SSH服务

一. 熟悉SSH服务

1.1 何为SSH协议

1.2 SSH服务优点

1.3 常见的SSH协议

1.4 SSH服务的功能

1.5 为何使用SSH服务

1.6 SSH服务的工作原理

1.6.1 公钥传输原理

1.6.2 ssh加密通讯原理

1.7 SSH服务的最佳应用场景

1.8 SSH服务远程登录的方式

1.8.1 方法一：

1.8.2 方法二：

二. SSH服务测试实验

2.1 修改默认端口号登录

2.2 禁止root用户登录

2.3 白名单黑名单列表

2.4 免密登录

一. 熟悉SSH服务

1.1 何为SSH协议

SSH（Secure Shell）是一种安全通道协议，主要用来实现字符界面的远程登录、远程复制等功能。SSH 协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的用户口令，SSH 为建立在应用层和传输层基础上的安全协议。对数据进行压缩，加快传输速度。

1.2 SSH服务优点

数据传输是加密的，可以防止信息泄漏
数据传输是压缩的，可以提高传输速度

1.3 常见的SSH协议

Openssh:OpenSSH 是实现SSH协议的开源软件项目，适用于各种UNIX,Linux 操作系统，Centos 7系统默认已安装openssh相关软件包，并将sshd 服务添加为开机自启动。执行 "systemctl start sshd" 命令即可启动sshd 服务。

OpenSSH 常用配置文件有两个/etc/ssh/ssh_config 和/etc/sshd_config。
ssh_config：为客户端配置文件，设置与客户端相关的应用可通过此文件实现。
sshd_config：为服务器端配置文件，设置与服务端相关的应用可通过此文件实现。

sshd服务的默认配置文件是/etc/ssh/sshd_config
ssh_config和sshd_config都是ssh服务器的配置文件，二者区别在于前者是针对客户端的配置文件，后者则是针对服务端的配置文件。

1.4 SSH服务的功能

ssh服务端主要包括两个服务功能 ssh远程链接 和 sftp服务（文件传输功能）

作用：SSHD 服务使用 SSH 协议可以用来进行远程控制，或在计算机之间传送文件。
相比较之前用 Telnet 方式来传输文件要安全很多，因为 Telnet 使用明文传输，SSH 是加密传输。
服务名称：sshd
服务端主程序：/usr/sbin/sshd
服务端配置文件：/etc/ssh/sshd_config
客户端配置文件：/etc/ssh/ssh_config

1.5 为何使用SSH服务

远程管理linux系统基本上都要使用到ssh，原因很简单：telnet、FTP等传输方式是以明文传送用户认证信息，本质上是不安全的，存在被网络窃听的危险。SSH（Secure Shell）目前较可靠，是专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题，透过SSH可以对所有传输的数据进行加密，也能够防止DNS欺骗和IP欺骗。

1.6 SSH服务的工作原理

1.6.1 公钥传输原理

公钥传输原理概述：

首先客户端发起链接请求，这时服务端返回自己的公钥，以及一个会话ID（这一步客户端得到服务端公钥），然后客户端生成密钥对客户端用自己的公钥异或会话ID，计算出一个值Res，并用服务端的公钥加密，之后客户端发送加密值到服务端，服务端用私钥解密，得到Res后服务端用解密后的值Res异或会话ID，计算出客户端的公钥（这一步服务端得到客户端公钥），最终：双方各自持有三个秘钥，分别为自己的一对公、私钥，以及对方的公钥，之后的所有通讯都会被加密。

1.6.2 ssh加密通讯原理

加密通讯又分为对称加密和非对称加密，下面具体分析两种加密方式：

1）对称加密
1、概念
采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密，这种加密方法称为对称加密，由于其速度快，对称性加密通常在消息发送方需要加密大量数据时使用。

2、常用算法
在对称加密算法中常用的算法有：DES、3DES、TDEA、Blowfish、RC2、RC4、RC5、IDEA、SKIPJACK等。

3、特点
1、加密方和解密方使用同一个密钥；
2、加密解密的速度比较快，适合数据比较长时的使用；
3、密钥传输的过程不安全，且容易被破解，密钥管理也比较麻烦；

4、优缺点
对称加密算法的优点是算法公开、计算量小、加密速度快、加密效率高。
对称加密算法的缺点是在数据传送前，发送方和接收方必须商定好秘钥，然后使双方都能保存好秘钥。其次如果一方的秘钥被泄露，那么加密信息也就不安全了。另外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的独一秘钥，这会使得收、发双方所拥有的钥匙数量巨大，密钥管理成为双方的负担

2）非对称加密
1、概念
非对称加密算法需要两个密钥：公开密钥（publickey:简称公钥）和私有密钥（privatekey:简称私钥）。公钥与私钥是一对，如果用公钥对数据进行加密，只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。

2、常用算法

RSA（RSA algorithm）：目前使用最广泛的算法。
DSA（Digital Signature Algorithm）：数字签名算法，和 RSA 不同的是 DSA仅能用于数字签名，不能进行数据加密解密，其安全性和RSA相当，但其性能要比RSA快。
ECC（Elliptic curve cryptography，椭圆曲线加密算法）。
ECDSA：Elliptic Curve Digital Signature Algorithm，椭圆曲线签名算法，是ECC和 DSA的结合，相比于RSA算法，ECC 可以使用更小的秘钥，更高的效率，提供更高的安全保障。

3、原理
首先ssh通过加密算法在客户端产生密钥对（公钥和私钥），公钥发送给服务器端，自己保留私钥，如果要想连接到带有公钥的SSH服务器，客户端SSH软件就会向SSH服务器发出请求，请求用联机的用户密钥进行安全验证。SSH服务器收到请求之后，会先在该SSH服务器上连接的用户的家目录下。

5、优缺点
相比于对称加密技术，非对称加密技术安全性更好，但性能更慢。

1.7 SSH服务的最佳应用场景

免密登录

安全加固

建议使用非默认端口 22

禁止使用protocol version 1

限制可登录用户白名单黑名单

设定空闲会话超时时长

利用防火墙设置ssh访问策略

仅监听特定的IP地址，公网内网

基于口令认证时，使用强密码策略，如:tr -dc A-Za-z0-9_</dev/urandom | head -c 12| xargs

使用基于密钥的认证

禁止使用空密码

禁止使用root用户直接登录

限制ssh的访问频度和并发在线数

经常分析日志