• 先来看几个问题
  ssh是什么？ssh的作用是啥？是如何实现的？如何实现不输入密码进行登陆？ssh用户这边保存的是公钥还是私钥？ssh的端口转发是什么？

1、ssh是什么？
ssh是一种网络协议，用于计算机之间的加密登陆。如果一个用户从本地计算机，使用ssh协议登陆另一台远程计算机，我们就可以认为，这种登陆是安全的，即使中途被截获，密码也不会泄露。（因为最早的时候计算机都是明文通信的，一旦被截获，内容就暴露无疑。
*需要注意的是：
ssh会把你每个你访问过计算机的公钥(public key)都记录在~/.ssh/known_hosts。当下次访问相同计算机时，OpenSSH会核对公钥。如果公钥不同，OpenSSH会发出警告。

2、两种方式实现不输入密码登陆：

一般的方法是基于口令的，需要在认证过程中传输公钥，输入口令。
而基于密钥的方法，不需要输入密码进行登陆

• 直接在本地（服务器）把公钥认证到本地，然后把私钥发送到远程，此时远程就可以直接登陆服务器.本地生成认证文件（auth）。
• 在本地直接使用ssh-copy-id 远程ip 就是将本地的公钥匙发送到远程，就是远程的认证文件。此时本地可以直接登陆到远程。

1、最常用的使用密码登陆远程

[root@server1 ~]# cd /root/.ssh/
[root@server1 .ssh]# ls
authorized_keys
[root@server1 .ssh]# rm -rf authorized_keys 
[root@server1 .ssh]# ls
[root@server1 .ssh]# 
[root@server1 .ssh]# /etc/init.d/sshd status
openssh-daemon (pid  963) 正在运行...

[root@ivans ~]# cd /root/.ssh/
[root@ivans .ssh]# ls
known_hosts
[root@ivans .ssh]# rm -rf known_hosts 
[root@ivans .ssh]# ls
[root@ivans .ssh]# 
[root@ivans .ssh]# systemctl status sshd
● sshd.service - OpenSSH server daemon
   Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)
   Active: active (running) since 二 2018-12-18 12:00:01 CST; 3h 28min ago
  Process: 1524 ExecStartPre=/usr/sbin/sshd-keygen (code=exited, status=0/SUCCESS)
 Main PID: 2001 (sshd)
   CGroup: /system.slice/sshd.service
           └─2001 /usr/sbin/sshd -D

12月 18 12:00:00 ivans systemd[1]: Starting OpenSSH server daemon...
12月 18 12:00:01 ivans systemd[1]: Started OpenSSH server daemon.
12月 18 12:00:02 ivans sshd[2001]: Server listening on 0.0.0.0 port 22.
12月 18 12:00:02 ivans sshd[2001]: Server listening on :: port 22.

本来已经清空了.ssh这个目录的的东西，但是从虚拟机连接一次主机完毕后，发现多了一个knownhosts文件。

此时我们对比真机上的公钥文件，发现客户端这边knownhosts记录的是服务器的公钥。

2、配置sshd免密登陆
第一种方法：在客户端将本地的公钥发送到远程

[root@server1 .ssh]# ssh-copy-id 172.25.4.250

此时发现客户端可以直接登陆服务器，但是服务器端多了一个认证文件，这个文件里记录的是客户端的公钥

第二种方法，在服务器端将公钥认证在本地然后将私钥匙发送到客户端。

[root@ivans .ssh]# ssh-keygen 
[root@ivans .ssh]# ssh-copy-id -i /root/.ssh/id_rsa.pub root@172.25.4.250
[root@ivans .ssh]# scp id_rsa 172.25.4.1:/root/.ssh/

这么说吧！
实现免密登陆的第一种方法，是通过将本地的公钥直接发送到远程，这种方法首先需要通过ssh-keygen命令在/root/.ssh/目录下生成公钥和私钥匙，再通过ssh-copy-id 远程主机的ip地址，需要输入一次yes这个时候就已经将远程主机的公钥添加到knownhosts文件里，以后登陆不需要输入yes也不需要输入密码了。
实现免密码登陆的第二种方法，是通过先在服务器端将服务端的公钥认证到服务端，此时服务端的/root/.ssh/目录下会生成authorized_keys这个文件，这个文件里面记录的是服务端的公钥匙，然后我们需要将服务端的私钥发送到远程客户端。此时客户端可以免密登陆，但是需要输入yes确认将服务器端的公钥写入到本地的knownhosts文件中。

• ssh服务安全配置

ssh服务的配置文件为： /etc/ssh/sshd_config 更改配置文件后一定要重新启动systemctl restart sshd一定记住
PasswordAuthencation yes|no
是否开启用户密码认证 yes为支持 no为关闭
PermitRootLogin yes|no
是否允许超级用户登录 yes为允许 no为不允许*不允许别的主机登陆你的root帐号
AllowUsers 、DenyUsers用户白名单和黑名单

ssh的端口转发

端口转发简介：
ssh的基本特性是会自动加密ssh服务端和客户端的所有数据。那么，我们可以通过ssh为其他的一些tcp连接提供一个安全的通道，ssh将其他的一些tcp端口的网络数据转发达到安全传输的目的。如，telent，smtp
等tcp应用，从而避免了用户名密码等的明文传输。还有一种情况，如果工作环境中的防火墙限制了一些网络端口的使用，但是允许ssh连接，也能够通过将tcp端口转发，使用ssh进行通信。

两大功能：

• 加密ssh服务端和客户端之间的通信数据
• 突破防火墙的间隔完成一些之前无法建立的tcp连接。

实验一

1、本地转发

实验背景：
说明：
22端口为sshd服务监听的端口
23端口为telnet服务监听的端口
企业内部c服务器仅仅允许telnet连接就是23端口访问，而不允许外部直接访问，而b服务器是一个ssh服务器，一个用户需要从企业外部访问企业内部的c服务器。前提是企业的防火墙允许22端口进来。

命令：ssh -L localport:remotehost:remotehostport sshserver
localport 代表a机器开启的端口号，用来与b机器进行连接
remotehost 代表最终连接机器的ip地址
remotehostport 代表最终连接机器的端口号
sshserver代表转发机器也就是机器b的ip地址
-f代表后台启用。当你的隧道建立完毕后，隧道进程会默认后台启动
-N代表不打开远程shell，处于等待状态

实验环境：rhel7
server1：172.25.4.1 作为实验背景中的a机器
server2：172.25.4.2 b机器
server3：172.25.4.3 c机器

首先，我们得在c机器上设置防火墙策略，还原实验场景

1、设置拒绝a机器连接

[root@server3 ~]# iptables -A INPUT -s 172.25.4.1 -j REJECT
[root@server3 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  172.25.4.1           0.0.0.0/0            reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination  

[root@server1 ~]# ssh root@172.25.4.3
ssh: connect to host 172.25.4.3 port 22: Connection refused

2、开启c机器的23端口，telnet服务监听的端口

3、开启端口转发

查看a机器都使用了哪些端口

[root@server1 ~]# ss -ntl
State      Recv-Q Send-Q           Local Address:Port                          Peer Address:Port              
LISTEN     0      128                          *:22                                       *:*                  
LISTEN     0      100                  127.0.0.1:25                                       *:*                  
LISTEN     0      128                         :::22                                      :::*                  
LISTEN     0      100                        ::1:25                                      :::*    

设置端口转发策略，由于发现9527端口没有被使用，然后我们就建立本地转发的隧道
[root@server1 ~]# ssh -L 9527:172.25.4.3:23 -fN 172.25.4.2
[root@server1 ~]# ss -nt
State Recv-Q Send-Q Local Address:Port Peer Address:Port
ESTAB 0 0 172.25.4.1:35828 172.25.4.2:22
ESTAB 0 0 172.25.4.1:22 172.25.4.250:55842

2018-12-20 14:39:52的屏幕截图.png

2018-12-20 14:40:04的屏幕截图.png