openssh是什么？

一、openssh是什么？

OpenSSH 是 SSH （Secure SHell） 协议的免费开源实现。

SSH协议族可以用来进行远程控制， 或在计算机之间传送文件。而实现此功能的传统方式，如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的，并且会使用明文传送密码。

OpenSSH提供了服务端后台程序和客户端工具，用来加密远程控制和文件传输过程中的数据，并由此来代替原来的类似服务。

二、centos 7 openssh

CentOS 7 下 OpenSSH 配置指南

在 Centos 7 操作系统中，OpenSSH 是一种用于安全远程登录和文件传输的工具，它通过加密的方式保护了通信过程，确保了数据的安全性。本文将介绍如何在 CentOS 7 系统中配置 OpenSSH，以实现安全高效的远程管理。

安装 OpenSSH

要在 CentOS 7 中使用 OpenSSH，首先需要确保该软件已经安装。您可以通过以下命令检查是否已安装 OpenSSH：

yum list installed | grep openssh

如果未安装 OpenSSH，您可以使用以下命令安装：

yum install openssh-server

启动 OpenSSH 服务

安装完成后，您需要启动 OpenSSH 服务以确保其正常运行。可以使用以下命令启动 OpenSSH 服务：

systemctl start sshd

如果您希望系统启动时自动启动 OpenSSH 服务，可以使用以下命令：

systemctl enable sshd

配置 OpenSSH

一旦安装并启动了 OpenSSH 服务，接下来您可以通过编辑配置文件对其进行自定义配置。OpenSSH 的主要配置文件位于 /etc/ssh/sshd_config。您可以使用文本编辑器如 vim 或 nano 来编辑该文件。

以下是一些常用的配置选项，您可以根据自己的需求进行调整：

• Port: 指定 SSH 服务监听的端口，默认为 22。
• PermitRootLogin: 是否允许 root 用户登录。
• PubkeyAuthentication: 是否启用公钥身份验证。

编辑完成配置文件后，可以使用以下命令重新加载 OpenSSH 服务以应用更改：

systemctl reload sshd

连接到 OpenSSH 服务器

现在，您的 OpenSSH 服务器已经配置完成，您可以使用 SSH 客户端连接到服务器进行远程管理。在命令行中输入以下命令：

ssh username@server_ip

其中，username 是您的用户名，server_ip 是您的服务器 IP 地址。连接成功后，您将被提示输入密码进行身份验证。

OpenSSH 安全性配置

为了增强 OpenSSH 服务的安全性，您可以采取一些额外的措施，如：

1. 禁用 root 用户登录。
2. 限制 SSH 登录的 IP 地址。
3. 启用公钥身份验证。

这些措施可以有效提高服务器的安全性，减少潜在攻击。

总结

通过本文的介绍，您已经了解了在 CentOS 7 系统中配置 OpenSSH 的基本步骤和一些常用配置选项。通过合理的配置和安全措施，您可以保障服务器的安全性，确保远程管理的顺畅进行。

希望本文对您有所帮助，如有任何疑问或建议，欢迎留言交流！

三、openssh怎么安装？

在大多数Linux发行版中，OpenSSH 已经预装。如果没有预装OpenSSH，可以按以下步骤安装：

1.打开终端或控制台

2.输入以下命令以更新软件包列表：`sudo apt update`

3.安装OpenSSH：`sudo apt install openssh-server`

4.启动OpenSSH服务：`sudo systemctl start sshd`

5.检查OpenSSH服务状态：`sudo systemctl status sshd`

如果服务正常运行，您应该看到“active (running)”状态。如果服务未运行，您可以使用以下命令启动服务：`sudo systemctl start sshd`

6.启用OpenSSH服务的开机自启：`sudo systemctl enable sshd`

安装完成后，您可以通过SSH协议连接到Linux计算机。

四、OpenSSH怎么安装啊？

1【下载openssl安装包】：由于openssh依赖于openssl库，所以在安装openssh前要先安装openssl库 2【解压openssl安装包】：下载的安装包是经过压缩的gz格式，在linux可以使用自带的工具tar进行解压，在安装包所在目录执行命令：tar -zxvf openssl-1.0.0l.tar.gz 3 【配置安装变量】：打开解压后的目录-执行命令：cd openssl-1.0.0l；配置安装环境-执行命令：./configure 4 【编译源码】：在解压目录执行编译命令：make 5 【安装openssl】：切换到root用户-执行命令：sudo su root；安装-执行命令：make install 6 【下载openssh安装包】：选择自己喜欢的版本即可。

7 【解压openssh安装包】：在安装包所在目录执行命令：tar -zxvf openssh-6.6p1.tar.gz 8 【配置安装变量】：打开解压后的目录-执行命令：cd openssh-6.6p1；配置安装环境-执行命令：./configure --prefix=/usr/local/servers/openssh，“/usr/local/servers/openssh”是安装路径，可改为自己想安装的路径 。9 【编译源码】：在解压目录执行编译命令：make 10 【安装openssh】：安装-执行命令：make install 11 【启动openssh服务】：启动前先把软件软链到可执行文件路径-执行命令：ln -s /usr/local/servers/openssh/sbin/sshd /usr/local/bin/sshd； 启动服务-执行命令：/usr/local/bin/sshd 12 【查看服务是否启动成功】：执行命令：ps -ef|grep sshd，说明启动成功。

五、openssh补丁怎么打？

1【下载openssl安装包】：由于openssh依赖于openssl库，所以在安装openssh前要先安装openssl库 2【解压openssl安装包】：下载的安装包是经过压缩的gz格式，在linux可以使用自带的工具tar进行解压，在安装包所在目录执行命令：tar -zxvf openssl-1.0.0l.tar.gz 3 【配置安装变量】：打开解压后的目录-执行命令：cd openssl-1.0.0l；配置安装环境-执行命令：./configure 4 【编译源码】：在解压目录执行编译命令：make 5 【安装openssl】：切换到root用户-执行命令：sudo su root；安装-执行命令：make install 6 【下载openssh安装包】：选择自己喜欢的版本即可。

7 【解压openssh安装包】：在安装包所在目录执行命令：tar -zxvf openssh-6.6p1.tar.gz 8 【配置安装变量】：打开解压后的目录-执行命令：cd openssh-6.6p1；配置安装环境-执行命令：./configure --prefix=/usr/local/servers/openssh，“/usr/local/servers/openssh”是安装路径，可改为自己想安装的路径 。9 【编译源码】：在解压目录执行编译命令：make 10 【安装openssh】：安装-执行命令：make install 11 【启动openssh服务】：启动前先把软件软链到可执行文件路径-执行命令：ln -s /usr/local/servers/openssh/sbin/sshd /usr/local/bin/sshd； 启动服务-执行命令：/usr/local/bin/sshd 12 【查看服务是否启动成功】：执行命令：ps -ef|grep sshd，说明启动成功。

六、centos 7.6 安装 openssh？

有三种方式，一种是下载源码编译安装，但是会涉及到很多依赖问题需要处理，一种是通过yum安装，还有一种是下载rpm包安装，这个也需要解决很多依赖的问题，所以一般建议是yum安装，会自动安装依赖

七、centos6.5查看进程？

centos6.5使用命令ps -ef来查看进程。

八、centos6.5 date命令？

date命令改： date -s 20120523 //设置成20120523，这样会把具体时间设置成空00:00:00 date -s 01:01:01 //设置具体时间，不会对日期做更改 date -s "01:01:01 2012-05-23" //这样可以设置全部时间 date -s "01:01:01 20120523" //这样可以设置全部时间 date -s "2012-05-23 01:01:01" //这样可以设置全部时间 date -s "20120523 01:01:01" //这样可以设置全部时间

九、openssh关闭有什么影响？

如果你不需要通过ssh管理远程电脑或者通过ssh访问sftp服务器

那么你删除openssh客户端没有任何影响

即便你需要用 随时可以安装就是

十、linux服务之OpenSSH服务？

OpenSSH这一术语指系统中使用的Secure Shell软件的软件实施。用于在远程系统上安全运行shell。如果您在可提供ssh服务的远程Linux系统中拥有用户帐户，则ssh是通常用来远程登录到该系统的命令。ssh命令也可用于在远程系统中运行命令。

常见的远程登录工具有：

telnet

ssh

dropbear

telnet //远程登录协议，23/TCP//一般用于测试端口或者接口是否开启

认证明文

数据传输明文

ssh //Secure SHell，应用层协议，22/TCP

通信过程及认证过程是加密的，主机认证

用户认证过程加密

数据传输过程加密

dropbear //嵌入式系统专用的SSH服务器端和客户端工具，一般应用于手机上

1.2 SSH 版本

openssh有两个版本，分别为v1和v2，其特点如下：

v1：基于CRC-32做MAC，无法防范中间人攻击

v2：双方主机协议选择安全的MAC方式。基于DH算法做密钥交换，基于RSA或DSA算法实现身份认证

关于密钥交换

协商生成密码的过程叫做密钥交换（Internet Key Exchange，IKE）使用的是DH协议（Diffie-Hellman）：

A(主机) --> B（主机）

p,g（大素数，生成数），在网络中传输的，公开的

A：自己取一个随机数x

B：自己取一个随机数y

A：g^x%p --> B

B：g^y%p --> A

A：(g^y%p)^x=g^yx%p

B：(g^x%p)^y=g^xy%p

这最后得出的g^xy%p就是最终的密钥

1.3 SSH 认证方式

openssh有两种认证方式，分别是：

基于口令认证（即密码认证）

基于密钥认证（非对称加密。有一对密钥，公钥（P）和私钥（S））

1.4 openSSH 的工作模式

openSSH是基于C/S架构工作的

服务器端 //sshd，配置文件在/etc/ssh/sshd_config

[root@CTL .ssh]# vim /etc/ssh/sshd_config

# $OpenBSD: sshd_config,v 1.100 2016/08/15 12:32:04 naddy Exp $

# This is the sshd server system-wide configuration file. See

# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/bin:/usr/bin

# The strategy used for options in the default sshd_config shipped with

# OpenSSH is to specify options with their default value where

# possible, but leave them commented. Uncommented options override the

# default value.

# If you want to change the port on a SELinux system, you have to tell

# SELinux about this change.

# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER

#

#Port 22

#AddressFamily any

#ListenAddress 0.0.0.0

#ListenAddress ::

.

.

.

# Example of overriding settings on a per-user basis

#Match User anoncvs

# X11Forwarding no

# AllowTcpForwarding no

# PermitTTY no

# ForceCommand cvs server

客户端

//ssh，配置文件在/etc/ssh/ssh_config

ssh-keygen //密钥生成器

ssh-copy-id //将公钥传输至远程服务器

scp //跨主机安全复制工具

$OpenBSD: ssh_config,v 1.30 2016/02/20 23:06:23 sobrado Exp $

# This is the ssh client system-wide configuration file. See

# ssh_config(5) for more information. This file provides defaults for

# users, and the values can be changed in per-user configuration files

# or on the command line.

# Configuration data is parsed as follows:

# 1. command line options

# 2. user-specific file

# 3. system-wide file

# Any configuration value is only changed the first time it is set.

# Thus, host-specific definitions should be at the beginning of the

# configuration file, and defaults at the end.

# Site-wide defaults for some commonly used options. For a comprehensive

# list of available options, their meanings and defaults, please see the

# ssh_config(5) man page.

# Host *

# ForwardAgent no

# ForwardX11 no

# RhostsRSAAuthentication no

# RSAAuthentication yes

# PasswordAuthentication yes

.

.

.

# Send locale-related environment variables

SendEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES

SendEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT

SendEnv LC_IDENTIFICATION LC_ALL LANGUAGE

SendEnv XMODIFIERS

1.5 Secure Shell 示例

//以当前用户身份创建远程交互式shell，然后在结束时使用exit命令返回到之前的shell

[root@CTL .ssh]# ssh 192.168.112.131

The authenticity of host '192.168.112.131 (192.168.112.131)' can't be established.

//生成了一个算法是SHA256得公钥

ECDSA key fingerprint is SHA256:dyCibeKTgTQDtKrGgYAKVnGsLcR/Necufp4Jvnx0cTc.

ECDSA key fingerprint is MD5:bb:a6:d4:16:be:40:d1:d9:ef:6b:89:c9:22:bb:bd:b0.

//问你是否信任所连接得主机，不信任则不连接

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added '192.168.112.131' (ECDSA) to the list of known hosts.

root@192.168.112.131's password:

Last login: Mon Apr 1 14:24:13 2019 from 192.168.112.14

//此时从用户名得知已经登陆到另一台主机

[root@GUI ~]#

//以其他用户身份（remoteuser）在选定主机（remotehost）上连接到远程`shell`

[root@CTL .ssh]# ssh root@192.168.112.131

root@192.168.112.131's password:

Last login: Mon Apr 1 14:24:54 2019 from 192.168.112.14

[root@GUI ~]#

//以远程用户身份（remoteuser）在远程主机（remotehost）上通过将输出返回到本地显示器的方式来执行单一命令

//首先登陆一台主机查看自己IP

[root@GUI .ssh]# ip a s ens33

2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000link/ether 00:0c:29:8e:77:9b brd ff:ff:ff:ff:ff:ffinet 192.168.112.131/24 brd 192.168.112.255 scope global dynamic ens33valid_lft 1191sec preferred_lft 1191secinet6 fe80::bc68:f1a3:4a1f:87fb/64 scope link

valid_lft forever preferred_lft forever

//在用另一台主机通过ssh来远程执行命令

[root@CTL .ssh]# ssh root@192.168.112.131 '/usr/sbin/ip a s ens33'

root@192.168.112.131's password:

2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000link/ether 00:0c:29:8e:77:9b brd ff:ff:ff:ff:ff:ffinet 192.168.112.131/24 brd 192.168.112.255 scope global dynamic ens33valid_lft 1783sec preferred_lft 1783secinet6 fe80::bc68:f1a3:4a1f:87fb/64 scope link

valid_lft forever preferred_lft forever

[root@CTL .ssh]#

//w命令可以显示当前登录到计算机的用户列表。这对于显示哪些用户使用ssh从哪些远程位置进行了登录以及执行了何种操作等内容特别有用

[root@CTL .ssh]# ssh 192.168.112.131

root@192.168.112.131's password:

Last login: Mon Apr 1 14:30:57 2019 from 192.168.112.14

//在切换到GUI主机使用w命令查看 可以看到192.168.112.14用户在登陆中

[root@GUI .ssh]# w14:40:59 up 4:37, 2 users, load average: 0.00, 0.02, 0.05

USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT

root pts/0 192.168.112.1 10:03 3.00s 0.17s 0.01s w

root pts/1 192.168.112.14 14:40 2.00s 0.03s 0.03s -bash

1.5 SSH 主机密钥

ssh通过公钥加密的方式保持通信安全。当某一ssh客户端连接到ssh服务器时，在该客户端登录之前，服务器会向其发送公钥副本。这可用于为通信渠道设置安全加密，并可验证客户端的服务器。

当用户第一次使用ssh连接到特定服务器时，ssh命令可在用户的/.ssh/known_hosts文件中存储该服务器的公钥。在此之后每当用户进行连接时，客户端都会通过对比/.ssh/known_hosts文件中的服务器条目和服务器发送的公钥，确保从服务器获得相同的公钥。如果公钥不匹配，客户端会假定网络通信已遭劫持或服务器已被入侵，并且中断连接。

这意味着，如果服务器的公钥发生更改（由于硬盘出现故障导致公钥丢失，或者出于某些正当理由替换公钥），用户则需要更新其~/.ssh/known_hosts文件并删除旧的条目才能够进行登录。

//主机ID存储在本地客户端系统上的 ~/.ssh/known_hosts 中(家目录中的隐藏目录.ssh)

[root@CTL ~]# cat /root/.ssh/known_hosts

192.168.112.131 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBJvfkdzYN1ayz0bbvSc5be4/rddT4r2q/DfLo6VtruJgNNsexqi5GzSJ7AGB1kECRSw4/eg1Z11x05bGjRJfL+8=

//主机密钥存储在SSH服务器上的 /etc/ssh/ssh_host_key* 中（也就是不手动生成密钥的情况下会自动使用这里的密钥）

[root@CTL ~]# ls /etc/ssh/*key*

/etc/ssh/ssh_host_ecdsa_key /etc/ssh/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ed25519_key /etc/ssh/ssh_host_ed25519_key.pub /etc/ssh/ssh_host_rsa_key /etc/ssh/ssh_host_rsa_key.pub

2. 配置基于 SSH 密钥的身份验证

用户可通过使用公钥身份验证进行ssh登录身份验证。ssh允许用户使用私钥-公钥方案进行身份验证。这意味着将生成私钥和公钥这两个密钥。私钥文件用作身份验证凭据，像密码一样，必须妥善保管。公钥复制到用户希望登录的系统，用于验证私钥。公钥并不需要保密。拥有公钥的ssh服务器可以发布仅持有您私钥的系统才可解答的问题。因此，可以根据所持有的密钥进行验证。如此一来，就不必在每次访问系统时键入密码，但安全性仍能得到保证。

使用ssh-keygen命令生成密码。将会生成私钥/.ssh/id_rsa和公钥/.ssh/id_rsa.pub。

//使用ssh-keygen生成密钥时首先会询问你密钥文件存放的位置，默认是在/root/.ssh/id_rsa和id_rsa.pub

[root@CTL ~]# ssh-keygen

Generating public/private rsa key pair.

Enter file in which to save the key (/root/.ssh/id_rsa):

//接着会询问你是否为你的私钥配置密码

Enter passphrase (empty for no passphrase):

//最后会提示你密钥创建成功，私钥存放在id_rsa,公钥放在id_rsa.pub

Your identification has been saved in /root/.ssh/id_rsa.

Your public key has been saved in /root/.ssh/id_rsa.pub.

The key fingerprint is:

SHA256:XFV5J+RPAuuHQZBipB8yUyQ22/QAOWT+z2Tsi+cJcpw root@CTL

The key's randomart image is:

//RSA算法密钥一般为2048位

+---[RSA 2048]----+

| .B=* .o+oo. |

| +oOoo.o +o o|

| Boo.o o ooo|

| B + . o + |

| S + o . .|

| . B . |

| . E + |

| o o.o |

| .o+ |

+----[SHA256]-----+

注意：

生成密钥时，系统将提供指定密码的选项，在访问私钥时必须提供该密码。如果私钥被偷，除颁发者之外的其他任何人很难使用该私钥，因为已使用密码对其进行保护。这样，在攻击者破解并使用私钥前，会有足够的时间生成新的密钥对并删除所有涉及旧密钥的内容。