1. linux 如何關閉ssh遠程連接
service sshd stop關閉服務
2. Linux-SSL和SSH和OpenSSH,OpenSSL有什麼區別
ssl是通訊鏈路的附加層。可以包含很多協議。https, ftps, .....
ssh只是加密的shell,最初是用來替代telnet的。通過port forward,也可以讓其他協議通過ssh的隧道而起到加密的效果。
SSL是一種國際標準的加密及身份認證通信協議,您用的瀏覽器就支持此協議。SSL(Secure Sockets Layer)最初是由美國Netscape公司研究出來的,後來成為了Internet網上安全通訊與交易的標准。SSL協議使用通訊雙方的客戶證書以及CA根證書,允許客戶/伺服器應用以一種不能被偷聽的方式通訊,在通訊雙方間建立起了一條安全的、可信任的通訊通道。它具備以下基本特徵:信息保密性、信息完整性、相互鑒定。 主要用於提高應用程序之間數據的安全系數。SSL協議的整個概念可以被總結為:一個保證任何安裝了安全套接字的客戶和伺服器間事務安全的協議,它涉及所有TC/IP應用程序。
SSH的英文全稱是Secure SHell。通過使用SSH,你可以把所有傳輸的數據進行加密,這樣「中間人」這種攻擊方式就不可能實現了,而且也能夠防止DNS和IP欺騙。還有一個額外的好處就是傳輸的數據是經過壓縮的,所以可以加快傳輸的速度。SSH有很多功能,它既可以代替telnet,又可以為ftp、pop、甚至ppp提供一個安全的「通道」。SSH是由客戶端和服務端的軟體組成的,有兩個不兼容的版本分別是:1.x和2.x。用SSH 2.x的客戶程序是不能連接到SSH 1.x的服務程序上去的。OpenSSH 2.x同時支持SSH 1.x和2.x。SSH的安全驗證是如何工作的從客戶端來看,SSH提供兩種級別的安全驗證。第一種級別(基於口令的安全驗證)只要你知道自己帳號和口令,就可以登錄到遠程主機。所有傳輸的數據都會被加密,但是不能保證你正在連接的伺服器就是你想連接的伺服器。可能會有別的伺服器在冒充真正的伺服器,也就是受到「中間人」這種方式的攻擊。第二種級別(基於密匙的安全驗證)需要依靠密匙,也就是你必須為自己創建一對密匙,並把公用密匙放在需要訪問的伺服器上。如果你要連接到SSH伺服器上,客戶端軟體就會向伺服器發出請求,請求用你的密匙進行安全驗證。伺服器收到請求之後,先在你在該伺服器的家目錄下尋找你的公用密匙,然後把它和你發送過來的公用密匙進行比較。如果兩個密匙一致,伺服器就用公用密匙加密「質詢」(challenge)並把它發送給客戶端軟體。客戶端軟體收到「質詢」之後就可以用你的私人密匙解密再把它發送給伺服器。用這種方式,你必須知道自己密匙的口令。但是,與第一種級別相比,第二種級別不需要在網路上傳送口令。第二種級別不僅加密所有傳送的數據,而且「中間人」這種攻擊方式也是不可能的(因為他沒有你的私人密匙)。但是整個登錄的過程可能需要10秒。
OpenSSL------一個C語言函數庫,是對SSL協議的實現。
OpenSSH-----是對SSH協議的實現。
ssh 利用 openssl 提供的庫。openssl 中也有個叫做 openssl 的工具,是 openssl 中的庫的命令行介面。
從編譯依賴上看:
openssh依賴於openssl,沒有openssl的話openssh就編譯不過去,也運行不了。
HTTPS可以使用TLS或者SSL協議,而openssl是TLS、SSL協議的開源實現,提供開發庫和命令行程序。openssl很優秀,所以很多涉及到數據加密、傳輸加密的地方都會使用openssl的庫來做。
可以理解成所有的HTTPS都使用了openssl。以root身份執行命令:grep -l 'libssl.*deleted' /proc/*/maps | tr -cd 0-9\\n | xargs -r ps u,可以看到哪些進程載入了老版本的openssl庫。
3. linuxssh指定秘鑰交換演算法
linuxssh指定秘鑰交換演算法如下:
客戶端向目標伺服器發送登錄請求。在SSH服務啟用了證書驗證登錄方式後,會優先通過證書驗證方式進行登錄驗證。目標伺服器根據SSH服務配置,在用戶對應目錄及文件中讀取到有效的公鑰信息。目標伺服器生成一串隨機數,然後使用相應的公鑰對其加密。目標伺服器將加密後的密文發回客戶端。客戶端使用默認目錄或-i參數指定的私鑰嘗試解密。如果解密失敗,則會繼續嘗試密碼驗證等其它方式進行登錄校驗。如果解密成功,則將解密後的原文信息重新發送給目標伺服器。意思類似於:「看,這是這段話的原文。我能讀懂發過來的密文,我擁有伺服器的控制權,請讓我登錄。目標伺服器對客戶端返回的信息進行比對。如果比對成功,則表示認證成功,客戶端可以登錄。如果對比失敗,則表示認證失敗,則會繼續嘗試密碼驗證等其它方式進行登錄校驗。
4. Linux下SSH Session復制功能實現方法
特別感謝阿干同學的郵件分享。
詳細方法
代碼如下:
Linux/mac下,在$HOME/.ssh/config中加入
Host
*
ControlMaster
auto
/tmp/ssh-%r@%h
至此只要第一次SSH登錄輸入密碼,之後同個Hosts則免登。
配置文件分析
man
ssh_config
5
代碼如下:
Specify
the
path
to
the
control
socket
used
for
connection
sharing
as
described
in
the
ControlMaster
section
above
or
the
string
none
to
disable
connection
sharing.
In
the
path,
%l
will
be
substituted
by
the
local
host
name,
%h
will
be
substituted
by
the
target
host
name,
%p
the
port,
and
%r
by
the
remote
login
username.
It
is
recommended
that
any
ControlPath
used
for
opportunistic
connection
sharing
include
at
least
%h,
%p,
and
%r.
This
ensures
that
shared
connections
are
uniquely
identified.
%r
為遠程機器的登錄名
%h
為遠程機器名
原理分析
嚴格地講,它並不是真正意義上的Session
Copy,而只能說是共享Socket。
第一次登錄的時候,將Socket以文件的形式保存到:/tmp/ssh-%r@%h這個路徑
之後登錄的時候,一旦發現是同個主機,則復用這個Socket
故,一旦主進程強制退出(Ctrl+C),則其他SSH則被迫退出。
可以通過ssh
-v參數,看debug信息驗證以上過程
備注
有同學說在linux上通過證書的形式,可以實現免登錄,沒錯。
對於靜態密碼,完全可以這么干;對於動態密碼(口令的方式),則上述手段可以方便很多。
5. 在linux下使用ssh認證,不輸入密碼訪問另一台機器
在linux下使用ssh認證,不輸入密碼訪問另一台機器linux程序員在日常工作中都會遇到遠程登陸這樣的問題,每次輸入密碼是不是很煩人.
www.dnjsb.com
我就在這整理一下,ssh證書到底是怎麼搞的!在linux下使用ssh認證,不輸入密碼訪問另一台機器在工作中由於常用到ssh登錄其它機器,所在每台機器上做了ssh認證,這樣就不用每次都輸入繁瑣的密碼。有兩台機器:server_1
和
server_2賬號都為:work轉到work賬號下:su
-
work運行:ssh-keygen
-t
rsa
(一路回車下去
)命令輸出為:
www.dnjsb.com
Enter
file
in
which
to
save
the
key
(/home/work/.ssh/id_dsa):Enter
passphrase
(empty
for
no
passphrase):Enter
same
passphrase
again:Your
identification
has
been
saved
in
/home/work/.ssh/id_dsa.Your
public
key
has
been
saved
in
/home/work/.ssh/id_dsa.pub.The
key
fingerprint
is:32:21:e1:3b:7d:6e:de:4b:39:da:af:38:fe:90:40:61在/home/work目錄下就產生了.ssh的隱含目錄,進入些目錄下產生兩個文件:id_dsa
------------
私鑰文件id_dsa.pub
------------
公鑰文件將id_dsa.pub復制一份文件名為:authorized_keys2並將
authorized_keys2
的屬性改為
600
即文件所屬用戶有讀和寫的許可權,組用戶和其它用戶禁止讀寫,用命令:代碼:cp
id_dsa.pub
authorized_keys2chmod
600
authorized_keys2同樣在server_2上做以上操作,下一步就實現真正的ssh認證了:將server_1上/home/work/.ssh目錄下的id_dsa.pub公鑰文件拷到server_2的/home/work/.ssh目錄下(注意:不要覆蓋掉server_2的id_dsa.pub,拷時要改名)如:代碼:[work@server_1
.ssh]$
scp
id_dsa.pub在server_2的/home/work/.ssh目錄下就有了如下文件:authorized_keys2id_dsaid_dsa.pubserver_1.pub用命令:代碼:cat
server_1.pub
>>authorized_keys2(注意一定要用追加操作
>>
不能用
>)這樣server_1到server_2的ssh認證就做好了。在server_1上用命令:代碼:ssh就直接登錄到server_2上,而不用輸入密碼了。server_2到server_1的認證同上操作即可。
6. 【Linux】SSH 使用密碼/公鑰遠程登錄總結
本文是筆者查閱網上資料做的總結,關於SSH原理,什麼是對稱加密和非對稱加密,本文不過多介紹。這里介紹一下SHH的工作過程、配製方法,可能出現的問題及解決方法。
說明:本文中涉及的例子,SSH客戶端為:本地主機A,SSH伺服器為:伺服器B
SSH協議採用C-S(客戶端-伺服器端)架構進行雙方的身份驗證以及數據的加密。
伺服器端組件監聽指定的埠,負責安全連接的建立、對連接方的身份認證、以及為通過身份認證的用戶建立正確的環境。
客戶端負責發起最初的TCP握手、安全連接的建立、驗證伺服器的身份與之前記錄中的一致、並將自己的驗證信息提供給伺服器。
一個SSH會話的建立過程分為兩個階段。第一階段,雙方溝通並同意建立一個加密連接通道以供後續信息傳輸用。第二階段,對請求接入的用戶進行身份驗證以確定伺服器端是否要給該用戶開放訪問許可權。
當客戶端發起TCP連接時,伺服器端返回信息說明自己支持的協議版本,如果客戶端上支持的協議與之匹配,則連接繼續。伺服器會提供自己的公共主機密鑰(public host key)以讓客戶端確認自己訪問的是正確的機器。
然後,雙方採用一種Diffie-Hellman演算法共同為該會話建立密鑰。每一方的一部分私有數據,加上來自對方的一部分公共數據,通過這種演算法計算,能夠得出完全相同的密鑰用於本次會話。
整個會話的通訊內容都使用該密鑰進行加密。這個階段使用的公鑰/私鑰對與用戶驗證身份用的SSH密鑰是完全無關的。
經典Diffie-Hellman演算法的計算步驟如下:
這個共享密鑰的加密方式被稱為二進制數據包協議(binary packet protocol)。該過程能夠讓雙方平等的參與密鑰生成的過程,而不是由單方掌握。這種共享密鑰生成的過程是安全的,雙方沒有交換過任何未經加密的信息。
生成的密鑰是對稱式密鑰,一方用於加密信息的密鑰等同於另一方用於解密信息的密鑰,而任何第三方由於不持有該密鑰,是無法解密雙方傳遞的內容的。
會話加密通道建立後,SSH開始進入用戶認證階段。
下一步,伺服器驗證用戶身份以決定是否准許其訪問。驗證有不同的方式,選擇的驗證方式取決於伺服器的支持。
最簡單的驗證是密碼驗證:伺服器要求客戶端輸入密碼,客戶端輸入的密碼經過上述的通道加密傳輸給伺服器。
雖然密碼是加密過的,然而該方法仍然不被推薦,因為用戶經常為了省事而使用過於簡單的密碼,而這類密碼很容易就能夠被自動化腳本破解。
最流行的驗證方式是SSH密鑰對,這也是當前最推薦的方式。SSH密鑰對是非對稱密鑰,私鑰和公鑰分別用於不同的功能。
公鑰用於加密,而私鑰用於解密。公鑰可以隨意上傳、共享,因為公鑰的流通並不會危及到私鑰的保密性。
SSH密鑰對的驗證過程起始於上一部分加密通道建立之後,其具體執行步驟如下:
簡單來說,伺服器端用公鑰加密信息,客戶端用私鑰解密信息以證明自己持有私鑰。該過程同時使用了對稱加密和非對稱加密,兩種方式各有自己的功用。
命令如下:
用戶名:為要登錄的伺服器B中已存在的用戶賬戶名
IP地址:為伺服器B的IP地址
-p 埠號:用來指定埠號,默認為22
第一次登錄時,會提示如下提示:
大概意思是說,你正在訪問的主機不能驗證它的真實性,它的RSA key(當前訪問主機的公鑰)指紋是怎樣的,你確定要繼續連接嗎?
輸入yes繼續,會提示,已永久把當前訪問主機的RSA key添加到了已知主機文件(用戶目錄下,.ssh 文件夾中的knwon_hosts文件)中。之後再次 SSH 登錄就不再有該提示了。
接著,輸入登錄賬戶的密碼即可。
SSH 密碼登錄,需要伺服器開啟密碼驗證許可權,編輯伺服器SSH配置命令如下:
在 sshd_config 文件中,Protocol 2 下面 #PasswordAuthentication yes,將前面的#號去掉,保存退出。
公鑰登錄,即免密碼登錄。避免的每次登錄都要輸入的麻煩,也防止了中間人攻擊。是SSH遠程登錄最常用的登錄方式。
提示輸入密鑰對名稱,直接回車,使用默認名稱即可;
提示輸入密碼(使用私鑰時,要輸入密碼),直接回車,不使用密碼即可。
首先,登錄伺服器B,在進行下面的操作。
找到 #PubkeyAuthentication yes,刪除 #號,保存退出。
重啟 ssh 服務
也可指定驗證私鑰:
本地主機A,生成密鑰對後:
sudo vim /etc/selinux/config
7. linux如何配置雙機SSH信任然後雙向免密碼登陸
一、實現原理
使用一種被稱為"公私鑰"認證的方式來進行ssh登錄。"公私鑰"認證方式簡單的解釋是:
首先在客戶端上創建一對公私鑰(公鑰文件:~/.ssh/id_rsa.pub;私鑰文件:~/.ssh/id_rsa),然後把公鑰放到伺服器上(~/.ssh/authorized_keys),自己保留好私鑰。當ssh登錄時,ssh程序會發送私鑰去和伺服器上的公鑰做匹配。如果匹配成功就可以登錄了。
二、實驗環境
A機:TS-DEV/10.0.0.163
B機:CS-DEV/10.0.0.188
三、Linux/Unix雙機建立信任
3.1
在A機生成證書
在A機root用戶下執行ssh-keygen命令,在需要輸入的地方,直接回車,生成建立安全信任關系的證書。
#
ssh-keygen
-t
rsa
注意:在程序提示輸入passphrase時直接輸入回車,表示無證書密碼。
上述命令將生成私鑰證書id_rsa和公鑰證書id_rsa.pub,存放在用戶家目錄的.ssh子目錄中。
3.2
查看~/.ssh生成密鑰的文件
#
cd
~/.ssh
#
ll
3.3
A對B建立信任關系
將公鑰證書id_rsa.pub復制到機器B的root家目錄的.ssh子目錄中,同時將文件名更換為authorized_keys,此時需要輸入B機的root用戶密碼(還未建立信任關系)。建立了客戶端到伺服器端的信任關系後,客戶端就可以不用再輸入密碼,就可以從伺服器端拷貝數據了。
#
scp
-r
id_rsa.pub
10.0.0.188:/root/.ssh/authorized_keys
3.4
B對A建立信任關系
在B機上執行同樣的操作,建立B對A的信任關系。
#
ssh-keygen
-t
rsa
#
cd
~/.ssh/
#
ll
#
scp
-r
id_rsa.pub
10.0.0.163:/root/.ssh/authorized_keys
如果想讓B,C同時可以scp不輸入密碼,傳輸A中的數據;
則要把B、C的公鑰都給
A;
操作步驟:把兩機器的id_rsa.pub中的數據都拷貝到A的/root/.ssh/authorized_keys文件中,一行表示一條;
A:
scp
-r
id_rsa.pub
10.0.0.163:/root/.ssh/authorized_keys
B:
scp
-r
id_rsa.pub
10.0.0.188:/root/.ssh/authorized_keys
測試
ssh
[email protected]
'hostname'
///
ssh
[email protected]
'hostname'
如果連接反應慢,請修改以下兩參數
/etc/ssh/sshd_config
GSSAPIAuthentication
no
UseDNS
no
然後重啟service
sshd
restart
8. Linux-SSL和SSH和OpenSSH,OpenSSL有什麼區別
1、SSL(Secure Sockets Layer 安全套接層),它提供使用 TCP/IP 的通信應用程序間的隱私與完整性。比如你訪問https://servername 就是用了ssl協議,地址欄會出現小鎖,雙擊就能查看ssl伺服器證書的詳細信息。TCP埠:443
2、SSH(Secure Shell 遠程登陸用),安全可以和telnet比較一下,比如telnet傳輸用戶密碼是明文的,而SSH是加密的。明文的可以監聽到。TCP埠22
3、OpenSSH是個SSH的軟體,OpenSSH is the premier connectivity tool for remote login with the SSH protocol. linux/unix都用openssh軟體提供SSH服務。簡單來說,比如以前的Solaris系統默認不提供ssh服務,需要安裝OpenSSH才行。
The OpenSSH suite consists of the following tools:
Remote operations are done using ssh, scp, and sftp.
Key management with ssh-add, ssh-keysign, ssh-keyscan, and ssh-keygen.
The service side consists of sshd, sftp-server, and ssh-agent.
4、OpenSSL是一個安全套接字層密碼庫,囊括主要的密碼演算法、常用的密鑰和證書封裝管理功能及SSL協議,並提供豐富的應用程序。比如很多程序安裝依賴openssl頭文件。
openssl命令也是一個很實用且有很多參數的工具。比如申請ssl證書時候或者計算hash值時候都用的到。例如:
a)openssl md5 a.txt
b)echo -n 123456 |openssl md5
c)openssl創建localhost證書
d)使用openssl命令加密文件
e)驗證ssl伺服器
openssl s_client -connect servername:443
9. Linux 下實現SSH互信
一、准備兩台伺服器:
A機:192.168.1.1
B機:192.168.1.2
二、雙機建立信任
1、在A機生成秘鑰證書
在root下執行ssh-keygen命令,一路回車,生成秘鑰證書
# ssh-keygen -t rsa
2、查看生成秘鑰文件
# cd ~/.ssh
# ll
文件:私鑰證書id_rsa、公鑰證書id_rsa.pub
3、A對B建立信任關系
3.1 將公鑰證書id_rsa.pub復制到機器B的root家目錄的.ssh子目錄中,同時將文件名更換為authorized_keys
# scp -r id_rsa.pub [email protected]:/root/.ssh/authorized_keys
3.2 若3.1報錯:No such file or directory
使用:# ssh--id -i id_rsa.pub [email protected]
ssh--id命令會自動將id_rsa.pub文件的內容追加到遠程主機root用戶下.ssh/authorized_keys文件中
3.3 查看B機器是否接收
# ssh 192.168.1.2
# cd .ssh/
# ls
# cat authorized_keys
# exit
3.4 B對A建立信任,同上3的操作步驟