ssh解説
2383 ワード
ssh
ssh:secure shell,protocol,22/tcp,安全なリモートログイン
OpenSSH:sshプロトコルのオープンソース実装
dropbear:もう一つのオープンソース実装
SSHプロトコルバージョン v 1:CRC-32に基づいてMACを行い、安全ではない.man-in-middle v 2:双方のホストプロトコルは安全なMAC方式 を選択する DHアルゴリズムに基づいて鍵交換を行い、RSAまたはDSAに基づいてアイデンティティ認証 を実現する.
ユーザー登録認証の2つの方法: password に基づく key に基づく
OpenSSH:
C/S
S: sshd
クライアントコンポーネント:
ssh,プロファイル:/etc/ssh/ssh_config
Host PATTERNStrictHostKeyChecking no初回ログインはチェックメッセージを表示しません
形式:ssh[user@]host[COMMAND]
ssh [-l user] host [COMMAND]-p port:リモートサーバが傍受するポート(ポートを示す) -b:接続するソースIP(2つ以上のIPの場合はこのオプションを使用することを示す) を指定する.-v:デバッグモード(エラーを排出するための) -C:圧縮方式 -X:x 11転送対応(グラフィックで使いたい場合) -Y:信頼x 11転送をサポート ForwardX11Trusted yes
-t:強制擬似tty割当ssh-t remoteserver 1 ssh remoteserver 2(1で接続するために使用される2-tを付けないとエラーが報告されない) 注:デフォルトはホストに接続するユーザー名で接続されます.現在rootとしてログインするとrootとしてそのipに接続されるホストです!初めて確認のお知らせがあります!!!
1.サポート接続後にコマンドを実行して返却する
sshのポート番号を変更したが、ポートを変更した前に接続したユーザーは影響を受けなかった!ポートを変更このポートをデフォルトで接続するには、クライアントのプロファイルを変更します!
リモート・システムへの経験的な暗号化セキュリティ・アクセスを可能にする
ユーザがsshサーバにリモート接続すると、sshサーバ/etc/ssh/ssh_がコピーされます.host*key.pub(centos 7.0のデフォルトはssh_host_ecdsa_key.pub)ファイルの公開鍵がクライアントの~./ssh/know_hostsにあります.次回の接続では、2つの場所が異なるかどうかを比較します.
鍵ベースの認証:
1.クライアントで鍵ペアを生成する
ssh-keygen -t rsa [-P ''] [-f “/root/.ssh/id_rsa"]
#ssh-keygen –t rsa –P '' -f "/root/.ssh/id_rsa"
2、公開鍵ファイルをリモートサーバ対応ユーザのホームディレクトリに転送する(authorized_keysが自動的に生成される)
ssh-copy-id [-i [identity_file]] [user@]host
authorized_keysこのファイルは自動ログイン用のファイルです
3、テスト
注意:生成されたこの2つのssh鍵ペアを保護し、盗まれたら他のマシンにもパスワードを使わずに接続させることができます!!
4.SecureCRTで、Xshellまたはkeyベースの検証を実現する
SecureCRTツール->公開鍵の作成->Identityの生成pubファイルはopenssh互換フォーマットに変換され(SecureCRTに適しており、Xshellはフォーマットを変換する必要はありません)、ログインするホスト上の対応するファイルauthorized_keysにコピーされます.注意権限は600で、ログインするsshホスト上で実行する必要があります:ssh-keygen-i-f Identity.pub>.ssh authorized_keys(SecureCRTで変換します)
5、秘密鍵パスワードのリセット:#ssh-keygen–p
6.検証エージェント(authentication agent)秘密秘密解読後の鍵
これにより、一度だけGNOMEにパスワードを入力するだけで、エージェントは自動的に提供されます(このbashを実行する必要はありません)、そうでなければssh-agent bashを実行します.
7、キーはコマンドでエージェントに追加する
ssh-add接続するとパスワードが保存されます
ssh:secure shell,protocol,22/tcp,安全なリモートログイン
OpenSSH:sshプロトコルのオープンソース実装
dropbear:もう一つのオープンソース実装
SSHプロトコルバージョン
ユーザー登録認証の2つの方法:
OpenSSH:
C/S
C: ssh, scp, sftp
Windows :
xshell, putty, securecrt, sshsecureshellclient
S: sshd
クライアントコンポーネント:
ssh,プロファイル:/etc/ssh/ssh_config
Host PATTERNStrictHostKeyChecking no初回ログインはチェックメッセージを表示しません
形式:ssh[user@]host[COMMAND]
ssh [-l user] host [COMMAND]
1.サポート接続後にコマンドを実行して返却する
sshのポート番号を変更したが、ポートを変更した前に接続したユーザーは影響を受けなかった!ポートを変更このポートをデフォルトで接続するには、クライアントのプロファイルを変更します!
リモート・システムへの経験的な暗号化セキュリティ・アクセスを可能にする
ユーザがsshサーバにリモート接続すると、sshサーバ/etc/ssh/ssh_がコピーされます.host*key.pub(centos 7.0のデフォルトはssh_host_ecdsa_key.pub)ファイルの公開鍵がクライアントの~./ssh/know_hostsにあります.次回の接続では、2つの場所が異なるかどうかを比較します.
鍵ベースの認証:
1.クライアントで鍵ペアを生成する
ssh-keygen -t rsa [-P ''] [-f “/root/.ssh/id_rsa"]
#ssh-keygen –t rsa –P '' -f "/root/.ssh/id_rsa"
2、公開鍵ファイルをリモートサーバ対応ユーザのホームディレクトリに転送する(authorized_keysが自動的に生成される)
ssh-copy-id [-i [identity_file]] [user@]host
authorized_keysこのファイルは自動ログイン用のファイルです
3、テスト
注意:生成されたこの2つのssh鍵ペアを保護し、盗まれたら他のマシンにもパスワードを使わずに接続させることができます!!
4.SecureCRTで、Xshellまたはkeyベースの検証を実現する
SecureCRTツール->公開鍵の作成->Identityの生成pubファイルはopenssh互換フォーマットに変換され(SecureCRTに適しており、Xshellはフォーマットを変換する必要はありません)、ログインするホスト上の対応するファイルauthorized_keysにコピーされます.注意権限は600で、ログインするsshホスト上で実行する必要があります:ssh-keygen-i-f Identity.pub>.ssh authorized_keys(SecureCRTで変換します)
5、秘密鍵パスワードのリセット:#ssh-keygen–p
6.検証エージェント(authentication agent)秘密秘密解読後の鍵
これにより、一度だけGNOMEにパスワードを入力するだけで、エージェントは自動的に提供されます(このbashを実行する必要はありません)、そうでなければssh-agent bashを実行します.
7、キーはコマンドでエージェントに追加する
ssh-add接続するとパスワードが保存されます