RHCE的学习(3)

第三章 远程登录服务

简介

概念

  • 远程连接服务器通过文字或图形接口方式来远程登录系统,让你在远程终端前登录linux主机以取得可操作主机接口(shell),而登录后的操作感觉就像是坐在系统前面一样

功能:

  • 分享主机的运算能力

  • 服务器类型:有限度开放连接

  • 工作站类型:只对内网开放

分类

文字接口:
  • 明文传输:Telnet、RSH等,目前非常少用

# 使用wireshark抓包分析工具验证telnet明文传输

[root@server ~]# yum  install telnet-server -y  # 安装telnet,注意有server
[root@server ~]# systemctl start  telnet.socket  # 启动服务

# 使用xshell 新建telnet连接

# 在https://www.wireshark.org/download.html下载安装wireshar
# 也可以在Linux上下载
#dnf install wireshark -y
#使用时在图形化虚拟机上直接输入wireshark

# 启动wireshark,选择捕获VMnet8网卡

# 在xshell中输入ip a 或其它命令

# 在wireshark选择记录后单右->追踪流->TCP流

# 可以看到是明文传输

  • 加密传输:SSH为主,已经取代明文传输

# 关闭上述telnet连接,建立ssh连接,查看是否为加密传输

图形接口:
  • XDMCP、VNC、XRDP等

文字接口连接服务器:

  • SSH(Secure Shell Protocol,安全壳程序协议)由 IETF 的网络小组(Network Working Group)所制定,可以通过数据包加密技术将等待传输的数据包加密后再传输到网络上。

  • ssh协议本身提供两个服务器功能:

    • 一个是类似telnet的远程连接使用shell的服务器;

    • 另一个就是类似ftp服务的sftp-server,提供更安全的ftp服务。

连接加密技术简介

  • 目前常见的网络数据包加密技术通常是通过“非对称密钥系统”来处理的。

  • 主要通过两把不一样的公钥与私钥来进行加密与解密的过程。

密钥解析:

  • 公钥(public key):提供给远程主机进行数据加密的行为,所有人都可获得你的公钥来将数据加密。

  • 私钥(private key):远程主机使用你的公钥加密的数据,在本地端就能够使用私钥来进行解密。私钥只有自己拥有。

对称加密:同一秘钥既可以进行加密也可以进行解密

                优势:使用一个秘钥它的加密效率高一些(快一些)

                缺陷:秘钥传输的安全性(在网络传输中不传输秘钥)

                应用: 传输数据(数据的双向传输)

非对称加密:产生一对秘:公钥:公钥加密 私钥:私钥解密(不会进行网络传输)

                缺陷:公钥的安全性 客户端去访问一个服务器(假设数据被我们的hacker拦截了,hacker发送了自己的公钥给客户端,客户端用 hacker的公钥对数据进行加密,然后hacker用自己的私钥进行解密。从而获取到用户传送的隐私(用户和密码)信息,进一步对服务器动机);传送速度慢(效率低)

                优势:安全性更高

                应用: 单向的认证阶段(建立安全的连接保证后面对称加密的秘钥安全)

SSH工作过程:

  • 服务端与客户端要经历如下五个阶段:

过程说明
版本号协商阶段SSH目前包括SSH1和SSH2两个版本,双方通过版本协商确定使用的版本
密钥和算法协商阶段SSH支持多种加密算法,双方根据本端和对端支持的算法,协商出最终使用的算法
认证阶段SSH客户端向服务器端发起认证请求,服务器端对客户端进行认证
会话请求阶段认证通过后,客户端向服务器端发送会话请求
交互会话阶段会话请求通过后,服务器端和客户端进行信息的交互

版本协商阶段

  • 服务器端打开端口22,等待客户端连接;

  • 客户端向服务器端发起TCP初始连接请求,TCP连接建立后,服务器向客户端发送第一个报文,包括版本标志字符串,格式为SSH-<主协议版本号>.<次协议版本号>.<软件版本号>,协议版本号由主版本号和次版本号组成,软件版本号主要是为调试使用。

  • 客户端收到报文后,解析该数据包,如果服务器的协议版本号比自己的低,且客户端能支持服务器端的低版本,就使用服务器端的低版本协议号,否则使用自己的协议版本号。

  • 客户端回应服务器一个报文,包含了客户端决定使用的协议版本号。服务器比较客户端发来的版本号,决定是否能同客户端一起工作。如果协商成功,则进入密钥和算法协商阶段,否则服务器断开TCP连接

  • 注意:上述报文都是采用明文方式传输

密钥和算法协商阶段

  • 服务器端和客户端分别发送算法协商报文给对端,报文中包含自己支持的公钥算法列表、加密算法列表、MAC(Message Authentication Code,消息验证码)算法列表、压缩算法列表等等

  • 服务器端和客户端根据对端和本端支持的算法列表得出最终使用的算法

  • 服务器端和客户端利用DH交换(Diffie-Hellman Exchange)算法、主机密钥对等参数,生成会话密钥和会话ID。

进行秘钥交换:dh**迪菲-赫尔曼**算法(非对称)  
feihttps://blog.csdn.net/itworld123/article/details/115902978
素数又叫质数。素数,指的是“大于1的整数中,只能被1和这个数本身整除的数”。
​       **20以内的素数**:2、3、5、7、11、13、17、19.
​       DH秘钥交换算法数学模型
- ​        客户端发往服务器的DH初始化参数:ecdh public key
- ​        客户端发送自己的公钥给服务器
- ​        服务端发送自己的公钥给客户端
- ​        计算出对称加密的秘钥(sessionkey)--NewKeys
- ​        客户端计算出对称加密的秘钥(sessionkey)--newkeys
- ​        解决了一个问题:保证了进行传输时候对称加密秘钥的安全。
(能不能用的上这个秘钥,还取决于认证阶段是否成功)

  • 由此,服务器端和客户端就取得了相同的会话密钥和会话ID。对于后续传输的数据,两端都会使用会话密钥进行加密和解密,保证了数据传送的安全。在认证阶段,两端会使用会话用于认证过程

  • 会话密钥的生成:

    • 客户端需要使用适当的客户端程序来请求连接服务器,服务器将服务器的公钥发送给客户端。(服务器的公钥产生过程:服务器每次启动sshd服务时,该服务会主动去找/etc/ssh/ssh_host*文件,若系统刚装完,由于没有这些公钥文件,因此sshd会主动去计算出这些需要的公钥文件,同时也会计算出服务器自己所需要的私钥文件。)

    • 服务器生成会话ID,并将会话ID发给客户端。

    • 若客户端第一次连接到此服务器,则会将服务器的公钥数据记录到客户端的用户主目录内的~/.ssh/known_hosts。若是已经记录过该服务器的公钥数据,则客户端会去比对此次接收到的与之前的记录是否有差异。客户端生成会话密钥,并用服务器的公钥加密后,发送给服务器。

    • 服务器用自己的私钥将收到的数据解密,获得会话密钥。

    • 服务器和客户端都知道了会话密钥,以后的传输都将被会话密钥加密

认证阶段(两种认证方法):

SSH客户端向服务端发起认证请求,服务端对客户端进行认证

  • 基于口令的认证(password认证):客户端向服务器发出password认证请求,将用户名和密码加密后发送给服务器,服务器将该信息解密后得到用户名和密码的明文,与设备上保存的用户名和密码进行比较,并返回认证成功或失败消息。

  • 基于密钥的认证(publickey认证):

    • 客户端产生一对公共密钥,将公钥保存到将要登录的服务器上的那个账号的家目录的==.ssh/authorized_keys==文件中

    • 认证阶段:客户端首先将公钥传给服务器端。服务器端收到公钥后会与本地该账号家目录下的authorized_keys中的公钥进行对比,如果不相同,则认证失败;否则服务端生成一段随机字符串,并先后用客户端公钥和会话密钥对其加密,发送给客户端。客户端收到后将解密后的随机字符串用会话密钥发送给服务器。如果发回的字符串与服务器端之前生成的一样,则认证通过,否则,认证失败。

  1. Client将自己的公钥存放在Server上,追加在文件authorized_keys中。
  2. Server端接收到Client的连接请求后,会在authorized_keys中匹配到Client的公钥pubKey,并生成随机数R,用Client的公钥对该随机数进行加密得到pubKey(R),然后将加密后信息发送给Client。
  3. Client端通过私钥进行解密得到随机数R,然后对随机数R和本次会话的SessionKey利用MD5生成摘要Digest1,发送给Server端。
  4. Server端会也会对R和SessionKey利用同样摘要算法生成Digest2。
  5. Server端会最后比较Digest1和Digest2是否相同,完成认证过程。
  • 注:服务器端对客户端进行认证,如果认证失败,则向客户端发送认证失败消息,其中包含可以再次认证的方法列表。客户端从认证方法列表中选取一种认证方法再次进行认证,该过程反复进行。直到认证成功或者认证次数达到上限,服务器关闭连接为止

第四阶段:会话请求阶段

认证通过后,客户端向服务器端发送会话请求,建立新的连接

第五阶段:交互会话阶段:会话请求通过后,服务器端和客户端进行信息的交互

传输数据的的阶段:数据时要被加密(对称加密方式),对称加密的秘钥就是sessionKey(客户端和服务服务端在秘钥交换阶段互相计算出来的,sessionKey未进行网络传输)

SSH服务配置

安装ssh

[root@server ~]# yum  install  openssh-server   #默认安装

配置文件分析:

[root@server ~]# vim  /etc/ssh/sshd_config

sshd_config  服务端程序的配置文件
ssh_config   客户端程序的配置文件
21.#Port 22  # 默认监听22端口,可修改
22.#AddressFamily any  # IPV4和IPV6协议家族用哪个,any表示二者均有
23.#ListenAddress 0.0.0.0 # 指明监控的地址,0.0.0.0表示本机的所有地址(默认可修改)
24.#ListenAddress :: # 指明监听的IPV6的所有地址格式

26.#HostKey /etc/ssh/ssh_host_rsa_key     # rsa私钥认证,默认
27.#HostKey /etc/ssh/ssh_host_ecdsa_key   # ecdsa私钥认证
28.#HostKey /etc/ssh/ssh_host_ed25519_key # ed25519私钥认证


34 #SyslogFacility AUTH  # ssh登录系统的时会记录信息并保存在/var/log/secure
35.#LogLevel INFO   # 日志的等级

39.#LoginGraceTime 2m   # 登录的宽限时间,默认2分钟没有输入密码,则自动断开连接
40 PermitRootLogin yes # 允许管理员root登录 
41.#StrictModes yes   # 是否让sshd去检查用户主目录或相关文件的权限数据
42.#MaxAuthTries 6  # 最大认证尝试次数,最多可以尝试6次输入密码。之后需要等待某段时间后才能再次输入密码
43.#MaxSessions 10   # 允许的最大会话数

49.AuthorizedKeysFile .ssh/authorized_keys # 选择基于密钥验证时,客户端生成一对公私钥之后,会将公钥放到.ssh/authorizd_keys里面
65 #PasswordAuthentication yes  # 登录ssh时是否进行密码验证
66 #PermitEmptyPasswords no    # 登录ssh时是否允许密码为空

……
123.Subsystem sftp /usr/libexec/openssh/sftp-server #支持 SFTP ,如果注释掉,则不支持sftp连接
AllowUsers user1 user2 #登录白名单(默认没有这个配置,需要自己手动添加),允许远程登录的用户。如果名单中没有的用户,则提示拒绝登录

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/896177.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

京存助力北京某电力研究所数据采集

北京某电力研究所已建成了一套以光纤为主&#xff0c;卫星、载波、微波等多种通信方式共存&#xff0c;分层级的电力专用的网络通信架构体系。随着用电、配电对网络的要求提高&#xff0c;以及终端通信入网的迅速发展&#xff0c;迫切地需要高效的通信管理系统来应对大规模、复…

Java项目-基于springboot框架的校园在线拍卖系统项目实战(附源码+文档)

作者&#xff1a;计算机学长阿伟 开发技术&#xff1a;SpringBoot、SSM、Vue、MySQL、ElementUI等&#xff0c;“文末源码”。 开发运行环境 开发语言&#xff1a;Java数据库&#xff1a;MySQL技术&#xff1a;SpringBoot、Vue、Mybaits Plus、ELementUI工具&#xff1a;IDEA/…

ubuntu 虚拟机将linux文件夹映射为windows网络位置

在使用虚拟机时可以选择将windows的文件夹设置为共享文件夹方便在虚拟机中访问windows中的文件,同理,也可以将linux的文件夹共享为一个网络文件夹,通过windows的添加一个网络位置功能,将linux的文件夹映射到windows本地,方便windows访问使用linux的文件夹 参照如下:https://blo…

ThingsBoard 规则链节点:Create Alarm节点详解

引言 用法和含义 主要功能 配置步骤 使用场景 实际项目中的应用案例 案例1&#xff1a;智能温室管理系统 案例2&#xff1a;工厂设备监控系统 总结 引言 ThingsBoard 是一个开源的物联网平台&#xff0c;它提供了设备管理、数据收集、处理和可视化等功能。规则链是 Thi…

私域电商新纪元:消费增值模式引领业绩飞跃

朋友们&#xff0c;你们好&#xff01;我是吴军&#xff0c;热衷于引领各位深入发掘私域电商领域的独特魅力及其隐藏的机遇。 今日&#xff0c;我想讲述一个激励人心的真实案例。就在过去的一个月里&#xff0c;我们的合作伙伴取得了惊人的业绩突破&#xff0c;销售额一举跨越…

雷池WAF自动化实现安全运营实操案例终极篇

免责声明 本教程仅为合法的教学目的而准备&#xff0c;严禁用于任何形式的违法犯罪活动及其他商业行为&#xff0c;在使用本教程前&#xff0c;您应确保该行为符合当地的法律法规&#xff0c;继续阅读即表示您需自行承担所有操作的后果&#xff0c;如有异议&#xff0c;请立即停…

队列(数据结构)——C语言

目录 1.概念与结构 2.队列的实现 初始化QueueInit 申请新节点BuyNode 入队QueuePush 判断队为空QueueEmpty 出队QueuePop 读取队头数据QueueFront 读取队尾数据QueueBack 元素个数QueueSize 销毁队列QueueDestroy 3.整体代码 (文章中结点和节点是同一个意思) 1.概…

15. 软件接口

文章目录 第15章 软件接口15.1接口的概念多个接口操作、事件和属性接口演进 15.2 设计接口接口的范围交互方式交换数据的表示形式和结构可扩展标记语言&#xff08;XML&#xff09;JavaScript 对象表示法&#xff08;JSON&#xff09;Protocol Buffers 错误处理 15.3 接口文档…

200元运动蓝牙耳机有哪些?爆款测评PK力荐!

在运动场景下&#xff0c;传统的入耳式和半入耳式耳机虽然占据了大部分市场&#xff0c;但并不适合所有人&#xff0c;尤其是在长时间运动中佩戴时&#xff0c;耳道的压迫感往往会导致不适。而骨传导耳机虽然通过不塞入耳道的方式改善了佩戴舒适度&#xff0c;但在音质方面与入…

[openvino]windows上配置C++openvino后测试代码

测试环境&#xff1a; vs2022 w_openvino_toolkit_windows_2024.3.0.16041.1e3b88e4e3f_x86_64.zip 代码&#xff1a; #include <iostream>#include <openvino/openvino.hpp>int main(int, char**){// -------- Get OpenVINO runtime version --------std::cou…

UG NX12.0建模入门笔记:1.2 鼠标的基本操作

文章目录 前言&#xff1a;鼠标的操作1.鼠标左键&#xff1a;单击—>单选&#xff1b;长按并滑动—>框选。2.鼠标右键&#xff1a;在不同的地方单击弹出不同的菜单。3.鼠标中键&#xff1a;滚动中键—>放大缩小【镜头拉近拉远】。4.鼠标中键&#xff1a;摁住鼠标中键&…

微信小程序考试系统(lw+演示+源码+运行)

摘要 随着信息技术在管理上越来越深入而广泛的应用&#xff0c;管理信息系统的实施在技术上已逐步成熟。本文介绍了微信小程序考试系统的开发全过程。通过分析微信小程序考试系统管理的不足&#xff0c;创建了一个计算机管理微信小程序考试系统的方案。文章介绍了微信小程序考…

鸿蒙开发:什么是ArkTS语言

ArkTS(也称为Ark TypeScript)是HarmonyOS的主力应用开发语言。面向万物互联时代&#xff0c;华为提出了“一次开发多端部署、可分可合自由流转、统一生态原生智能”三大应用与服务开发理念。针对多设备、多入口、服务可分可合等特性&#xff0c;华为提供了多种能力协助开发者降…

从0开始Linux(14)——进程(5)进程空间地址(2)

欢迎来到博主的专栏&#xff1a;从0开始linux 博主ID:代码小豪 文章目录 关于页表程序权限加载状态 可执行程序分段 关于页表 在前一篇博客中博主提到&#xff0c;页表是链接虚拟地址(mm_struct)和物理地址&#xff08;存储器&#xff09;的中间商&#xff0c;其主要作用是映射…

Jmeter之GET与POST 请求的参数存放位置

根据不用的请求方式&#xff0c;参数的设置详细如下&#xff0c;二选一&#xff0c;否则报错 POST请求 GET请求

VMware中安装配置Ubuntu(2024最新版 超详细)

目录 一、安装虚拟机软件 二、VMware虚拟机 三、 Ubuntu 下载 &#xff08;1&#xff09;官网下载 &#xff08;2&#xff09;清华镜像网站下载 四、创建虚拟机 五、Ubuntu 系统安装过程的配置 六、更换国内镜像源 七、环境搭建完毕 全篇较长&#xff0c;请慢慢观看 一…

ffmpeg视频滤镜:平均模糊

滤镜简述 avgblur 官网链接> FFmpeg Filters Documentation 平均模糊滤镜会使视频变得模糊&#xff0c;模糊的程度可以通过参数进行控制。 模糊滤镜可以用于保密的场景&#xff0c;视频特效也会用到这个滤镜。 滤镜使用 参数 sizeX <int> .…

AMS1117 -3.3稳压芯片管脚图以及典型电路

AMS1117 是一个输出电流达到 1A 的三端输出低压差线性稳压器。 上面那个头不要接地&#xff0c;接了会有问题。 还有就是AMS1117不只是3.3V稳压的&#xff0c;还有5v的等&#xff0c;自己注意看左下角的数字。 如果是5就是5V&#xff1b;如果是33就是3.3V。 典型应用电路如下…

基于springboot的网上服装商城推荐系统的设计与实现

基于springboot的网上服装商城推荐系统的设计与实现 开发语言&#xff1a;Java 框架&#xff1a;springboot JDK版本&#xff1a;JDK1.8 服务器&#xff1a;tomcat7 数据库&#xff1a;mysql 5.7 数据库工具&#xff1a;Navicat11 开发软件&#xff1a;idea 源码获取&#xf…

【AI大模型】本地部署 Code Llama 大模型

要在本地部署 Code Llama 大模型并结合 Text Generation Web UI 实现远程运行 LLM&#xff08;大语言模型&#xff09;&#xff0c;你需要完成以下几个步骤&#xff1a; 1. 准备环境 1.1 硬件和软件要求 硬件&#xff1a; GPU&#xff08;如 NVIDIA 及支持 CUDA 的显卡&#…