年初,新冠肺炎疫情的出现,全国数千万名员工在家远程办公,使用个人设备通过家庭网络访问公司资料。因此,IT 安全团队面临了众多新挑战:如何实施更加安全的身份验证方案,以确保只有授权人员和设备才能访问公司敏感资产?

不少小伙伴想起了 SSH,其实大家对它都比较熟悉。大到虚拟机、服务器,小到手机、家电,Linux 设备普及越来越广,SSH 的运用也越来越广泛。不仅攻城狮、程序猿离不开它,普通用户也基本都在使用。SSH 可以说是各服务器的标配,有了 SSH,我们不必每次都要蹲到机房里连接服务器配置服务器,直接远程就可以操作,同样,有了 SSH,也能解决远程办公的一些安全性问题。

下面我们就来详细了解一下 SSH 的传奇故事。

什么是 SSH

SSH(Secure Shell)是一种加密的网络传输协议,它允许用户通过 Internet 控制和修改远程服务器。该协议的出现替代了未加密的登录协议(例如 telnet/rlogin)和不安全的文件传输方法(例如 FTP),并使用了加密技术来确保与远程服务器之间的所有通信都以加密的方式进行。它提供了一种机制,用于验证远程用户,将输入从客户端传输到服务器,以及将输出中继回客户端。

SSH 提供了强大的加密和完整性保护。在客户端和服务器之间建立连接后,SSH 将根据设置中协商的参数对传输的数据进行加密。在协商过程中,客户端和服务器根据使用的对称加密算法达成一致,并生成将要使用的加密密钥。通讯双方之间的通信受到行业标准的强加密算法(例如 AES(高级加密标准))的保护,并且 SSH 协议还包括一种机制,该机制通过使用标准哈希算法(例如 SHA)来确保传输数据的完整性。

SSH 除了提供强大的加密功能外,网络管理员还广泛使用 SSH 远程管理系统和应用程序,交付软件补丁或执行命令并移动文件。

SSH 协议如何工作

任何 Linux 或 macOS 用户都可以直接从终端窗口通过 SSH 进入其他远程服务器。而 Windows 用户可以利用 Xshell、Putty 之类的 SSH 客户端。进入之后就可以与直接操作远程计算机相同的方式执行 Shell 命令。

SSH 默认在 TCP 端口 22 上运行(可以根据需求修改)。服务器在 22 端口上监听传入的连接。如果验证成功,它将对客户端进行身份验证并打开正确的通道来进行安全连接。客户端必须通过与服务器启动 TCP 握手,确保安全的对称连接,验证服务器显示的身份是否与以前的记录(通常记录在 RSA 密钥存储文件中)匹配,并提供所需的用户凭据来开始 SSH 连接。

服务器(主机)身份验证

SSH 协议内置于 Unix 和 Linux 服务器中,以实现系统之间的安全连接。该连接由请求连接到 SSH 服务器的客户端建立。SSH 客户端启动连接建立过程,并使用公共密钥加密技术来验证 SSH 服务器的身份。在设置阶段之后,SSH 协议使用强大的对称加密和哈希算法来确保客户端和服务器之间交换数据的私密性和完整性。

下图是根据 NIST IR 7966 改编而成的,它简化了 SSH 连接的流程:

  • 客户端启动与 SSH 服务器的连接

  • 服务器将其公钥发送给客户端

  • 服务器的公钥保存在客户端的已知主机文件中

  • 客户端与服务器协商连接参数并建立连接

客户端(用户)身份验证

SSH 协议使用传统密码或公共密钥来启用客户端身份验证。但是,鉴于使用密码的风险和效率低下,公钥身份验证被更广泛地使用。SSH 密钥不仅比密码更强大,而且系统管理员还可以绕过基于密码的手动登录。

用户如何使用 SSH 密钥进行身份验证呢?它们可以使用 ssh-keygen 命令与 SSH 客户端(例如 OpenSSH)生成一个公私钥对。创建后,用户将其授权密钥(公共密钥)放入需要连接的服务器上的 authorized_keys 文件中。

当用户使用基于密钥的身份验证远程登录时,OpenSSH 服务器将查找授权密钥,然后用户使用其对应的私钥向服务器进行身份验证。由于不需要手动身份验证,因此通常使用基于密钥的身份验证用于 IT 流程的自动化,例如安全的文件传输,备份和复制流程或配置管理工具(例如 Ansible,Terraform,Chef 或 Puppet) 。

SSH 协议的常见用例

SSH 连接主要用于保护本地计算机和远程主机之间不同类型的通信,包括:

  • 安全远程访问资源

  • 远程执行命令

  • 交付软件补丁和更新

  • 交互式和自动文件传输

除了在本地计算机和远程计算机之间创建安全通道外,SSH 协议还用于管理重要的公司基础结构,例如路由器,服务器硬件,虚拟化平台和操作系统等。

SSH 密钥用于自动访问服务器,通常用于脚本,备份系统和配置管理工具中。由于其设计允许跨组织边界的连接,并且 SSH 密钥提供了单点登录(SSO)功能,使用户无需每次输入密码即可在各个帐户之间移动。

最后,插播段小广告:又拍云的“一键登录”功能,和 SSH 密钥登录类似,用户仅需要允许服务商应用获取本机手机号码,并通过运营商网络上传,即可完成用户身份校验。不需要频繁的输入密码和手机验证码,很大程度上降低了注册、登录环节的用户流失。

推荐阅读

技术选型:为什么批处理我们却选择了Flink

有赞统一接入层架构演进

服务器标配 SSH 协议,你了解多少?的更多相关文章

  1. CentOS下搭建Git服务器(基于SSH协议)

    1,安装Git所需依赖包      # yum install curl-devel expat-devel gettext-devel openssl-devel zlib-devel      # ...

  2. Git服务器、http协议及XCode

    本来费了老鼻子牛劲搭好了SVN,可以通过web进行访问,也弄好了eclipse和XCode,结果几个开发的同事说要上git,悲了个催,又开始折腾git. 因为公司只有一个公网的http出口,因此开始了 ...

  3. Git : SSH 协议服务器

    SSH 协议用于为 Git 提供远程读写操作,是远程写操作的标准服务. SSH协议语法格式 对于拥有 shell 登录权限的用户账号,可以用下面的语法访问 Git 版本库: 语法 1 : ssh:// ...

  4. Mac下使用终端连接远程使用ssh协议的git服务器

    最近换了台新电脑, MacBook pro,拿到新电脑之后小小心喜了一下(终于解脱windows的束缚拥抱mac啦), 然后就开始苦逼的安装各种开发环境了. 之前在windows上使用tortoise ...

  5. Findout之为什么公司内部不能使用SSH协议连接外网服务器

    今天在公司学习Linux的过程中,想试着像在Windows中操作Github一样对代码进行克隆,只不过是使用命令行的方式.根据一篇博文(Linux下初次使用Github配置)进行了配置,当我进行到第二 ...

  6. TortoiseSVN使用svn+ssh协议连接服务器时重复提示输入密码

    当使用svn+ssh协议连接svn服务器时,ssh会提示请求认证,由于不是svn客户端程序来完成ssh的认证,所以不会缓存密码. 而svn客户端通常会建立多个版本库的连接,当密码没有缓存的时候,就会重 ...

  7. paramiko:实现ssh协议,对linux服务器资源的访问

    介绍 网络传输是遵循协议的,比如SSH,paramiko则是实现了SSHv2协议的一个python库(底层使用的是cryptography).有了paramiko之后,我们便可以通过python使用s ...

  8. 何为SSH协议?

    该文来自百度百科,自我收藏. SSH 为 Secure Shell 的缩写,由 IETF 的网络小组(Network Working Group)所制定:SSH 为建立在应用层基础上的安全协议.SSH ...

  9. 【Jsch】使用SSH协议连接到远程Shell执行脚本

    如果大家熟悉Linux的话,一定对ssh,sftp,scp等命令非常熟悉,ssh是一个安全协议,用来在不同系统或者服务器之间进行安全连接,SSH 在连接和传送的过程中会加密所有的数据. 但是SSH一般 ...

随机推荐

  1. [原题复现+审计][BJDCTF2020]Mark loves cat($$导致的变量覆盖问题)

    简介  原题复现:https://gitee.com/xiaohua1998/BJDCTF2020_January  考察知识点:$$导致的变量覆盖问题  线上平台:https://buuoj.cn( ...

  2. phpstorm换行符设置LF

    git执行命令行 git config --global core.autocrlf true

  3. Elasticsearch实现搜索推荐词

    本篇介绍的是基于Elasticsearch实现搜索推荐词,其中需要用到Elasticsearch的pinyin插件以及ik分词插件,代码的实现这里提供了java跟C#的版本方便大家参考. 1.实现的结 ...

  4. 通过jquery 获取下拉列表中选中的值对应的value

    <div class="col-sm-9"> <select id="device-type" class="form-contro ...

  5. [python学习手册-笔记]003.数值类型

    003.数值类型 ❝ 本系列文章是我个人学习<python学习手册(第五版)>的学习笔记,其中大部分内容为该书的总结和个人理解,小部分内容为相关知识点的扩展. 非商业用途转载请注明作者和出 ...

  6. CSP-SJX2019 解题报告

    T1 日期 日高于 \(31\) 或等于 \(00\) 的要修改 \(1\) 次. 月高于 \(12\) 或等于 \(00\) 的要修改 \(1\) 次. 月等于 \(02\) 且日大于 \(28\) ...

  7. C语言讲义——结构体struct

    结构体是一种变量类型,可以包含多个变量(变量类型不必相同). 结构体的关键字是struct也是一种值类型. 例:设计一个表示"书本"的结构体: structBook { chari ...

  8. 【mq读书笔记】消息消费队列和索引文件的更新

    ConsumeQueue,IndexFile需要及时更新,否则无法及时被消费,根据消息属性查找消息也会出现较大延迟. mq通过开启一个线程ReputMessageService来准时转发commitL ...

  9. matlab中实现 IEEE754浮点数 与 一般十进制数之间 互相转换的方法

    ------------恢复内容开始------------ %2020/12/2 11:42:31clcformat long % IEEE754 to deca = '40800000'a = d ...

  10. LeetCode 039 Combination Sum

    题目要求:Combination Sum Given a set of candidate numbers (C) and a target number (T), find all unique c ...