SSH服務的介紹：

SSH 是目前較可靠，專為遠程登錄會話和其他網絡服務提供安全性的協議，利用 SSH 協議可以有效防止遠程管理過程中的信息泄露問題。

SSH是Secure Shell的縮寫，是建立在應用層和傳輸層基礎上的安全協議。SSH是目前較為安全可靠的遠程登錄會話和傳輸協議。目前絕大多數的Linux都采用SSH遠程登錄方式且SSH客戶端適用于多種平臺。

SSH是C/S架構，即Client/Server(客戶端/服務端)結構。

目前，SSH有1.x和2.x兩個版本。連接SSH服務時要注意客戶程序與SSH服務端版本是否一致，OpenSSH 2.x同時支持SSH 1.x和2.x。

SSH的功能：

• SSH可有效地防止DNS欺騙以及IP欺騙。
• 壓縮傳輸數據。
• SSH提供了多種傳輸方式。
• SSH構建Socket5代理。

SSH服務端的安裝：（Linux中）

如果在安裝系統時不是選擇的最小化安裝，SSH服務都將會默認安裝在系統中，無須自行安裝。如果系統沒有自帶SSH服務，可按照如下情況自行安裝。
Redhat、CentOS等使用RPM包的發行版：

yum install openssh-server openssh-clients

Debian、Ubuntu等使用DEB包的發行版：

apt-get install openssh-server openssh-client

其中openssh-server是SSH服務端，openssh-client為SSH的客戶端

SSH服務端的配置

配置文件說明：
在Linux操作系統中，SSH服務端配置文件默認路徑為： /etc/ssh/sshd_config

常用配置說明：

Port 22 #SSH端口設置，這里默認使用的是22端口 Protocol 2，1 #選擇SSH協議版本 ListenAddress 0.0.0.0 #監聽的網卡IP PermitRootLogin no #是否允許root登入，默認是允許的 PasswordAuthentication yes #是否開啟密碼驗證 PermitEmptyPasswords no #是否允許密碼為空 PrintMotd no #登入后是否顯示一些信息，如上次登入時間及地點等。 PrintLastLog yes #顯示上次登入的信息 KeepAlive yes #發送KeepAlive信息給客戶端 MaxStartups 10 #允許尚未登入的聯機畫面數 DenyUsers * #禁止用戶登錄，*表示所有用戶 AllowUsers * #允許用戶登錄

SSH客戶端的選擇

SSH客戶端支持多平臺：
1. 蘋果OS X操作系統:
自帶terminal中包含有SSH客戶端，與Linux SSH客戶端使用方法相同
2. Linux操作系統:
OpenSSH-client
3. Windows操作系統:
PuTTY、Xshell、SecureCRT、Plink、WinScp等

SSH的認證方式

SSH服務的安全性不僅僅體現在加密的數據傳輸方式，同時還具有多種身份驗證方式，配合SSH本身訪問策略以及Linux系統中自帶的防火墻和TCP Wrappers提供對訪問權限的控制。

口令認證方式：
口令是SSH服務的基礎認證方式，在不對SSH進行相應配置的情況下口令認證方式是默認啟用的。

在Linux操作系統中，使用SSH客戶端的命令格式如下：

ssh options username@hostname ‘command’

基于密鑰的認證方式：
密鑰認證是Linux運維中常用的較為安全的認證方式，由于無須輸入口令，固應用與自動化與集群運維中。

生成密鑰與公鑰文件
ssh-keygen 命令可以生成公鑰與密鑰

將公鑰文件加入主機的認證文件中

cat id_rsa.pub >> ~/.ssh/authorized_keys

注意：.ssh目錄權限為700，authorized_keys文件為600

SSH的訪問策略：

1.限制用戶連接SSH
基于用戶的訪問策略需要在SSH服務的配置文件中進行配置： /etc/ssh/sshd_config

DenyUsers test #禁止test用戶登入 AllowUsers test #允許test用戶登入 DenyGroups test #禁止test群組登入 AllowUsers test #允許test群組登入

2.限制IP連接SSH
基于IP地址的訪問策略有兩種方式實現：
ptables防火墻

iptables -A INPUT -p tcp --dport 22 -s 192.168.0.10/32 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j DROP

TCP Wrappers
/etc/hosts.allow(允許某個ip地址訪問本機的某個服務)

sshd:192.168.0.10/255.255.255.255

/etc/hosts.deny（不允許某個ip地址訪問本機的某個服務）

sshd:ALL 或 sshd:ALL EXCEPT 192.168.0.10

TCP Wrappers只支持長格式掩碼，不能用192.168.0.0/24

SSH的實際運維中的應用：

• SSH執行遠程主機命令
• SSH構建跳板隧道
• SSH指定密鑰路徑、端口、用戶及配置文件
• 調式模式與綁定IP地址
• 構建Socket5代理

SSH執行遠程主機命令格式：

ssh username@hostname ‘command’

總結

以上是生活随笔為你收集整理的SSH服务--Linux学习笔记的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。