ssh详解

SSH

 ssh: secure shell, protocol, 22/tcp, 安全的
 具体的软件实现：
  OpenSSH: ssh协议的开源实现，CentOS
  dropbear：另一个开源实现
 SSH协议版本
  v1: 基于CRC-32做MAC，不安全；man-
  v2：双方主机协议选择安全的MAC方式
 基于DH算法做密钥交换，基于RSA或DSA
 两种方式的用户登录认证：
  基于password
  基于key
1. Openssh软件组成
 OpenSSH介绍
  相关包：
   openssh
   openssh-clients
   openssh-server
  工具：
   基于C/S结构
   Linux Client: ssh, scp, sftp，slogin
   Windows Client：xshell, putty, securecrt, sshsecureshellclient
   Server: sshd
 ssh客户端
  客户端组件：
   ssh, 配置文件：/etc/ssh/ssh_config
    Host PATTERN
    StrictHostKeyChecking no 首次登录不显示检查提示
   /var/log/secure sshd的日志文件
  格式：ssh [user@]host [COMMAND]
  ssh [-l user] host [COMMAND]
  常见选项
   -p port：远程服务器监听的端口
   -b：指定连接的源IP
   -v：调试模式
   -C：压缩方式
   -X：支持x11转发
   -t：强制伪tty分配
   ssh -t remoteserver1 ssh -t remoteserver2 ssh remoteserver3
 允许实现对远程系统经验证地加密安全访问
 当用户远程连接ssh服务器时，会复制ssh服务器/etc/ssh/ssh_host*key.pub（CentOS7默认是ssh_host_ecdsa_key.pub）文件中的公钥到客户机的~./ssh/know_hosts中下次连接时，会自动匹配相应私钥，不能匹配，将拒绝连接

• 公钥交换
  客户端发起链接请求
  服务端返回自己的公钥，以及一个会话ID（这一步客户端得到服务端公钥）
  客户端生成密钥对
  客户端用自己的公钥异或会话ID，计算出一个值Res，并用服务端的公钥加密
  客户端发送加密后的值到服务端，服务端用私钥解密,得到Res
  服务端用解密后的值Res异或会话ID，计算出客户端的公钥（这一步服务端得到客户端公钥）
  最终：双方各自持有三个秘钥，分别为自己的一对公、私钥，以及对方的公钥，之后的所有通讯都会被加密
• ssh服务登录验证
  ssh服务登录验证方式
  用户/口令
  基于密钥
  基于用户和口令登录验证
   1 客户端发起ssh请求，服务器会把自己的公钥发送给用户
   2 用户会根据服务器发来的公钥对密码进行加密
   3 加密后的信息回传给服务器，服务器用自己的私钥解密，如果密码正确，则用户登录成功
  ssh服务基于密钥登录验证
   1 首先在客户端生成一对密钥（ssh-keygen）
   2 并将客户端的公钥ssh-copy-id 拷贝到服务端
   3 当客户端再次发送一个连接请求，包括ip、用户名
   4 服务端得到客户端的请求后，会到authorized_keys中查找，如果有响应的IP和用户，就会随机生成一个字符串，例如：magedu
   5 服务端将使用客户端拷贝过来的公钥进行加密，然后发送给客户端
   6 得到服务端发来的消息后，客户端会使用私钥进行解密，然后将解密后的字符串发送给服务端
   7 服务端接受到客户端发来的字符串后，跟之前的字符串进行对比，如果一致，就允许免密码登录
• 基于key认证实现
  在客户端生成密钥对
  ssh-keygen -t rsa [-P ‘’] [-f “~/.ssh/id_rsa”]
  把公钥文件传输至远程服务器对应用户的家目录
  ssh-copy-id -i [identity_file] [user@]host(server)
  测试
   在SecureCRT或Xshell实现基于key验证
   在SecureCRT工具—>创建公钥—>生成Identity.pub文件
   转化为openssh兼容格式并复制到需登录主机上相应文件authorized_keys中注意权限必须为600，
   在需登录的ssh主机上执行：ssh-keygen -i -f Identity.pub >> .ssh/authorized_keys
   重设私钥口令：
   ssh-keygen –p
   验证代理（authentication agent）保密解密后的密钥
   这样口令就只需要输入一次
   在GNOME中，代理被自动提供给root用户
   否则运行ssh-agent bash
   钥匙通过命令添加给代理
   ssh-add
  2. 命令
• scp命令
   scp [options] SRC… DEST/
   两种方式：
    scp [options] [user@]host:/sourcefile /destpath
    scp [options] /sourcefile [user@]host:/destpath
    常用选项：
     -C 压缩数据流
     -r 递归复制
     -p 保持原文件的属性信息
     -q 静默模式
     -P PORT 指明remote host的监听的端口
• rsync命令
   基于ssh和rsh服务实现高效率的远程系统之间复制文件
   使用安全的shell连接做为传输方式
    rsync -av /etc server1:/tmp 复制目录和目录下文件
    rsync -av /etc/ server1:/tmp 只复制目录下文件
   比scp更快，只复制不同的文件
   常用选项：
    -n 模拟复制过程
    -v 显示详细过程
    -r 递归复制目录树
    -p 保留权限
    -t 保留时间戳
    -g 保留组信息
    -o 保留所有者信息
    -l 将软链接文件本身进行复制（默认）
    -L 将软链接文件指向的文件复制
    -a 存档，相当于–rlptgoD，但不保留ACL（-A）和SELinux属性（-X）
• sftp命令
   交互式文件传输工具
   用法和传统的ftp工具相似
   lcd 改变的是客户端的路径
   cd 改变的是服务器端的路径
   利用ssh服务实现安全的文件上传和下载
   使用ls cd mkdir rmdir pwd get put等指令，可用？或help获取帮助信息
    sftp [user@]host
    sftp> help

3. 轻量级自动化运维工具
 pssh：基于python编写，可在多台服务器上执行命令的工具，也可实现文件复制，提供了基于ssh和scp的多个并行工具
 pdsh：Parallel remote shell program，是一个多线程远程shell客户端，可以并行执行多个远程主机上的命令pdsh可以使用几种不同的远程shell服务，包括标准的“rsh”，Kerberos IV和ssh
 mussh：Multihost SSH wrapper，是一个shell脚本，允许您使用一个命令在多个主机上通过ssh执行命令或脚本。
 mussh可使用ssh-agent和RSA / DSA密钥，以减少输入密码
 说明：以上工具都包含在EPEL源中

• pssh工具
  pssh [options] command …
  选项如下：
   --version：查看版本
   -h：主机文件列表，内容格式"[user@]host[:port]"
   -H：主机字符串，内容格式"[user@]host[:port]"
   -A：手动输入密码模式
   -i：每个服务器内部处理信息输出
   -l：登录使用的用户名
   -p：并发的线程数[可选]
   -o：输出的文件目录[可选]
   -e：错误输出文件[可选]
   -t：TIMEOUT 超时时间设置，0无限制[可选]
   -O：SSH的选项
   -P：打印出服务器返回信息
   -v：详细模式
  pssh示例：
   通过pssh批量关闭seLinux
   pssh -H root@192.168.1.10 -i ‘sed -i “s/^SELINUX=.*/SELINUX=disabled/” /etc/selinux/config’
   批量发送指令
   pssh -H root@192.168.1.10 -i setenforce 0
   pssh -H wang@192.168.1.10 -i hostname
   当不支持ssh的key认证时，通过 -A选项，使用密码认证批量执行指令
   pssh -H wang@192.168.1.10 -A -i hostname
   将标准错误和标准正确重定向都保存至/app目录下
   pssh -H 192.168.1.10 -o /app -e /app -i “hostname”
• pscp.pssh命令
  pscp.pssh功能是将本地文件批量复制到远程主机
   pscp [-vAr] [-h hosts_file] [-H [user@]host[:port]] [-l user] [-p par] [-o outdir] [-e errdir] [-t timeout] [-O options] [-x args] [-X arg] local remote
   pscp-pssh选项
   -v 显示复制过程
   -r 递归复制目录
  pscp示例：
   将本地curl.sh 复制到/app/目录
   pscp.pssh -H 192.168.1.10 /root/test/curl.sh /app/
   pscp.pssh -h host.txt /root/test/curl.sh /app/
   将本地多个文件批量复制到/app/目录
   pscp.pssh -H 192.168.1.10 /root/f1.sh /root/f2.sh /app/
   将本地目录批量复制到/app/目录
   pscp.pssh -H 192.168.1.10 -r /root/test/ /app/
• pslurp命令
  pslurp功能是将远程主机的文件批量复制到本地
   pslurp [-vAr] [-h hosts_file] [-H [user@]host[:port]] [-l user] [-p par][-o outdir] [-e errdir] [-t timeout] [-O options] [-x args] [-X arg] [-L localdir] remote local（本地名）
   pslurp选项
   -L 指定从远程主机下载到本机的存储的目录，local是下载到本地后的名称
   -r 递归复制目录
   批量下载目标服务器的passwd文件至/app下，并更名为user
   pslurp -H 192.168.1.10 -L /app /etc/passwd user

4. SSH端口转发–“隧道”（tunneling）
 SSH 会自动加密和解密所有 SSH 客户端与服务端之间的网络数据
 SSH 还能够将其他 TCP 端口的网络数据通过 SSH 链接来转发，并且自动提供了相应的加密及解密服务
 SSH 为其他 TCP 链接提供了一个安全的通道来进行传输而得名。避免了用户名，密码以及隐私信息的明文传输。如果工作环境中的防火墙限制了一些网络端口的使用，但是允许 SSH 的连接，也能够通过将 TCP 端口转发来使用 SSH 进行通讯
 SSH 端口转发能够提供两大功能：
  加密 SSH Client 端至 SSH Server 端之间的通讯数据
  突破防火墙的限制完成一些之前无法建立的 TCP 连接

• 本地转发：
   ssh client --> ssh server --> server
    -L localport:remotehost:remotehostport sshserver
   选项：
    -f 后台启用
    -N 不打开远程shell，处于等待状态
    -g 启用网关功能
   示例
   ssh客户端执行: ssh -L sport:serverIP:dport -Nfg sshserverIP
    ssh –L 9527:telnetsrv:23 -Nfg sshsrv
   发送请求到9527端口
    telnet 127.0.0.1 9527
   当访问本机的9527的端口时，被加密后转发到sshsrv的ssh服务再解密被转发到telnetsrv:23
    data<-- -->localhost:9527<-- -->localhost:XXXXX<-- -->sshsrv:22<-- -->sshsrv:YYYYY<-- -->telnetsrv:23
• 远程转发:
   ssh server <-- ssh client --> server
    -R sshserverport:remotehost:remotehostport sshserver
   示例：
    ssh –R 9527:telnetsrv:23 –Nf sshsrv
    让sshsrv侦听9527端口的访问，如有访问，就加密后通过ssh服务转发请求到本机ssh客户端，再由本机解密后转发到telnetsrv:23
    Data<-- -->sshsrv:9527<-- -->sshsrv:22<-- -->localhost:XXXXX<-- -->localhost:YYYYY<-- -->telnetsrv:23
• 动态端口转发：
   当用firefox访问internet时，本机的1080端口做为代理服务器，firefox的访问请求被转发到sshserver上，由sshserver替之访问internet
   ssh -D 1080 root@sshserver -fNg
   在本机firefox设置代理socket proxy:127.0.0.1:1080
    curl --socks5 127.0.0.1:1080 http://www.google.com
   X 协议转发
    所有图形化应用程序都是X客户程序
    能够通过tcp/ip连接远程X服务器
    数据没有加密机，但是它通过ssh连接隧道安全进行
   ssh -X user@remotehost gedit
    remotehost主机上的gedit工具，将会显示在本机的X服务器上，传输的数据将通过ssh连接加密
  5. ssh服务器
   服务器端：sshd, 配置文件: /etc/ssh/sshd_config
   常用参数：
    Port
    ListenAddress ip
    LoginGraceTime 2m
    PermitRootLogin yes
    StrictModes yes 检查.ssh/文件的所有者，权限等
    MaxAuthTries 6
    MaxSessions 10 同一个连接最大会话
    PubkeyAuthentication yes 是否基于key方式访问
    PermitEmptyPasswords no 空密码是否能访问
    PasswordAuthentication yes 是否基于口令方式访问
    GatewayPorts no 允许远程连接端口转发
    ClientAliveInterval 单位:秒
    ClientAliveCountMax 默认3
    UseDNS yes
    GSSAPIAuthentication yes 提高速度可改为no
    MaxStartups 未认证连接最大值，默认值10 var1:var2:var3 超过var1,以var2%进行随机拒绝访问,超过var2,拒绝访问
    Banner /path/file
   限制可登录用户的办法：
    AllowUsers user1 user2 user3 只允许指定的用户访问
    DenyUsers 不允许指定的用户访问
    AllowGroups
    DenyGroups
• ssh服务的最佳实践
  建议使用非默认端口
  禁止使用protocol version 1
  限制可登录用户
  设定空闲会话超时时长
  利用防火墙设置ssh访问策略
  仅监听特定的IP地址
  基于口令认证时，使用强密码策略
  tr -dc A-Za-z0-9_ < /dev/urandom | head -c 12| xargs
  使用基于密钥的认证
  禁止使用空密码
  禁止root用户直接登录
  限制ssh的访问频度和并发在线数
  经常分析日志
  lastb命令查看ssh失败的连接
  6. 编译安装dropbear示例
  ssh协议的另一个实现：dropbear
  源码编译安装：
  1、安装相关包:yum install gcc
  2、2下载dropbear-2019.78.tar.bz
  3、tar xf dropbear-2019.78.tar.bz2
  4、less INSTALL README
  5、./configure
  6、make GRAMPROS=“dropbear dbclient dropbearkey dropbearconvert scp”
  7、make PROGRAMS=“dropbear dbclient dropbearkey dropbearconvert scp” install
  启动ssh服务：
  8、ls /usr/local/sbin/ /usr/local/bin/
  9、/usr/local/sbin/dropbear -h
  10、mkdir /etc/dropbear
  11、dropbearkey -t rsa -f /etc/dropbear/dropbear_rsa_host_key -s 2048
  12、dropbearkey -t dss -f /etc/dropbear/dropbear_dsa_host_key
  13、dropbear -p :2222 -F –E #前台运行
  dropbear -p :2222 #后台运行
  客户端访问：
  14、ssh -p 2222 root@127.0.0.1
  15、dbclient -p 2222 root@127.0.0.1