SSH原理、安全实践及工具

1.基础知识和概念

1.1. 什么是SSH？

• SSH的全称和作用：- SSH，全称Secure Shell，就像是互联网上的“安全快递”，确保你的数据在网络上传输时不会被偷窥或篡改。它是一种协议，为远程访问计算机和在网络上安全传输文件提供了加密的通信通道。

• SSH的历史和发展：- 想象一下，互联网就像一片繁忙的海洋，信息在这里自由流动。SSH好比是寄信时使用的封口蜡，确保你的通信内容在传输过程中不被窥探或篡改。在上个世纪90年代初，SSH由芬兰学者Tatu Ylönen发明，最初是为了解决远程登录的安全问题。如今，SSH已经成为互联网安全的重要保障，为远程管理和文件传输提供了可信赖的安全通道。

1.2. SSH的工作原理

SSH的工作原理是基于对称加密和非对称加密的巧妙组合，以及安全的密钥交换过程。

• 对称加密和非对称加密：- 对称加密： 就像一把能同时打开和锁住的钥匙，对称加密使用相同的密钥（钥匙）进行加密和解密。这种方式速度很快，但需要确保密钥在传输中不被窃取。- 对称加密好比同学之间分享的秘密盒子和魔法钥匙：想象一下，你和你的好朋友之间有一个神奇的秘密盒子，你们都有一把相同的魔法钥匙。这个盒子就像你们两个之间的通信管道，只有用这把特殊的魔法钥匙才能打开。当你想传递信息给朋友时，你就把信息放进盒子里，然后用大家都有的魔法钥匙把盒子锁上。你的朋友收到盒子后，用相同的魔法钥匙打开，就可以看到你传递的信息。这就是对称加密，大家都共用同一把魔法钥匙，信息在通信过程中通过这个共同的"盒子"进行保护。- 非对称加密： 就像一对儿不同的钥匙，一个用于加密，另一个用于解密。非对称加密更安全，但速度较慢。非对称加密则是像发贺卡一样的过程：现在，假设你和你的好朋友有一对独一无二的魔法贺卡。每个人都有一张卡片，一张是公开的，另一张是私密的。你可以把公开的卡片给任何人，因为只有你自己的私密卡片才能打开它。所以，当你想要传递信息时，你用朋友的公开卡片把信息锁在卡片上，只有朋友自己的私密卡片才能解锁，看到里面的内容。这就是非对称加密，每个人都有自己独特的一对"魔法贺卡"，用其中一个加密，用另一个解密。这种方式更加安全，因为不同于对称加密的共用钥匙，每个人都有自己专属的解锁方式。

• 密钥交换过程：- 在SSH的初始连接中，远程主机和客户端使用非对称加密生成一对密钥，分别是公钥和私钥。这时候，就好比远程主机送给客户端一把锁（公钥），而客户端自己保留一把只能打开这把锁的钥匙（私钥）。- 当客户端需要与远程主机通信时，它使用远程主机的公钥对数据进行加密，确保只有远程主机的私钥能解开。这就好比用锁（公钥）保险箱，只有正确的钥匙（私钥）才能打开。- 这种密钥交换方式使得在网络传输中，即使有人截获了加密的数据，也无法解密，因为没有私钥。

2.1. 安装SSH客户端和服务端

在CentOS 7发行版上安装SSH客户端和服务端非常简单，只需按照以下步骤进行：

1. 安装SSH服务端（sshd）：打开终端，执行以下命令安装SSH服务端：yum install openssh-server

上述命令会从CentOS软件仓库中安装OpenSSH服务器。

2.安装SSH客户端（ssh）：

同样在终端中执行以下命令安装SSH客户端：

yum install openssh-clients

这会安装SSH客户端工具，使你可以通过终端连接到其他计算机。

3.启动SSH服务：

安装完服务端后，执行以下命令启动SSH服务：

systemctl start sshd

为了确保SSH服务在系统启动时自动运行，你还可以运行以下命令：

systemctl enable sshd

这样，SSH服务就会在系统启动时自动启动。

4.检查SSH服务状态：

可以使用以下命令检查SSH服务的运行状态：

systemctl status sshd

如果服务正常运行，你会看到服务状态为"active"。

通过这些步骤，你就成功在CentOS 7上安装了SSH客户端和服务端。现在你可以使用SSH客户端连接到其他计算机，或者让其他计算机连接到你的计算机。

2.SSH的安装与配置

2.2. 配置SSH服务器和客户端

在安装完SSH服务端和客户端后，进行一些基本的配置可以提高系统的安全性和灵活性。

1. 修改SSH配置文件：- 打开SSH服务端的配置文件（sshd_config）：nano /etc/ssh/sshd_config#也可以使用 vim来修改。- 在配置文件中，你可以调整一些参数，例如更改SSH监听的端口、禁用root用户直接登录等。修改完成后，保存并关闭文件。- 重新加载SSH服务，使配置生效：systemctl restart sshd

2. 限制用户访问：- 如果你想限制哪些用户可以通过SSH登录，可以编辑sshd_config文件，添加如下内容：AllowUsers username1 username2这样只有列出的用户可以登录SSH。如果你想禁止特定用户登录，可以使用DenyUsers。- 保存并关闭文件后，重新加载SSH服务。- 对于客户端，如果你希望通过SSH连接时使用特定的用户名，可以在连接命令中指定用户名：ssh username@remote_host

这些简单的配置步骤可以帮助你根据实际需求定制SSH服务和客户端，提高系统的安全性和适用性。

2.3. SSH密钥认证的设置

使用SSH密钥对进行认证可以提高安全性，同时简化了密码登录的繁琐过程。

1. 生成SSH密钥对：- 打开终端，运行以下命令生成SSH密钥对：ssh-keygen -t rsa -b 2048这将生成一个2048位的RSA密钥对。你可以按照提示输入保存密钥的文件路径和设置密码。
2. 将公钥添加到目标主机上：- 使用ssh-copy-id命令将生成的公钥添加到目标主机上。这里需要知道目标主机的用户名和IP地址。ssh-copy-id username@remote_host#username 登录到目标主机的用户名，比如root#remote_host 目标主机的域名或者IP地址如果目标主机上没有ssh-copy-id命令，你可以手动复制本地生成的公钥（通常在~/.ssh/id_rsa.pub）的内容，然后粘贴到目标主机的~/.ssh/authorized_keys文件中。
3. 测试SSH密钥认证：- 确保你已经设置了SSH密钥对后，尝试通过SSH连接到目标主机：ssh username@remote_host#username 登录到目标主机的用户名，比如root#remote_host 目标主机的域名或者IP地址如果一切设置正确，你将无需输入密码就能够成功登录目标主机。

通过这些步骤，你成功地设置了SSH密钥认证，提高了连接的安全性，并简化了登录过程。

3.SSH的基本用法

3.1. SSH连接命令

SSH连接命令是使用SSH协议进行远程连接的关键。下面介绍基本的SSH连接命令以及如何指定端口和用户名。

1. 基本的SSH连接命令：- 使用最基本的SSH连接命令，你只需在终端中输入：ssh remote_host其中，remote_host是目标主机的IP地址或域名。如果是默认的22号端口，SSH将使用该端口进行连接。
2. 指定端口和用户名：- 如果目标主机的SSH服务监听在非默认的端口上，可以使用 -p 参数指定端口号：ssh -p 2222 remote_host这里的2222是目标主机上SSH服务的端口号，你可以根据实际情况修改。- 如果要使用不同的用户名登录目标主机，可以在连接命令中添加目标用户名：ssh username@remote_host这将使用username作为登录目标主机的用户身份。

通过这些SSH连接命令，你可以在终端中方便地建立与远程主机的安全连接，实现远程管理和文件传输等操作。

3.2. 用户身份验证方式

在SSH连接中，用户身份验证是确保连接安全的重要步骤。以下是两种常见的用户身份验证方式：密码登录和密钥登录。

1. 密码登录：- 在默认情况下，当你使用SSH连接到远程主机时，系统将要求你输入目标用户的密码：ssh username@remote_host- 然后，你会被提示输入密码。这种方式简单直接，但相对较为容易受到暴力破解的攻击，因此在高安全要求的环境中需要格外小心。
2. 密钥登录：- 使用SSH密钥对进行身份验证是更安全和便利的方式。在设置好SSH密钥对后，连接命令如下：ssh -i /path/to/private_key username@remote_host- -i 参数指定私钥的路径。- /path/to/private_key 是本地私钥文件的路径。- 如果你之前设置了SSH密钥对，并将公钥添加到目标主机上，你将无需输入密码即可登录。

通过选择适当的用户身份验证方式，你可以根据实际需求在方便和安全之间找到平衡点。密钥登录通常被推荐用于提高连接的安全性。

3.3. 管理多个SSH密钥

当你需要连接到不同的远程主机，或者使用多个身份时，管理多个SSH密钥变得很重要。以下是使用ssh-agent管理多个密钥和切换不同密钥身份的步骤。

1. 使用ssh-agent管理密钥：- 启动ssh-agent：eval "$(ssh-agent -s)"- 添加你的SSH私钥到ssh-agent：ssh-add /path/to/private_key这里的/path/to/private_key是你想要添加的私钥文件的路径。- 输入私钥的密码，将私钥添加到ssh-agent中。
2. 切换不同密钥身份：- 当你有多个SSH密钥时，你可以通过ssh-add命令来切换不同的密钥身份。ssh-add -l # 列出当前添加到ssh-agent的密钥ssh-add -D # 清除ssh-agent中所有的密钥- 例如，如果你希望切换到另一个密钥，只需运行：ssh-add /path/to/another_private_key然后输入新密钥的密码。

通过使用ssh-agent，你可以更轻松地管理多个SSH密钥，并在不同的场景中切换身份，而无需手动输入每个密钥的密码。这提高了SSH连接的便捷性和安全性。

4.安全性和最佳实践

4.1. SSH协议版本的选择

SSH协议有两个主要的版本，分别是SSH1和SSH2。了解它们之间的差异对于确保连接的安全性和性能至关重要。

1. SSH1：- 特点：- 较早的版本，存在一些安全漏洞。- 使用单一密钥系统，易受暴力破解攻击。- 性能相对较差。- 不再被推荐使用，因为存在严重的安全问题。
2. SSH2：- 特点：- 当前广泛使用的版本，修复了SSH1的安全漏洞。- 支持多种身份验证方法，包括密码、公钥和其他更安全的方式。- 采用更强大的加密算法，提高了安全性。- 性能更好，支持压缩和并发连接。- 支持端口转发、X11转发等功能。
3. 选择协议版本的建议：- 默认使用SSH2： 几乎所有现代SSH实现都默认使用SSH2，因为它更安全且性能更好。- 禁用SSH1： 在安全性要求较高的环境中，应禁用SSH1协议以防止潜在的漏洞。- 升级软件版本： 始终确保你的SSH客户端和服务器使用最新的软件版本，以获得最新的安全修复和功能改进。

4.2. 防范SSH暴力破解

SSH暴力破解是一种常见的安全威胁，但你可以采取一些措施来防范这种类型的攻击。其中一种常见的方法是使用工具，如

fail2ban

，来提高系统的安全性。

1. 使用fail2ban进行保护：- 安装fail2ban： 在大多数Linux发行版中，你可以使用包管理工具安装fail2ban：sudo yum install fail2ban # 对于CentOSsudo apt-get install fail2ban # 对于Ubuntu- 配置fail2ban： 编辑/etc/fail2ban/jail.conf文件，配置SSH部分以启用对SSH暴力破解的保护。你可以调整相关参数，如maxretry（最大尝试次数）和bantime（封禁时间）。[sshd]enabled = trueport = sshfilter = sshdlogpath = /var/log/auth.logmaxretry = 3bantime = 3600- 重启fail2ban服务：sudo systemctl restart fail2ban- fail2ban会监控SSH登录尝试，如果尝试次数达到设定的阈值，将自动禁止相关IP一段时间。
2. 其他防范措施：- 使用SSH密钥： 密钥身份验证比密码更安全，因为它不容易受到暴力破解攻击。- 更改SSH端口： 将SSH服务端口更改为非默认端口，可以减少自动化扫描的风险。
3. 监控SSH日志：- 定期检查SSH登录日志（通常在/var/log/auth.log）以及fail2ban的日志，以确保没有异常登录尝试。

通过使用

fail2ban

等工具，并采取一些基本的安全措施，你可以有效地防范SSH暴力破解攻击，提高系统的安全性。

4.3. SSH配置最佳实践

通过采用一些最佳实践，你可以提高SSH服务的安全性。以下是一些推荐的配置实践：

1. 禁用不安全的认证方式：- 在sshd_config文件中，禁用不安全的认证方式，如密码认证，以便采用更安全的身份验证方式：PasswordAuthentication no这样，只有使用SSH密钥进行身份验证的用户可以登录。
2. 限制root用户的SSH登录：- 同样在sshd_config文件中，禁止root用户直接通过SSH登录：PermitRootLogin no推荐创建一个普通用户，使用该用户登录，然后通过sudo或其他适当的方式获取root权限。
3. 使用非默认的SSH端口：- 修改SSH服务监听的端口，减少被自动扫描的风险。在sshd_config中修改Port：Port 2222 # 选择一个不易被扫描到的端口注意要在防火墙中打开相应的端口。
4. 配置空闲连接断开时间：- 设置空闲连接断开时间，以防止未活动的连接被滥用。在sshd_config中添加：ClientAliveInterval 300ClientAliveCountMax 2这将在300秒（5分钟）内没有活动时断开连接。
5. 定期更新SSH软件：- 确保你的SSH软件是最新版本，以获得最新的安全修复和性能改进。
6. 使用强密码和多因素身份验证：- 确保用户设置强密码，并鼓励或要求使用多因素身份验证（MFA）。
7. 监控SSH登录日志：- 定期检查SSH登录日志以及系统的安全事件日志，以及时发现异常活动。

通过采用这些最佳实践，你可以显著提高SSH服务的安全性，减少潜在的攻击风险。

4.4 常用的SSH工具

常用的SSH工具，适用于不同平台，并提供了相应的下载链接：

1. OpenSSH:- 平台： Linux、Unix、macOS- 下载链接： OpenSSH通常预安装在大多数Linux、Unix和macOS系统中，无需额外下载。
2. PuTTY:- 平台： Windows- 下载链接： PuTTY Download Page
3. WinSCP:- 平台： Windows- 下载链接： WinSCP Download Page
4. MobaXterm:- 平台： Windows- 下载链接： MobaXterm Download Page

此外，推荐国内用户使用以下两个开源（免费）软件。

1. FinalShell:- 特点：- FinalShell是一款集成了SSH、Telnet、SFTP和其他网络工具的全功能终端模拟器。- 提供了友好的用户界面，支持多标签、多窗口管理，以及便捷的文件传输。- 支持SSH密钥身份验证，会话管理，自动登录等功能。- 适用平台： Windows- 官方网站： FinalShell
2. WindTerm:- 特点：- WindTerm是一款轻量级的终端模拟器，专注于提供简单而高效的SSH连接体验。- 具有简洁的界面和快捷的操作，适用于需要快速连接到远程服务器的场景。- 提供基本的终端功能，支持SSH和Telnet。- 适用平台： Windows- 官方网站： WindTerm