怎么从网站知道谁做的,沈阳seo,邯山手机网站建设,电子商务营销方案目录
一、OpenSSH服务器
1.SSH#xff08;Secure Shell#xff09;协议
2.OpenSSH
2.SSH原理
2.1公钥传输原理
2.2加密原理
#xff08;1#xff09;对称加密
#xff08;2#xff09;非对称加密
2.3远程登录
2.3.1延伸
2.3.2登录用户
3.SSH格式及选项
3.1延…目录
一、OpenSSH服务器
1.SSHSecure Shell协议
2.OpenSSH
2.SSH原理
2.1公钥传输原理
2.2加密原理
1对称加密
2非对称加密
2.3远程登录
2.3.1延伸
2.3.2登录用户
3.SSH格式及选项
3.1延伸 3.2pssh——批量远程操作
4.黑/白名单
4.1白名单
4.2黑名单 5.ssh服务的最佳实践
6.基于密钥验证
6.1创建密钥
6.2传送到远程主机
6.3登录验证 常见的远程连接工具Xshell finalshell putty seruct MobaXtermputty seruct不太建议使用 生产环境更多使用的是Xshell和MobaXterm 远程管理协议 Telnet 明文传输协议 SSH 密文传输具有加密、压缩功能 SSH相较于Telnet的优点 数据传输是加密的可以防止信息泄露数据传输是压缩的可以提高传输速度 一、OpenSSH服务器
1.SSHSecure Shell协议
是一种安全通道协议对通信数据进行了加密处理用于远程管理对数据进行压缩
2.OpenSSH
服务名称sshd服务端主程序/usr/sbin/sshd服务端配置文件/etc/ssh/sshd_config客户端配置文件/etc/ssh/ssh_config 在Linux系统中ssh是默认开启的 2.SSH原理
2.1公钥传输原理 客户端发起链接请求服务端返回自己的公钥以及一个会话ID这一步客户端得到服务端公钥客户端生成密钥对客户端用自己的公钥异或会话ID计算出一个值Res并用服务端的公钥加密客户端发送加密值到服务端服务端用私钥解密得到Res服务端用解密后的值Res异或会话ID计算出客户端的公钥这一步服务端得到客户端公钥最终双方各自持有三个秘钥分别为自己的一对公、私钥以及对方的公钥之后的所有通讯都会被加密 首次连接时的公钥交换 客户端发起连接请求服务端会生成一个会话id以及将会话id和自己的公钥交给客户端客户端拿到公钥和会话id以后会用自己的公钥和对面给的会话id做运算得到一个结果然后用服务器的公钥加密传给服务端服务端收到这个结果用自己的私钥去解密结果结果会话id客户端的公钥结果-会话id客户端的公钥。最终服务端会得到客户端的公钥 2.2加密原理 1对称加密
1、概念 采用单钥密码系统的加密方法同一个密钥可以同时用作信息的加密和解密这种加密方法称为对称加密由于其速度快对称性加密通常在消息发送方需要加密大量数据时使用
2、常用算法 在对称加密算法中常用的算法有DES、3DES、TDEA、Blowfish、RC2、RC4、RC5、IDEA、SKIPJACK等。
3、特点 1、加密方和解密方使用同一个密钥 2、加密解密的速度比较快适合数据比较长时的使用 3、密钥传输的过程不安全且容易被破解密钥管理也比较麻烦
4、优缺点 对称加密算法的优点是算法公开、计算量小、加密速度快、加密效率高。 对称加密算法的缺点是在数据传送前发送方和接收方必须商定好秘钥然后使双方都能保存好秘钥。其次如果一方的秘钥被泄露那么加密信息也就不安全了。另外每对用户每次使用对称加密算法时都需要使用其他人不知道的独一秘钥这会使得收、发双方所拥有的钥匙数量巨大密钥管理成为双方的负担
2非对称加密
1、概念 非对称加密算法需要两个密钥公开密钥publickey:简称公钥和私有密钥privatekey:简称私钥。公钥与私钥是一对如果用公钥对数据进行加密只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥所以这种算法叫作非对称加密算法。
2、常用算法
RSARSA algorithm目前使用最广泛的算法DSADigital Signature Algorithm数字签名算法和 RSA 不同的是 DSA仅能用于数字签名不能进行数据加密解密其安全性和RSA相当但其性能要比RSA快ECCElliptic curve cryptography椭圆曲线加密算法ECDSAElliptic Curve Digital Signature Algorithm椭圆曲线签名算法是ECC和 DSA的结合相比于RSA算法ECC 可以使用更小的秘钥更高的效率提供更高的安全保障
3、原理 首先ssh通过加密算法在客户端产生密钥对公钥和私钥公钥发送给服务器端自己保留私钥如果要想连接到带有公钥的SSH服务器客户端SSH软件就会向SSH服务器发出请求请求用联机的用户密钥进行安全验证。SSH服务器收到请求之后会先在该SSH服务器上连接的用户的家目录下
4、优缺点 相比于对称加密技术非对称加密技术安全性更好但性能更慢。
此本次实验中我们用非对称加密算法ECDSA进行加密为了方便用root用户也可给其他普通用户配置
2.3远程登录 会生成一个known_hosts公钥的集合 可以看到是加密后的信息可以通过确定要连接的机器和准备连接该服务端的提示信息 假设可以通过另一台服务器伪装IP地址一样的服务端用伪装后的服务端连接会出现如下报错 免验证登录 可以修改客户端的配置文件有安全隐患 2.3.1延伸
假如公司内要更新迭代更换新采购的新机器要去替代旧机器可是旧机器无法打开
解决办法是删除固定IP的内容信息 2.3.2登录用户
如果你作为zhangsan用户去连接对面服务端的话那么对面也要有个zhangsan用户 3.SSH格式及选项
ssh 用户IP地址
选项含义-l指定用户名-p指定端口号-t跳板
ssh -l 用户 ssh -p 端口号 ssh 可以直接远程使用命令 3.1延伸
模拟拒绝访问如果想要连接的虚拟机拒绝访问做了防火墙策略那么可以做一个跳板连接想要连接的虚拟机 此时用客户端连接想要连接的服务端就发现连接不上了此时我们可以做一个跳板对想连接的服务端进行连接 禁止root用户连接 可以切换到其他用户再连接root用户 不允许切换root用户可以将wheel组注释解掉 3.2pssh——批量远程操作
pssh需要安装 -H指定对哪些机器进行操作-i 指定做哪些操作
4.黑/白名单
白名单默认拒绝所有 只有允许的人才可以访问
黑名单默认允许所有 只有名单上的人不允许访问
4.1白名单 只允许91.100登录91.101的zhangsan 所有机器可以登录101的lisi 4.2黑名单 5.ssh服务的最佳实践
建议使用非默认端口 22禁止使用protocol version 1限制可登录用户 白名单设定空闲会话超时时长利用防火墙设置ssh访问策略仅监听特定的IP地址 公网 内网基于口令认证时使用强密码策略比如tr -dc A-Za-z0-9_ /dev/urandom | head -c 12| xargs使用基于密钥的认证禁止使用空密码禁止root用户直接登录限制ssh的访问频度和并发在线数经常分析日志 分离
6.基于密钥验证
使用密码验证终归会存在着被骇客暴力破解或嗅探监听的危险其实也可以让 ssh 服务基于密钥进行安全验证 (可无需密码验证)。
6.1创建密钥 也可指定算法类型输入ssh-keygen -t ed25519ecdsa
6.2传送到远程主机 查看远程服务端的信息 远程服务端收到一个密钥文件
6.3登录验证 不验证密码使用免交互登录的话输入ssh-agent bash将ssh-agent交给bash管理 再输入ssh-add将用户私钥添加到运行中的ssh-agent中后续的远程连接ssh就不需要每次都输入密码并验证。一旦私钥被添加到ssh-agent中它会暂时保存解密后的私钥方便后续使用
