远程管理服务 SSH

1. 远程管理服务概念介绍

1.1 常见的 远程管理 服务

1.1.1 ssh 服务

安全的 远程连接 协议，数据信息加密

ssh 服务默认可以 root 用户远程连接

1.1.2 telnet 服务

不安全的 远程连接 协议，数据信息 明文

telnet 服务默认不可以让 root 用户远程连接

1.1.2.1 Linux 部署 telnet 服务

yum install telnet-server -y
systemctl start telnet.socket
netstat -lntup|grep 23

1.2 扩展

• 什么是 shell

1. 每连接登录到一个 Linux 系统中，就是一个 shell
2. 针对一个 Linux 系统建立多个会话，每个会话就是一个 shell
3. 系统中用户可以实现相互转换，每转换一个用户就是一个 shell

• shell 特点说明

1. 一般命令行临时配置的信息，只会影响当前 shell
2. 命令配置的信息如果想生效，需要切换 shell

2. SSH 服务连接工作原理(数据加密)

image-20211203125701663.png

1. 客户端 执行远程连接命令
2. 客户端 和 服务端 建立三次握手
3. 服务端 向客户端 确认是否接收服务端的公钥信息
4. 客户端 进行公钥信息 接收确认
5. 服务端 发送 公钥信息至 客户端，并确认密码信息
6. 客户端 进行密码信息 确认
7. 客户端 和 服务端 远程连接建立成功

2.1 服务端公钥保存位置

/etc/ssh/ssh_host_ecdsa_key.pub

# 查看服务端公钥文件内容
[root@nfs01 ~]# cd /etc/ssh/
[root@nfs01 ssh]# ll
total 608
-rw-r--r--. 1 root root     581843 Apr 11  2018 moduli
-rw-r--r--. 1 root root       2276 Apr 11  2018 ssh_config
-rw-------. 1 root root       3904 Nov 11 01:07 sshd_config
-rw-------. 1 root root       3907 Apr 11  2018 sshd_config.bak
-rw-r-----. 1 root ssh_keys    227 Oct 29 01:03 ssh_host_ecdsa_key
-rw-r--r--. 1 root root        162 Oct 29 01:03 ssh_host_ecdsa_key.pub
-rw-r-----. 1 root ssh_keys    387 Oct 29 01:03 ssh_host_ed25519_key
-rw-r--r--. 1 root root         82 Oct 29 01:03 ssh_host_ed25519_key.pub
-rw-r-----. 1 root ssh_keys   1679 Oct 29 01:03 ssh_host_rsa_key
-rw-r--r--. 1 root root        382 Oct 29 01:03 ssh_host_rsa_key.pub
[root@nfs01 ssh]# pwd
/etc/ssh
[root@nfs01 ssh]# cat ssh_host_ecdsa_key.pub 
ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBKXVJZIYC/7YxKcGxnG5RiS0k6EED7W/diD7ImnHkvC6XQAJMMCUQ6qls77DdhxonWKREmW8f1Z6Ix0jSdSVgm0= 

2.2 发送到客户端的保存位置

~/.ssh/know_hosts

# 客户端建立远程连接
[root@backup ~]# ssh root@10.1.1.31
The authenticity of host '10.1.1.31 (10.1.1.31)' can't be established.
ECDSA key fingerprint is SHA256:2Iaj+mlmG0gP8NB8EyVd9hC8LhUF6gv7omlLT+dCGEo.
ECDSA key fingerprint is MD5:20:f2:f2:80:4b:ac:58:6a:7e:92:9d:6c:6d:f5:7d:71.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '10.1.1.31' (ECDSA) to the list of known hosts.
root@10.1.1.31's password: 
Last login: Thu Dec  2 19:12:08 2021 from 10.1.1.1
[root@backup ~]# cat ~/.ssh/known_hosts 
10.1.1.31 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBKXVJZIYC/7YxKcGxnG5RiS0k6EED7W/diD7ImnHkvC6XQAJMMCUQ6qls77DdhxonWKREmW8f1Z6Ix0jSdSVgm0=

2.3 公钥和私钥的作用

image-20211203160126681.png

1. 利用 私钥 和 公钥 对数据信息进行加密处理
2. 利用 私钥 和 公钥 进行用户身份认证

• 注意

1. 基于密码的方式远程登录：公钥和私钥只完成数据传输过程中的加密过程
2. 基于秘钥的方式远程登录：公钥和私钥还能完成身份认证工作(除完成数据传输过程中的加密工作之外)

2.4 扩展

1. 若客户端具有服务端的公钥，客户端远程连接时，不会再向客户端发送公钥信息。直接进行密码确认。
2. 客户端接收公钥信息内容 和 服务端公钥信息一致。

3. SSH 远程连接的方式

3.1 基于口令的方式进行远程连接

连接比较麻烦，不太安全

3.2 基于秘钥的方式进行远程连接 (推荐使用)

连接方便，连接比较安全

image-20211203171547224.png

• 基于秘钥方式远程连接过程(原理)

1. 客户端(管理端) 创建密钥对
2. 客户端(管理端) 建立远程连接(基于口令的方式)，发送公钥信息
3. 客户端(管理端) 再次建立远程连接(基于密钥方式)
4. 服务端(被管理端) 发送公钥质询信息
5. 客户端(管理端) 处理公钥质询信息，将质询结果反馈给服务端
6. 服务端(被管理端) 接收到质询结果，成功建立远程连接

4. SSH 基于秘钥的远程连接方式 部署

4.1 管理端创建密钥对信息

[root@m01 ~]# ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/root/.ssh/id_dsa): 
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_dsa.
Your public key has been saved in /root/.ssh/id_dsa.pub.
The key fingerprint is:
SHA256:3OMHlCBPCx0xF8fz9xS+KNCbVKJdUVtUbkUM9wRKwOU root@m01
The key's randomart image is:
+---[DSA 1024]----+
|      o.*++=+.=BX|
|       =.=.*o+ =*|
|        o * Eo..=|
|       . = +  .oo|
|        S * o .oo|
|         . * . ..|
|          . o    |
|           .     |
|                 |
+----[SHA256]-----+

# 扩展
ssh-keygen 命令
-t  指定密钥对加密算法类型

4.2 管理端将公钥进行分发

[root@m01 ~]# ssh-copy-id -i /root/.ssh/id_dsa.pub root@172.16.1.41
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_dsa.pub"
The authenticity of host '172.16.1.41 (172.16.1.41)' can't be established.
ECDSA key fingerprint is SHA256:2Iaj+mlmG0gP8NB8EyVd9hC8LhUF6gv7omlLT+dCGEo.
ECDSA key fingerprint is MD5:20:f2:f2:80:4b:ac:58:6a:7e:92:9d:6c:6d:f5:7d:71.
Are you sure you want to continue connecting (yes/no)? yes
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@172.16.1.41's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'root@172.16.1.41'"
and check to make sure that only the key(s) you wanted were added.

# 查看管理端 公钥信息
[root@m01 ~]# cat /root/.ssh/id_dsa.pub 
ssh-dss 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 root@m01

4.2.1 公钥分发到被管理端的保存位置

[root@backup ~]# cd /root/.ssh/
[root@backup .ssh]# ll
total 8
-rw------- 1 root root 598 Dec  3 14:07 authorized_keys
-rw-r--r-- 1 root root 353 Dec  2 19:14 known_hosts
[root@backup .ssh]# cat authorized_keys 
ssh-dss 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 root@m01

4.3 管理端 基于密钥方式 远程连接 被管理端 (远程连接测试)

# 不用输入密码信息即可进行远程连接
[root@m01 ~]# ssh 172.16.1.41
Last login: Fri Dec  3 14:08:47 2021 from 10.1.1.1
[root@backup ~]# 
# 不用远程到被管理服务器，可以远程执行命令
[root@m01 ~]# ssh 172.16.1.41 hostname
backup

5. 扩展内容

5.1 编写脚本，实现批量分发公钥

5.1.1 问题(交互过程如何避免)

5.1.1.1 服务端发送公钥信息至客户端，需要确认接收，输入 yes

[root@m01 ~]# > .ssh/known_hosts 
[root@m01 ~]# cat .ssh/known_hosts
[root@m01 ~]# ssh-copy-id -i /root/.ssh/id_dsa.pub root@172.16.1.41
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_dsa.pub"
The authenticity of host '172.16.1.41 (172.16.1.41)' can't be established.
ECDSA key fingerprint is SHA256:2Iaj+mlmG0gP8NB8EyVd9hC8LhUF6gv7omlLT+dCGEo.
ECDSA key fingerprint is MD5:20:f2:f2:80:4b:ac:58:6a:7e:92:9d:6c:6d:f5:7d:71.
Are you sure you want to continue connecting (yes/no)? ^C

# 使用 参数 "-o StrictHostKeyChecking=no" 跳过交互式输入 yes，该参数意思是：不要询问要不要接收服务端公钥信息，默认接收
[root@m01 ~]# ssh-copy-id -i /root/.ssh/id_dsa.pub root@172.16.1.41 "-o StrictHostKeyChecking=no"
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_dsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@172.16.1.41's password: 

5.1.1.2 需要输入 密码 问题

yum install sshpass -y

[root@m01 ~]# yum install sshpass -y
[root@m01 ~]# sshpass -ptoor ssh-copy-id -i /root/.ssh/id_dsa.pub root@172.16.1.41
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_dsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'root@172.16.1.41'"
and check to make sure that only the key(s) you wanted were added.
[root@m01 ~]# ssh 172.16.1.41 hostname
backup

# sshpass 命令
-p  跟root密码，可面交互实现密码认证

5.1.1.3 服务端 端口号非默认端口(默认 22)，如何解决

[root@m01 ~]# sshpass -ptoor ssh-copy-id -i /root/.ssh/id_dsa.pub root@172.16.1.41 -p 端口号"-o StrictHostKeyChecking=no"

5.1.2 编写批量分发公钥脚本

• 批量分发公钥脚本

#!/bin/bash

# 功能：批量分发公钥

for ip in {7,31,41}
do
    echo "主机 172.16.1.$ip 开始分发公钥信息……"
    sshpass -ptoor ssh-copy-id -i /root/.ssh/id_dsa.pub root@172.16.1.$ip "-o StrictHostKeyChecking=no" &>/dev/null
    # 端口号非默认端口
    #sshpass -ptoor ssh-copy-id -i /root/.ssh/id_dsa.pub root@172.16.1.$ip -p 端口"-o StrictHostKeyChecking=no"
    [ $? -eq 0 ] && echo "主机 172.16.1.$ip 分发公钥成功" || echo "主机 172.16.1.$ip 分发公钥失败"
done

• 分发后测试脚本(串行批量管理)

#!/bin/bash

# 功能：公钥分发是否成功，远程命令测试
command=$1
for ip in {7,31,41}
do
    echo "====== 主机 172.16.1.$ip 相关信息 ======"
    ssh 172.16.1.$ip $command
    echo ""
    # 远程端口号非默认端口
    #ssh -p 端口号 172.16.1.$ip $1
done

6. SSH 服务配置文件说明

6.1 配置文件位置

/etc/ssh/sshd_config

6.2 配置文件详解

#Port 22    -- 修改远程端口号
#ListenAddress 0.0.0.0  -- 配置监听地址信息(指定一块网卡能够接受远程访问请求，服务器网卡自己具有的地址)
#PermitEmptyPasswords no    -- 是否允许用户使用空密码远程登录(默认不允许)
#PermitRootLogin yes    -- 是否允许root用户远程登录(建议改为no)
GSSAPIAuthentication no -- 是否开启GSSAPI认证功能，目前已经不使用该功能(默认开启，开启会影响ssh连接速率)
UseDNS no   -- 是否开启反向DNS解析功能(建议关闭，提高ssh连接速率)

7. SSH 远程服务防范入侵案例

1. 基于密钥的方式远程登录系统，不使用基于口令方式登录系统
2. 使用系统防火墙和SSH本地配置

• 防火墙针对ssh服务加白名单进行限制，只有在白名单中的地址可以远程连接服务器
• 开启SSH只监听本地内网IP

3. 尽量不给服务器配置外网IP
4. 最小化安装(系统+软件+授权)
5. 给系统重要文件或命令做指纹
6. 给系统重要文件加锁

8. 扩展

8.1 sftp

ls      -- 查看远程ftp服务器信息
cd      -- 查看远程ftp服务器信息
lls     -- 查看本地ftp客户端信息
lcd     -- 查看本地ftp客户端信息
get     -- 下载信息
put     -- 上传信息
help    -- 查看帮助信息
bye     -- 退出ftp连接

8.2 Linux 系统通过 xshell 实现秘钥登录

8.2.1 生成密钥对

[root@sec01 ~]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 在指定目录下生成密钥对
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase): 输入秘钥密码
Enter same passphrase again: 再次输入秘钥密码
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:sFZD99d2m+TqoV5dJpVgjisltqqAID0x5w4wADWwZIY root@sec01
The key's randomart image is:
+---[RSA 2048]----+
|**o     . .  o   |
|E. .   . . .+ ...|
|+ o . . oo o...o=|
| + =   +..+ ..oo+|
|o + . o So .  .+o|
|o .+ .  . .   oo.|
| . ..  .     + . |
|    . .     + .  |
|     .    .o .   |
+----[SHA256]-----+
[root@sec01 ~]# cd .ssh
[root@sec01 .ssh]# ll
total 8
-rw-------. 1 root root 1679 Nov 26 14:59 id_rsa
-rw-r--r--. 1 root root  392 Nov 26 14:59 id_rsa.pub

8.2.2 处理公钥文件并将私钥文件下载到本地

# 01. 将公钥文件重命名
[root@sec01 .ssh]# mv id_rsa.pub authorized_keys
[root@sec01 .ssh]# ll
total 8
-rw-r--r--. 1 root root  392 Nov 26 14:59 authorized_keys
-rw-------. 1 root root 1679 Nov 26 14:59 id_rsa

# 02. 下载私钥文件至本地(根据自己的方式下载)
[root@sec01 .ssh]# sz id_rsa 
rz

# 03. 服务端删除私钥文件或者移动到其他目录
[root@sec01 .ssh]# rm -f id_rsa 
[root@sec01 .ssh]# ll
total 4
-rw-r--r--. 1 root root 392 Nov 26 14:59 authorized_keys

8.2.3 修改 ssh 服务配置文件，并重启服务

# 01. 修改ssh服务配置文件
[root@sec01 .ssh]# vim /etc/ssh/sshd_config

PasswordAuthentication no

# 02. 重启 ssh 服务
[root@sec01 .ssh]# systemctl restart sshd

8.2.4 客户端 xshell 连接服务器，导入私钥

image-20211204134222640.png image-20211204134316592.png

输入秘钥密码，即可建立远程连接