Wetts's blog

Stay Hungry, Stay Foolish.

0%

Linux-命令-远程登录

  • 基于口令的安全验证

    流程:

    1> 客户端发起连接请求
    2> 远程主机收到用户的登录请求,把自己的公钥发给客户端
    3> 客户端接收远程主机的公钥,然后使用远程主机的公钥加密登录密码,紧接着将加密后的登录密码连同自己的公钥一并发送给远程主机
    4> 远程主机接收客户端的公钥及加密后的登录密码,用自己的私钥解密收到的登录密码,如果密码正确则允许登录,到此为止双方彼此拥有了对方的公钥,开始双向加密解密

    PS:

    当网络中有另一台冒牌服务器冒充远程主机时,客户端的连接请求被服务器B拦截,服务器B将自己的公钥发送给客户端,客户端就会将密码加密后发送给冒牌服务器,冒牌服务器就可以拿自己的私钥获取到密码,然后为所欲为。因此当第一次链接远程主机时,在上述步骤的第(3)步中,会提示您当前远程主机的”公钥指纹”,以确认远程主机是否是正版的远程主机,如果选择继续后就可以输入密码进行登录了,当远程的主机接受以后,该台服务器的公钥就会保存到 ~/.ssh/known_hosts文件中。

  • 基于密匙的安全验证

    流程:

    这种方式你需要在当前用户家目录下为自己创建一对密匙,并把公匙放在需要登录的服务器上。当你要连接到服务器上时,客户端就会向服务器请求使用密匙进行安全验证。服务器收到请求之后,会在该服务器上你所请求登录的用户的家目录下寻找你的公匙,然后与你发送过来的公匙进行比较。如果两个密匙一致,服务器就用该公匙加密“质询”并把它发送给客户端。客户端收到“质询”之后用自己的私匙解密再把它发送给服务器。与第一种级别相比,第二种级别不需要在网络上传送口令。

    PS:

    简单来说,就是将客户端的公钥放到服务器上,那么客户端就可以免密码登录服务器了,那么客户端的公钥应该放到服务器上哪个地方呢?默认为你要登录的用户的家目录下的 .ssh 目录下的 authorized_keys 文件中(即:~/.ssh/authorized_keys)。

    步骤:

    客户机(登录机): ssh-keygen -t rsa
    服务机(被登录机): cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys


  • ssh: 是openssh套件中的客户端连接工具,可以给予ssh加密协议实现安全的远程登录服务器

    语法:

    ssh(选项)(参数)

选项:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
-1:强制使用ssh协议版本1<br>
-2:强制使用ssh协议版本2<br>
-4:强制使用IPv4地址<br>
-6:强制使用IPv6地址<br>
-A:开启认证代理连接转发功能<br>
-a:关闭认证代理连接转发功能<br>
-b:使用本机指定地址作为对应连接的源ip地址<br>
-C:请求压缩所有数据<br>
-F:指定ssh指令的配置文件<br>
-f:后台执行ssh指令<br>
-g:允许远程主机连接主机的转发端口<br>
-i:指定身份文件<br>
-l:指定连接远程服务器登录用户名<br>
-N:不执行远程指令<br>
-o:指定配置选项<br>
-p:指定远程服务器上的端口<br>
-q:静默模式<br>
-X:开启X11转发功能<br>
-x:关闭X11转发功能<br>
-y:开启信任X11转发功能<br>
  • ssh-keygen: 用于为“ssh”生成、管理和转换认证密钥,它支持RSA和DSA两种认证密钥

    语法:

    ssh-keygen(选项)

选项:

1
2
3
4
5
6
7
8
9
10
-b:指定密钥长度<br>
-e:读取openssh的私钥或者公钥文件<br>
-C:添加注释<br>
-f:指定用来保存密钥的文件名<br>
-i:读取未加密的ssh-v2兼容的私钥/公钥文件,然后在标准输出设备上显示openssh兼容的私钥/公钥<br>
-l:显示公钥文件的指纹数据<br>
-N:提供一个新密语<br>
-P:提供(旧)密语<br>
-q:静默模式<br>
-t:指定要创建的密钥类型
  • ssh-agent: 是一种控制用来保存公钥身份验证所使用的私钥的程序。ssh-agent在X会话或登录会话之初启动,所有其他窗口或程序则以客户端程序的身份启动并加入到ssh-agent程序中。通过使用环境变量,可定位代理并在登录到其他使用ssh机器上时使用代理自动进行身份验证

    语法:

    ssh-agent [-c | -s] [-d] [-a bind_address] [-t life] [command [arg …]]

    ssh-agent [-c | -s] -k

选项:

1
2
3
4
5
6
-a bind_address:bind the agent to the UNIX-domain socket bind_address<br>
-c:生成C-shell风格的命令输出<br>
-d:调试模式<br>
-k:把ssh-agent进程杀掉<br>
-s:生成Bourne shell 风格的命令输出<br>
-t life:设置默认值添加到代理人的身份最大寿命
  • ssh-add: 把专用密钥添加到ssh-agent的高速缓存中

    语法:

    ssh-add [-cDdLlXx] [-t life] [file …]

    ssh-add -s pkcs11 ssh-add -e pkcs11

选项:

1
2
3
4
5
6
7
8
9
-D:删除ssh-agent中的所有密钥<br>
-d:从ssh-agent中的删除密钥<br>
-e pkcs11:删除PKCS#11共享库pkcs1提供的钥匙<br>
-s pkcs11:添加PKCS#11共享库pkcs1提供的钥匙<br>
-L:显示ssh-agent中的公钥 <br>
-l:显示ssh-agent中的密钥 <br>
-t life:对加载的密钥设置超时时间,超时ssh-agent将自动卸载密钥 <br>
-X:对ssh-agent进行解锁 <br>
-x:对ssh-agent进行加锁

实例:

  1. 把专用密钥添加到 ssh-agent 的高速缓存中: ssh-add ~/.ssh/id_dsa
  2. 从ssh-agent中删除密钥: ssh-add -d ~/.ssh/id_xxx.pub
  3. 查看ssh-agent中的密钥: ssh-add -l

八、绑定本地端口
既然SSH可以传送数据,那么我们可以让那些不加密的网络连接,全部改走SSH连接,从而提高安全性。
假定我们要让8080端口的数据,都通过SSH传向远程主机,命令就这样写:
  $ ssh -D 8080 user@host
SSH会建立一个socket,去监听本地的8080端口。一旦有数据传向那个端口,就自动把它转移到SSH连接上面,发往远程主机。可以想象,如果8080端口原来是一个不加密端口,现在将变成一个加密端口。

九、本地端口转发
有时,绑定本地端口还不够,还必须指定数据传送的目标主机,从而形成点对点的”端口转发”。为了区别后文的”远程端口转发”,我们把这种情况称为”本地端口转发”(Local forwarding)。
假定host1是本地主机,host2是远程主机。由于种种原因,这两台主机之间无法连通。但是,另外还有一台host3,可以同时连通前面两台主机。因此,很自然的想法就是,通过host3,将host1连上host2。
我们在host1执行下面的命令:
  $ ssh -L 2121:host2:21 host3
命令中的L参数一共接受三个值,分别是”本地端口:目标主机:目标主机端口”,它们之间用冒号分隔。这条命令的意思,就是指定SSH绑定本地端口 2121,然后指定host3将所有的数据,转发到目标主机host2的21端口(假定host2运行FTP,默认端口为21)。
这样一来,我们只要连接host1的2121端口,就等于连上了host2的21端口。
  $ ftp localhost:2121
“本地端口转发”使得host1和host3之间仿佛形成一个数据传输的秘密隧道,因此又被称为”SSH隧道”。

十、远程端口转发
既然”本地端口转发”是指绑定本地端口的转发,那么”远程端口转发”(remote forwarding)当然是指绑定远程端口的转发。
还是接着看上面那个例子,host1与host2之间无法连通,必须借助host3转发。但是,特殊情况出现了,host3是一台内网机器,它可以 连接外网的host1,但是反过来就不行,外网的host1连不上内网的host3。这时,”本地端口转发”就不能用了,怎么办?
解决办法是,既然host3可以连host1,那么就从host3上建立与host1的SSH连接,然后在host1上使用这条连接就可以了。
我们在host3执行下面的命令:
  $ ssh -R 2121:host2:21 host1
R参数也是接受三个值,分别是”远程主机端口:目标主机:目标主机端口”。这条命令的意思,就是让host1监听它自己的2121端口,然后将所有 数据经由host3,转发到host2的21端口。由于对于host3来说,host1是远程主机,所以这种情况就被称为”远程端口绑定”。
绑定之后,我们在host1就可以连接host2了:
  $ ftp localhost:2121
这里必须指出,”远程端口转发”的前提条件是,host1和host3两台主机都有sshD和ssh客户端。