1. SSH服務(wù)介紹

SSH是Secure Shell Protocol的簡寫蛛壳，由IETF國際互聯(lián)網(wǎng)工程任務(wù)組制定。在進(jìn)行數(shù)據(jù)傳輸之間，SSH先對(duì)聯(lián)機(jī)數(shù)據(jù)包通過加密技術(shù)進(jìn)行加密處理溜族，加密后再進(jìn)行數(shù)據(jù)傳輸，以確保傳輸數(shù)據(jù)安全贩疙。
SSH是專為遠(yuǎn)程登錄會(huì)話和其他網(wǎng)絡(luò)服務(wù)提供的安全性協(xié)議。利用SSH協(xié)議可以有效地防止遠(yuǎn)程管理過程中的數(shù)據(jù)信息泄露問題，在當(dāng)前的生產(chǎn)環(huán)境運(yùn)維工作中，幾乎99%的企業(yè)普遍采用SSH協(xié)議服務(wù)來代替?zhèn)鹘y(tǒng)的不安全的遠(yuǎn)程聯(lián)機(jī)服務(wù)軟件，如telnet（23端口临燃，非加密連接）等。
在默認(rèn)狀態(tài)下，SSH服務(wù)主要提供一下兩個(gè)服務(wù)功能：

• 類似telnet遠(yuǎn)程聯(lián)機(jī)服務(wù)器的服務(wù)，即上面提到的SSH服務(wù)薄货。
• 類似FTP服務(wù)的SFTP-server，借助SSH協(xié)議提供更安全的SFTP服務(wù)先煎。

1.1 SSH連接排錯(cuò)思想

SSH遠(yuǎn)程管理服務(wù)已經(jīng)普遍應(yīng)用于各大中小型的企業(yè)運(yùn)維中薯蝎，實(shí)現(xiàn)對(duì)主機(jī)設(shè)備的遠(yuǎn)程管理和遠(yuǎn)程控制缩筛，遠(yuǎn)程管理服務(wù)是所有互聯(lián)網(wǎng)技術(shù)人員都需要掌握的基礎(chǔ)技術(shù)能力艺演，特別是對(duì)于運(yùn)維技術(shù)人員而言，當(dāng)SSH遠(yuǎn)程服務(wù)出現(xiàn)問題時(shí)，一定要具有熟練的排錯(cuò)能力，及時(shí)定位遠(yuǎn)程服務(wù)故障原因舶沛，協(xié)調(diào)相關(guān)部門技術(shù)人員，盡快解決遠(yuǎn)程連接問題。
利用下圖所示信息，可以把SSH遠(yuǎn)程管理服務(wù)排錯(cuò)過程分為3步：

SSH服務(wù)器連接過程與排錯(cuò)思路圖示

1.1.1 檢查遠(yuǎn)程訪問鏈路是否通暢（SSH客戶端）

確認(rèn)網(wǎng)絡(luò)連接是否通暢鸣奔，如果網(wǎng)絡(luò)線路連接已經(jīng)出現(xiàn)問題，不僅遠(yuǎn)程服務(wù)會(huì)受影響，其他服務(wù)可能也會(huì)出現(xiàn)問題，所以應(yīng)該首先排除線路問題。

# 檢查線路問題命令方法，注意是在SSH客戶端進(jìn)行排查呀打。
ping 服務(wù)器IP地址    ---確認(rèn)主機(jī)鏈路狀態(tài)，但可能禁ICMP協(xié)議了
tracert -d 服務(wù)器IP地址    ---進(jìn)行路由追蹤瘫寝，確認(rèn)鏈路狀態(tài)暮屡，-d參數(shù)表示禁止反向DNS解析
下面是在Xshell SSH客戶端里訪問的結(jié)果褒纲，顯示是通的狀態(tài)
[C:\~]$ ping 192.168.9.8
正在 Ping 192.168.9.8 具有 32 字節(jié)的數(shù)據(jù):
來自 192.168.9.8 的回復(fù): 字節(jié)=32 時(shí)間<1ms TTL=64
來自 192.168.9.8 的回復(fù): 字節(jié)=32 時(shí)間<1ms TTL=64

如果是在虛擬軟件中部署操作系統(tǒng)彻秆，出現(xiàn)線路問題時(shí)檢測步驟如下：
1）查看網(wǎng)卡是否有IP地址唇兑，IP地址是否書寫正確。
2）克隆（跳板機(jī)）。

• 清空/etc/udev/rules.d/70-persistent-net.rules（CentOS7系統(tǒng)不需要此步操作）即纲。
• 刪除UUID和HWADDR這兩行（CentOS7系統(tǒng)不需要此步操作）。

3）是否為NAT模式（VM虛擬網(wǎng)絡(luò)編輯器中），獨(dú)立環(huán)境橋接也可以稠通。
4）Windows VMware服務(wù)是否開啟玉控。

1.1.2 檢查遠(yuǎn)程訪問是否做了策略控制（SSH客戶端）

確認(rèn)是否做了策略控制，阻止了遠(yuǎn)程的訪問，一般出現(xiàn)這種遠(yuǎn)程訪問問題都是出于安全性考慮禁止有些遠(yuǎn)程主機(jī)進(jìn)行連接胖烛；造成這種問題的原因大部分是被防火墻策略阻止，或者被其他安全服務(wù)禁止。

# 排查與解決策略控制問題
systemctl stop firewalld    ---如果防火墻開啟了，可以將防火墻關(guān)閉
systemctl disable firewalld    ---禁止開機(jī)自啟動(dòng)
systemctl status firewalld    ---檢查防火墻有沒有開啟猎莲，后端服務(wù)器不用開啟系統(tǒng)防火墻功能

1.1.3 檢查遠(yuǎn)程管理服務(wù)器是否開啟（SSH客戶端）

確認(rèn)遠(yuǎn)程管理服務(wù)是否開啟也是重要的檢查步驟而叼，因?yàn)橛袝r(shí)候部署一臺(tái)服務(wù)器時(shí)，會(huì)忘記將SSH遠(yuǎn)程服務(wù)設(shè)置為開機(jī)自啟動(dòng)，而有時(shí)服務(wù)器一旦重啟就會(huì)發(fā)現(xiàn)遠(yuǎn)程連接不上了，可能前兩項(xiàng)檢查都是正確的细疚，但還是不能進(jìn)行遠(yuǎn)程連接。

# 排查遠(yuǎn)程服務(wù)是否開啟文件
Telnet服務(wù)器IP地址 SSH服務(wù)端口號(hào)    ---利用服務(wù)端口測試命令確認(rèn)服務(wù)是否開啟
Nmap服務(wù)器IP地址 -p SSH服務(wù)端口號(hào)    ---利用服務(wù)端口測試命令確認(rèn)服務(wù)是否開啟
下面是在Xshell SSH客戶端里訪問的結(jié)果，顯示是通的狀態(tài)
[C:\~]$ telnet 192.168.9.8 22
Connecting to 192.168.9.8:22...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.
SSH-2.0-OpenSSH_7.4

1.2 SSH遠(yuǎn)程連接介紹

運(yùn)維人員在企業(yè)日常工作中基本上都是遠(yuǎn)程登錄Linux系統(tǒng)對(duì)系統(tǒng)服務(wù)進(jìn)行管理配置，比較常見的遠(yuǎn)程管理服務(wù)主要有以下兩種：

遠(yuǎn)程管理服務(wù)匯總說明

SSH和Telnet遠(yuǎn)程登錄主機(jī)數(shù)據(jù)傳輸對(duì)比如下圖：

遠(yuǎn)程登錄服務(wù)對(duì)比

1）ssh命令使用方法（Xshell軟件中用法）如下：

[C:\~]$ help ssh
NAME
    ssh - connects to a host using the SSH protocol.
SYNOPSYS
    ssh [-pa ][-a ][-A ][-i user_key ][-J jump_host ][user:pass@]host[ port][;host[ port]]    ---ssh命令使用語法格式
        jump_host: [user:pass@]host[:port][,[user:pass@]host[:port]]
OPTIONS
    -pa    Use Password authentication. Ignore other auth parameters(-A -i).
    -a     Do not use Xagent for user authentication.
    -A     Use Xagent for user authentication.
    -i user_key     User key authentication.
    -J jump_host    Use jump host proxy.*
    user   Indicates the user's login name.
    pass   If pass is definded, use password authentication.
    host   Indicates the name, alias, or Internet address of the
           remote host.
    port   Indicates a port number (address of an application).
           If the port is not specified, the default ssh port
           (22) is used.
# 遠(yuǎn)程連接測試
[C:\~]$ ssh 192.168.9.8 22
Connecting to 192.168.9.8:22...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.
WARNING! The remote SSH server rejected X11 forwarding request.
Last login: Thu Mar 12 10:06:05 2020 from gateway

2）Telnet命令使用方法（Xshell軟件中用法）如下：

[C:\~]$ help telnet
NAME
    telnet - connects to a host using the TELNET protocol.
SYNOPSYS
    telnet [user@]host [port]    ---命令使用語法格式
OPTIONS
    host   Indicates the name, alias, or Internet address of the
           remote host.
    port   Indicates a port number (address of an application).
           If the port is not specified, the default telnet port
           (23) is used.
# 遠(yuǎn)程連接測試
[C:\~]$ telnet 192.168.9.8 22
Connecting to 192.168.9.8:22...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.
SSH-2.0-OpenSSH_7.4

1.3 SSH知識(shí)要點(diǎn)小結(jié)

1）SSH是安全的加密協(xié)議慷垮，用于遠(yuǎn)程連接Linux系統(tǒng)料身。
2）SSH默認(rèn)端口是22，安全協(xié)議版本為SSH2，除了SSH2之外還有SSH1（有漏洞）议惰。
3）SSH服務(wù)端主要包含兩個(gè)服務(wù)功能：SSH遠(yuǎn)程連接和SFTP服務(wù)言询。
4）Linux SSH客戶端包含ssh遠(yuǎn)程連接命令、遠(yuǎn)程拷貝scp命令、sftp連接命令等报嵌。

2. SSH服務(wù)工具詳解

SSH服務(wù)由服務(wù)端軟件OpenSSH和客戶端[常見的有SSH(Linux)/SecureCRT/Putty/Xshell]組成锚国，SSH服務(wù)默認(rèn)使用22端口提供服務(wù)，它有兩個(gè)不兼容的SSH協(xié)議版本绘沉，分別是1.x和2.x车伞。

# 獲取openssh相關(guān)軟件包信息
[root@localhost ~]# rpm -qa | grep openssh
openssh-server-7.4p1-16.el7.x86_64
openssh-clients-7.4p1-16.el7.x86_64
openssh-7.4p1-16.el7.x86_64

以下為遠(yuǎn)程管理客戶端軟件大禮包中涉及的重要文件數(shù)據(jù)信息說明：

# SSH客戶端軟件包列表信息
[root@localhost ~]# rpm -ql openssh-clients
/etc/ssh/ssh_config    ---SSH客戶端配置文件信息
/usr/bin/scp    （重要）    ---安全的遠(yuǎn)端拷貝工具
/usr/bin/sftp            ---安全的FTP傳輸工具
/usr/bin/ssh    （重要）    ---SSH客戶端遠(yuǎn)程連接工具
/usr/bin/ssh-copy-id    （重要）    ---將公鑰發(fā)送到遠(yuǎn)程并修改為authorized_keys名字
---省略部分內(nèi)容信息---

以下為遠(yuǎn)程管理服務(wù)器端軟件OpenSSH-server大禮包中涉及的重要文件數(shù)據(jù)信息說明：

# SSH服務(wù)器軟件包列表信息
[root@localhost ~]# rpm -ql openssh-server
/etc/pam.d/sshd
/etc/ssh/sshd_config    （重要）    ---SSH服務(wù)器端配置文件信息
/etc/sysconfig/sshd
/usr/lib/systemd/system/sshd-keygen.service
/usr/lib/systemd/system/sshd.service    （重要）    ---systemctl管理的SSH服務(wù)配置
/usr/lib/systemd/system/sshd.socket
/usr/lib/systemd/system/sshd@.service
/usr/lib64/fipscheck/sshd.hmac
/usr/libexec/openssh/sftp-server
/usr/sbin/sshd    （重要）    ---SSH服務(wù)守護(hù)進(jìn)程命令
/usr/sbin/sshd-keygen    （重要）    ---SSH密鑰創(chuàng)建工具

OpenSSH同時(shí)支持SSH 1.x和2.x協(xié)議帖世。SSH2.x的客戶端程序不能連接到SSH 1.x的服務(wù)程序上日矫。
SSH服務(wù)器端是一個(gè)守護(hù)進(jìn)程哪轿，它在后臺(tái)運(yùn)行并響應(yīng)來自客戶端的連接請求翔怎。SSH服務(wù)端的進(jìn)程名為“SSHD”赤套，負(fù)責(zé)實(shí)時(shí)監(jiān)聽遠(yuǎn)程SSH客戶端的連接請求并進(jìn)行處理，一般包括公共密鑰認(rèn)證宣脉、密鑰交換、對(duì)稱密鑰加密和非安全連接等蜡励。這個(gè)SSH服務(wù)就是前面Linux基礎(chǔ)系統(tǒng)優(yōu)化中保留的開機(jī)自啟動(dòng)的服務(wù)之一。
SSH客戶端包含SSH以及像scp（遠(yuǎn)程拷貝）芬萍、slogin（遠(yuǎn)程登錄）漫蛔、SFTP（安全FTP文件傳輸）等應(yīng)用程序。
SSH的工作機(jī)制大致是本地的SSH客戶端先發(fā)送一個(gè)連接請求到遠(yuǎn)程的SSH服務(wù)器端益缠，服務(wù)器端檢查請求連接的客戶端發(fā)送的數(shù)據(jù)包（含用戶迄靠、密碼）和IP地址吠式，如果確認(rèn)合法是目，就會(huì)發(fā)送密鑰給SSH的客戶端嗤疯，此時(shí)脚囊，本地客戶端再將密鑰發(fā)回給服務(wù)器端淮逊，自此連接建立。SSH 1.x和SSH 2.x在連接協(xié)議上有一些安全方面的差異。

2.1 SSH加密技術(shù)說明

SSH加密技術(shù)就是將人類可以看得懂的數(shù)據(jù)瘫辩，通過一些特殊的程序算法變成雜亂的無意義的信息军熏，然后浊猾，通過網(wǎng)絡(luò)進(jìn)行傳輸偷办，而當(dāng)?shù)搅四康牡睾螅偻ㄟ^對(duì)應(yīng)的解密算法把傳過來的加密數(shù)據(jù)信息解密成加密前的可讀的正常數(shù)據(jù)财骨。因此，當(dāng)數(shù)據(jù)在互聯(lián)網(wǎng)上傳輸時(shí)即使被有心的黑客監(jiān)聽竊取了，他們也很難獲取到真正需要的數(shù)據(jù)卵皂。
當(dāng)前滚粟，網(wǎng)絡(luò)上的數(shù)據(jù)包加密數(shù)據(jù)一般是通過所謂的一隊(duì)公鑰與私鑰（Public Key and Pivate Key）組合成的密鑰對(duì)進(jìn)行加密與解密操作曹体。如下圖所示厨诸，B-Server要給A_Client傳數(shù)據(jù)滓走，首先會(huì)通過本地的公鑰（Public Key或Server Key）加密后再到發(fā)到網(wǎng)絡(luò)上傳輸吧慢。而加密的數(shù)據(jù)到達(dá)A_Client端后间狂，再經(jīng)由A_Client本地的私鑰將加密的數(shù)據(jù)解密出來音比。由于在Internet上傳輸?shù)臄?shù)據(jù)時(shí)加密過的洞翩，所以骚亿，傳輸?shù)臄?shù)據(jù)內(nèi)容一般來說是比較安全的来屠。

服務(wù)器端加密傳輸數(shù)據(jù)及客戶端解密數(shù)據(jù)示意

OpenSSH是SSH服務(wù)器端的軟件之一俱笛，可同時(shí)支持SSH 1.x和SSH 2.x協(xié)議榕订，可以在配置文件中使用Protocol指令指定只支持其中一種或兩種都支持。另外喧务，SSH 2.x同時(shí)支持RSA和DSA密鑰坎穿，但是SSH 1.x僅支持RSA密鑰尘应。

2.1.1 SSH加密算法v1.x

每一臺(tái)SSH服務(wù)器主機(jī)都可以使用RSA加密方式來產(chǎn)生一個(gè)1024-bit的RSA Key晴股，這個(gè)RSA的加密方式就是用來產(chǎn)生公鑰與私鑰的算法之一肉津。SSH 1.x的整個(gè)聯(lián)機(jī)加密步驟如下：
1）當(dāng)SSH服務(wù)啟動(dòng)時(shí)舱沧，就會(huì)產(chǎn)生一個(gè)768-bit的臨時(shí)公鑰（sshd_config配置文件中ServerKeyBits 768）存放在Server中(CentOS5-CentOS7各有不同熟吏，但不影響理解加解密過程分俯。

[root@localhost ~]# grep ServerKey /etc/ssh/sshd_config    ---CentOS5下的sshd是產(chǎn)生768字節(jié)

#ServerKeyBits 768
[root@localhost ~]# grep ServerKey /etc/ssh/sshd_config    ---CentOS6下的sshd是產(chǎn)生1024字節(jié)

#ServerKeyBits 1024

2）當(dāng)Client端SSH聯(lián)機(jī)請求傳送過來時(shí)缸剪，Server就會(huì)將這個(gè)768-bit的公鑰傳給Client端杏节，此時(shí)，Client會(huì)將此公鑰與先前存儲(chǔ)的公鑰進(jìn)行對(duì)比镊逝，看是否一致撑蒜。判斷標(biāo)準(zhǔn)是Client端聯(lián)機(jī)用戶目錄下~/.ssh/known_hosts文件原有的內(nèi)容（Linux客戶端）玄渗。

[root@localhost ~]# ssh -p22 root@192.168.9.5
The authenticity of host '192.168.9.5 (192.168.9.5)' can't be established.
ECDSA key fingerprint is SHA256:lpAQ77XAqJ/27nex4tZvKv8y9craDayqf12ZB9V3QKk.
ECDSA key fingerprint is MD5:c8:94:09:a2:27:8b:92:6f:b7:60:fc:94:bd:f9:14:88.
Are you sure you want to continue connecting (yes/no)? 

2.1.2 SSH加密算法v2.x

在SSH 1.x的聯(lián)機(jī)過程中浴滴，當(dāng)Server接受Client端的Private Key后岁钓，就不再針對(duì)該次聯(lián)機(jī)的Key Pair進(jìn)行校驗(yàn)。此時(shí)若有惡意黑客針對(duì)該聯(lián)機(jī)的Key Pair插入惡意的程序代碼骂远，由于服務(wù)器端不會(huì)再檢驗(yàn)聯(lián)機(jī)的正確性激才，因此可能會(huì)接受該程序代碼额嘿，從而造成系統(tǒng)被黑掉。
為了彌補(bǔ)這個(gè)缺點(diǎn)册养，SSH version 2多加了一個(gè)確認(rèn)聯(lián)機(jī)正確性的Diffie-Hellman機(jī)制东帅，在每次的數(shù)據(jù)傳輸中，Server都會(huì)以該機(jī)制檢查數(shù)據(jù)的來源是否正確球拦，這樣靠闭，可以避免聯(lián)機(jī)過程中被插入惡意程序代碼的問題。也就是說坎炼，SSH version 2是比較安全的愧膀。

SSH服務(wù)加密建立連接過程說明 1

SSH服務(wù)加密建立連接過程說明 2

由于SSH 1.x協(xié)議本身存在較大安全問題，因此檩淋，建議大家盡量用SSH 2.x的聯(lián)機(jī)模式。而聯(lián)機(jī)版本的設(shè)置則需要在SSH主機(jī)端與客戶端均設(shè)置好才行萄金。事實(shí)上蟀悦，當(dāng)前的CentOS5.x系統(tǒng)SSH服務(wù)端的配置，默認(rèn)就是只支持SSH 2.x的氧敢，我們只需要在SSH客戶端遠(yuǎn)程連接時(shí)指定通過SSH 2.x協(xié)議進(jìn)行連接即可日戈。

2.2 SSH服務(wù)認(rèn)證類型

從SSH客戶端來看，SSH服務(wù)主要提供兩種安全登錄模式孙乖，具體如下浙炼。

2.2.1 基于口令的安全驗(yàn)證

基于口令的安全驗(yàn)證的方式就是大家一直在用的，只要知道服務(wù)器的SSH連接帳號(hào)和口令（當(dāng)然也要知道對(duì)應(yīng)服務(wù)器的IP及開放的SSH端口的圆，默認(rèn)為22）鼓拧，就可以通過SSH客戶端登錄到這臺(tái)遠(yuǎn)程主機(jī)半火。此時(shí)越妈，聯(lián)機(jī)過程中所有傳輸?shù)臄?shù)據(jù)都是加密的。
以下為Xshell及SSH客戶端連接口令驗(yàn)證的測試钮糖。

[root@localhost ~]# ssh -p22 root@192.168.9.5
The authenticity of host '192.168.9.5 (192.168.9.5)' can't be established.
ECDSA key fingerprint is SHA256:lpAQ77XAqJ/27nex4tZvKv8y9craDayqf12ZB9V3QKk.
ECDSA key fingerprint is MD5:c8:94:09:a2:27:8b:92:6f:b7:60:fc:94:bd:f9:14:88.
Are you sure you want to continue connecting (yes/no)? ^C
[root@localhost ~]# ssh -p22 root@192.168.9.5
The authenticity of host '192.168.9.5 (192.168.9.5)' can't be established.
ECDSA key fingerprint is SHA256:lpAQ77XAqJ/27nex4tZvKv8y9craDayqf12ZB9V3QKk.
ECDSA key fingerprint is MD5:c8:94:09:a2:27:8b:92:6f:b7:60:fc:94:bd:f9:14:88.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.9.5' (ECDSA) to the list of known hosts.
root@192.168.9.5's password:     ---輸入密碼梅掠，不顯示
Last login: Sun Mar  1 16:39:58 2020 from gateway

SSH服務(wù)基于口令驗(yàn)證原理圖

2.2.2 基于密鑰的安全驗(yàn)證

基于密鑰的安全驗(yàn)證方式需要依靠密鑰酌住，也就是必須事先建立一個(gè)密鑰對(duì)，然后把公鑰（鎖頭）放在需要訪問的目標(biāo)服務(wù)器上阎抒，另外酪我，還需要把私鑰（鑰匙）放到SSH的客戶端或?qū)?yīng)的客戶端服務(wù)器上。
此時(shí)且叁，如果要想連接到這個(gè)帶有公鑰的SSH服務(wù)器都哭，客戶端SSH軟件或者客戶端服務(wù)器就會(huì)向SSH服務(wù)器發(fā)出請求，請求用聯(lián)機(jī)的用戶密鑰進(jìn)行安全驗(yàn)證逞带。SSH服務(wù)器收到請求之后欺矫，會(huì)先在該SSH服務(wù)器上連接的用戶的家目錄下尋找事先放上去的對(duì)應(yīng)用戶的公用密鑰，然后把它和連接的SSH客戶端發(fā)送過來的公鑰進(jìn)行比較展氓。如果兩個(gè)密鑰一致穆趴，SSH服務(wù)器就用公鑰加密“質(zhì)詢”（Challenge）并把它發(fā)送給SSH客戶端。

SSH服務(wù)基于密鑰驗(yàn)證原理圖

SSH客戶端收到“質(zhì)詢”之后就可以用自己的私鑰揭解密遇汞，再把它發(fā)送給SSH服務(wù)器未妹。使用這種方式，需要知道聯(lián)機(jī)用戶的密鑰文件空入。與第一種基于口令驗(yàn)證的方式相比络它，第二種方式不需要在網(wǎng)絡(luò)上傳送口令密碼，所以安全性更高了歪赢，這時(shí)我們也要注意保護(hù)我們的密鑰文件酪耕，特別是私鑰文件，一旦被黑客獲取轨淌，危險(xiǎn)就很大了迂烁。