff0c;你需要明确告诉绘图工具你要开始绘制了。这个过程就好比是在画布上执行 git init。它创建了一个空白的版本库…