ssh总结
Secure Shell Protocal
客户端: 在window上是xshell等这些,有sftp。
在Linux上,就是ssh --help,ssh就是linu下的客户端,除了sftp还有一个scp。
/etc/init.d/sshd status
ls /lib/systemd/system/ | grep nginx
系统服务 centos7的目录位置
补充:
不关netmanager会导致静态ip失效
查看端口:
0.0.0.0:22 前边四个0 代表本机所有网卡。
如果连不上:
先看物理网络,ping
如果通,telnet 看端口,服务开没开
防火墙影响 /etc/init.d/iptables stop
局域网某个机器无法上网排查思路
1. ping 百度 通不通
如果通,还不能上网,可能是浏览器,或者是中毒了等。
2. ping网关 目的是排查物理线路,网线网卡等
如果不通,局域网内已经连接不上去了,会查看ip设置,ping自身ip,或者网内其他ip
如果ping自己不通,检查ip设置,网卡驱动,物理链路等。
如果ping网内其他机器是通的,网关限制了可能。
3. ping网关通,检查DNS设置是否正确,
先ping一个公网IP,看是否通,
host/dig/nslookup 检查域名解析
4. 上网路由器(配置和硬件问题等),ISP线路。
检查上级线路,打电话联系。
5. 辅助排查: IP地址冲突,问别人能否上网,核心交换机坏了。
rpm -qa openssh openssl
openssh 远程链接 openssh 是ssh服务端的软件之一,同时支持SSH1和SSH2协议,可在配置文件中使用Protocal指定指定。
/etc/ssh/sshd_config
openssl 加密
原理描述
ssh加密
linux 上,首先客户端ssh 10.0.0.61(这个IP是服务端)
当看客户端ssh联机请求发送过来是,server会将这个168-bit的公钥传给客户端,此时客户端会将此公钥与先前存储的公钥对比,看是否一致,判断标准是哭护短用户目录下~/.ssh/konwn_hosts文件的内容(linux客户端。)第一次链接,会提示那个(yes/no),存到了~/.ssh/konwn_hosts。
ssh认证类型
口令,用户、密码
联机的加密过程是上边的过程,跟口令无关。
优化服务端
基于秘钥的安全验证
客户端上放的私钥;
服务端上放的公钥;
原理:
客户端生成密钥对,吧公钥发送给服务端,私钥自己留下;
客户端发送连接请求,服务端验证,
服务端验证秘钥,用公钥加密质询,发送客户端;
客户端用私钥解密质询,将解密后的质询发送服务端;
验证通过,连接建立。
系统自启动服务查看
chkconfig --list
LANG=EN
chkconfig --list|grep 3:on
给你一个端口,查出对应的服务是什么?
lsof -i tcp:52113
lsof -i :22
netstat -lantp |grep 52113
netstat -lantp |grep -w "22" (222就不会出来)
默认登录配置
修改服务端:(linux怎么做安全优化)
1. 修改端口,以及监听的地址
windows默认远程管理端口是3389,管理员用户是administrator。
2. 禁止空密码登录
3. 禁止root登录
4. UseDNS 禁止反解 改成no
5. GSSAPIAuthrntication 改成no
cp jj{,.bak} 备份文件jj
/etc/init.d/sshd reload 平滑重启
客户端命令管理
connection refused
1. no route to host 基本是防火墙
2. 还可能是服务没开或者端口改变了
scp使用,全量拷贝。
推到远端:
scp -P52113 /etc/hosts oldboy@10.0.0.61:/tmp
指定端口 大P
本地的/etc/hosts拷贝到远程的/tmp
scp -P52113 -rp /etc oldboy@10.0.0.61:/tmp
-r 拷贝目录
-p 保持属性
从远端拉:
scp -P52113 -rp oldboy@10.0.0.61:/tmp /data
将远程的/tmp 拉倒本地的/data