ssh探头安全

1。  ssh 合约

SSH 为建立在应用层和传输层基础上的安全协议。

SSH 是眼下较可靠,专为远程登录会话和其它网络服务提供安全性的协议。利用
SSH 协议能够有效防止远程管理过程中的信息泄露问题

2.细节

ssh 登录

1.ssh向sshd发起请求,sshd会告诉请求过来的ssh自己是啥版本号,还又能跟那些版本号搭话。

2.ssh确认自己版本号够新能够和sshd交互后,ssh和sshd就開始交换两方能支持的加密算法之类的信息

3.sshd就首先生成session key, 把当中的sshd_key_pub发给ssh, 而且随机生成一个id,也发给ssh

4.ssh自己也生成session key,然后和id异或得到暂时的tmp_session_key,然后用sshd_key_pub加密发给sshd5.sshd用自己的sshd_key解密得到tmp_session_key。然后和id异或之后就得到了ssh生成的session key所以到这步ssh和sshd之间就建立起了一个加密过的通道

信任关系鉴权

1.client用已经建立起来的加密通道,用session key加密自己的id_rsa.pub发给server 【加密通道过程】

2.server端用session key解开获取到id_rsa.pub,在authorized_keys里头找匹配的key,假设找到了就生成校验码verify_code,用id_rsa.pub加密,再用session key再次加密,然后才发给client

3.client用session key解开之后。用自己的id_rsa解密内容,得到verify_code,然后用session key加密verify_code再发给server

4.server用session key解开后跟自己发出去的verify_code校验,假设一致就鉴权通过  【为什么要进行二次鉴权?

应该是防止,人家模拟发包刚好=某个【session key加密自己的id_rsa.pub】从而建立欺骗的信任。

疑问:这个暂时生成的verify_code 【暂时令牌】多久过期?

3.对照

项目 ssh信任关系鉴权 redius计费协议 oauth2.0认证和授权 https 认证过程 lvs防止tcp长连接攻击
大致过程 1.cs建立加密通道 2.c发普通鉴权信息给s 3.s鉴权后发给c暂时令牌 1.通过AAA认证过程建立信任通道2.client发出随机的暂时令牌 request-auth3.server端通过ResponseAuth = MD5(Code+ID+Length+RequestAuth+ Attributes+Secret)。返回响应4.client通过暂时令牌和自身的secret确认的确是非伪装的server回应。 1.用户訪问漂亮说。点击用微博账号登录2.漂亮说通过appkey获得微博的一个暂时授权令牌3.漂亮说用暂时授权令牌和用户账号password请求微博提供用户的账号基础信息4.微博鉴权成功后返回账号基本信息 1.浏览器发送自己支持的认证方式2.server返回证书。里面包括了站点地址,加密公钥3.浏览器接收证书,并生成一串随机数的password【暂时令牌】,并用证书中提供的公钥加密,发给server4.server使用私钥取出暂时令牌,并使用公钥+暂时令牌与浏览器交互信息注:https的公钥仅仅能加密,私钥仅仅能解密。固安全性高 1.sync flood 通过SYN攻击,攻击者能够建立与受害者计算机的最初连接,受害者计算机等待连接的完毕。攻击者利用TCP中的“三次握手”来建立可信的连接。当最初连接打开时。它会消耗受害者计算机上的资源,直到它用尽连接或产生其它问题。

2.防御。1)当client发出sync,server返回 特殊的sync+ack,但不等待2)该特殊的sync是个用时间计算的暂时令牌。10分钟内有效3)当client返回 sync+ack。仅仅需看看
sync-1是否是有效的暂时令牌,假设是则连接,不是无论。

核心 暂时令牌 暂时令牌 暂时令牌 暂时令牌,公钥。私钥 与时间相关的暂时令牌

版权声明:本文博主原创文章,博客,未经同意不得转载。

时间: 2024-10-11 15:52:29

ssh探头安全的相关文章

华为交换机配置telnet和SSH登录设备(简单实用版)

Telnet是Internet远程登陆服务的标准协议和主要方式.它为用户提供了在本地计算机上完成远程主机工作的能力.在终端使用者的电脑上使用telnet程序,用它连接到服务器.终端使用者可以在telnet程序中输入命令,这些命令会在服务器上运行,就像直接在服务器的控制台上输入一样.可以在本地就能控制服务器.要开始一个telnet会话,必须输入用户名和密码来登录服务器.Telnet是常用的远程控制Web服务器的方法,极大的提高了用户操作的灵活性. 测试拓扑图 配置telnet: 1.1普通认证登录

【Struts2】SSH如何返回JSON数据

  在开发中我们经常遇到客户端和后台数据的交互,使用比较多的就是json格式了.在这里以简单的Demo总结两种ssh返回Json格式的数据 项目目录如下 主要是看 上图选择的部分 WebRoot里面就是平常的配置 第一种方法是使用com.google.gson.Gson 将对象转化为Json字符串  (gson-1.6.jar) 主要的代码如下 1 package com.javen.tool; 2 3 import java.io.IOException; 4 import java.io.P

Linux ssh

一.简介 二.安装 三.配置 四.其他 1)SSH端口转发 https://blog.fundebug.com/2017/04/24/ssh-port-forwarding/

已经在Git Server服务器上导入了SSH公钥,可用TortoiseGit同步代码时,还是提示输入密码?

GitHub虽好,但毕竟在国内访问不是很稳定,速度也不快,而且推送到上面的源码等资料必须公开,除非你给他交了保护费:所以有条件的话,建议大家搭建自己的Git Server.本地和局域网服务器都好,不信你试试,那速度,怎一个爽字了得! 默认情况下,使用TortoiseGit同步代码,每次都需要输入用户名和密码,但为了方便可以在客户端创建ssh密钥,用于服务器端和客户端的认证(详细过程大家可参考这里),但有时会出现“ 已经在Git Server服务器上导入了SSH公钥,可用TortoiseGit同步

maven(二) maven项目构建ssh工程(父工程与子模块的拆分与聚合)

前一节我们明白了maven是个什么玩意,这一节就来讲讲他的一个重要的应用场景,也就是通过maven将一个ssh项目分割为不同的几个部分独立开发,很重要,加油 --WH 一.maven父工程与子模块的拆分与聚合原理 问题描述:将ssh工程拆分为多个模块开发 1.1.拆分原理 创建一个maven project(pom),然后在创建三个子模块(maven moudule),其中三个子模块,分别为 dao.service.web,也就是将三层的内容分别独立为一个项目,进一步将耦合性降低,其中如何将他们

ssh 忽略known_hosts连接

ssh 忽略known_hosts连接两种方式 1.通过paramiko连接: #!/usr/bin/env python import paramiko ip='192.168.190.128' username='root' password='server' port=22 #设置记录日志 paramiko.util.log_to_file('ssh.log') #生成ssh客户端实例 s = paramiko.SSHClient() s.set_missing_host_key_poli

<Linux> SSH配置之后 SHH slave1 测试 error:SSH: command not found

首先要查看一下ssh命令存在何处 # which ssh /usr/bin/ssh 使用ssh的绝对路径 # /usr/bin/ssh slave1Welcome to Ubuntu 16.04 LTS (GNU/Linux 4.4.0-21-generic x86_64) * Documentation: https://help.ubuntu.com/ 545 packages can be updated.240 updates are security updates.

Linux服务器安全策略配置-SSH与动态MOTD(一)

Linux登录提示(静态/动态MOTD) 在用户输入口令或使用密钥成功登录后,让服务器自动为我们执行几个简单的操作,如打印提示信息,打印异常信息,执行一个脚本,或者发送邮件等.能够预先提示信息给登录者,让我们在登录机器采取任何操作之前,可以快速的了解这台机器的重要信息.看起来是不是很有意思呢? 也许我们会想,这对于服务器的安全加固并没有直接的影响,而且每次刚刚登录就执行一系列命令.脚本(如收集服务器资源使用情况的信息),似乎也有点多余.因此,如果是在生产环境的Linux服务器并且需要配置登录提示

SSH Struts2+hiberante+Spring整合

使用SSH框架编写学生信息: 一.新建Java工程: (1)建立好Java各层级之间的结构:业务处理层dao,数据模型层domain,页面请求处理层(Struts2 MVC层)action,service层. (2)建立好各层的实现类及接口; (3)建立一个source folder文件夹,用来存放一些配置问价. (4)改变字节码生成的位置,改为WEB-INF下面的classes文件夹下. Java工程层级结构如下图: 二.hibernate整合到Spring容器中 步骤: 1.编写domain