1、概述
一种安全访问远程服务器的协议,远程管理工具,通过加密方式管理连接,使服务器更安全。
2、加密算法
对称加密
发送密码前将密码数据加密成密文,然后发送出去
接收方收到密文后,使用同一个密钥将密文解密。
总结
用同一个密钥加密和解密数据。发送之前加密,收到数据后用同一个密文进行解密
非对称加密
一对有相互关系的密钥对。公钥和私钥,由接收方生成。加密使用公钥,解密使用私钥。
1.发送方使用接收方发过来的公钥加密数据
2.接收方使用本地私钥解密数据。
对称加密与非对称加密的区别
对称加密:同一个密钥,容易泄露,优点是,加密速度快,效率高。
非对称加密:使用公钥和私钥加密,数据传输速度慢,安全性高
ssh原理
基于用户名密码认证
1.客户端发送登录请求
2.服务端发送公钥给客户端
第一次访问的时候需要确认公钥,把保存公钥用于下次访问,下次不用确认,直接输入密码
3.客户端用公钥加密输入的密码,发送到服务端
4.服务端用私钥解密,和/etc/shadow对比
5.验证成功,服务器发送一个随机会话口令给客户端,用于数据加密
ssh基于密钥对认证
1.客户端生成密钥对,公钥发送到服务端并保存authorized_keys
2.客户端发送登录请求,服务器端对公钥是否一致。
3.服务器生成随机字符串用公钥加密,发送到客户端。
4.客户端用私钥解密,然后发送给服务端
5.服务器验证字符串,一致则返回登录结果
ssh远程登录两种认证方式
基于用户密码认证
基于密钥对的认证(免密码)
1.用户身份认证都使用非对称加密算法(安全)
2.数据传输使用对称加密算法(快)
3.基于密码认证需要知道密码,基于密钥对认证需要提前拷贝用户的公钥到服务器
环境准备
准备两台虚拟机,ip地址设置为静态,一台是客户端,一台是服务器
1.基础配置
- 配置网卡vim /etc/sysconfig/network-scripts/ifcfg-ens33
- 修改主机名
- 关闭防火墙
- 关闭selinux
- 配置yum源
- 安装openssh服务 yum install openssh -y
- 启动sshd服务
基于用户密码的认证
ssh root@192.168.88.131 -p22
指定用户root,ip:192.168.88.131,指定端口-p:22
登录成功会在/root/.ssh/目录下生成known_hosts文件,保存SSH服务器公钥信息。
ssh服务端配置文件
位置:/etc/ssh/sshd_config
主要参数解释
PasswordAuthentication | 是否允许密码验证yes允许,no不允许 |
Port | ssh连接端口,默认22 |
AuthorizedKeysFile | 认证文件,~/.ssh/authorized_keys |
UseDNS | 是否开启ssh登录时的DNS解析 |
scp拷贝
通过ssh协议拷贝客户端的文件到远程ssh服务器,也可以拷贝ssh服务器到本地
功能:linux系统之间进行上传和下载
1.上传
选项:
-r:递归上传,主要针对目录
-p:更改ssh服务的默认端口
上传文件
scp /etc/passwd root@192.168.10.13:/tmp/
指定端口加-P选项
下载文件
scp root@192.168.10.13:/tmp/test /tmp/
上传文件先写本文件路径,再下服务器ip地址:远程文件存储路径
ssh免密登录
免密登录可以方便进行远程登录和文件传输,同时提高安全性
实现免密登录的步骤
- 在客户端针对某个账号,如root账号,生成公钥和私钥
- 把公钥发送到服务器,在服务器把公钥追加到authorized_keys文件中
- 测试是否实现免密登录
第一步,生成密钥对
ssh-keygen
ls .ssh/
第二步,发送公钥到服务端
ssh-copy-id, root@192.168.88.131
公钥文件在~/.ssh/authorized_keys文件中
第三步:测试免密登录
提示:
做了双机通信,不想让其他机器远程连接,可以修改配置文件/etc/ssh/sshd_config,关闭PasswordAuthentication no 重启服务,只有两台机器可以免密,其他机器不能连接
vmware中的三种网络
- 桥接网络:
- NAT网络
- 仅主机网络
桥接模式,VMnet0虚拟交换机,虚拟机是网络上一台独立计算机,独立ip
NAT网络,VMnet8虚拟交换机,通过主机访问网络其他工作站,其他不能访问虚拟机
仅主机网络VMnet1虚拟交换机,只能在虚拟机之间,主机互连,网上其他工作站不能访问。
1.vmnet0桥接模式
跟物理机同网段
桥接模式可以连接网络
2.VMnet1仅主机模式
与物理机不再同一个网段,有独立ip
仅可以进行内部连接
虚拟路由器,也可以访问外网
提示:物理机可以ping通虚拟机,虚拟机不能ping通物理机
3.VMnet8 NAT模式
独立网络环境,与物理机不再同一个网段,可通过虚拟网络路由器连接外网