ssh解説


ssh
ssh:secure shell,protocol,22/tcp,安全なリモートログイン
OpenSSH:sshプロトコルのオープンソース実装
dropbear:もう一つのオープンソース実装
SSHプロトコルバージョン
  • v 1:CRC-32に基づいてMACを行い、安全ではない.man-in-middle
  • v 2:双方のホストプロトコルは安全なMAC方式
  • を選択する
  • DHアルゴリズムに基づいて鍵交換を行い、RSAまたはDSAに基づいてアイデンティティ認証
  • を実現する.
    ユーザー登録認証の2つの方法:
  • password
  • に基づく
  • key
  • に基づく
    OpenSSH:
    C/S
    C: ssh, scp, sftp
    Windows   :
    xshell, putty, securecrt, sshsecureshellclient

    S: sshd
    クライアントコンポーネント:
    ssh,プロファイル:/etc/ssh/ssh_config
    Host PATTERNStrictHostKeyChecking no初回ログインはチェックメッセージを表示しません
    形式:ssh[user@]host[COMMAND]
       ssh [-l user] host [COMMAND]
  • -p port:リモートサーバが傍受するポート(ポートを示す)
  • -b:接続するソースIP(2つ以上のIPの場合はこのオプションを使用することを示す)
  • を指定する.
  • -v:デバッグモード(エラーを排出するための)
  • -C:圧縮方式
  • -X:x 11転送対応(グラフィックで使いたい場合)
  • -Y:信頼x 11転送をサポート
  • ForwardX11Trusted yes

  • -t:強制擬似tty割当ssh-t remoteserver 1 ssh remoteserver 2(1で接続するために使用される2-tを付けないとエラーが報告されない)
  • 注:デフォルトはホストに接続するユーザー名で接続されます.現在rootとしてログインするとrootとしてそのipに接続されるホストです!初めて確認のお知らせがあります!!!
    1.サポート接続後にコマンドを実行して返却する
    sshのポート番号を変更したが、ポートを変更した前に接続したユーザーは影響を受けなかった!ポートを変更このポートをデフォルトで接続するには、クライアントのプロファイルを変更します!
    リモート・システムへの経験的な暗号化セキュリティ・アクセスを可能にする
    ユーザがsshサーバにリモート接続すると、sshサーバ/etc/ssh/ssh_がコピーされます.host*key.pub(centos 7.0のデフォルトはssh_host_ecdsa_key.pub)ファイルの公開鍵がクライアントの~./ssh/know_hostsにあります.次回の接続では、2つの場所が異なるかどうかを比較します.
    鍵ベースの認証:
    1.クライアントで鍵ペアを生成する
    ssh-keygen -t rsa [-P ''] [-f “/root/.ssh/id_rsa"]
    #ssh-keygen –t rsa –P ''  -f "/root/.ssh/id_rsa"
    2、公開鍵ファイルをリモートサーバ対応ユーザのホームディレクトリに転送する(authorized_keysが自動的に生成される)
    ssh-copy-id [-i [identity_file]] [user@]host
    authorized_keysこのファイルは自動ログイン用のファイルです
    3、テスト
    注意:生成されたこの2つのssh鍵ペアを保護し、盗まれたら他のマシンにもパスワードを使わずに接続させることができます!!
    4.SecureCRTで、Xshellまたはkeyベースの検証を実現する
    SecureCRTツール->公開鍵の作成->Identityの生成pubファイルはopenssh互換フォーマットに変換され(SecureCRTに適しており、Xshellはフォーマットを変換する必要はありません)、ログインするホスト上の対応するファイルauthorized_keysにコピーされます.注意権限は600で、ログインするsshホスト上で実行する必要があります:ssh-keygen-i-f Identity.pub>.ssh authorized_keys(SecureCRTで変換します)
    5、秘密鍵パスワードのリセット:#ssh-keygen–p
    6.検証エージェント(authentication agent)秘密秘密解読後の鍵
    これにより、一度だけGNOMEにパスワードを入力するだけで、エージェントは自動的に提供されます(このbashを実行する必要はありません)、そうでなければssh-agent bashを実行します.
    7、キーはコマンドでエージェントに追加する
    ssh-add接続するとパスワードが保存されます