linux是否自带有ssh

68次阅读

共计 4003 个字符，预计需要花费 11 分钟才能阅读完成。

本文丸趣 TV 小编为大家详细介绍“linux 是否自带有 ssh”，内容详细，步骤清晰，细节处理妥当，希望这篇“linux 是否自带有 ssh”文章能帮助大家解决疑惑，下面跟着丸趣 TV 小编的思路慢慢深入，一起来学习新知识吧。

linux 自带有 ssh。linux 系统会自带 ssh 软件，默认就是 OpenSSH 相关软件包，并将 ssh 服务添加为开机自启动，可以通过“ssh -V”命令来查看安装的 ssh 版本信息。执行“systemctl start sshd”命令即可启动 sshd 服务，默认端口使用的 22 端口。

linux 自带有 ssh 吗

服务器一般都在机房，如果每次维护服务器都要去机房，就没有舒服了。所以 linux 有一个功能可以远程使用 shell 的方式发，就是 ssh（Secure Shell 的缩写）。也就是在服务器上会启动一个服务，专门接收远程的访问数据，然后再把这些数据转发给系统内核，完成这些操作，这样研发的同事就不需要去机房就可以维护服务器。

ssh 需要服务器开放相应的网络端口，默认是 22 端口，也可以修改为其他端口，例如 9022 等。

因为考虑服务器对外保留端口，而且是管理类的（通过 shell，就可以控制服务器了），因此 ssh 提供有各种安全限制方式，比较常见的是禁止 root 账号登录、只允许可信 ip 登录，以及使用证书方式。这样可以避免陌生人登录服务器，哪怕他以及获取到了相关的账号和权限。

外部电脑使用 ssh 登录服务器，需要有对应的客户端软件。如果是 linux 或者 mac，系统会自带 ssh 软件（虽然是命令行方式的），默认就是 OpenSSH，可以通过 ssh -V 命令来查看安装的 ssh 版本信息：

[root@xiaoluo xiaoluo]# ssh -V
OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010

从上述信息可以看到，我这台安装在虚拟机上的 CentOS6.4 默认安装的 SSH 其协议是 1.0 的。

OpenSSH 服务器配置文件

服务名称：sshd

服务端主程序：/usr/sbin/sshd

服务端配置文件：/etc/ssh/sshd_config

openSSH 是实现 SSH 协议的开源软件项目，适用于各种 UNIX、Linux 操作系统。

centos 7 系统默认已安装 openssh 相关软件包，并将 ssh 服务添加为开机自启动。

执行“systemctl start sshd”命令即可启动 sshd 服务。默认端口使用的 22 端口。

ssh_confiog 和 sshd_config 都是 ssh 服务器的配置文件

二者区别在于前者是针对客户端的配置文件，后者是针对服务端的配置文件。

ssh 服务端主要包括两个服务功能，ssh 远程连接和 sftp 服务

作用：SSHD 服务使用 SSH 协议可以用来进行远程控制，或在计算机之间传输文件。相比较之前用 Telnet 方式来传输文件要安全很多，因为 Telnet 是是明文传输，SSH 是加密传输。

ssh 远程登录方式

ssh 登录的方式有两种。

第一次登录服务器时，系统没有保存远程主机的信息，为了确认主机身份会提示用户是否继续连接，输入 yes 后登录，这时系统将远程服务器信息写入用户主目录下的：$HOME/.ssh/known_hosts 文件中，下次再进行登录时，因为保存有该主机信息就不会再提示了。

1、方法一

格式：ssh [远程主机用户名] @ [远程服务器主机名或 IP 地址] -p port
当 Linux 主机上远程连接另一台 Linux 主机时，如当前所登录的用户是 root 的话，当连接另一台主机时也是用 root 用户登录时，可以直接使用 ssh IP 登录。端口默认即可，如果不是默认的情况下，需要使用 -p 指定端口。

远程登录其它主机

ssh root@192.168.100.10 第一次交互输入 yes 第二次交互输入 root 密码登录成功

登录之后再退出登录，在本地家目录会生成一个.sshd 的目录，里面有文件记录了登录的信息。

2、使用域名进程登录

①修改本机映射关系

②进行登录

3、故障解决

在工作中，有时候需要 SSH 登陆到别的 Linux 主机上去，但有时候 SSH 登录会被禁止，并弹出如下类似提示:

warning: Permanently added 192.168.100.10’(ECDSA) to the list of known hosts. Authentication failed.

这时直接删除家目录下面的 .ssh 目录下面的文件，即可解决。

4、sshd 服务支持的两种登录验证方式

1）密码验证

对服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便，但从客户端角度来看，正在连接的服务器有可能被假冒；从服务器角度来看，当遭遇密码穷举（暴力破解）攻击时，防护能力比较弱。
18 位密码复杂性（大写、小写、字符、数字），修改端口为高位端口，可以提高安全性。

2）秘钥对验证

要求提供相匹配的秘钥信息才能通过验证。通常先在客户端中创建一对秘钥文件（公钥、私钥），然后将公钥文件放到服务器中指定位置，远程登录时，系统将使用公钥、私钥进行加密 / 解密关联验证，

大大增强了远侧还能够管理的安全性。该方式不易被假冒，且可以免交互登录，在 shell 中被广泛使用

 当密码验证、秘钥验证都启用时，服务器将优先使用秘钥对验证。对于安全性要求高的服务器，建立将密码验证方式禁用，只允许启用秘钥对验证方式。

配置文件中修改启用密码验证还是秘钥验证

配置文件：/etc/ssh/sshd_config

PasswordAuthentication yes # 启用密码验证
PubkeyAuthentication yes # 启用密钥对验证
AuthorizedKeysFile .ssh/authorized_keys # 指定公钥库文件（ls - a 可查看）

配置文件中其它的设置

LoginGraceTime 2m # 登录验证时间为 2 分钟（默认 2 分钟）PermitRootLogin no # 禁止 root 用户登录
MaxAuthTries 6 # 最大重试次数为 6 次
PermitEmptyPasswords no # 禁止空密码登录
PrintLastLog yes # 显示上次登入的信息！默认为  yes
AllowUsers # 只允许或禁止某些用户登录

配置文件修改完之后，需要重启配置 sshd 服务

systemctl restart sshd # 重启 sshd 服务

构建秘钥对验证的 SSH

公钥和私钥的关系

在对称加密技术中，有两种秘钥，分为私钥和公钥，私钥是秘钥的创建人拥有，不可公布，公钥是创建者公布给他人的。
公钥用来给数据加密，用公钥加密的数据只能使用私钥解。
构建秘钥对验证 SSH 的原理

首先 ssh 通过加密算法在客户端产生秘钥对（公钥和私钥），公钥发送给服务端，自己保留私钥。
如果要想连接带有公钥的 SSH 服务器，客户端 SSH 软件就会向 SSH 服务器发出请求，请求联机的用户密钥进行安全验证。
SSH 服务器收到请求之后，便在被连接的用户的家目录下寻找事先放上去的对应用户的公用秘钥
然后把它和连接的 SSH 客户端发送过来的公用秘钥进行比较，如果两个秘钥一致，SSH 服务器就用公钥加密“质询”并把它发送给 SSH 客户端。

简单理解

生成密钥可以在客户端和服务端两边生成，但是我们需要将使用客户端登录到服务端，那么，客户端就一直需要的是私钥，服务端要存在公钥，所以不关密钥对在客户端还是服务端生成，客户端拿到的都会是私钥，服务端拿到的都是公钥。

通俗理解

公钥（public key）相当于一扇门，私钥（pribate key）相当于是开门的钥匙，当一台机器 A 需要登录到机器 B 的时候，就得拿着钥匙去开门，但是前提的是机器 B 必须要有门，所以需要给机器 B 装上门，那就是把机器 A 的公钥给到机器 B。然后机器 A 使用私钥就可以打开机器 B 的公钥门。

1、scp 远程复制

scp 复制：是 secure copy（安全复制）的简写，用在 Linux 下进行远程拷贝的命令，而且 scp 传输时加密的。
应用场景
在系统误删环境配置文件且没有备份的时候，可以远程从其它主机上拷贝过来。

 本地文件复制到服务器
scp 1.txt root@192.168.100.10:/opt
复制服务器的目录到本地
scp root@192.168.100.10:/home/sky/ ./
本地目录复制到服务器
scp -r / root@192.168.100.10:/home

2、sftp 安全性传输

sftp 是 secure file transfer protocol（安全文件传送协议）的缩写，可以为传输文件提供一种安全的网络加密方法。

sftp 与 ftp 有着几乎一样的语法和功能，sftp 为 ssh 的其中一部分，sftp 本身没有单独的守护进程，它必须使用 sshd 守护进程（端口号默认是 22）来完成相应的连接和答复操作。所以使用 sftp 是非常安全的，但是，由于这种传输方式使用了加密 / 解密技术，所以传输效率比普通的 FTP 要低的多。对网络安全要求更高时，可以使用 SFTP 代替 FTP。

从服务端下载文件到本地主机

从本地主机上传文件到服务端

3、配置密钥对实验

通过 ssh-keygen 工具为当前用户创建密钥对文件，可用的加密算法有“RAS”、“ECDSA”、“DSA”，通过 -t 选项调用相应的算法。

3.1 在服务端创建密钥对

查看密钥对的位置

3.2、修改密钥对的配置文件

修改 ssd_config 配置文件没关闭，关闭密码验证，开启密钥验证