一.SSH协议
SSH应用层协议
作用:远程连接设备,方便操作。
服务器的管理方式:
1.本地管理方式(物理服务器)
安装系统,故障修复
2.远程连接的方式
二.ssh协议的结构
1.服务端,sshd服务端程序
开启ssh服务
但凡启动一个软件都会有相应的进程存在,但凡适用于网络连接的服务都会有对应的端口。
如上图所示,这个sshd进程就是系统上的ssh服务,这个服务的主要作用就是提供网络连接的,
任何一个适用于网络连接的服务启动之后,在机器上都会有对应的端口,
ssh协议这是一个基于传输层TCP协议工作的一个服务,默认情况下会在机器上启动一个22的端口,
当机器上安装任何一个远程连接的客户端软件,使用这个软件去连接设备的时候,默认就是在连接这个设备上的22号端口。
如上图所示,sshd是ssh服务所产生的进程,而这个sshd服务是openssh-server的软件产生的。
而有些系统是不带有这个 openssh-server的软件的,需要我们自行在服务端安装,才可以使用客户端设备去连接服务端的22号端口。
2.客户端,ssh客户端程序
在windows上面安装客户端连接设备,可以使用XManager/Xshell。secure CRT,putty,
在Linux上面安装客户端连接设备,openssh-clients
如上图所示,可以在Linux操作系统上使用ssh命令就可以去连接其他的设备。
前提网能ping通,
centos操作系统安装完之后,ssh服务默认是开着的,
乌班图操作系统默认没有ssh服务,自己安装,
三.SSH客户端工具使用
1.远程连接服务器
如上图所示,是在Linux操作系统中启动openssh-clients软件,充当客户端远程控制软件,去远程连接其他服务端的22号端口。
2.远程执行命令
如上图所示,是在Linux操作系统上启动客户端软件去远程连接其他的Linux服务端。
3.远程拷贝文件
scp 远程拷贝工具
scp 源文件 用户名@服务器IP:目录
两个方向都可以拷贝
如上图所示,可以在客户端启动远程控制软件,双向得拷贝文件,
如上图所示,可以使用scp -r命令拷贝目录。
4.rsync 远程拷贝工具
所有服务器均要安装rsync
这是一个增量拷贝工具,也就是说当使用这个工具多次拷贝数据的时候,只会拷贝变化的数据,没变的数据不会再拷贝。
a是保留文件权限,v是显示文件拷贝过程,
增量拷贝,在第二次拷贝数据的时候,只会拷贝变化的数据
如上图所示,可以使用rsync -av /opt/shell 来拷贝目录。这时这个结尾处少了一个/,代表的就是拷贝这个/opt/下的shell目录。
四.ssh服务的认证方式
也就是说当客户端连接服务器的时候,服务器怎么验证客户端的身份。
认证方式:
1.基于用户名,密码的认证(ssh服务的默认认证方式)
如上图所示,当你使用哪个用户远程连接服务器的时候,服务器的ssh服务会跟你要这个用户的密码。
2.基于密钥的认证(需要做额外的配置),之后的操作就不再需要用户密码了。也就是免密ssh
密钥对:公钥(锁)和私钥(唯一能打开这把锁的钥匙),存在唯一对应关系
a)在客户端生成密钥对
b)将公钥拷贝给服务器的ssh目录,服务器会将公钥信息保存到对应用户目录/.ssh/authorized_keys文件中。
如上图所示,大概是ssh服务基于密钥的认证方式流程,首先在客户端上生成密钥对,然后我们将客户端上的公钥拷贝给服务器的ssh目录,这时服务器上的ssh服务会自动将公钥中的密码提取出来保存到用户家目录中的.ssh目录中,这时系统会自动生成一个文件来保存密钥信息。下次客户端再次连接服务器的时候,会发送私钥信息和连接请求,服务器会自动拿公钥信息去验证私钥。
如果验证通过就不会再向客户端要密码了,
相比于公钥,私钥的信息更加重要。
案例:配置基于密钥的验证
1.在客户端上生成密钥对
如上图所示,是在Linux客户端使用ssh -keygen -t rsa这条命令去生成密钥对,
第一条询问信息在问将这个密钥对的私钥信息的存放位置,
第二条询问信息是在问给私钥文件加密的密码,
第三条信息是在让你再输入一遍密码
如上图所示,一个文件叫id_rsa这个文件保存私钥信息
一个文件叫id_rsa.pub这个文件保存公钥信息。
2.将公钥拷贝到服务端
第一种方式使用scp或者rsync将私钥信息拷贝到用户目录/.ssh/authorized_keys文件中。
第二种方式在Linux和Linux之间有一个便利,也是软件openssh客户端提供的一个命令,就是ssh-copy-id,这个命令,
如上图所示,这是IP为192.168.183.200这个机器将公钥信息拷贝给IP为192.168.183.10这个机器
如上图所示,这是IP为192.168.183.10这个机器,公钥信息保存文件的地址,
如上图所示,此时IP为192.168.183.200的机器在连接IP为192.168.183.10的机器就不再需要密码了。
如上图所示,此时IP为192.168.183.200的机器在远程连接IP为192.168.183.10的机器执行命令的时候就不再需要密码了。
如上图所示,这是再给我机器的martin用户设置密码的操作。
注意两点:
1.基于密钥的ssh是基于用户实现的。
2.基于密钥的ssh是单向的。
五.ssh服务的配置文件/etc/ssh/sshd_config
1.修改ssh服务的默认端口
如上图所示,我们需要将ssh服务的22号端口进行修改,机器端口号是1到65535这样一个取值范围,建议修改ssh服务的端口号为5位数。使用vim编辑器打开文件/etc/ssh/sshd_config的端口号为五位数端口号。
建议ssh服务的端口修改为大于1024的端口,小于1024的端口已经被分配给了其他的应用。
如上图所示,使用命令netstat -antp | grep ssh
来查看ssh服务的端口号。
centos操作系统安装成功以后,防火墙和SELinux都是默认开着的,这会阻止我服务的正常访问.
关闭防火墙
如上图所示,是关闭防火墙的正常命令,
关闭SELinux
如上图所示,是关闭SELinux的操作。
如上图所示,这是使用ssh服务去远程连接Linux虚拟机的操作,此时应该使用命令ssh 登录远程机器的用户@机器IP -p ssh服务的端口号
如上图所示,scp和rsync服务默认也是使用的22号端口来远程拷贝文件,所以也要使用-P选项来修改连接的端口。
2.禁止root用户登录
如上图所示,应该禁止使用root能够使用ssh服务远程连接机器,
在使用普通用户登录机器之后可以使用su - root来切换用户,
3.在远程连接的时候,服务器的ssh服务禁用密码认证,只能通过密钥认证,当然在禁用密码认证之前应该事先配置好密钥认证。
禁用密码认证,只能通过密钥认证,当然在禁用密码认证之前应该事先配置好密钥认证。
如上图所示,是在node-02这台机器上将公钥发送给node-01这台机器上的king用户
如上图所示,在node01这台机器上使用vim编辑器打开文件/etc/ssh/sshd_config,修改密码认证为no,即禁用密码认证,随后在配置好king用户的免密ssh远程连接以后,使用systemctl restart sshd来使得sshd服务重新读取配置文件/etc/ssh/sshd_config中的信息。
如上图所示,此时在node02这台机器上使用ssh 用户名@node01机器的IP -p 指定的ssh端口号
来在node02这台机器上远程连接node01这台机器上的king用户。
如上图所示,当禁用node01这台机器上的密码认证之后,即使在windows上使用xshell来远程连接node01的任何一个用户都连接不上,当然这是在没有配置ssh免密登录的前提下。
4.windows和Linux之间配置免密的ssh服务。
首先在客户端即windows上生成密钥对,
下一步将windows上的公钥保存为windows上的文件,随后将这个公钥文件拷贝到服务器上去,
如上图所示,此时将这个公钥文件拷贝到了服务器的king用户的家目录下,
如上图所示,此时使用ls命令可以查看这个公钥文件,
此时可以将这个公钥文件通过>>以追加的方式添加到用户家目录下的.ssh/authorized_keys中,
此时可以禁用服务器node01的密码认证功能,在windows使用ssh免密连接,登录node01机器的king用户,
5.影响ssh连接速度
ssh服务会将你写的主机IP地址翻译成这个IP地址所对应的主机名,
如上图所示,使用vim编辑器打开文件/etc/ssh/sshd_config禁用主机名解析,
如上图所示,可以使用kill -1 PID(服务的父进程)使得这个服务重新读取一下配置文件,
