基本介紹

ssh：安全的遠程登陸

要有客戶端與服務器端，客戶端主動鏈接服務端，那麽服務端地址是不能變的。

socket：套接字 標識應用唯一的地址

tcp/udp port端口號

cat /etc/service查看所有的端口號

備註：通過IP找到了這臺機器，通過端口號找到相對應的應用程序

註意：IP和端口號要固定

centos默認openssh

格式

ssh[user@]host[COMMAND]

ssh [email protected]‘IP a’

#查看這個主機的IP地址，查詢完自動退出

選項

-p port：遠程服務器監聽端口

-b：指定鏈接的源IP

兩塊網卡的時候，指定希望的網卡鏈接對方

-v：調試模式

看詳細的過程

-C：壓縮方式

-X：支持x11轉發

-Y：支持信任x11轉發

ForwardX11Trusted yes

-t：強制偽tty分配

ssh -t remoteservre1 ssh remoteservre2

配置文件

服務器端配置文件

/etc/ssh/sshd_config

客戶端配置文件

/etc/ssh/ssh_config

openssh軟件組成

相關包：

openssh

openssh-clients

openssh-server

工具：

clients：ssh，scp，sftp，slogin

windows客戶端：

xshell，putty，securecrt，sshsecureshellclient

Server：sshd

ssh驗證兩種方式

1、基於password

2、基於key

當用戶遠程連接ssh服務器時，會復制ssh服務器/etc/ssh/ssh_host*key.pub
（CentOS7默認是ssh_host_ecdsa_key.pub）文件中的公鑰到客戶機的
~./ssh/know_hosts中。下次連接時，會自動匹配相應私鑰，不能匹配，將拒
絕連接

第一種是說賬號密碼驗證，我們第一次用ssh鏈接一臺主機的時候，會出現詢問如圖

試問這是什麽意思？

這是詢問你鏈接的機子是不是真實機器呢，不是假冒的機器，確認下，沒問題鍵入 y，當我們鍵入y，它會記錄你的信息，如IP 公鑰等等。

第二次鏈接的時候就不會出現提示，為什麽？

因為當我們第一次鏈接時鍵入”y“後，記錄了你的信息，當我們再次鏈接時，它會拿你記錄的信息和你當前的信息做比較，看是否還是原來的那臺電腦，如果不是，它會認為你這臺機器是一個假冒的，拒接鏈接，解決了釣魚網站的威脅。

試想

假如有三臺主機分別是192.168.43.6、192.168.43.7、192.168.43.17，6這臺主機正常鏈接7主機，當6斷開與7的鏈接後，我們用17來冒充7與6建立鏈接。有沒有效果？

說明：我們是把192.168.43.17主機IP改成了192.168.43.7來與192.168.43.6建立鏈接。

會出現下圖

有人會說改物理地址，那也是會出現上圖。我們來了解下它的底層原理就知道了。

底層原理：在第一次鏈接的時候，會記錄改主機的公鑰信息，放在當前用戶的家目錄ssh目錄裏，當你鏈接的時候，用私鑰簽名，讓公鑰解密。

所以：只要拿到對方的私鑰就可假冒這臺主機。

所有說私鑰安全很重要！

基於用戶名口令驗證方式工作原理

當用戶發送ssh請求到ssh服務端時，服務端回應客戶端，並把自己的公鑰發給客戶端，客戶端接收到服務端的公鑰後，並用服務端的公鑰對自己的密碼加密發給服務端，服務端接收後，用自己的私鑰進行解密，得到的密碼，去驗證對不對，正確就能正常登陸。如圖

精彩內容請看下一篇

she服務介紹