ssh 服务登录验证
ssh 服务登录验证方式:
用户/ 口令
基于密钥
基于用户和口令登录验证
客户端发起ssh请求,服务器会把自己的公钥发送给用户
用户会根据服务器发来的公钥对密码进行加密
加密后的信息回传给服务器,服务器用自己的私钥解密,如果密码正确,则用户登录成功
基于用户名口令登录验证
基于密钥的登录方式
1。首先在客户端生成一对密钥(ssh-keygen)
2。并将客户端的公钥ssh-copy-id拷贝到服务端
3。 当客户端再次发送一个连接请求,包括ip 、用户名
4。 服务端得到客户端的请求后,会到authorized_keys中查找,如果有响应的IP和用户,就会随机生成一个字符串,例如:acdf
5。 服务端将使用客户端拷贝过来的公钥进行加密,然后发送给客户端
6。 得到服务端发来的消息后,客户端会使用私钥进行解密,然后将解密后的字符串发送给服务端
7。 服务端接受到客户端发来的字符串后,跟之前的字符串进行对比,如果一致,就允许免密码登录
基于key 认证
ssh-keygen
ssh-keygen - authentication(证明)key generation, management and conversion(转化)
ssh-keygen [options]
-t type 指定密钥创建的类型
-P phrase 提供老的密码
-f 指定密钥文件
-p 更改私钥文件的密码
-i 导入到openssh密钥文件
ssh-copy-id
ssh-copy-id - install your public key in a remote machine’s authorized_keys
ssh-copy-id [-i [identity_file]] [user@]machine
ssh-add
ssh-add - adds private key identities to the authentication agent
ssh-add [-n [-T token]] [-e pkcs11] [-s pkcs11] [-cDdLlXx] [-t life] [file ...]
基于密钥的认证:
1。在客户端生成密钥对
ssh-keygen -t rsa [-P ''] [-f “~/.ssh/id_rsa"]
2。把公钥文件传输至远程服务器对应用户的家目录
ssh-copy-id [-i [identity_file]] [user@] host
3。测试,完成
可以给私钥加口令 :
ssh-keygen –p
私钥加口令后使用代理。
启动代理
ssh-agent bash
当你输入一次私钥的口令后,代理(authentication agent )保存口令,帮你下次自动登录,但当你注销后,代理程序关闭了。
要想再使用代理,就需要再此启动并ssh-add,才能有用。
在GNOME中,代理被自动提供给root用户,否则运行ssh-agent bash
私钥口令通过命令添加给代理
ssh-add
在SecureCRT或Xshell实现基于key验证
在SecureCRT 工具—> 创建公钥—> 生成Identity.pub 文件转化为openssh 兼容格式(适合SecureCRT ,Xshell 不需要转化格式),并复制到需登录主机上相应文件authorized_keys 中,注意权限 必须为600 ,在需登录的ssh 主机上执行:
ssh-keygen -i -f Identity.pub >> .ssh/authorized_keys(secureCRT)
SSH 端口转发
SSH 端口转发
SSH会自动加密和解密所有SSH客户端与服务端之间的网络数据。
但是,SSH 还能够将其他 TCP 端口的网络数据通过 SSH 链接来转发,并且自动提供了相应的加密及解密服务,这一 过程也被叫做“隧道”(tunneling )。
这是因为 SSH 为其他 TCP 链接提供了一个安全的通道来进行传输而得名,例如,Telnet、SMTP、LDAP 这些 TCP 应用均能够从中得益,可以避免用户名,密码以及隐私信息的明文传输。
与此同时, 如果工作环境中的防火墙限制了一些网络端口的使用,但是允许SSH的连接 ,也能够通过将 TCP 端口转发来使用 SSH 进行通讯
SSH 端口转发能够提供两大功能:
加密SSH Client 端至 SSH Server端之间的通讯数据
突破防火墙的限制完成一些之前无法建立的TCP连接
本地转发:
-L localport:remotehost:remotehostport sshserver
选项:
-f 后台启用
-N 不打开远程shell ,处于等待状态
-g 启用网关功能
示例
A机器上为本地:
当你访问本机9527端口时,它会将请求转发到B的sshd服务器上,ssh服务器收到解密后,将其再转发到c的telnet服务器的23端口。
前提:C机器上telnet服务打开,A和B机器上sshd服务打开,本机防火墙关闭
ssh –L 9527:telnetsrvIP:23 -Nf sshsrvIP (开通桥)
telnet 127.0.0.1 9527
data <- -> localhost:9527 <- -> localhost:XXXXX <- ->sshsrv:22 <- -> sshsrv:YYYYY <- -> telnetsrv:23
远程转发:
-R sshserverport:remotehost:remotehostport sshserver
示例:
B机器为本机:
让A机器sshsrv侦听9527端口的访问,如有访问,A机器就加密后通过ssh服务转发请求到B本机ssh客户端,再由本机解密后转发到smtpsrv:25
ssh –R 9527:smtpsrvIP:25 –Nf sshsrvIP
Data <- -> remotesshsrv:9527 <- -> remotesshsrv:22 <- -> localhost:XXXXX <- -> localhost:YYYYY(随机端口) <- -> smtpsrv:25
动态端口转发:
当用firefox访问internet 时,本机的1080端口做为代理服务器,firefox 的访问请求被转发到sshserver 上,由sshserver替之访问internet
在本机firefox 设置代理socket proxy:127.0.0.1:1080
ssh -D 1080 root@sshserver
curl --proxy
X协议转发
所有图形化应用程序都是X客户程序
能够通过tcp/ip 连接远程X服务器
数据没有加密机,但是它通过ssh连接隧道安全进行
ssh -X user@remotehost gedit
remotehost主机上的gedit 工具,将会显示在本机的X服务器上
传输的数据将通过ssh连接加密