再来1章linux系列-17 ssh sshd sshd非对称加密(密钥加密)SSH对称加密组件/流程
学习目标:
- 实验
- 实验需求
- 实验配置内容和分析 (每一个设备的每一步操作)
- 实验结果验证
- 其他
学习内容:
- 实验
- 实验需求
- 实验配置内容和分析 (每一个设备的每一步操作)
- 实验结果验证
- 其他
目录
学习目标:
学习内容:
1.实验
2.实验需求
3.实验配置内容和分析 (每一个设备的每一步操作)
ssh
ssh优化
sshd
4.实验结果验证
ssh
ssh优化
Port 2222
编辑
PasswordAuthentication no
AllowUsers lee
DenyUsers lee
SSHD
5.其他
sshd非对称加密(密钥加密)
补充比喻:
学习时间:
学习产出:
1.实验
- ssh
- ssh优化
- sshd
2.实验需求
图+文字
3.实验配置内容和分析 (每一个设备的每一步操作)
ssh
ssh -l root 192.168.23.133 -o "StrictHostKeyChecking=no"
exit
ssh -Xl root 192.168.23.133 -o "StrictHostKeyChecking=no"
exit
ssh -Xl root 192.168.23.133 kill -9 8017(
ssh-1 root 172.25.254.20 -t ssh -l root 172.25.254.10ssh优化
setenforce 0
netstat -antlulpe | grep sshd
vim/etc/ssh/sshd_config#/port :21
Port 2222
(Port 22)firewall-cmd --permanent --add-port-2222/tcpfirewall-cmd --reloadssh -l root 192.168.23.133 -p 2222vim/etc/ssh/sshd_config
PasswordAuthentication nosystemctl restart sshd
ssh-l root 192.168.23.133useradd lee
useradd timinglee
echo lee | passwd I-stdin le
echo lee | passwd--stdin timingle
ssh -l lee 192.168.23.133
vim/etc/ssh/sshd_config
Allowusers lee
systemctl restart sshd
ssh -l lee 192.168.23.133
vim/etc/ssh/sshd_config
DenyUsers lee
systemctl restart sshdssh -l lee 192.168.23.133
exitcd /etc/ssh/sshd_config.d/
50-redhat. conf
ls
rm -fr /etc/ssh/sshd_config.d/*c
cd
rm -fr /etc/ssh/sshd config.d/
sshd
ssh-keygen需要非交互生成密钥
ssh-keygen -f /root/.ssh/id_rsa -P ""
ssh-copy-id -i /root/.ssh/id_rsa lee@192.168.23.133ls /home/lee/.ssh/
vim /etc/ssh/sshd_config
PasswordAuthentication no
systemctl restart sshdssh 192.18.23.133 -l leemkdir ~/.ssh
scp /root/.ssh/id_rsa root@192.168.23.134:/root/.ssh/id_rsa
ls ~/.ssh
ssh 192.168.23.133 -l lee
4.实验结果验证
ssh
ssh优化
Port 2222
PasswordAuthentication no
AllowUsers lee
DenyUsers lee
SSHD
5.其他
sshd非对称加密(密钥加密)
| 技术概念 | 餐厅语言类比 | 步骤说明 |
|---|---|---|
| 密钥对生成 | 顾客定制一对专属钥匙: - 公钥:餐厅专用锁 - 私钥:顾客自留的钥匙 | 顾客生成一对密钥:公钥(锁)公开共享,私钥(钥匙)绝不外泄。 |
| 公钥上传到服务器 | 顾客将专用锁(公钥)交给餐厅保管 | 用户的公钥被保存在服务器的授权列表中,类似餐厅登记顾客的专用锁。 |
| 连接请求 | 顾客打电话预订座位,说:"我有你们的专用锁,请验证我的身份!" | 客户端向服务器发起 SSH 连接请求,声明使用密钥认证。 |
| 服务器加密挑战消息 | 餐厅用顾客的专用锁锁住一个装有秘密纸条的盒子,交给顾客 | 服务器生成随机挑战消息,用用户的公钥加密后发送给客户端。 |
| 客户端解密挑战 | 顾客用自留的钥匙打开盒子,取出纸条(解密) | 客户端用私钥解密挑战消息,获取原始内容。 |
| 验证响应 | 顾客将纸条上的秘密通过电话告诉餐厅 | 客户端将解密后的明文发送回服务器,证明自己拥有私钥。 |
| 认证成功 | 餐厅核对秘密正确,允许顾客进入 | 服务器验证响应正确后,建立加密连接,允许用户登录。 |
| 安全性核心 | 只有顾客的钥匙能开餐厅的锁; 即使锁被偷(公钥泄露),也无法伪造钥匙(私钥)。 | 非对称加密依赖数学难题: - 公钥加密的数据只能被对应私钥解密。 |
补充比喻:
- 私钥泄露:顾客的钥匙被复制 → 小偷能冒充顾客进入餐厅(需严格保护私钥)。
- 中间人攻击:假餐厅骗顾客用他们的锁 → 顾客需确认餐厅的真实性(SSH 指纹验证)。
- 对称加密后续通信:认证成功后,顾客和餐厅用临时密钥快速传递菜品(会话密钥加密数据流)。
非对称加密的「公钥加密、私钥解密」流程,以及密钥对的信任机制。
SSH对称加密组件/流程
| SSH对称加密组件/流程 | 餐厅场景类比 | 详细说明 |
|---|---|---|
| 对称密钥 | 包厢专属的“暗号”或“手势规则” | 顾客和服务员提前约定一个只有双方知道的简单暗号(如敲桌次数),用于后续沟通。 |
| 加密与解密 | 用暗号传递点餐信息 | 顾客用暗号(密钥)加密需求(如“3次敲桌=牛排”),服务员用相同暗号解密并执行。 |
| 密钥分发 | 安全传递暗号的过程 | 服务员在顾客入座后,通过隐蔽方式(如写在纸条上)将暗号交给顾客,确保无人窃取。 |
| 数据传输 | 基于暗号的点餐步骤 | 所有点餐、加菜请求都用暗号加密,外人听不懂,但服务员能快速理解并响应。 |
| 密钥更换 | 每日更换包厢暗号 | 每次用餐结束后,暗号作废;下次用餐时重新约定新的暗号,防止长期泄露风险。 |
| 加密速度 | 手势暗号快速沟通 | 对称加密效率高(类似手势简单),适合大量数据传输(如频繁点餐)。 |
| 安全性依赖 | 暗号的保密性 | 若暗号被外人偷听,沟通内容会被破解(因此需安全分发密钥) |
对称加密 vs 非对称加密(餐厅对比)
| 场景 | 对称加密(包厢暗号) | 非对称加密(会员系统) |
|---|---|---|
| 密钥数量 | 同一把密钥(顾客和服务员共享) | 公钥和私钥分离(会员号公开,密码私密) |
| 密钥分发 | 需安全传递(如纸条密封) | 公钥可公开分发(会员号随意提供) |
| 速度 | 快(手势简单) | 慢(需复杂验证流程) |
| 适用场景 | 大量数据传输(如点餐、送菜) | 身份验证和密钥交换(如预订验证) |
| 风险 | 密钥泄露则通信暴露 | 私钥泄露才会危及安全 |
(对称加密)
-
约定暗号(密钥协商)
- 顾客进入包厢后,服务员小声说:“本次暗号是敲桌3次代表牛排,2次代表沙拉。”(SSH协商对称加密算法和密钥)
-
加密点餐(数据传输)
- 顾客敲桌3次,服务员立刻端上牛排(数据加密后传输,双方用同一密钥解密)。
-
密钥更换(会话结束)
- 用餐完毕,服务员销毁暗号纸条,下次顾客再来时生成新暗号(SSH会话结束,密钥丢弃)。
类比总结
- 对称加密核心:同一把密钥加密解密,如同包厢暗号需双方提前约定,简单高效但依赖密钥安全分发。
- SSH中的应用:非对称加密用于安全传递对称密钥(如通过会员系统传递包厢暗号),后续通信全部使用对称加密(暗号沟通)。
- 风险提示:若暗号被窃听(密钥泄露),攻击者能破解所有通信,因此SSH会定期更换会话密钥。
学习时间:
学习时间为学习时间
| 学习时间 | 筋肉人 |
| 为学习时间 | future |
内容为笔记【有时比较抽象,有时比较过于详细,请宽恕。作者可能写的是仅个人笔记,筋肉人future】
学习产出:
绿色框为logo
画工
。puppy-CSDN博客。puppy擅长计算机网络,python,软件,等方面的知识
https://blog.csdn.net/2301_79807099?type=blog
https://blog.csdn.net/2301_79807099/article/details/147932097?fromshare=blogdetail&sharetype=blogdetail&sharerId=147932097&sharerefer=PC&sharesource=2301_79807099&sharefrom=from_link
https://blog.csdn.net/2301_79807099/article/details/147874248?fromshare=blogdetail&sharetype=blogdetail&sharerId=147874248&sharerefer=PC&sharesource=2301_79807099&sharefrom=from_link
再来1章linux 系列-14 WEB服务器的部署及优化 wed服务nginx,修改默认 端口、文件、目录 ,控制,一个nginx 多个index,URI,URL和URN,请求报文、响应报文 -CSDN博客
再来1章linux 系列-12 时间同步服务器 vim /etc/chrony.conf-CSDN博客
https://blog.csdn.net/2301_79807099/article/details/147529028?fromshare=blogdetail&sharetype=blogdetail&sharerId=147529028&sharerefer=PC&sharesource=2301_79807099&sharefrom=from_link
再来1章linux 系列-10 磁盘管理 MBR,PV,VG,LV,软链接硬链接)分区挂载mount/umount;remount;fuser生成虚拟磁盘文件--ddswapmadafind-CSDN博客
再来1章linux 系列-9 软件管理 rpm dnf 库搭建 epel-CSDN博客
再来1章linux 系列-8 网络管理 ip add/del nmcli ping wegt curl-CSDN博客
再来1章linux 系列-7 文件传输scp,rync,tar-CSDN博客
再来1章linux 系列-6 进程管理 的详细图文解释+实验【chatter,lsatter,ps,pgrep,top,pgrep,pidof,nicerenice,kill,system进线程】-CSDN博客
再来1章linux 系列-5.2 权限管理的实验详细1Sticky Bit2 SGID (Set GID)3 SUID (Set UID)4. chmod 5.ACL 6.chown-CSDN博客
再来1章linux5.1[权限rwx,文件和目录,权限信息,文件类型 ,ugo,ls,chown,chgrp.:-R chmod umask souce etc/profile etc/bashrc等-CSDN博客
再来1章linux 系列-0. C语言过、Java半静对、Python纯动和C++对+C-CSDN博客
再来1章linux 系列-0.Linux的特点-CSDN博客
- 技术笔记 1遍
- 有错误请指出,作者会及时改正
