基本介紹
ssh:安全的遠端登陸
要有用戶端與伺服器端,用戶端主動連結服務端,那麼服務端位址是不能變的。
socket:套接字 辨別應用唯一的位址
tcp/udp port端口号
cat /etc/service檢視所有的端口号
備注:通過IP找到了這台機器,通過端口号找到相對應的應用程式
注意:IP和端口号要固定
centos預設openssh
格式
ssh[user@]host[COMMAND]
ssh [email protected]‘IP a’
#檢視這個主機的IP位址,查詢完自動退出
選項
-p port:遠端伺服器監聽端口
-b:指定連結的源IP
兩塊網卡的時候,指定希望的網卡連結對方
-v:調試模式
看詳細的過程
-C:壓縮方式
-X:支援x11轉發
-Y:支援信任x11轉發
ForwardX11Trusted yes
-t:強制僞tty配置設定
ssh -t remoteservre1 ssh remoteservre2
配置檔案
伺服器端配置檔案
/etc/ssh/sshd_config
用戶端配置檔案
/etc/ssh/ssh_config
openssh軟體組成
相關包:
openssh
openssh-clients
openssh-server
工具:
clients:ssh,scp,sftp,slogin
windows用戶端:
xshell,putty,securecrt,sshsecureshellclient
Server:sshd
ssh驗證兩種方式
1、基于password
2、基于key
當使用者遠端連接配接ssh伺服器時,會複制ssh伺服器/etc/ssh/ssh_host*key.pub
(CentOS7預設是ssh_host_ecdsa_key.pub)檔案中的公鑰到客戶機的
~./ssh/know_hosts中。下次連接配接時,會自動比對相應私鑰,不能比對,将拒
絕連接配接
第一種是說賬号密碼驗證,我們第一次用ssh連結一台主機的時候,會出現詢問如圖
試問這是什麼意思?
這是詢問你連結的機子是不是真實機器呢,不是假冒的機器,确認下,沒問題鍵入 y,當我們鍵入y,它會記錄你的資訊,如IP 公鑰等等。
第二次連結的時候就不會出現提示,為什麼?
因為當我們第一次連結時鍵入”y“後,記錄了你的資訊,當我們再次連結時,它會拿你記錄的資訊和你目前的資訊做比較,看是否還是原來的那台電腦,如果不是,它會認為你這台機器是一個假冒的,拒接連結,解決了釣魚網站的威脅。
試想
假如有三台主機分别是192.168.43.6、192.168.43.7、192.168.43.17,6這台主機正常連結7主機,當6斷開與7的連結後,我們用17來冒充7與6建立連結。有沒有效果?
說明:我們是把192.168.43.17主機IP改成了192.168.43.7來與192.168.43.6建立連結。
會出現下圖
有人會說改實體位址,那也是會出現上圖。我們來了解下它的底層原理就知道了。
底層原理:在第一次連結的時候,會記錄改主機的公鑰資訊,放在目前使用者的家目錄ssh目錄裡,當你連結的時候,用私鑰簽名,讓公鑰解密。
是以:隻要拿到對方的私鑰就可假冒這台主機。
所有說私鑰安全很重要!
基于使用者名密碼驗證方式工作原理
當使用者發送ssh請求到ssh服務端時,服務端回應用戶端,并把自己的公鑰發給用戶端,用戶端接收到服務端的公鑰後,并用服務端的公鑰對自己的密碼加密發給服務端,服務端接收後,用自己的私鑰進行解密,得到的密碼,去驗證對不對,正确就能正常登陸。如圖
精彩内容請看下一篇
