一、ssh是什么
SSH(Secure Shell)是一种用于安全远程登录计算机的协议。它提供了一个加密的通信通道,通常用于通过不安全的网络(如互联网)进行安全的远程管理、文件传输和执行命令等操作
SSH 的主要功能包括:
远程登录: 使用 SSH 可以安全地连接到远程主机,进行命令行操作。例如,你可以通过 SSH 登录到另一台计算机,在远程机器上执行命令,查看文件,修改配置等。
文件传输: SSH 也支持通过工具如
SCP(Secure Copy Protocol)和SFTP(Secure File Transfer Protocol)进行安全的文件传输。SCP可以在本地和远程计算机之间传输文件,而SFTP提供了类似 FTP 的交互式文件管理方式,但加密性更强。加密通信: SSH 使用强加密算法来确保通信的机密性与完整性。即使攻击者窃听到传输的内容,由于内容是加密的,他们也无法读取其中的信息。
认证机制: SSH 提供了两种主要的认证方式:
- 密码认证:用户输入密码来进行身份验证。
- 公钥认证:用户使用 SSH 密钥对(公钥和私钥)进行认证,公钥存储在服务器上,私钥存储在用户的本地机器上。相比密码认证,公钥认证通常更安全。
端口转发: SSH 可以用来实现端口转发,将一个网络端口上的流量安全地转发到另一台计算机。通过 SSH 隧道(tunnel)可以绕过防火墙或 NAT 等限制,进行安全的网络连接。
二、为什么需要SSH
1、不安全登录telnet
准备机器:
linux master 10.0.0.61
Windows 本机
2、服务端要运行远程连接服务,telnet走的是telnet-server服务端,走的是23端口通信,而不是sshd服务端
安装telnet命令
[master root ~] # yum install telnet-server telnet -y
Loaded plugins: fastestmirror
Determining fastest mirrors
* base: mirrors.aliyun.com
* extras: mirrors.aliyun.com
* updates: mirrors.aliyun.com
base | 3.6 kB 00:00:00
epel | 4.3 kB 00:00:00
extras | 2.9 kB 00:00:00
updates | 2.9 kB 00:00:00
Package 1:telnet-0.17-66.el7.x86_64 already installed and latest version
Resolving Dependencies
--> Running transaction check
---> Package telnet-server.x86_64 1:0.17-66.el7 will be installed
--> Finished Dependency Resolution
Dependencies Resolved
=======================================================================================================
Package Arch Version Repository Size
=======================================================================================================
Installing:
telnet-server x86_64 1:0.17-66.el7 updates 41 k
Transaction Summary
=======================================================================================================
Install 1 Package
Total download size: 41 k
Installed size: 55 k
Downloading packages:
telnet-server-0.17-66.el7.x86_64.rpm | 41 kB 00:00:00
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
Installing : 1:telnet-server-0.17-66.el7.x86_64 1/1
Verifying : 1:telnet-server-0.17-66.el7.x86_64 1/1
Installed:
telnet-server.x86_64 1:0.17-66.el7
Complete!
[master root ~] # systemctl start telnet.socket
[master root ~] #
windows上安装telnet,power shell管理员打开,直接运行以下代码
enable-windowsoptionalfeature -online -featurename telnetclient
3、使用telnet命令,登录Linux服务端
发现登录不上
[C:\~]$ telnet 10.0.0.61
Connecting to 10.0.0.61:23...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.
Kernel 3.10.0-1160.71.1.el7.x86_64 on an x86_64
master-61 login: root
Password:
Login incorrect
进入master-61服务端查看日志
[master-61 root ~] # less /var/log/secure
Jan 8 14:05:30 master login: pam_securetty(remote:auth): access denied: tty 'pts/0' is not secure !
Jan 8 14:05:35 master login: pam_unix(remote:auth): authentication failure; logname= uid=0 euid=0 tty=pts/0 ruser= rhost=::ffff:10.0.0.1 user=root
Jan 8 14:05:35 master login: pam_succeed_if(remote:auth): requirement "uid >= 1000" not met by user "root"
Jan 8 14:05:36 master login: FAILED LOGIN 2 FROM ::ffff:10.0.0.1 FOR root, Authentication failure
Jan 8 14:11:08 master login: pam_securetty(remote:auth): access denied: tty 'pts/1' is not secure !
Jan 8 14:11:09 master login: pam_succeed_if(remote:auth): requirement "uid >= 1000" not met by user "root"
Jan 8 14:11:12 master login: FAILED LOGIN 1 FROM ::ffff:10.0.0.1 FOR root, Authentication failure
Jan 8 14:11:17 master login: pam_securetty(remote:auth): access denied: tty 'pts/1' is not secure !
解释:
pam_securetty 模块是用来限制哪些终端可以进行 root 用户的登录。默认情况下,root 只能通过某些被认为是“安全的”终端进行登录。这些安全的终端通常在 /etc/securetty 文件中列出。pts/0 和 pts/1 是通过 telnet 远程登录时分配的伪终端,因此它们在默认情况下不被视为“安全终端”,导致 root 用户无法登录。
编辑配置文件,最后添加如下内容
[master-61 root ~] # vim /etc/securetty
pts/0
pts/1
/etc/securetty 文件:这个文件定义了哪些终端可以允许 root 用户登录。默认情况下,root 用户只能在某些指定的终端(如 tty1、tty2 等)上登录。如果允许 root 在通过 telnet 或 ssh 登录时使用某些伪终端(如 pts/0 或 pts/1),需要手动在该文件中添加这些终端
重新登录
[C:\~]$ telnet 10.0.0.61
Connecting to 10.0.0.61:23...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.
Kernel 3.10.0-1160.71.1.el7.x86_64 on an x86_64
master-61 login: root
Password:
Last failed login: Wed Jan 8 14:11:20 CST 2025 from ::ffff:10.0.0.1 on pts/1
There were 2 failed login attempts since the last successful login.
Last login: Wed Jan 8 14:08:29 from 10.0.0.1
[master-61 root ~] #
三、sshd服务部署
1、检查是否安装sshd服务(每一台机器都是默认安装了sshd服务的 )
openssl 命令,给你用,去基于不同的算法,创建证书的命令
[master-61 root ~] # rpm -qa openssh
openssh-7.4p1-22.el7_9.x86_64
安装openssh服务,提供远程sshd服务
[master-61 root ~] # rpm -qa openssh-server
openssh-server-7.4p1-22.el7_9.x86_64
2、ssh基本安全配置
2.1 禁用root用户登录、降低权限(只能通过普通用户登录,提前创建好可登录的普通普通户)
创建普通用户,并设置用户密码
[master-61 root ~] # useradd test01
[master-61 root ~] # echo "123456" | passwd --stdin test01
Changing password for user test01.
passwd: all authentication tokens updated successfully.
2.2 修改/etc/ssh/sshd_config配置文件
修改sshd配置文件禁止root登录,默认22端口更改22999
[master-61 root ~] # cat /etc/ssh/sshd_config |grep PermitRootLogin
#PermitRootLogin yes
PermitRootLogin no
# the setting of "PermitRootLogin without-password".
[master-61 root ~] # cat /etc/ssh/sshd_config |grep Port
#Port 22
Port 22999
#GatewayPorts no
2.3 重启服务,查看服务进程
[master-61 root ~] # netstat -tunlp |grep sshd
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 958/sshd
tcp6 0 0 :::22 :::* LISTEN 958/sshd
[master-61 root ~] # systemctl restart sshd
[master-61 root ~] #
[master-61 root ~] # netstat -tunlp |grep sshd
tcp 0 0 0.0.0.0:22999 0.0.0.0:* LISTEN 2378/sshd
tcp6 0 0 :::22999 :::* LISTEN 2378/sshd
[master-61 root ~] #
2.4 登录测试
ssh root@10.0.0.61 22999通过root登录报错
[C:\~]$ ssh root@10.0.0.61 22999
Connecting to 10.0.0.61:22999...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.
Connection closing...Socket close.
Connection closed by foreign host.
Disconnected from remote host(10.0.0.61:22999) at 14:48:50.
普通用户登录正常
[C:\~]$ ssh test01@10.0.0.61 22999
Connecting to 10.0.0.61:22999...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.
WARNING! The remote SSH server rejected X11 forwarding request.
[master-61 test01 ~] $
2.5 恢复默认sshd配置
[master-61 root ~] # sed -i 's/^Port 2222999/Port 22/' /etc/ssh/sshd_config
[master-61 root ~] # cat /etc/ssh/sshd_config | grep Port
#Port 22
Port 22
#GatewayPorts no
[master-61 root ~] # sed -i 's/^PermitRootLogin no/PermitRootLogin yes/' /etc/ssh/sshd_config
[master-61 root ~] # cat /etc/ssh/sshd_config | grep PermitRootLogin
#PermitRootLogin yes
PermitRootLogin yes
# the setting of "PermitRootLogin without-password".
[master-61 root ~] #
[master-61 root ~] # systemctl restart sshd
[master-61 root ~] #
[master-61 root ~] # netstat -ntlp |grep sshd
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 2462/sshd
tcp6 0 0 :::22 :::* LISTEN 2462/sshd
[master-61 root ~] #
重新登录
[C:\~]$ ssh root@10.0.0.61
Connecting to 10.0.0.61:22...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.
WARNING! The remote SSH server rejected X11 forwarding request.
Last failed login: Wed Jan 8 14:48:47 CST 2025 from 10.0.0.1 on ssh:notty
There were 3 failed login attempts since the last successful login.
Last login: Wed Jan 8 14:23:15 2025 from ::ffff:10.0.0.1
[master-61 root ~] #
四、pwgen随机密码生成工具
1、简介:pwgen 是一个用于生成随机密码的命令行工具,通常用于生成强密码,方便用户在需要时使用
2、pwgen使用
-c或--capitalize
强制密码包含至少一个大写字母。
示例:生成包含大写字母的密码。
-A或--no-capitalize
不包含大写字母。
示例:生成只包含小写字母、数字和特殊字符的密码。
-n或--numerals
强制密码包含至少一个数字。
示例:生成包含数字的密码。
-0或--no-numerals
不包含数字。
示例:生成不包含数字的密码。
-y或--symbols
强制密码包含至少一个特殊符号(例如!,@,#,$等)。
示例:生成包含特殊符号的密码。
-r <chars>或--remove-chars=<chars>
从密码生成字符集中移除指定的字符。<chars>是要移除的字符列表。
示例:如果你不想密码中包含字母l和数字1,可以使用-r "l1"来移除这两个字符。
-s或--secure
生成完全随机的密码,通常更难以猜测。
示例:生成一个更强的、难以破解的密码。
-B或--ambiguous
避免密码中包含可能造成混淆的字符。例如,避免使用字母O和数字0,或者字母I和数字1,以减少视觉上的歧义。
示例:生成更易读且不容易混淆的密码。
-h或--help
打印帮助信息,显示所有可用选项和它们的功能。
示例:pwgen -h。
-H或--sha1=path/to/file[#seed]
使用指定文件的SHA-1哈希值作为伪随机数生成器。#seed是一个可选的种子值,用来生成确定性的密码。
示例:从指定文件的 SHA-1 哈希生成密码,可以用于某些特定的密码生成场景。
-C
将生成的密码按列打印。这个选项使密码输出更整齐,便于查看。
示例:pwgen -C 10会将 10 个密码按列输出。
-1
不按列打印密码,而是逐行输出单独的密码。默认情况下,pwgen会按列输出多个密码。
示例:pwgen -1 10会将 10 个密码逐个列出,而不是按列输出。
-v或--no-vowels
生成不包含元音字母(a,e,i,o,u)的密码,防止生成容易理解或带有恶搞含义的密码。
示例:生成不含元音字母的密码,适合避免生成可能有负面含义的词语。
例如:
生成一个包含至少一个数字、一个大写字母和一个特殊符号的 12 字符密码
[master-61 root ~] # pwgen -n -c -y 12 1
wee~y4EiHah4
生成一个包含数字和特殊符号,但不包含大写字母的密码
[master-61 root ~] # pwgen -n -y -A 12 1
eeph2ha&ghue
生成 10 个密码,每个 8 个字符长,并按列显示
[master-61 root ~] # pwgen -C 8 10
be0Peezo ho1Nahth ieShohl3 eeV1ocoo doZ3xahz niuCh0ku fa1Mu2tu ea8cheiH
Ui1iehi6 johz6Doh
生成一个没有元音字母的 16 字符密码
[master-61 root ~] # pwgen -v 16 1
Hk4RjzsxK5dtfnm7