SSH的原理与应用

SSH的原理与应用

一 SSH简介

SSH是Secure Shell的所写,也叫做安全外壳协议。SSH的主要目的是实现安全远程登录。

二 SSH工作原理

SSH的安全性比较好,其对数据进行加密的方式主要有两种:对称加密(密钥加密)和非对称加密(公钥加密)。

对称加密指加密解密使用的是同一套秘钥。Client端把密钥加密后发送给Server端,Server用同一套密钥解密。对称加密的加密强度比较高,很难破解。但是,Client数量庞大,很难保证密钥不泄漏。如果有一个Client端的密钥泄漏,那么整个系统的安全性就存在严重的漏洞。为了解决对称加密的漏洞,于是就产生了非对称加密。非对称加密有两个密钥:“公钥”和“私钥”。公钥加密后的密文,只能通过对应的私钥进行解密。想从公钥推理出私钥几乎不可能,所以非对称加密的安全性比较高。

SSH的加密原理中,使用了RSA非对称加密算法。整个过程是这样的:(1)远程主机收到用户的登录请求,把自己的公钥发给用户。(2)用户使用这个公钥,将登录密码加密后,发送回来。(3)远程主机用自己的私钥,解密登录密码,如果密码正确,就同意用户登录。

三 中间人攻击

SSH之所以能够保证安全,原因在于它采用了公钥加密,这个过程本身是安全的,但是实际用的时候存在一个风险:如果有人截获了登录请求,然后冒充远程主机,将伪造的公钥发给用户,那么用户很难辨别真伪。因为不像https协议,SSH协议的公钥是没有证书中心(CA)公证的,是自己签发的。

如果攻击者插在用户与远程主机之间(比如在公共的wifi区域),用伪造的公钥,获取用户的登录密码。再用这个密码登录远程主机,那么SSH的安全机性就不存在了。这种风险就是著名的”中间人攻击”(Man-in-the-middle attack)。那么SSH协议是怎样应对的呢?

四 口令登录

如果是第一次登录远程机,会出现以下提示:

$ ssh [email protected]
The authenticity of host ‘host (12.18.429.21)‘ can‘t be established.
RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.
Are you sure you want to continue connecting (yes/no)?

因为公钥长度较长(采用RSA算法,长达1024位),很难比对,所以对其进行MD5计算,将它变成一个128位的指纹。如98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d,这样比对就容易多了。

经过比对后,如果用户接受这个远程主机的公钥,系统会出现一句提示语: 
Warning: Permanently added ‘host,12.18.429.21‘ (RSA) to the list of known hosts. 
表示host主机已得到认可,然后再输入登录密码就可以登录了。

当远程主机的公钥被接受以后,它就会被保存在文件~/.ssh/known_hosts之中。下次再连接这台主机,系统就会认出它的公钥已经保存在本地了,从而跳过警告部分,直接提示输入密码。每个SSH用户都有自己的known_hosts文件,此外系统也有一个这样的文件,一般是/etc/ssh/ssh_known_hosts,保存一些对所有用户都可信赖的远程主机的公钥。

五 公钥登录

使用密码登录,每次都必须输入密码,非常麻烦。好在SSH还提供了公钥登录,可以省去输入密码的步骤。 
所谓”公钥登录”,原理很简单,就是用户将自己的公钥储存在远程主机上。登录的时候,远程主机会向用户发送一段随机字符串,用户用自己的私钥加密后,再发回来。远程主机用事先储存的公钥进行解密,如果成功,就证明用户是可信的,直接允许登录shell,不再要求密码。

这种方法要求用户必须提供自己的公钥。如果没有现成的,可以直接用ssh-keygen生成一个: 
$ ssh-keygen

运行上面的命令以后,系统会出现一系列提示,可以一路回车。其中有一个问题是,要不要对私钥设置口令(passphrase),如果担心私钥的安全,这里可以设置一个。 
运行结束以后,在~/.ssh/目录下,会新生成两个文件:id_rsa.pub和id_rsa。前者是公钥,后者是私钥。

这时再输入下面的命令,将公钥传送到远程主机host上面: 
$ ssh-copy-id [email protected]

远程主机将用户的公钥,保存在登录后的用户主目录的~/.ssh/authorized_keys文件中。 
这样,以后就登录远程主机不需要输入密码了。

如果还是不行,就用vim打开远程主机的/etc/ssh/sshd_config这个文件,将以下几行的注释去掉。 
  
  RSAAuthentication yes 
  PubkeyAuthentication yes 
  AuthorizedKeysFile .ssh/authorized_keys 
  

然后,重启远程主机的ssh服务。 
Redhat6系统 
service ssh restart 
Redhat7系统 
systemctl restart ssh 
ubuntu系统 
service ssh restart 
debian系统 
/etc/init.d/ssh restart

六 SSH端口转发

SSH端口转发有三种:动态端口转发、本地端口转发、远程端口转发。 
这三种方式说起来有点难理解,通过例子会好理解一点。假设有三台主机,host1、host2、host3。

动态端口转发是找一个代理端口,然后通过代理端口去连相应的端口。动态端口转发的好处在于通过代理端口可以去找很多需要连接的端口,提高了工作效率。比如host1本来是连不上host2的,而host3却可以连上host2。host1可以找到host3作代理,然后通过host3去连接host2的相应端口

本地端口转发也是找到第三方,通过第三方再连接想要连接的端口,但这种方式的端口转发是固定的,是点对点的。比如假定host1是本地主机,host2是远程主机。由于种种原因,这两台主机之间无法连通。但是,另外还有一台host3,可以同时连上host1和host2这两台主机。通过host3,将host1连上host2。host1找到host3,host1和host3之间就像有一条数据传输的道路,通常被称为“SSH隧道”,通过这条隧道host1就可以连上host2。

远程端口转发和本地端口转发就是反过来了。假如host1在外网,host2在内网,正常情况下,host1不能访问host2。通过远程端口转发,host2可以反过来访问host1。host2和host1之间形成了一条道路,host1就可以通过这条道路去访问host2。

七 SSH基本用法

SSH主要用于远程登录: 
假定你要以用户名user,登录远程主机host,只要一条简单命令就可以了。 
$ ssh [email protected]

如果本地用户名与远程用户名一致,登录时可以省略用户名。 
$ ssh host

SSH的默认端口是22,也就是说,你的登录请求会送进远程主机的22端口。使用p参数,可以修改这个端口。 
$ ssh -p 2018 [email protected] 
上面这条命令表示,ssh直接连接远程主机的2018端口。

原文地址:https://www.cnblogs.com/lifei02/p/9892532.html

时间: 2024-10-27 05:54:32

SSH的原理与应用的相关文章

SSH深度历险(七) 剖析SSH核心原理(一)

接触SSH有一段时间了,但是对于其原理,之前说不出来莫模模糊糊(不能使用自己的语言描述出来的就是没有掌握),在视频和GXPT学习,主要是实现了代码,一些原理性的内容还是欠缺的,这几天我自己也一直在反问着自己,学习本不应该是这个样子了,道理倘若不懂:就是常说的老牛只知道低头拉磨,不抬头看路,映射到学习中,如果我们只是一味的写代码,而不懂原理的话,这样的生命力是不持久的,是短暂的,后劲会很不足,反问的学习促使我对这些逐步的深入了思考,参考了很多的网友博客与PDF资料,自己感悟而成,现和大家分享. 首

SSH深度历险(八) 剖析SSH核心原理+Spring依赖注入的三种方式

在java开发中,程序员在某个类中需要依赖其它类的方法,则通常是new一个依赖类再调用类实例的方法,这种开发存在的问题是new的类实例不好统一管理,spring提出了依赖注入的思想,即依赖类不由程序员实例化,而是通过spring容器帮我们new指定实例并且将实例注入到需要该对象的类中.依赖注入的另一种说法是"控制反转",通俗的理解是:平常我们new一个实例,这个实例的控制权是我们程序员,而控制反转是指new实例工作不由我们程序员来做而是交给spring容器来做. Spring依赖注入(

SSH加密原理、RSA非对称加密算法学习与理解

首先声明一下,这里所说的SSH,并不是Java传统的三大框架,而是一种建立在应用层和传输层基础上的安全外壳协议,熟悉Linux的朋友经常使用到一 个SSH Secure Shell Cilent的工具,本文也是基于此工具加密原理的学习,在SSH的加密原理中,使用到了RSA非对称加密算法,本文也一并做了学习和了解. 非对称加密算法 在日常的工作生产中, 我们经常需要进行数据的通讯,开发人员经常需要对数据进行加解密操作,以保证数据的安全.数据的加密算法非为对称加密和非对称加密两种,常用的DES.三

SSH 协议原理、组成、认证方式和过程[转]

https://www.jianshu.com/p/8e5b7aea52b5 概述 SSH是(Secure SHell protocol) 的简写,安全外壳协议(SSH)是一种在不安全网络上提供安全远程登录及其它安全网络服务的协议. OpenSSH 是SSH (Secure SHell)协议的免费开源实现.SSH协议族可以用来进行远程控制,或在计算机之间传送文件.而实现此功能的传统方式,如telnet(终端仿真协议). rcp ftp. rlogin.rsh都是极为不安全的,并且会使用明文传送密

SSH认证原理和批量分发管理

SSH密码认证原理 几点说明: 1.服务端/etc/ssh目录下有三对公钥私钥: [[email protected] ssh]# ls moduli ssh_config sshd_config ssh_host_dsa_key ssh_host_dsa_key.pub ssh_host_key ssh_host_key.pub ssh_host_rsa_key ssh_host_rsa_key.pub 其中,ssh_host_key和ssh_host_key.pub 用于ssh协议1版本:其

SSH验证原理

http://www.tuicool.com/articles/qyiyim SSH之所以能够保证安全,原因在于它采用了公钥加密. 整个ssh密码登录过程是这样的: 1)用户向远程主机发登录请求:ssh [email protected]远程主机 2)远程主机收到用户的登录请求,把自己的公钥发给用户. 2)用户使用这个公钥,将登录密码加密后,发送回远程主机. 3)远程主机用自己的私钥,解密登录密码,如果密码正确,就同意用户登录. 在linux上,如果你是第一次登录对方主机,系统会出现下面的提示:

ssh协议原理以及实现

ssh(Secure SHell)的诞生: 互联网最初的时候,人们使用telnet远程登陆主机进行操作,但是telnet协议用致命缺陷,它的认证过程和数据传输过程都是明文的,这样,我们主机的信息很容易被他人窃取,于是人们发明ssh协议来解决这个问题. ssh原理:(摘抄自http://bbs.hh010.com/thread-140062-1-1.html,别问我为什么不自己写,一个字,懒) ssh支持多种认证方式,比较常见的有两种:基于口令的方式和基于主机密钥的方式. 大概过程如下(假设从A连

SSH连接原理及ssh-key讲解

第1章 SSH服务介绍说明 1.1 SSH服务介绍 SSH(22端口)是Secure Shell Protocol的简写,由IETF网络工作小组(Network Working Group)制定:在进行数据传输之前,SSH先对联机数据包通过加密技术进行加密处理,加密后在进行数据传输.确保了传递的数据安全. SSH是专为远程登录会话和其他网络服务提供的安全性协议.利用SSH协议可以有效的防止远程管理过程中的信息泄露问题,在当前的生产环境运维工作中,绝大多数企业普通采用SSH协议服务来代替传统的不安

SSH加密原理

SSH是加密的通信方式,这种通信方式的非对称加密的,非对称加密就需要使用公钥和私钥. A机器产生公钥和私钥文件,A机器要连接B机器,就需要把A机器的公钥复制到B机器, A机器连接B机器的时候会向B机器发出请求,B机器会给A机器发送字符串,A机器拿到B机器发送的字符串使用私钥加密,然后发送给B机器,B机器拿到私钥加密后的字符串,然后与(B机器发送给A机器的)原始字符串用A机器的公钥进行加密后按照一定的算法进行比较,如果匹配正确则可信任. 实践: SSH免密码登录: 在主节点A机器执行ssh-key