介紹

SSH（Secure Shell）是一種用于在計算機網絡上進行安全遠程訪問和執行命令的協議。提供加密通信通道，防止敏感信息在傳輸過程中被竊聽或篡改。SSH還支持文件傳輸和端口轉發等功能，使其成為廣泛使用的安全遠程管理工具。

1. 安全遠程訪問
SSH 允許用戶通過網絡安全地遠程登錄到其他計算機。用戶可以在遠程系統上執行命令、訪問文件、管理服務等。

2. 加密通信：
SSH 傳輸的數據都經過加密，使用的加密算法通常包括對稱加密（如AES）和非對稱加密（如RSA）。

3. 多種身份驗證方法：
SSH 支持多種身份驗證方法，包括密碼、公鑰、證書等?？梢赃x擇最適合其需求的身份驗證方式，并提高系統的安全性。

4. 文件傳輸：
SSH 支持安全的文件傳輸協議（SFTP），允許用戶在本地計算機和遠程計算機之間傳輸文件。用于FTP等傳統文件傳輸協議，是FTP安全衍生品，。

5. 端口轉發：
SSH 允許用戶設置本地端口轉發。

6. 配置文件：
SSH 服務器和客戶端都有配置文件，用于定制各種參數和行為?？梢愿鶕枨筮M行精確的配置。

7. 公鑰和私鑰：
SSH 使用公鑰加密技術，其中有一個私鑰保存在本地，而公鑰存儲在遠程服務器上。允許身份驗證，同時不需要在網絡上傳輸密碼。

8. 端口號：
SSH 默認使用22號端口，可以通過配置更改。提高系統的安全性，因為惡意用戶掃描的是標準端口。

9. 兼容性：
SSH 是一個開放標準，并得到廣泛采用。主流操作系統和網絡設備都支持 SSH，使其成為跨平臺遠程訪問的標準。

SSH 是一種關鍵的網絡協議，用于保護遠程通信和管理。安全性、靈活性和廣泛支持使其成為網絡管理員和開發人員的首選工具。

配置

SSH 配置時，涉及到在計算機上設置 SSH 密鑰，以便通過SSH協議安全訪問其他計算機。

基本的SSH配置步驟：

ssh -V

步驟1：檢查 SSH 安裝信息

首先，計算機上已經安裝了SSH客戶端。在大多數操作系統上，SSH 已經默認安裝。
檢查 SSH 版本信息：

步驟2：生成SSH密鑰

1. 打開終端（Linux和macOS）
2. 生成SSH密鑰：
   執行命令后，將被要求指定保存密鑰的文件位置和設置一個密碼（可選）。按照提示操作即可。

ssh-keygen -t rsa -b 4096 -C "UserName@example.com"

• -t rsa: 指定密鑰類型為RSA。
• -b 4096: 指定密鑰位數為4096位。
• -C "UserName@example.com"。

步驟3：添加 SSH 密鑰到 SSH 代理（可選）

如果希望在一個SSH會話中使用密鑰，可以將密鑰添加到SSH代理。運行以下命令：

ssh-add ~/.ssh/id_rsa

步驟4：將 SSH 密鑰添加到遠程服務器

1. 運行以下命令將 SSH 公鑰添加到遠程服務器上的authorized_keys文件：

ssh-copy-id username@remote_host

1. 或者，如果您的系統不支持ssh-copy-id，可以手動將公鑰內容追加到遠程服務器的~/.ssh/authorized_keys?文件中。

步驟5：測試SSH連接

ssh username@remote_host

設置正確，通過SSH連接到遠程服務器無需輸入密碼。

在很多系統上，允許 Root 用戶通過 SSH 連接是不推薦的，因為會增加系統的安全風險。推薦的做法是使用普通用戶登錄，然后通過sudo或su切換到Root用戶權限進行必要的管理任務。

Root 連接

步驟1：打開SSH配置文件

使用文本編輯器打開 SSH 服務器的配置文件。/etc/ssh/sshd_config。

sudo nano /etc/ssh/sshd_config

步驟2：修改配置文件

在配置文件中找到以下行：

PermitRootLogin prohibit-password

將其改為：

PermitRootLogin?yes

允許 Root 用戶通過 SSH 連接。

步驟3：保存并退出

保存文件并退出文本編輯器。

步驟4：重啟SSH服務

在Ubuntu上，可以運行：

sudo service ssh restart

在 RHEL/CentOS 系統上，可使用systemctl或其他服務管理工具。

sudo systemctl restart ssh

注意：

• 在允許Root用戶SSH登錄之前，已經設置強密碼。
• 確保只有受信任的用戶可以通過SSH連接到服務器。

SSH 配置項

常見的SSH配置項的解釋：

1. Port：?指定 SSH 服務器監聽的端口。默認是22?？梢愿囊蕴岣甙踩?。
   Port 2222
2. Protocol：?SSH 使用的協議版本。一般是2。如果指定"2,1"，則服務器將首先嘗試使用SSH協議版本2，如果失敗，則回退到版本1。
   Protocol 2
3. PermitRootLogin：?是否允許 Root 用戶通過SSH登錄。建議設置為prohibit-password（默認）或without-password以使用密鑰身份驗證。
   PermitRootLogin prohibit-password
4. PasswordAuthentication：?是否允許使用密碼進行身份驗證。建議設置為no并使用密鑰身份驗證。
   PasswordAuthentication no
5. AllowUsers?/?AllowGroups：?允許連接的用戶或用戶組。只有配置的用戶或用戶組才能通過SSH連接到服務器。
   AllowUsers alice bob
6. DenyUsers?/?DenyGroups：?禁止連接的用戶或用戶組。配置的用戶或用戶組將無法通過SSH連接到服務器。
   DenyUsers mallory
7. PubkeyAuthentication：?是否啟用公鑰身份驗證。默認為yes。
   PubkeyAuthentication yes
8. ChallengeResponseAuthentication：?是否啟用響應身份驗證。默認為yes。
   ChallengeResponseAuthentication no
9. UsePAM：?是否使用Pluggable Authentication Modules（PAM）進行身份驗證。默認設置為yes。
   UsePAM yes
10. X11Forwarding：?是否允許X11轉發。如果不需要圖形界面，則設置為no。X11Forwarding no
11. MaxAuthTries：?參數定義嘗試進行身份驗證的最大次數。如果達到此次數之后仍未成功登錄，連接將被斷開。默認值通常是6。
    MaxAuthTries 3

在上面的配置中，最多允許3次身份驗證嘗試。超過這個次數后，將禁止進一步嘗試。在SSH配置中，可以通過設置登錄失敗次數參數來增加安全性，以限制暴力破解嘗試。

1. LoginGraceTime：?參數定義從用戶連接建立到完成身份驗證的時間。在時間內，用戶需要成功完成身份驗證，否則連接將被斷開。默認值通常是120秒（2分鐘）。

在上面配置中，用戶需要在60秒內成功完成身份驗證，否則連接將被斷開。

以上是一些常見的SSH配置項，可以根據需要進行修改。

測試演示

以下是我測試服務器 OpenSSH 配置文件（sshd_config）的示例，因為沒有外網連接且為本地私網測試配置相對寬松，其中一些配置項如下：

1. PermitRootLogin：?是否允許Root用戶通過SSH登錄。在配置中，設置為yes?允許 Root 登錄。
2. PasswordAuthentication：?是否允許使用密碼進行身份驗證。在配置中，設置為yes，允許密碼身份驗證?？梢詫⑵湓O置為no以強制使用密鑰身份驗證。
3. ChallengeResponseAuthentication：?是否啟用響應身份驗證。在配置中，設置為no。
4. UsePAM：?是否啟用Pluggable Authentication Modules（PAM）進行身份驗證。在配置中，設置為yes。
5. GSSAPIAuthentication：?是否啟用GSSAPI身份驗證。在配置中，設置為yes。
6. X11Forwarding：?是否允許X11轉發。在配置中，設置為yes。
7. PrintMotd：?是否顯示/etc/motd文件的消息。在配置中，設置為no表示不顯示/etc/motd消息。
8. Subsystem：?指定在連接時啟動的子系統。在配置中，sftp子系統指定用于SFTP的路徑。

這些都是配置文件中一些常見選項的示例。

風險

盡管SSH是一個強大的安全協議，但仍然存在一些潛在的風險和攻擊手段。

1. 暴力破解密碼：?攻擊者嘗試通過不斷嘗試密碼進行暴力破解SSH連接。
2. 中間人攻擊：?攻擊者嘗試在用戶和遠程服務器之間插入以竊聽或篡改傳輸的數據。SSH 加密通信可以減輕這種風險。
3. 弱加密算法：?使用弱加密算法使 SSH 連接更易于被攻擊。因此，需要使用安全的加密算法。
4. 密鑰管理不當：?SSH 密鑰導致安全漏洞，密鑰安全存儲以及及時禁用或更換失效的密鑰。

暴力破解手段：

1. 字典攻擊：?攻擊者事先準備密碼字典嘗試登錄。防范措施包括使用強密碼和設置登錄失敗的鎖定機制。
2. 暴力破解工具：?攻擊者使用專門的暴力破解工具，不斷嘗試各種組合的用戶名和密碼。可以使用防暴力破解工具、限制登錄嘗試次數和設置登錄延遲等方式減緩此類攻擊。
3. 中間人攻擊：?攻擊者嘗試通過欺騙用戶或篡改DNS等手段，使其連接到惡意服務器。使用 SSH 的公鑰身份驗證可以減輕中間人攻擊的風險。
4. 僵尸網絡攻擊：?攻擊者利用大規模的僵尸網絡（botnet）進行協同暴力破解嘗試。監控登錄日志和強制訪問控制列表（ACL）等方法可以幫助防范這種攻擊。

為了提高SSH連接的安全性，建議采取以下一些建議性措施：

• 使用公鑰身份驗證，盡量避免使用密碼登錄。
• 設置賬戶鎖定機制，限制登錄嘗試次數。
• 使用多因素身份驗證，提高身份驗證的安全性。
• 定期審查登錄日志，及時發現異?；顒?。
• 更新SSH軟件和操作系統，確保及時應用安全補丁。

綜合使用這全措施，以減少SSH連接面臨的潛在風險。

公號（IT資源共享站）

一個運維學習平臺，什么都有，每天進步一點點!