SSH原理与运用ITeye - 亚美娱乐

SSH原理与运用ITeye

2019年03月24日15时33分14秒 | 作者: 奥然 | 标签: 运用,登录,长途 | 浏览: 2522

简略说,SSH是一种网络协议,用于核算机之间的加密登录。

假如一个用户从本地核算机,运用SSH协议登录另一台长途核算机,咱们就能够以为,这种登录是安全的,即便被半途截获,暗码也不会走漏。

最早的时分,互联网通讯都是明文通讯,一旦被截获,内容就露出无疑。1995年,芬兰学者Tatu Ylonen规划了SSH协议,将登录信息悉数加密,成为互联网安全的一个根本解决方案,敏捷在全世界取得推行,现在现已成为Linux体系的规范装备。

需求指出的是,SSH仅仅一种协议,存在多种完成,既有商业完成,也有开源完成。本文针对的完成是,它是自由软件,运用十分广泛。

此外,本文只评论SSH在Linux Shell中的用法。假如要在Windows体系中运用SSH,会用到另一种软件,这需求另文介绍。

二、最根本的用法

SSH首要用于长途登录。假定你要以用户名user,登录长途主机host,只需一条简略指令就能够了。

$ ssh user@host

假如本地用户名与长途用户名共同,登录时能够省掉用户名。

$ ssh host

SSH的默许端口是22,也便是说,你的登录恳求会送进长途主机的22端口。运用p参数,能够修正这个端口。

$ ssh -p 2222 user@host

上面这条指令表明,ssh直接衔接长途主机的2222端口。

三、中间人进犯

SSH之所以能够确保安全,原因在于它选用了公钥加密。

整个进程是这样的:(1)长途主机收到用户的登录恳求,把自己的公钥发给用户。(2)用户运用这个公钥,将登录暗码加密后,发送回来。(3)长途主机用自己的私钥,解密登录暗码,假如暗码正确,就赞同用户登录。

这个进程自身是安全的,可是施行的时分存在一个危险:假如有人截获了登录恳求,然后假充长途主机,将假造的公钥发给用户,那么用户很难区分真伪。由于不像https协议,SSH协议的公钥是没有证书中心(CA)公证的,也便是说,都是自己签发的。

能够想象,假如进犯者插在用户与长途主机之间(比如在公共的wifi区域),用假造的公钥,获取用户的登录暗码。再用这个暗码登录长途主机,那么SSH的安全机制就化为乌有了。这种危险便是闻名的(Man-in-the-middle attack)。

SSH协议是怎样应对的呢?

四、口令登录

假如你是第一次登录对方主机,体系会呈现下面的提示:

$ ssh user@host

The authenticity of host host (12.18.429.21) cant be established.

RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.

Are you sure you want to continue connecting (yes/no)?

这段话的意思是,无法承认host主机的真实性,只知道它的公钥指纹,问你还想持续衔接吗?

所谓"公钥指纹",是指公钥长度较长(这儿选用RSA算法,长达1024位),很难比对,所以对其进行MD5核算,将它变成一个128位的指纹。上 例中是98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d,再进行比较,就简单多了。

很天然的一个问题便是,用户怎样知道长途主机的公钥指纹应该是多少?答复是没有好办法,长途主机有必要在自己的网站上贴出公钥指纹,以便用户自行核对。

假定通过危险衡量今后,用户决议承受这个长途主机的公钥。

Are you sure you want to continue connecting (yes/no)? yes

体系会呈现一句提示,表明host主机现已得到认可。

Warning: Permanently added host,12.18.429.21 (RSA) to the list of known hosts.

然后,会要求输入暗码。

Password: (enter password)

假如暗码正确,就能够登录了。

当长途主机的公钥被承受今后,它就会被保存在文件$HOME/.ssh/known_hosts之中。下次再衔接这台主机,体系就会认出它的公钥现已保存在本地了,然后越过正告部分,直接提示输入暗码。

每个SSH用户都有自己的known_hosts文件,此外体系也有一个这样的文件,通常是/etc/ssh/ssh_known_hosts,保存一些对一切用户都可信任的长途主机的公钥。

五、公钥登录

运用暗码登录,每次都有必要输入暗码,十分费事。好在SSH还供给了公钥登录,能够省去输入暗码的进程。

所谓"公钥登录",原理很简略,便是用户将自己的公钥贮存在长途主机上。登录的时分,长途主时机向用户发送一段随机字符串,用户用自己的私钥加密后,再发回来。长途主机用事前贮存的公钥进行解密,假如成功,就证明用户是可信的,直接答应登录shell,不再要求暗码。

这种办法要求用户有必要供给自己的公钥。假如没有现成的,能够直接用ssh-keygen生成一个:

$ ssh-keygen

运转上面的指令今后,体系会呈现一系列提示,能够一路回车。其中有一个问题是,要不要对私钥设置口令(passphrase),假如忧虑私钥的安全,这儿能够设置一个。

运转完毕今后,在$HOME/.ssh/目录下,会新生成两个文件:id_rsa.pub和id_rsa。前者是你的公钥,后者是你的私钥。

这时再输入下面的指令,将公钥传送到长途主机host上面:

$ ssh-copy-id user@host

好了,从此你再登录,就不需求输入暗码了。

假如仍是不可,就打开长途主机的/etc/ssh/sshd_config这个文件,查看下面几行前面"#"注释是否取掉。

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

然后,重启长途主机的ssh效劳。

// ubuntu体系
service ssh restart

// debian体系
/etc/init.d/ssh restart

六、authorized_keys文件

长途主机将用户的公钥,保存在登录后的用户主目录的$HOME/.ssh/authorized_keys文件中。公钥便是一段字符串,只需把它追加在authorized_keys文件的结尾就行了。

这儿不运用上面的ssh-copy-id指令,改用下面的指令,解说公钥的保存进程:

$ ssh user@host mkdir -p .ssh cat .ssh/authorized_keys ~/.ssh/id_rsa.pub

这条指令由多个句子组成,顺次分化开来看:(1)"$ ssh user@host",表明登录长途主机;(2)单引号中的mkdir .ssh cat .ssh/authorized_keys,表明登录后在长途shell上履行的指令:(3)"$ mkdir -p .ssh"的作用是,假如用户主目录中的.ssh目录不存在,就创立一个;(4)cat .ssh/authorized_keys ~/.ssh/id_rsa.pub的作用是,将本地的公钥文件~/.ssh/id_rsa.pub,重定向追加到长途文件 authorized_keys的结尾。

写入authorized_keys文件后,公钥登录的设置就完成了。

原文:http://www.ruanyifeng.com/blog/2011/12/ssh_remote_login.html

版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表亚美娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章