SSH（Secure Shell）是一种网络协议，用于在不安全的网络上安全地进行远程登录和文件传输。它通过加密数据传输和身份验证来保护通信的安全性。

SSH协议提供了一种安全的方式，使用户可以在远程计算机上执行命令。它在互联网上广泛应用于远程管理服务器和安全传输文件。SSH提供了一种加密的连接，以防止未经授权的访问和数据泄露。

SSH使用客户端-服务器模型，其中客户端连接到远程服务器，将用户的输入发送到服务器，并将服务器的响应返回给客户端。为了建立和保持连接的安全性，SSH使用非对称加密，并通过用户名和密码或公钥进行身份验证。

SSH还支持文件传输，您可以使用SCP（Secure Copy）或SFTP（SSH File Transfer Protocol）命令通过网络安全地传输文件。

总结起来，SSH是一种加密的远程登录协议，提供安全的远程操作和文件传输功能，使用户可以安全地管理远程服务器。

1.认识SSH服务

  1.1、SSH服务配置文件路径：/etc/ssh/sshd_config

ls /etc/ssh

 2、查看SSH服务的运行状态

systemctl status sshd.service

 SSH服务配置文件详解

1、SSH服务配置文件路径：/etc/ssh/sshd_config

 SSH服务配置文件详解 

SSH（Secure Shell）是一种加密的网络协议，用于在不安全的网络上安全地传输数据和执行命令。SSH服务是提供此功能的服务器程序。SSH服务的配置文件是一个文本文件，它包含配置SSH服务的选项。一般而言，SSH服务的配置文件的路径是/etc/ssh/sshd_config。（注意，在某些操作系统中，配置文件的路径可能有所不同。）

以下是SSH服务配置文件中一些常用选项的说明：

- Port：指定SSH服务监听的端口号。默认是22。可以修改为其他端口号来增强安全性（尽管这并不是一个完美的解决方案，但可以减少对此端口的暴力攻击）。如果需要让SSH服务在多个端口上监听，则需要多次指定此选项。
- ListenAddress：指定SSH服务监听的IP地址。默认是所有可用的IP地址（即0.0.0.0）。可以指定特定的IP地址，比如本地回环地址127.0.0.1或某个特定的网络接口地址。这在需要限制谁可以访问SSH服务时非常有用。
- HostKey：SSH服务使用的主机密钥文件的路径。通常，在安装SSH服务时，会在/etc/ssh目录下生成三个主机密钥文件：/etc/ssh/ssh_host_rsa_key、/etc/ssh/ssh_host_dsa_key和/etc/ssh/ssh_host_ecdsa_key。如果需要自己生成主机密钥，则可以使用ssh-keygen命令。
- PermitRootLogin：指定是否允许以root用户身份登录SSH服务。默认是yes。为了安全，建议将其修改为no，并创建一个非特权用户进行登录和管理。
- PasswordAuthentication：指定是否允许使用密码进行身份验证。默认是yes。为了安全，建议将其修改为no，并使用公钥身份验证方式进行登录。
- PubkeyAuthentication：指定是否允许使用公钥进行身份验证。默认是yes。为了安全，建议只使用公钥身份验证方式进行登录。
- AuthorizedKeysFile：指定含有公钥的文件的路径。默认是~/.ssh/authorized_keys。如果将此文件放到其他地方，则需要修改此选项的值。
- PermitEmptyPasswords：指定是否允许空密码登录。默认是no。建议设置为no，以防止未经授权的登录。
- ChallengeResponseAuthentication：指定是否启用挑战-响应身份验证。默认是no。如果需要使用两因素身份验证（如基于Google Authenticator的身份验证），则需要将其设置为yes。
- UsePAM：指定是否在登录时使用PAM进行身份验证。默认是yes。建议不要禁用此选项，以便使用系统中其他PAM模块来增强安全性。
- X11Forwarding：指定是否启用X11转发。默认是no。在需要在SSH会话中运行图形界面应用程序时，需要将其设置为yes。
- MaxAuthTries：指定登录尝试次数上限。默认是6。为了避免暴力攻击，建议将其调低。
- AllowUsers和DenyUsers：分别用于指定允许登录的用户和禁止登录的用户。可以使用通配符进行匹配。
- LogLevel：指定日志记录的级别。默认是INFO。可以设置为DEBUG、VERBOSE、SILENT等级别。

上述选项只是SSH服务配置文件中的一部分，不同的SSH服务可能支持不同的选项。为了在生产环境中提高SSH服务的安全性，请务必了解和正确配置所有选项。

SSH服务常用命令 - ssh

1、systemctl status/stop/start/restart sshd.service    # SSH服务器 启动/关闭/重启

 systemctl status/stop/start/restart sshd.service

- `systemctl status sshd.service`：显示SSH服务器服务的当前状态，包括已启动、正在运行、故障等等。
- `systemctl stop sshd.service`：停止SSH服务器服务。
- `systemctl start sshd.service`：启动SSH服务器服务。
- `systemctl restart sshd.service`：重启SSH服务器服务。

2. ssh [远程主机用户名]@[远程服务器主机名或IP地址] [-p port]

- `ssh`：SSH的命令。
- `[远程主机用户名]@[远程服务器主机名或IP地址]`：登录远程主机的用户名和主机名或IP地址。
- `[-p port]`：可选参数，指定远程SSH服务器的端口号。如果未指定此参数，则默认端口号为22。

3. 如果没有指定-p参数，则默认ssh端口为22，22端口是高危端口

- SSH服务器的默认端口是22。攻击者会经常扫描这个端口来尝试寻找可以入侵的目标。
- 为了提高安全性，可以将SSH服务器的端口改为非标准端口，例如4422。
- 注意，非标准端口不是安全的保障，攻击者仍然可以在扫描端口时找到您的服务器。因此，除了更改端口外，还需要采取其他安全措施，例如禁用密码身份验证，启用公钥身份验证等。

SSH服务常用命令 - scp

利用ssh协议传输文件和获取文件：

1、scp root@xxxx:/etc/passwd  /root/passwd10.txt    #下行复制，将远程主机中的etc/passwd文件复制到本机

2、scp -r /etc/ssh  root@xxxx:/opt                 #上行复制，将本机的etc/ssh复制到远程主机，因为是复制目录所以要-r

SCP（Secure Copy）是SSH协议的一部分，用于在本地和远程计算机之间安全地复制文件和目录。下面是一些常用的SCP命令示例:

1. 从远程服务器下载文件到本地:
   ```
   scp username@remote_host:/path/to/file /local/path
   ```
   将远程服务器上的文件复制到本地计算机指定的路径。

2. 将本地文件上传到远程服务器:
   ```
   scp /local/file username@remote_host:/path/to/destination
   ```
   将本地计算机上的文件复制到远程服务器的指定路径。

3. 复制整个目录:
   ```
   scp -r /local/directory username@remote_host:/path/to/destination
   ```
   这将递归地复制本地目录及其所有子目录和文件到远程服务器。

4. 指定端口:
   ```
   scp -P port /local/file username@remote_host:/path/to/destination
   ```
   如果SSH服务器监听非标准端口（默认为22），您可以使用此选项指定使用的端口号。

5. 从远程服务器下载文件到本地，并保留文件的时间戳和权限:
   ```
   scp -p username@remote_host:/path/to/file /local/path
   ```
   使用-p选项将会保留复制文件的原始时间戳和权限。

这些是使用SCP命令进行常见文件复制操作的示例。请记住，您需要替换实际的用户名、主机名或路径来适应您的环境。

使用方式：

scp [参数] [原路径] [目标路径]

常用可选参数：

• -B 使用批处理模式（传输过程中不询问传输口令或短语）
• -C 允许压缩。（将-C标志传递给ssh，从而打开压缩功能）
• -p 保留原文件的修改时间，访问时间和访问权限。
• -r 递归复制整个目录。
• -P port 注意是大写的P, port是指定数据传输用到的端口号

路径规则：

user@IP:dirname
user:登录用户名
IP:登录服务器地址
dirname:文件路径

例如： [email protected]:/etc/share/test.js 表示123.123.123.123服务器上，root用户/etc/share/下的test.js文件

注意：

1. 执行scp命令之后，会要求输入user的登录密码，（如果两台机器之前已部署ssh身份验证，则不需要）；
2. 如果是从服务器获取文件，则目标路径直接填写本地存放路径即可。
3. 如果是上传文件到服务器，则原路径填写本地文件路径即可。

例子：

例1：从远程服务器复制文件到本机目录

$scp [email protected]:/opt/soft/test.js /etc/share/

表示：复制123.123.123.123机器上/opt/soft/目录下test.js文件到本机/etc/share/下。

例2：传输本机文件到远程机器指定目录

$scp /etc/share/test.js [email protected]:/opt/soft/test.js

表示：复制本机器/etc/share/目录下test.js文件到远程123.123.123.123机器上的/opt/soft/目录下。

实践：

将远程连接的主机中的/etc/passwd文件复制到本机

scp [email protected]:/etc/passwd /root/passwd1.txt

scp -r [email protected]:passwd1.txt /

 SSH服务免密登陆：

SSH配置—Linux下实现免密码登录https://www.cnblogs.com/hanwen1014/p/9048717.html

 原理：

 

SSH服务免密登录可以使得用户从本地直接登录远程SSH服务器上，而无需每次都输入密码。这大大方便了用户的操作。

下面是SSH服务免密登录的大致步骤：

1. 生成公钥和私钥

在本地机器上使用ssh-keygen命令生成公钥和私钥，将公钥存放在远程主机的~/.ssh/authorized_keys文件中

ssh-keygen -t rsa

1. 将公钥复制到远程服务器

将本地机器生成的公钥复制到远程服务器的~/.ssh目录下，并将公钥重命名为authorized_keys

ssh-copy-id -i ~/.ssh/id_rsa.pub remote_username@server_ip

 ssh-copy-id -i ~/.ssh/id_rsa.pub [email protected]

1. 配置远程服务器的sshd_config

在远程服务器的sshd_config文件中进行如下设置：

PubkeyAuthentication yes
AuthorizedKeysFile  .ssh/authorized_keys
PasswordAuthentication no

1. 重启sshd服务

systemctl restart sshd

完成以上步骤后，用户直接登录远程服务器即可实现SSH服务免密登录。

需要注意的是，为了确保SSH服务的安全