SSH是什么

SSHSecure Shell,中文名称安全外壳协议。是一种加密的网络传输协议,可在不安全的网络中为网络服务提供安全的传输环境。一般用于计算机之间的加密登录。

最开始,互联网通信都是明文通信,一旦被截获,内容就暴露无疑。1995年,芬兰学者Tatu Ylonen设计了SSH协议,将登录信息全部加密,成为互联网安全的一个基本解决方案。

SSH的工作原理

非对称加密

非对称加密是密码学的一种算法,它需要两个密钥,一个是公开密钥,另一个是私有密钥;公开密钥用作加密的时候,私有密钥则用作解密。使用公开密钥加密后的明文,只能用私有密钥才能解密得到原本的明文。 ​ 更多详细信息请参考维基百科

工作流程(password 认证)

SSH 连接是C/S模型, 客户端 发出连接申请, 服务器 对客户端进行验证, 再考虑是否接受连接申请

  • 客户端向 ssh 服务器发出请求, 服务器将自己的公钥返回给客户端
  • 客户端用公钥加密自己的登录密码后再发送给服务器
  • 服务器接收到加密后的密码, 用自己的私钥解码, 如果结果正确则建立起连接.

中间人攻击

上述password认证方式仍然存在漏洞, 这就是著名的中间人攻击。 简单而言,如果中间人截获了登录请求,然后冒充服务器,将伪造的公钥发给用户,那么用户有可能把自己的登录密码发送给中间人。

SSH协议是如何应对的呢? 如果你是第一次登录服务器,系统会出现下面的提示:

  $ ssh user@host

  The authenticity of host ‘host (xx.xx.xx.xx)’ can’t be established.

  RSA key fingerprint is 98:2e:d7:e0:9f:ac:67:28:c2:42:2d:37:16:58:4d

  Are you sure you want to continue connecting (yes/no)?

这段话的意思是,无法确认host主机的真实性,只知道它的公钥指纹,问你还想继续连接吗?

所谓”公钥指纹”,是指公钥长度较长(这里采用RSA算法,长达1024位),很难比对,所以对其进行MD5计算,将它变成一个128位的指纹。上例中是98:2e:d7:e0:9f:ac:67:28:c2:42:2d:37:16:58:4d,再进行比较,就容易多了。

很自然的一个问题就是,用户怎么知道服务器的公钥指纹应该是多少?回答是没有好办法,服务器必须在自己的网站上贴出公钥指纹,以便用户自行核对。

参考自阮一峰的网络日志

公钥登录

使用密码登录,每次都必须输入密码,非常麻烦。此外SSH还提供了公钥登录,可以省去输入密码的步骤。

公钥登录,就是用户将自己的公钥储存在服务器上。登录的时候,服务器会向用户发送一段随机字符串,用户用自己的私钥加密后,再发回来。服务器用事先储存的公钥进行解密,如果成功,就证明用户是可信的,直接允许登录shell,不再要求密码。

具体操作如下

  • 在客户端终端输入如下命令,用rsa算法生成公钥/私钥对。执行时可能会提示要不要对私钥设置口令(passphrase),如果担心私钥的安全,这里可以设置一个。ssh-keygen -t rsa
  • 执行后在用户目录下会生成私钥文件 (id_rsa) 与公钥文件 (id_rsa.pub)
  • 输入下面的命令,将公钥传送到服务器上面$ ssh-copy-id user@host
  • 或者用一下命令直接将id_rsa.pub文件追加到服务器的authorized_keys的末尾                                                                                                                     
ssh user@host 
mkdir -p .ssh 
cat >> .ssh/authorized_keys < ~/.ssh/id_rsa.pub #第二个地址为本机目录

参考自阮一峰的网络日志

PS

如果无法登陆

首先检查服务器ssh配置是否开启。在文件/etc/ssh/sshd_config中查看如下配置,是否被#注释掉

修改完后重启ssh服务 service ssh restart

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注