1)远程管理服务知识介绍
SSH远程登录服务介绍说明
01. SSH-Secure Shell Protocol 安全加密shel协议
SSH远程登录服务功能作用
01. 提供类似telnet远程登录管理服务器功能
02. 提供类似FTP文件传输服务功能的sftp-server,借助SSH服务加密传输数据
SSH远程登录服务排错思路
01. 检查链路是否通畅---ping(icmp禁用了,也ping不通)
02. 检查链路是否阻断---tracert/traceroute
03. 检查服务是否开启---ss/netstat -lntup
2)远程管理服务对比说明
SSH远程登录服务特点说明
01. SSH服务端口号信息为22
02. SSH服务采用密文方式传输数据
03. SSH服务默认支持root用户进行远程登录
Telnet远程登录服务功能作用
01. telnet服务端口号信息为23
02. telnet服务采用明文方式传输数据
03. telnet服务默认不支持root用户进行远程登录
04.nmap 10.1.1.128 -p 22
3)远程管理服务概念详解
SSH远程管理服务加密技术
ssh连接登录过程原理
①. ssh客户端发出连接请求
>/root/.ssh/known_hosts
②. ssh服务端会发出确认信息,询问客户端你是否真的要连接我
③. ssh客户端输入完成yes,会等到一个公钥信息
cat /root/.ssh/known_hosts
④. ssh服务端将公钥信息发送给ssh客户端
⑤. ssh客户端利用密码进行登录
⑥.客户端 vim /etc/ssh/ssh_host_rsa_key.pub 和 服务端 cat /root/.ssh/known_hosts 秘钥是一致的
①. 采用公钥和私钥进行算法加密
②. 加密技术分为v1和v2两个版本
sshv1版本不会经常更换锁头和钥匙,因此会有安全隐患
sshv2版本会经常更换锁头和钥匙,因此提高了远程连接安全性
SSH远程管理服务认证类型
①. 基于口令的安全验证
②. 基于密钥的安全验证(验证原理)
①. ssh管理服务器上创建密钥对信息(公钥 私钥)
②. ssh管理服务器上将公钥发送给被管理服务器
③. ssh管理服务器向被管理服务器发送连接请求
④. ssh被管理服务器向管理服务器发送公钥质询
⑤. ssh管理服务器处理公钥质询请求,将公钥质询结果发送给被管理主机
⑥. ssh被管理服务器接收公钥质询响应信息,从而确认认证成功
⑦. ssh管理服务端可以和被管理服务端建立基于密钥连接登录
基于密钥登录方式部署流程
第一个里程:在管理主机上创建密钥对信息
ssh-keygen -t dsa <-- 创建密钥对命令 -t dsa表示指定密钥对加密类型
Enter file in which to save the key (/root/.ssh/id_dsa): <-- 确认私钥文件所保存的路径
Enter passphrase (empty for no passphrase): <-- 确认是否给私钥设置密码信息(一般为空)
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_dsa.
Your public key has been saved in /root/.ssh/id_dsa.pub.
The key fingerprint is:
46:c8:21:b9:99:6e:0c:59:39:66:38:7a:97:29:51:76 root@m01
The key's randomart image is:
+--[ DSA 1024]----+
| o+oE |
| +.B+ o |
| . B Bo . |
|. = B . |
| . * S |
| + . |
. |
| |
| |
+-----------------+
第二个里程:将管理主机上公钥信息发送给被管理主机
ssh-copy-id -i /root/.ssh/id_dsa.pub 172.16.1.31
root@172.16.1.31's password:
Now try logging into the machine, with "ssh '172.16.1.31'", and check in:
.ssh/authorized_keys
to make sure we haven't added extra keys that you weren't expecting.
第三个里程:进行远程管理测试(基于密钥的方式进行远程管理)
ssh 172.16.1.31 <-- 可以不用输入密码信息,就能登陆成功
ssh 172.16.1.31 uptime <-- 可以不用登陆到远程主机,就可以直接查看远程主机信息
SSH远程管理服务配置详解
①. 配置文件端口信息修改
②. 配置文件监听地址信息
vim /etc/ssh/sshd_config
Port 52113 <- 修改ssh服务端口号信息
ListenAddress 0.0.0.0 <- 主要作用提升网络连接安全性
PS:监听地址只能配置为服务器网卡上拥有的地址
PermitRootLogin no <- 是否允许root用户远程登录
PermitEmptyPasswords no <- 是否允许空密码
UseDNS no <- 是否进行DNS反向解析(提升ssh远程连接效率)
GSSAPIAuthentication no <- 是否进行远程GSSAPI认证(提升ssh远程连接效率)
SSH远程管理服务入侵防范
①. 利用密钥登录提高安全性
②. 利用牤牛阵法提高安全性
①. 安全设备策略阻止访问,只放开少量服务端口
②. 开启SSH监听地址功能,只监听内网网卡地址
③. 利用服务器不配置外网IP提高安全性
④. 利用授权与系统安装最小化提高安全性
⑤. 利用指纹信息对系统重要文件进行加密处理
⑥. 利用系统重要文件加锁功能提高安全性
SSH远程管理服务连接功能
①. SSH远程连接方法--linux客户端连接
ssh -p22 oldboy@10.0.0.61
②. SSH远程连接方法--windows客户端连接
利用xshell/SecureCRT/Putty软件连接
③. SSH远程连接不登录服务器执行命令方法
ssh -p22 oldboy@10.0.0.61 "free -m"
SSH远程管理服务复制功能
①. SSH远程复制方法--scp
scp -P22 -rp /tmp/oldboy oldboy@10.0.0.41:/tmp
②. SSH远程复制方法--属于远程全量复制
SSH远程管理服务传输功能
①. SSH远程传输方法--sftp
ftp -oPort=52113 oldboy@10.0.0.61
4)远程管理服务部署说明
远程管理服务服务端
①. 服务端需要安装部署openssh-server软件包
②. 服务端程序重要文件信息
①. 服务启动脚本文件 /etc/rc.d/init.d/sshd
②. 服务程序配置文件 /etc/ssh/sshd_config
③. 服务守护进程命令 /usr/sbin/sshd
远程管理服务客户端
①. 客户端需要安装部署openssh-clients软件包
②. 客户端程序重要文件信息
①. 安全拷贝命令 /usr/bin/scp
②. 安全传输命令 /usr/bin/sftp
③. 安全登录命令 /usr/bin/ssh
④. 创建私钥命令 /usr/bin/ssh-keygen
④. 传输公钥命令 /usr/bin/ssh-copy-id
5)远程管理服务免秘管理
远程管理服务端
①. 创建密钥对信息(免交互与交互方式)
②. 分发公钥信息(免交互和交互方式)
③. 测试远程登录受控端是否免密码
远程管理受控端
①. 验证是否已经接收到分发公钥信息