ssh 是什么

在 linux 上工作,ssh 是必须要了解的技术方法。它可以建立起多台主机之间的安全的加密传输,以进行远程的访问、操控、传输数据。

SSH 為 Secure Shell 的縮寫。為建立在应用层和传输层基础上的安全协议。

传统的网络服务程序,如 FTP、POP 和 Telnet 其本质上都是不安全的;因为它们在网络上用明文传送数据、用户帐号和用户口令,很容易受到中间人(man-in-the-middle)攻击方式的攻击。就是存在另一个人或者一台机器冒充真正的服务器接收用户传给服务器的数据,然后再冒充用户把数据传给真正的服务器。
而 SSH 是目前较可靠,專为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。透過 SSH 可以對所有传输的数据进行加密,也能够防止 DNS 欺骗和 IP 欺骗。

SSH 之另一項優點為其传输的数据是经过压缩的,所以可以加快传输的速度。SSH 有很多功能,它既可以代替 Telnet,又可以为 FTP、POP、甚至为 PPP 提供一个安全的「通道」。
了解这么多就好了,其实 ssh 连接也就是可以理解成经过加密的远程访问啦。

—(来自中文维基)

ssh 连接的验证、加密方式

ssh 连接是 CS 模型(客户端-服务器),客户端发出连接申请,服务器对客户端进行验证,再考虑是否接受连接申请。

ssh 的安全加密方式的理论基础是非对称加密体系。而非对称加密中,常见的一种就是 RSA 加密算法。在使用 ssh,务必先弄清楚非对称加密和 rsa 的算法流程。详情参见 RSA 加密算法

ssh 有两种级别的安全验证:账户口令验证、rsa 加密验证。详细参数,可以在 sshd_config 配置文件中设置(Ubuntu 是/etc/ssh/sshd_config,mac 下是/etc/sshd_config)

账号口令验证

直接输入所要登陆的用户的口令是默认的方式。不需要修改配置文件。

如果直接从客户端将用户密码传输到服务器,那么密码信息很容易被中间人截获,从而实现重放攻击。ssh 的实现方式是:

  • 1.客户端向 ssh 服务器发出请求,服务器将自己的公钥返回给客户端;
  • 2.客户端用服务器的公钥加密自己的登录密码,再将信息发送给服务器;
  • 3.服务器接收到客户端传送的密码,用自己的私钥解码,如果结果正确,则同意登录,建立起连接。

这种方式还是有漏洞的,中间人可以假扮成服务器,骗取客户端的密码。

RSA 加密验证

rsa 加密验证方式,充分利用了非对称加密体系的优势,不需要在网络传输密码,完全杜绝了中间人攻击的可能。步骤如下:

准备工作
  • -1.客户端先使用 ssh-keygen 命令,生成私钥和公钥。按照默认配置,私钥会被保存在~/.ssh/id_rsa 中,公钥则在~/.ssh/id_rsa.pub 中。(一般别修改这里的文件)
  • 0.客户端通过安全的方式将公钥发送给服务器。在服务器端,将客户端发的公钥写入到~/.ssh/authorized_keys 文件末尾。
建立连接
  • 1.客户端发出申请。服务器产生 session 密钥对,返回通过对应客户端的公钥加密后的 session 公钥。
  • 2.客户端用自己的密钥解密信息,得到 session 公钥。
  • 3.之后的数据交互,都通过对方方公钥加密,对方收到信息后,用其私钥解密,实现安全加密过程。

免密码的 RSA 加密方式实施过程

  • 1.安装 ssh

mac 下自带的有,ubuntu 下直接 sudo apt-get install ssh。

  • 2.在客户端生成私钥公钥

使用 ssh-keygen 命令生成密钥对。遇到提示都直接回车(其中 passphrase 是保护 rsa 密钥的另一套加密方式)。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/Users/biaobiaoqi/.ssh/id_rsa): /Users/biaobiaoqi/.ssh/id_rsa
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /Users/biaobiaoqi/.ssh/id_rsa.
Your public key has been saved in /Users/biaobiaoqi/.ssh/id_rsa.pub.
The key fingerprint is:
b7:c2:5c:3f:83:5e:5e:93:a4:42:db:51:d8:ac:07:66 biaobiaoqi@biaobiaoqi.local
The key's randomart image is:
+--[ RSA 2048]----+
| |
| + |
| E + |
| o + |
| S + o o |
| o + * = . |
| + = B + |
| o + + . |
| . . |
+-----------------+

结果是在~/.ssh/下生成了 id_rsa(私钥)和 id_rsa.pub(公钥)

  • 3.将客户端的公钥 id_rsa.pub 传递给服务器

传送 id_rsa.pub 到服务器上,并将其内容写入到~/.ssh/authorized_keys 文件尾。

可以物理的用 U 盘转运(似乎更安全),也可以使用 scp 指令(这个时候就需要运用到口令验证的 ssh 方式)

1
2
$scp ~/.ssh/id_rsa.pub user@host:~/.ssh/tmp_id_rsa.pub
$ssh user@host "cat ~./ssh/tmp_id_rsa.pub >> ~/.ssh/authorized_keys"

在执行 scp 传输的过程中,如果是第一次 ssh 连接到服务器,客户端会提示是否信任这个主机,比如:

1
2
3
4
$scp ~/.ssh/id_rsa.pub user@host:~/.ssh/tmp_id_rsa.pub
The authenticity of host XXX can't be established.
ECDSA key fingerprint is xxxxxxxxxxxxxxxxxxxxxx.
Are you sure you want to continue connecting (yes/no)?

原因是,客户端不确定所连接的 host 是否是真正的 host。一般情况,直接输入 yes,继续就好了。这里有较详细的解释:点击连接

然后就可以免密码、更安全的登录啦

1
 ssh xxxx@hostAddress

在 ssh 登录服务器时,如果出现如下问题:Agent admitted failure to sign using the key 则需要手工将客户端私钥加入到 ssh 管理体系中。使用 ssh-add 指令。(具体机理还不太清楚)

1
$ssh-add   ~/.ssh/id_rsa

and one more thing;)

ssh+firefox+autoproy

看看 wall 外面的世界,是多么美好的事情。ssh 能帮我们做到,只要有一台在 wall 外的主机做代理。
具体方式参见博文:ssh+firefox-autoproxy

SCP 命令加密赋值数据

1
2
3
4
5
6
7
8
#将本地文件复制到远程主机上
$scp ~./tmp user@rehost:~/tmp #见远程主机上的文件复制到本地
$scp user@rehost:~/tmp ~./tmp #复制的是目录,需要迭代,添加-r 参数
$scp -r user@rehost:~/tmpDir ~./tmpDir

SSH 的配置

具体参数细节参见博文:SSH 安全性和配置入门
sshd_config 配置 详解

推荐阅读:

SSH原理和使用的更多相关文章

  1. SSH原理与运用

    SSH是每一台Linux电脑的标准配置. 随着Linux设备从电脑逐渐扩展到手机.外设和家用电器,SSH的使用范围也越来越广.不仅程序员离不开它,很多普通用户也每天使用. SSH具备多种功能,可以用于 ...

  2. SSH原理与运用(二):远程操作与端口转发

    SSH原理与运用(二):远程操作与端口转发 作者:阮一峰 (Image credit: Tony Narlock) 七.远程操作 SSH不仅可以用于远程主机登录,还可以直接在远程主机上执行操作. 上一 ...

  3. SSH原理与运用(一)和(二):远程登录 RSA算法原理(一)和(二)

    SSH原理与运用(一)和(二):远程登录  RSA算法原理(一)和(二) http://www.ruanyifeng.com/blog/2011/12/ssh_remote_login.html ht ...

  4. SSH原理与运用一:远程登录(转)

    原文:http://www.ruanyifeng.com/blog/2011/12/ssh_remote_login.html 作者: 阮一峰 SSH是每一台Linux电脑的标准配置. 随着Linux ...

  5. ssh原理[转]

    SSH是每一台Linux电脑的标准配置. 随着Linux设备从电脑逐渐扩展到手机.外设和家用电器,SSH的使用范围也越来越广.不仅程序员离不开它,很多普通用户也每天使用. SSH具备多种功能,可以用于 ...

  6. Hadoop第一式:配置Linux环境之免密配置及SSH原理

    一.配置SSH免密登录 进入/.ssh目录,执行密钥生成指令 ssh-keygen -t rsa (rsa为默认加密格式) 然后会出现四个提示,让你选择密钥保存路径.指纹.拍照啥的,不用管它直接回车过 ...

  7. ssh原理图解

    SSH(Secure Shell)是一种能够以安全的方式提供远程登录的协议,也是目前远程管理Linux系统的首选方式.在此之前,远程登录一般常用FTP和Telnet,但是它们以明文的形式在网络中传输账 ...

  8. 图解SSH原理及两种登录方法

    SSH(Secure Shell)是一套协议标准,可以用来实现两台机器之间的安全登录以及安全的数据传送,其保证数据安全的原理是非对称加密. 传统的对称加密使用的是一套秘钥,数据的加密以及解密用的都是这 ...

  9. SSH原理与运用(一):远程登录(转)

      作者: 阮一峰 日期: 2011年12月21日 SSH是每一台Linux电脑的标准配置. 随着Linux设备从电脑逐渐扩展到手机.外设和家用电器,SSH的使用范围也越来越广.不仅程序员离不开它,很 ...

  10. 图解SSH原理

    1. 初见SSH SSH是一种协议标准,其目的是实现安全远程登录以及其它安全网络服务. SSH仅仅是一协议标准,其具体的实现有很多,既有开源实现的OpenSSH,也有商业实现方案.使用范围最广泛的当然 ...

随机推荐

  1. HTTP--Request Headers及Cookies

    简介: HTTP客户程序(例如浏览器),向服务器发送请求的时候必须指明请求类型(一般是GET或者POST).如有必要,客户程序还可以选择发送其他的请求头.大多数请求头并不是必需的,但Content-L ...

  2. 【Codeforces Round #433 (Div. 2) B】Maxim Buys an Apartment

    [链接]h在这里写链接 [题意] 你有n个位置,然后其中有k个地方是已经被人占据了的. 一个"好的位置"的定义是指,这个位置相邻的地方其中至少有一个被人占据了. k个被人占据的位置 ...

  3. startActivityForResult()方法具体解释

    我们都知道.要开启一个Activity能够在上下文环境中调用startActivity()方法. 可是假设想从开启的Activity中获取某些数据,就能够使用startActivityForResul ...

  4. 关于 /etc/zabbix/zabbix_agentd.conf 文件 Hostname 文件的说明

    前提 (1) /etc/hosts 文件如下 [root@testdb ~]# cat /etc/hosts 127.0.0.1 localhost localhost.localdomain loc ...

  5. IntelliJ IDEA+SpringBoot中静态资源访问路径陷阱:静态资源访问404

    IntelliJ IDEA+SpringBoot中静态资源访问路径陷阱:静态资源访问404 .embody{ padding:10px 10px 10px; margin:0 -20px; borde ...

  6. vue学习笔记三:常见的表单绑定

    <template> <div id="app"> <input type="checkbox" id="checked ...

  7. POJ 2785 4 Values whose Sum is 0 Hash!

    http://poj.org/problem?id=2785 题目大意: 给你四个数组a,b,c,d求满足a+b+c+d=0的个数 其中a,b,c,d可能高达2^28 思路: 嗯,没错,和上次的 HD ...

  8. POJ2739_Sum of Consecutive Prime Numbers【筛法求素数】【枚举】

    Sum of Consecutive Prime Numbers Time Limit: 1000MS Memory Limit: 65536K Total Submissions: 19350 Ac ...

  9. Android 图片压缩,基于比例和质量压缩

    package cc.util.android.image; import java.io.ByteArrayOutputStream; import java.io.File; import jav ...

  10. 8大排序算法图文讲解 分类: B10_计算机基础 2014-08-18 15:36 243人阅读 评论(0) 收藏

    排序算法可以分为内部排序和外部排序,内部排序是数据记录在内存中进行排序,而外部排序是因排序的数据很大,一次不能容纳全部的排序记录,在排序过程中需要访问外存. 常见的内部排序算法有:插入排序.希尔排序. ...