远程管理服务ssh:远程操作系统、服务器(安全-数据加密-22-默认允许root用户连接)telnet:远程操作网络设备(不安全-数据明文-23-默认不允许root用户连接)1.yuminstall-ytelnet-server#服务器安装telnet服务2,systemctlstarttelnet.socket#建立网络通信,全部使用socket作为后缀23作为telnet默认端口3,sship#客户端连接服务器4,使用wireshark抓包包可以查看具体数据,跟踪流程匹配全链路SSH远程管理服务原理私钥公钥1,ll/etc/ssh#服务器公钥,私钥数据2,ll~/.ssh/known_hosts#客户端保存密钥数据的原理:1.客户端执行远程连接命令2.客户端与服务器建立握手3.服务器询问客户端是否确认接受服务器的公钥信息(第二次连接时4.客户端公钥确认,接受公钥数据5.服务端客户端确认登录密码6.客户端密码信息确认7.客户端与服务端建立连接PS:基于密码的远程连接:公钥和私钥只能完成数据加解密Key-based远程连接:公钥和私钥完成数据加解密+用户身份认证SSH远程连接方式-基于密码的密钥远程连接:连接多台服务器时,每次都需要输入密码。这是不安全的(不推荐)。基于密钥的远程连接:轻松安全连接1、客户端-执行创建密钥的命令2、客户端-建立连接(密码),发送密钥3、客户端-重新建立链接4、服务器-发送公钥信息5、客户端-发送公钥验证信息SSH服务配置文件1、vim/etc/ssh/sshd_config#进入sshd配置文件port:22#端口调整,部分配置文件有注释,但默认配置为usedListenAddress0.0.0.1#监听地址,0.0.0.0-所有网卡只能访问指定的监听地址可以是本地网卡上的地址PermitEmptyPasswordsno-空密码不允许连接PermitRootLoginno----sudo,建议改成noGssAPIAuthticationno----关闭这个参数,不再需要UseDNSno#是否开启DNS反向解析功能,它建议关闭,否则会影响响应速度模拟:1.更改配置文件的地址sed-i's#200#61#g'/etc/sysconfig/network-scripts/ifcfg-eth[01]2.查看是否修改成功grep61/etc/sysconfig/network-scripts/ifcfg-eth[01]3.删除UUIDsed-i'/UUID/id'/etc/sysconfig/network-scripts/ifcfg-eth[01]4.hostnamectlset-hostnamem015.systemctlrestartnetwork1.服务器创建密钥对ssh-keygen-tdsa2.服务器进行密钥分发ssh-copy-id-i/root/.ssh/id.rsa.pubroot@192...3.执行远程连接测试SSH远程连接安全防护(入侵防御)案例:https://blog.51cto.com/phenixikki/15466691,使用密钥登录、不要用密码登录2、a、防火墙关闭ssh,并指定源ip限制(局域网、可信公网)b.开启ssh,只监听本机内网ip(配置文件监听)c.尽量不要给服务器分配外网ipd.最小化(软件安装-授权)重要文件配置为000权限f。不要安装太多服务(一台服务器)e.对重要文件安装监控(加密数据-指纹),实时监控指纹inotify--监控服务目录g,锁定重要文件chattr+iSSH服务相关命令scp#基于ssh的安全数据传输sftp#基于ssh的文件传输脚本实现批量分发公钥——堆命令#!/bin/bash为{1,2,3}中的ip指定解释器doecho"=====================host192.168.12.$ippub-keystartfenfa=========="ssh-copy-id-i/root/.ssh/id.rsa.pubroot@192...$ip&>/dev/nullecho"host192.168.12.$ipfenfasuccess"echo"====================host192.168.12.$ippub-keystartfenfaend=========="echo""done问题:有交互过程1.需要确认是或否ssh-copy-id-i/root/.ssh/id.rsa.pubroot@192..."-oStrictHostKeyChecking=no”#不要每隔第二次提示2、需要输入密码:下载软件yuminstall-ysshpasssshpass-p123456ssh-copy-id-i/root/.ssh/id.rsa.pubroot@192...#自由交互分发命令3、服务ssh端口号变化时如何分发公钥?ssh-copy-id-i/root/.ssh/id.rsa.pubroot@192...-p'52113'"-oStrictHostKeyChecking=no"
