重装服务器系统后，ssh连接失败的解决办法

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed
The fingerprint for the ECDSA key sent by the remote host is
SHA256:ukgcmGaOUR7xm3pdU4Kz66vHffMWvBwsrTlPm+cTNBw
Please contact your system administrator
Add correct host key in /Users/Flinn/ssh/known_hosts to get rid of this message
Offending ECDSA key in /Users/Flinn/ssh/known_hosts:1
ECDSA host key for 13922423328 has changed and you have requested strict checking
Host key verification failed

实现此的技术原理：
在内网通过域名绑定服务器,外网SSH访问连接时,通过域名的访问,实现访问内网LINUX。
具体的实现过程如下：
明确LINUX服务器内网访问地址端口，确保LINUX服务器正常开启SSH服务，在内网SSH可以正常访问连接。如图所示：
被访问端的Linux主机上使用nat123动态域名解析Linux版本。
在被访问端的Linux服务器安装nat123客户端，并登录使用它。
登录网页，左侧用户中心，添加域名解析，选择动态域名解析并添加确认。
选择动态域名解析记录，使用二级域名，或自己的域名。鼠标放在输入框有向导提示。如不理解负载均衡，不要勾选多点登录。
新添加动态解析后，等待几分钟生效。解析生效后，动态解析域名与本地公网IP是保持对应的。可以通过ping下域名核实，返回结果IP地址为本地公网IP地址时，表示动态解析生效正常。
路由器端口映射，路由映射SSH访问22端口。
因为公网IP是在路由器上的，外网访问时，需要经过路由，需要在路由器上做端口映射，将内网LINUX服务器访问22端口打通。路由器端口映射位置：转发规则/虚拟服务器/添加允许外网访问端口和协议。我的LINUX服务器SSH服务端口是默认的22，我内网对应LINUX服务器主机的内网IP地址是192168129。
外网访问时，使用动态解析域名。
在外网使用SSH访问内网LINUX服务器时，使用动态解析域名进行连接访问。域名是不变的，可以上网即可访问，再也不担心动态公网IP变化的问题。

这里的”远程” *** 控的方法实际上也不是真正的远程，此 *** 作方法主要是在一个局域网内远程 *** 控电脑 (在一个路由器下)。

*** 作步骤：

1、百度搜索“SSH Secure Shell Client”下载并安装。

2、打开我们安装好的SSH Secure Shell Client。

3、点击Profiles选择add profiles 并添加profils名称（自定义一个名字）

4、然后点击刚定义好的profiles，出现如下界面，填写远程linux的ip，用户名，密码，port 默认为22；Authentication 选择password，点击connect。

5、出现如下界面，表示连接成功。

6、选择文件夹按钮可以用“资源管理器”的形式查看，传输文件。

7、出现如下界面，左面是指你的桌面，右面是你的远程linux桌面，接下来你就可以尽情 *** 纵你的linux了。

secure shell protocol简称SSH,是由IETF网络工作小组(network working group) 制定,在进行数据传输之前, SSH先对联级数据包通过加密技术进行加密处理,加密后在进行数据传输,确保了传递的数据安全
SSH是 专门为远程登录会话和其他网络服务(例如:rsync,ansible)提供的安全性协议 ,利用SSH协议可以有效的防止远程管理过程中的信息泄露问题,绝大多数企业普遍采用SSH协议服务来代替传统的不安全的远程连接服务器软件(例如:Telnet/23端口/非加密的)等

然后开始输入用户名

右击选中追踪流,在右侧再选中TCP流

即可显示数据包的全过程,圈中的部分是用户名,之所以每个单词重复出现,是因为数据有请求,有确认,所以会重复,去重以后就是用户名:shuai,密码:123456

在显示 yes/no 的时候,如果输入的 yes 就接收到了服务端发送过来的公钥信息,把这个信息放到了 /root/ssh/known_hosts文件 里

SSH服务由服务端软件 OpenSSH(Openssl) 和客户端 常见的有SSH(linux),secureCRT,putty,Xshell 组成SSH服务默认使用22端口提供服务, 他有两个不兼容的SSH协议版本,分别是1x和2x

如果在进行连接的时候出现以下情况,如何解决

基于口令的安全验证方式就是知道服务器的SSH连接账号和口令(也要知道对应服务器的IP地址及开放的SSH端口,默认为22端口)就可以通过SSH客户端登录到远程主机上面,此时联机过程中所有传输的数据都是加密的!
- 演示XSHELL及SSH客户端连接,口令验证测试

基于密钥的安全验证方式是指,需要依靠密钥,也就是必须事先建立一对密钥对,然后把 公用密钥(锁头:public key) 放在需要访问的目标服务器上,另外,还需要把 私有密钥(钥匙:private key) 放到SSH的客户端或对应的客户端服务器上
此时,如果想要连接到这个带有公用密钥的SSH服务器上,客户端SSH软件或者客户端服务器就会向SSH服务器发出请求,请用联机的用户密钥进行安全验证,SSH服务器收到请求之后,会先在该SSH服务器上连接的用户的家目录下面寻找事先放上去的对应用户的公用密钥,然后把它和连接SSH客户端发送过来的公用密钥进行比较,如果两个密钥一直,SSH服务器就用公用密钥加密"质询(challenge)"并把它发送给SSH客户端!
SSH客户端收到"质询"之后就可以用自己的私钥解密,在把它发送给SSH服务器,使用这种方式,需要知道联机用户的密钥文件,与第一种基于口令验证的方式相比,第二种方式不需要在网络上传送口令密码,所以安全性更高了,这是我们也注意保护我们的密钥文件,特别是私钥文件,一旦被黑获取到,危险系数增大很多

修改SSH服务的运行参数,是通过修改配置文件 /etc/ssh/sshd_config 来实现的
一般来说SSH服务使用默认的配置已经能够很好的工作了,如果对安全要求不高,仅仅提供SSH服务的情况,可以不需要修改任何参数配置

SSH服务监听参数说明

企业服务器被入侵案例

拉取:PULL

SSH详解-1ssh基础知识
SSH详解-2ssh基本用法
SSH详解-3密钥登陆
SSH详解-4多个ssh公钥

OpenSSH 的客户端是二进制程序 ssh，Linux 系统一般都自带 ssh。新版的win10开启ssh服务，但不是很好用，可以使用一些好用的软件 Xshell 、 Putty 等

安装OpenSSH 以后，可以使用 -V 参数输出版本号，查看一下是否安装成功。
ubuntu

windows

ssh最常用的用途就是登录服务器，当然这需要服务器再运行着sshd。
ssh 登录服务器的命令如下,例如连接局域网内一台ip地址为192168198的主机

上面命令中，root是用户名，@后面的是主机名，它可以是域名，也可以是 IP 地址或局域网内部的主机名。

用户名也可以使用ssh的 -l 参数指定，这样的话，用户名和主机名就不用写在一起了。

ssh 默认连接服务器的22端口， -p 参数可以指定其他端口。

上面命令连接服务器192168198的8888端口，这里没有指定用户名。将使用客户端的当前用户名，作为远程服务器的登录用户名。

刚刚应该注意到这段话了，这段话是什么意思呢？

上面这段话的意思是192168198这个服务器的指纹是陌生的，是否要继续连接（输入 yes or no ）。

接下来，输入 yes 后ssh会将当前服务器的指纹存储在本机 ~/ssh/known_hosts 文件中。以后再连接的时候，就不会再出现警告了。
也就是说，ssh通过判断当前服务器公钥的指纹是否存在于~/ssh/known_hosts文件中，来判断是否为陌生主机

然后，客户端就会跟服务器建立连接。
接着，ssh 要求用户输入所要登录账户的密码，用户输入密码验证成功后就可以使用远程shell了。

ssh(1) - OpenBSD manual pages

---