介紹

SSH（Secure Shell）是一種用于在計(jì)算機(jī)網(wǎng)絡(luò)上進(jìn)行安全遠(yuǎn)程訪問(wèn)和執(zhí)行命令的協(xié)議。提供加密通信通道，防止敏感信息在傳輸過(guò)程中被竊聽(tīng)或篡改。SSH還支持文件傳輸和端口轉(zhuǎn)發(fā)等功能，使其成為廣泛使用的安全遠(yuǎn)程管理工具。

1. 安全遠(yuǎn)程訪問(wèn)
SSH 允許用戶(hù)通過(guò)網(wǎng)絡(luò)安全地遠(yuǎn)程登錄到其他計(jì)算機(jī)。用戶(hù)可以在遠(yuǎn)程系統(tǒng)上執(zhí)行命令、訪問(wèn)文件、管理服務(wù)等。

2. 加密通信：
SSH 傳輸?shù)臄?shù)據(jù)都經(jīng)過(guò)加密，使用的加密算法通常包括對(duì)稱(chēng)加密（如AES）和非對(duì)稱(chēng)加密（如RSA）。

3. 多種身份驗(yàn)證方法：
SSH 支持多種身份驗(yàn)證方法，包括密碼、公鑰、證書(shū)等?？梢赃x擇最適合其需求的身份驗(yàn)證方式，并提高系統(tǒng)的安全性。

4. 文件傳輸：
SSH 支持安全的文件傳輸協(xié)議（SFTP），允許用戶(hù)在本地計(jì)算機(jī)和遠(yuǎn)程計(jì)算機(jī)之間傳輸文件。用于FTP等傳統(tǒng)文件傳輸協(xié)議，是FTP安全衍生品，。

5. 端口轉(zhuǎn)發(fā)：
SSH 允許用戶(hù)設(shè)置本地端口轉(zhuǎn)發(fā)。

6. 配置文件：
SSH 服務(wù)器和客戶(hù)端都有配置文件，用于定制各種參數(shù)和行為?？梢愿鶕?jù)需求進(jìn)行精確的配置。

7. 公鑰和私鑰：
SSH 使用公鑰加密技術(shù)，其中有一個(gè)私鑰保存在本地，而公鑰存儲(chǔ)在遠(yuǎn)程服務(wù)器上。允許身份驗(yàn)證，同時(shí)不需要在網(wǎng)絡(luò)上傳輸密碼。

8. 端口號(hào)：
SSH 默認(rèn)使用22號(hào)端口，可以通過(guò)配置更改。提高系統(tǒng)的安全性，因?yàn)閻阂庥脩?hù)掃描的是標(biāo)準(zhǔn)端口。

9. 兼容性：
SSH 是一個(gè)開(kāi)放標(biāo)準(zhǔn)，并得到廣泛采用。主流操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備都支持 SSH，使其成為跨平臺(tái)遠(yuǎn)程訪問(wèn)的標(biāo)準(zhǔn)。

SSH 是一種關(guān)鍵的網(wǎng)絡(luò)協(xié)議，用于保護(hù)遠(yuǎn)程通信和管理。安全性、靈活性和廣泛支持使其成為網(wǎng)絡(luò)管理員和開(kāi)發(fā)人員的首選工具。

配置

SSH 配置時(shí)，涉及到在計(jì)算機(jī)上設(shè)置 SSH 密鑰，以便通過(guò)SSH協(xié)議安全訪問(wèn)其他計(jì)算機(jī)。

基本的SSH配置步驟：

ssh -V

步驟1：檢查 SSH 安裝信息

首先，計(jì)算機(jī)上已經(jīng)安裝了SSH客戶(hù)端。在大多數(shù)操作系統(tǒng)上，SSH 已經(jīng)默認(rèn)安裝。
檢查 SSH 版本信息：

步驟2：生成SSH密鑰

1. 打開(kāi)終端（Linux和macOS）
2. 生成SSH密鑰：
   執(zhí)行命令后，將被要求指定保存密鑰的文件位置和設(shè)置一個(gè)密碼（可選）。按照提示操作即可。

ssh-keygen -t rsa -b 4096 -C "UserName@example.com"

• -t rsa: 指定密鑰類(lèi)型為RSA。
• -b 4096: 指定密鑰位數(shù)為4096位。
• -C "UserName@example.com"。

步驟3：添加 SSH 密鑰到 SSH 代理（可選）

如果希望在一個(gè)SSH會(huì)話中使用密鑰，可以將密鑰添加到SSH代理。運(yùn)行以下命令：

ssh-add ~/.ssh/id_rsa

步驟4：將 SSH 密鑰添加到遠(yuǎn)程服務(wù)器

1. 運(yùn)行以下命令將 SSH 公鑰添加到遠(yuǎn)程服務(wù)器上的authorized_keys文件：

ssh-copy-id username@remote_host

1. 或者，如果您的系統(tǒng)不支持ssh-copy-id，可以手動(dòng)將公鑰內(nèi)容追加到遠(yuǎn)程服務(wù)器的~/.ssh/authorized_keys?文件中。

步驟5：測(cè)試SSH連接

ssh username@remote_host

設(shè)置正確，通過(guò)SSH連接到遠(yuǎn)程服務(wù)器無(wú)需輸入密碼。

在很多系統(tǒng)上，允許 Root 用戶(hù)通過(guò) SSH 連接是不推薦的，因?yàn)闀?huì)增加系統(tǒng)的安全風(fēng)險(xiǎn)。推薦的做法是使用普通用戶(hù)登錄，然后通過(guò)sudo或su切換到Root用戶(hù)權(quán)限進(jìn)行必要的管理任務(wù)。

Root 連接

步驟1：打開(kāi)SSH配置文件

使用文本編輯器打開(kāi) SSH 服務(wù)器的配置文件。/etc/ssh/sshd_config。

sudo nano /etc/ssh/sshd_config

步驟2：修改配置文件

在配置文件中找到以下行：

PermitRootLogin prohibit-password

將其改為：

PermitRootLogin?yes

允許 Root 用戶(hù)通過(guò) SSH 連接。

步驟3：保存并退出

保存文件并退出文本編輯器。

步驟4：重啟SSH服務(wù)

在Ubuntu上，可以運(yùn)行：

sudo service ssh restart

在 RHEL/CentOS 系統(tǒng)上，可使用systemctl或其他服務(wù)管理工具。

sudo systemctl restart ssh

注意：

• 在允許Root用戶(hù)SSH登錄之前，已經(jīng)設(shè)置強(qiáng)密碼。
• 確保只有受信任的用戶(hù)可以通過(guò)SSH連接到服務(wù)器。

SSH 配置項(xiàng)

常見(jiàn)的SSH配置項(xiàng)的解釋?zhuān)?/p>

1. Port：?指定 SSH 服務(wù)器監(jiān)聽(tīng)的端口。默認(rèn)是22?？梢愿囊蕴岣甙踩浴?br> Port 2222
2. Protocol：?SSH 使用的協(xié)議版本。一般是2。如果指定"2,1"，則服務(wù)器將首先嘗試使用SSH協(xié)議版本2，如果失敗，則回退到版本1。
   Protocol 2
3. PermitRootLogin：?是否允許 Root 用戶(hù)通過(guò)SSH登錄。建議設(shè)置為prohibit-password（默認(rèn)）或without-password以使用密鑰身份驗(yàn)證。
   PermitRootLogin prohibit-password
4. PasswordAuthentication：?是否允許使用密碼進(jìn)行身份驗(yàn)證。建議設(shè)置為no并使用密鑰身份驗(yàn)證。
   PasswordAuthentication no
5. AllowUsers?/?AllowGroups：?允許連接的用戶(hù)或用戶(hù)組。只有配置的用戶(hù)或用戶(hù)組才能通過(guò)SSH連接到服務(wù)器。
   AllowUsers alice bob
6. DenyUsers?/?DenyGroups：?禁止連接的用戶(hù)或用戶(hù)組。配置的用戶(hù)或用戶(hù)組將無(wú)法通過(guò)SSH連接到服務(wù)器。
   DenyUsers mallory
7. PubkeyAuthentication：?是否啟用公鑰身份驗(yàn)證。默認(rèn)為yes。
   PubkeyAuthentication yes
8. ChallengeResponseAuthentication：?是否啟用響應(yīng)身份驗(yàn)證。默認(rèn)為yes。
   ChallengeResponseAuthentication no
9. UsePAM：?是否使用Pluggable Authentication Modules（PAM）進(jìn)行身份驗(yàn)證。默認(rèn)設(shè)置為yes。
   UsePAM yes
10. X11Forwarding：?是否允許X11轉(zhuǎn)發(fā)。如果不需要圖形界面，則設(shè)置為no。X11Forwarding no
11. MaxAuthTries：?參數(shù)定義嘗試進(jìn)行身份驗(yàn)證的最大次數(shù)。如果達(dá)到此次數(shù)之后仍未成功登錄，連接將被斷開(kāi)。默認(rèn)值通常是6。
    MaxAuthTries 3

在上面的配置中，最多允許3次身份驗(yàn)證嘗試。超過(guò)這個(gè)次數(shù)后，將禁止進(jìn)一步嘗試。在SSH配置中，可以通過(guò)設(shè)置登錄失敗次數(shù)參數(shù)來(lái)增加安全性，以限制暴力破解嘗試。

1. LoginGraceTime：?參數(shù)定義從用戶(hù)連接建立到完成身份驗(yàn)證的時(shí)間。在時(shí)間內(nèi)，用戶(hù)需要成功完成身份驗(yàn)證，否則連接將被斷開(kāi)。默認(rèn)值通常是120秒（2分鐘）。

在上面配置中，用戶(hù)需要在60秒內(nèi)成功完成身份驗(yàn)證，否則連接將被斷開(kāi)。

以上是一些常見(jiàn)的SSH配置項(xiàng)，可以根據(jù)需要進(jìn)行修改。

測(cè)試演示

以下是我測(cè)試服務(wù)器 OpenSSH 配置文件（sshd_config）的示例，因?yàn)闆](méi)有外網(wǎng)連接且為本地私網(wǎng)測(cè)試配置相對(duì)寬松，其中一些配置項(xiàng)如下：

1. PermitRootLogin：?是否允許Root用戶(hù)通過(guò)SSH登錄。在配置中，設(shè)置為yes?允許 Root 登錄。
2. PasswordAuthentication：?是否允許使用密碼進(jìn)行身份驗(yàn)證。在配置中，設(shè)置為yes，允許密碼身份驗(yàn)證?？梢詫⑵湓O(shè)置為no以強(qiáng)制使用密鑰身份驗(yàn)證。
3. ChallengeResponseAuthentication：?是否啟用響應(yīng)身份驗(yàn)證。在配置中，設(shè)置為no。
4. UsePAM：?是否啟用Pluggable Authentication Modules（PAM）進(jìn)行身份驗(yàn)證。在配置中，設(shè)置為yes。
5. GSSAPIAuthentication：?是否啟用GSSAPI身份驗(yàn)證。在配置中，設(shè)置為yes。
6. X11Forwarding：?是否允許X11轉(zhuǎn)發(fā)。在配置中，設(shè)置為yes。
7. PrintMotd：?是否顯示/etc/motd文件的消息。在配置中，設(shè)置為no表示不顯示/etc/motd消息。
8. Subsystem：?指定在連接時(shí)啟動(dòng)的子系統(tǒng)。在配置中，sftp子系統(tǒng)指定用于SFTP的路徑。

這些都是配置文件中一些常見(jiàn)選項(xiàng)的示例。

風(fēng)險(xiǎn)

盡管SSH是一個(gè)強(qiáng)大的安全協(xié)議，但仍然存在一些潛在的風(fēng)險(xiǎn)和攻擊手段。

1. 暴力破解密碼：?攻擊者嘗試通過(guò)不斷嘗試密碼進(jìn)行暴力破解SSH連接。
2. 中間人攻擊：?攻擊者嘗試在用戶(hù)和遠(yuǎn)程服務(wù)器之間插入以竊聽(tīng)或篡改傳輸?shù)臄?shù)據(jù)。SSH 加密通信可以減輕這種風(fēng)險(xiǎn)。
3. 弱加密算法：?使用弱加密算法使 SSH 連接更易于被攻擊。因此，需要使用安全的加密算法。
4. 密鑰管理不當(dāng)：?SSH 密鑰導(dǎo)致安全漏洞，密鑰安全存儲(chǔ)以及及時(shí)禁用或更換失效的密鑰。

暴力破解手段：

1. 字典攻擊：?攻擊者事先準(zhǔn)備密碼字典嘗試登錄。防范措施包括使用強(qiáng)密碼和設(shè)置登錄失敗的鎖定機(jī)制。
2. 暴力破解工具：?攻擊者使用專(zhuān)門(mén)的暴力破解工具，不斷嘗試各種組合的用戶(hù)名和密碼?？梢允褂梅辣┝ζ平夤ぞ?、限制登錄嘗試次數(shù)和設(shè)置登錄延遲等方式減緩此類(lèi)攻擊。
3. 中間人攻擊：?攻擊者嘗試通過(guò)欺騙用戶(hù)或篡改DNS等手段，使其連接到惡意服務(wù)器。使用 SSH 的公鑰身份驗(yàn)證可以減輕中間人攻擊的風(fēng)險(xiǎn)。
4. 僵尸網(wǎng)絡(luò)攻擊：?攻擊者利用大規(guī)模的僵尸網(wǎng)絡(luò)（botnet）進(jìn)行協(xié)同暴力破解嘗試。監(jiān)控登錄日志和強(qiáng)制訪問(wèn)控制列表（ACL）等方法可以幫助防范這種攻擊。

為了提高SSH連接的安全性，建議采取以下一些建議性措施：

• 使用公鑰身份驗(yàn)證，盡量避免使用密碼登錄。
• 設(shè)置賬戶(hù)鎖定機(jī)制，限制登錄嘗試次數(shù)。
• 使用多因素身份驗(yàn)證，提高身份驗(yàn)證的安全性。
• 定期審查登錄日志，及時(shí)發(fā)現(xiàn)異常活動(dòng)。
• 更新SSH軟件和操作系統(tǒng)，確保及時(shí)應(yīng)用安全補(bǔ)丁。

綜合使用這全措施，以減少SSH連接面臨的潛在風(fēng)險(xiǎn)。

公號(hào)（IT資源共享站）

一個(gè)運(yùn)維學(xué)習(xí)平臺(tái)，什么都有，每天進(jìn)步一點(diǎn)點(diǎn)!