定義：

為夏津等地區(qū)用戶提供了全套網(wǎng)頁(yè)設(shè)計(jì)制作服務(wù)，及夏津網(wǎng)站建設(shè)行業(yè)解決方案。主營(yíng)業(yè)務(wù)為網(wǎng)站制作、成都網(wǎng)站設(shè)計(jì)、夏津網(wǎng)站設(shè)計(jì)，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠(chéng)的服務(wù)。我們深信只要達(dá)到每一位用戶的要求，就會(huì)得到認(rèn)可，從而選擇與我們長(zhǎng)期合作。這樣，我們也可以走得更遠(yuǎn)！

SSH 是由 IETF制定的建立在應(yīng)用層基礎(chǔ)上的安全網(wǎng)絡(luò)協(xié)議。

作用：

1.?它是專為遠(yuǎn)程登錄會(huì)話(甚至可以用Windows遠(yuǎn)程登錄Linux服務(wù)器進(jìn)行文件互傳)

2.?為其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議，可有效彌補(bǔ)網(wǎng)絡(luò)中的漏洞。

3.?通過(guò)SSH，可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，也能夠防止DNS欺騙和IP欺騙。

4.?傳輸?shù)臄?shù)據(jù)是經(jīng)過(guò)壓縮的，所以可以加快傳輸?shù)乃俣取?/p>

所以SSH目前已經(jīng)成為L(zhǎng)inux系統(tǒng)的標(biāo)準(zhǔn)配置。

SSH的安全機(jī)制

1.SSH之所以能夠保證安全，原因在于它采用了非對(duì)稱加密技術(shù)(RSA)加密了所有傳輸?shù)臄?shù)據(jù)。

2.傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序，如FTP等在網(wǎng)絡(luò)上用明文傳送數(shù)據(jù)、用戶帳號(hào)和用戶口令，很容易被別人獲取。

3.但并不是說(shuō)SSH就是絕對(duì)安全的，因?yàn)樗旧硖峁﹥煞N級(jí)別的驗(yàn)證方法：

第一種級(jí)別（基于口令的安全驗(yàn)證）：只要知道自己帳號(hào)和口令，就可以登錄到遠(yuǎn)程主機(jī)。所有傳輸?shù)臄?shù)據(jù)都會(huì)被加密，但是不能保證你正在連接的服務(wù)器就是你想連接的服務(wù)器?？赡軙?huì)有別的服務(wù)器在冒充真正的服務(wù)器。

第二種級(jí)別（基于密鑰的安全驗(yàn)證）：你必須為自己創(chuàng)建一對(duì)密鑰，并把公鑰放在需要訪問(wèn)的服務(wù)器上。如果你要連接到SSH服務(wù)器上，客戶端軟件就會(huì)向服務(wù)器發(fā)出請(qǐng)求，請(qǐng)求用你的密鑰進(jìn)行安全驗(yàn)證。服務(wù)器收到請(qǐng)求之后，先在該服務(wù)器上你的主目錄下尋找你的公鑰，然后把它和你發(fā)送過(guò)來(lái)的公鑰進(jìn)行比較。如果兩個(gè)密鑰一致，服務(wù)器就用公鑰加密“質(zhì)詢”并把它發(fā)送給客戶端軟件。客戶端軟件收到“質(zhì)詢”之后就可以用你的私鑰在本地解密再把它發(fā)送給服務(wù)器完成登錄。與第一種級(jí)別相比，第二種級(jí)別不僅加密所有傳輸?shù)臄?shù)據(jù)，也不需要在網(wǎng)絡(luò)上傳送口令，因此安全性更高，可以有效防止其他人破壞。

圖文詳解：

環(huán)境：2臺(tái)centos7虛擬機(jī)

虛擬機(jī)1：test01? ip：192.168.220.137

虛擬機(jī)2：test02? ip： 192.168.220.129

1.用虛擬機(jī)test02遠(yuǎn)程登錄test01，輸入命令

[root@test02 ~]# ssh root@192.168.220.137

2.通過(guò)修改test01修改配置文件限制其他用戶遠(yuǎn)程登錄root賬戶

[root@test01 ~]# vim /etc/ssh/sshd_config

重啟服務(wù)

[root@test01 ~]# systemctl restart sshd

此時(shí)用test02遠(yuǎn)程登錄test01的root賬戶來(lái)驗(yàn)證

3.添加白名單

[root@test01 ~]# vim /etc/ssh/sshd_config

重啟服務(wù)，用test02驗(yàn)證

4.添加黑名單（注意，這里白名單和黑名單只能存在一個(gè)，不能同時(shí)存在）

[root@test01 ~]# vim /etc/ssh/sshd_config

重啟服務(wù)，驗(yàn)證

4.秘鑰的安全加密

[root@test02 ~]# ssh-keygen -t ecdsa

導(dǎo)入公鑰到對(duì)應(yīng)要遠(yuǎn)程登錄的賬戶

[root@test02 ~]# ssh-copy-id -i id_ecsda.pub cheng@192.168.220.137

驗(yàn)證

5.免交互遠(yuǎn)程登錄

[root@test02 ~]# ssh-agent bash

[root@test02 ~]# ssh-add

6.sftp遠(yuǎn)程下載上傳文件

上傳

下載

7.TCP Warppers訪問(wèn)控制策略

配置文件：/etc/hosts.allow

? ? ? ? ? ? ? ? /etc/hosts.deny

策略的應(yīng)用順序：1.先檢查hosts.allow文件，找到匹配則允許訪問(wèn)

? ? ? ? ? ? ? ? ? ? ? ? ? 2.否則再查找hosts.deny文件，找到則拒絕訪問(wèn)

? ? ? ? ? ? ? ? ? ? ? ? 3.若2個(gè)文件均找不到匹配策略，則默認(rèn)允許訪問(wèn)

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)頁(yè)標(biāo)題：Centos7中SSH簡(jiǎn)介及安全機(jī)制的管理（圖文詳解）-創(chuàng)新互聯(lián)
文章地址：http://weahome.cn/article/cojsoo.html