ssh客户端

ssh,配置文件:/etc/ssh/ssh_config

在配置文件/etc/ssh/ssh_config中Strict HostKey Checking no 首次登录不显示检查提示。

格式:ssh [user@]host IP地址 [command]

ssh [-l user]host IP地址 [command]

(如果不指定用户,你是哪个用户就连接哪个用户上,后面还可跟命令)

ssh客户端-风君雪科技博客

 

Ssh客户端允许实现对远程系统经验证地加密安全访问

当用户远程连接ssh服务器时,会复制ssh服务器/etc/ssh/ssh_host*key.pub(CentOS7默认是ssh_host_ecdsa_key.pub)文件中的公钥到客户机的~./ssh/know_hosts中。下次连接时,会自动匹配相应私钥,不能匹配,将拒绝连接

 

下面来看一下ssh的一些选项:

-p port端口号:远程服务器监听的端口

例如:ssh 192.168.10.178 -p 2222 如果将服务器的端口改为2222,再用ssh连接不指定端口(默认是22端口),此时就无法连接,连接时指定端口号就可以连接了。

改端口号:semanage port -a -t ssh_port_t -p tcp 端口号 (如果启用了SELinux策略,改的端口号为非标准端口号,违反了SELinux策略,直接修改配置文件是不可以的,要用这种方法去修改,记得改完之后重启一下sshd服务)

ssh客户端-风君雪科技博客

-b 指定源IP来连接服务器

-v:调试模式(连接的时候发现一些错误,可以用-v来排错)

-C:压缩方式

-X: 支持x11转发

xclock命令在centos6上面可以打开小钟表,在centos7上面打不开,现在我用centso7去连接centos6,直接连接上去,执行xclock命令是打不开小钟表的,需要价格-X选项,才能打开

-Y:支持信任x11转发

ForwardX11Trusted yes

-t: 强制伪tty分配

 

小实验:

如图:假如企业内部有两台机器B,C,其中C是ssh service ,企业内部连接互联网是通过防火墙来连接的,只有B才能连接到C,A不能直接连接C,假如A出差了,在企业外部,现在A想要连接C,怎样连接呢?A可以连接到B,通过B这个跳板再来连接到C ssh -t B(ip地址) ssh C(ip地址)

ssh客户端-风君雪科技博客

 

 

实验环境:有3台机器A,B,C,这3台机器都在一个网段中。

1)先在C机器上制定防火墙策略,拒绝A机器连接iptables -A INPUT -s 192.168.10.136 -j REJECT

这样A就不能直接连接C了,,B可以连接C,A可以连接B,所以B可以做跳板,让A借助B来连接C

2)ssh -t 192.168.10.135 ssh 192.168.10.178 这样就能连接了,需要输入两次密码

ssh客户端-风君雪科技博客

 

常见的ssh连接问题

在用ssh连接的时候我们会遇到一些问题,接下来介绍一下这些问题和解决这些问题的方案

(1)解决ssh连接较慢的方案

我们在用ssh连接的时候可能会非常慢,可以调整服务器端的配置文件,修改以下两项,重启服务,就能生效,再重启sshd服务,之后再用ssh连接就非常快了

vim /etc/ssh/sshd_config 编辑服务器端的配置文件

ssh客户端-风君雪科技博客

 

ssh客户端-风君雪科技博客

然后systemctl restart sshd.service(centos7)或service sshd restart(centos6),重启一下sshd服务,就可以了

(2)去掉ssh第一次连接服务器提示的yes or no?

当某台机器第一次去连接某服务器时,会问你是否要继续连接,yes or no?,敲了yes就会在家目录下的.ssh目录下生成了一个known_hosts文件,这个文件就记录了你所连接的每一台服务器的公钥key(如下图我目前只连接了一个服务器,所以只有一个服务器的公钥key)

ssh客户端-风君雪科技博客

下面就来修改配置文件来解决这个问题

vim /etc/ssh/sshd_config

将该项改为no,第一次连接不用提示yes或者no

ssh客户端-风君雪科技博客

 

(3)/etc/ssh中的key不能被破坏

ssh中的key不能被破坏,如果这些key都被删了,ssh服务不能被启动

ssh客户端-风君雪科技博客

先关闭了sshd服务,再开启sshd服务,然后就发现启动失败

ssh客户端-风君雪科技博客

再把/app/下的key移回来就可以启动成功了。

 

ssh服务登录验证方式

1.用户/口令

2.基于密钥

1.基于用户名口令登录验证

基于用户和口令登录验证(客户端用服务器的公钥加密密码,再发给服务器,服务器再拿私钥解开密码,验证密码是否正确)

1)客户端发起ssh请求,服务器会把自己的公钥发送给用户

2)用户会根据服务器发来的公钥对密码进行加密

3)加密后的信息回传给服务器,服务器用自己的私钥解密,如果密码正确,则用户登录成功

ssh客户端-风君雪科技博客

2.基于密钥的登录方式

1)首先在客户端生成一对密钥(ssh-keygen)

2)并将客户端的公钥ssh-copy-id 拷贝到服务端

3)当客户端再次发送一个连接请求,包括ip、用户名

4)服务端得到客户端的请求后,会到authorized_keys中查找,如果有响应的IP和用户,就会随机生成一个字符串,例如:acdf

5)服务端将使用客户端拷贝过来的公钥进行加密,然后发送给客户端

6)得到服务端发来的消息后,客户端会使用私钥进行解密,然后将解密后的字符串发送给服务端

7)服务端接受到客户端发来的字符串后,跟之前的字符串进行对比,如果一致,就允许免密码登录

ssh客户端-风君雪科技博客

基于密钥的认证:

1)在客户端生成密钥对 ssh-keygen -t rsa -P ” -f /root/.ssh/id_rsa

-t 指定算法 (默认是rsa算法) -P指定私钥的口令,什么都不写就是生成的私钥没有口令 -f 指定私钥文件路径(默认是/root/.ssh/id_rsa)

ssh客户端-风君雪科技博客

2)把公钥文件传输至远程服务器对应用户的家目录 ssh-copy-id -i /root/.ssh/id_rsa 192.168.10.107

ssh-copy -i /root/.ssh/id_rsa 192.168.10.107 该命令看似传输的是私钥,其实传输的是公钥,我们来看一下公私钥是什么样的

ssh客户端-风君雪科技博客

如下图:我们看到公私钥的内容

ssh客户端-风君雪科技博客

 

ssh客户端-风君雪科技博客

在服务器上的家目录下查看一下authorized_keys这个文件是否生成

ssh客户端-风君雪科技博客

再来查看一下这个文件authorized_keys

ssh客户端-风君雪科技博客

对比一下上面的公私钥的内容,可以发现传输的确实是公钥

3)测试

好了,现在我们开始连接服务器了,如下图,发现直接就能连接上去了,不用输密码

ssh客户端-风君雪科技博客

4)在SecureCRT或Xshell实现基于key验证

在SecureCRT工具—>创建公钥—>生成Identity.pub文件

转化为openssh兼容格式(适合SecureCRT,Xshell不需要转化格式),并复制到需登录主机上相应文件authorized_keys中,注意权限必须为600,在需登录的ssh主机上执行:

ssh-keygen-i-f Identity.pub >> .ssh/authorized_keys

5)重设私钥口令:ssh-keygen –p

如果你觉得你的口令不安全,就可以重设私钥口令,我们上面就没有对私钥设口令,这是很不安全的,下面我就给私钥重设口令,如下图,我们可以发现重设私钥密码后,再去连接服务器,就不会那么容易了,需要你输入设定的私钥密码

ssh客户端-风君雪科技博客

6)验证代理(authentication agent)保密解密后的密钥

•这样口令就只需要输入一次

•在GNOME中,代理被自动提供给root用户

•否则运行ssh-agent bash

7)钥匙通过命令添加给代理

ssh-add

第六步和第七步合在一起用,我们在管理多台服务器时,你要一个一个的连接,一个一个的输密码,连接上去,这样十分麻烦的,而且效率低下,我们可以基于秘钥登陆的方式,来连接多台服务器,这样你在连接多台服务器时,就不用一个一个的输入每一台服务器的密码了,你只需记住一个私钥密码,连接的时候输入私钥密码,就可以连接多台服务器了,如果你连私钥密码都懒得输入,就可以将第六步和第七步结合在一起使用,如下图,先验证代理,再把私钥密码托管给代理,这样你再去连接其他服务器就不用输入私钥密码了

ssh客户端-风君雪科技博客

 

scp命令–走ssh端口的远程复制命令

scp[options] SRC… DEST/ 源可以有多个

两种方式:可以将远程主机的文件拷到本机上,也可以将本机的文件拷到远程主机

scp[options] [user@]host:/sourcefile /destpath

scp 192.168.10.178:/app/testdir/ /app/linshi

scp[options] /sourcefile [user@]host:/destpath

scp /app/linshi 192.168.10.178:/app/testdir

常用选项:

-C:压缩数据流

-r:递归复制

-p:保持原文件的属性信息

-q:静默模式

-P port:指明remote host 的监听的端口

rsync命令–更聪明的复制

基于ssh和rsh服务实现高效率的远程系统之间复制文件

使用安全的shell连接做为传输方式

•rsync –av/etc server1:/tmp复制目录和目录下文件

•rsync –av/etc/ server1:/tmp只复制目录下文件

如下图:testdir后面不加/,复制testdir目录和目录下文件,加/,只复制testdir目录下的文件,testdir目录文身不复制

ssh客户端-风君雪科技博客

比scp更快,只复制不同的文件,若只是想更新变化了的文件,就用rsync

选项:

-n 模拟复制过程(并不真实去复制,只是演示一下复制过程)

-v 显示详细过程

-r 递归复制目录树

-p 保留权限

-t 保留时间戳

-g 保留组信息

-o 保留所有者信息

-l 将软链接文件本身进行复制(默认)

-L 将软链接文件指向的文件复制

-a 存档,相当于–rlptgoD,但不保留ACL(-A)和SELinux属性(-X)

 

好了就,今天的内容就到这里,希望对大家能有所帮助