SSH的大白话说明

已于 2024-02-22 15:01:21 修改
阅读量4.7w 收藏 1
点赞数
分类专栏: 算法 八股文 文章标签: ssh 对称加密 非对称加密 Diffie-Hellman
于 2021-10-01 10:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Scoful/article/details/120529768
版权
SSH通过TCP三次握手建立连接后,使用Diffie-Hellman算法生成对称加密密钥进行安全通信。在密码登录中,密码被该密钥加密传输。对于免密登录,客户端的公钥存储在服务端,通过公钥加密验证身份,确保安全无密码的登录过程。
摘要由CSDN通过智能技术生成

目录

1. 大白话前提

  1. 对称加密 = 加解密都用的同一个秘钥
  2. 非对称加密 = 加解密用的是一对秘钥,也就是公钥私钥
  3. 公钥,顾名思义,公开的,多人拥有的
  4. 私钥,顾名思义,私有的,一般就一人拥有
  5. 非对称加密既可以用公钥加密然后私钥解密,也可以私钥加密然后公钥解密,根据用途的不同而选择不同的加解密方式
  6. 公钥加密-私钥解密,一般用于登陆密码加密or其他需要加密的内容
  7. 私钥加密-公钥解密,一般用于身份认证,也可以说数字签名,因为私钥唯一=人唯一
  8. Diffie-Hellman算法,一种非对称性算法,可以让双方在有限公开不需互换秘钥的前提下,各自算出来对称加密需要的相同秘钥,参考文章
  9. Hash算法,用于验证唯一性,换句话说,防篡改

2. SSH建立session连接(对称加密+Diffie-Hellman算法的应用)

在这里插入图片描述
过程说明:

  1. 客户端发起三次握手建立TCP连接,参考文章
  2. 成功建立TCP连接后,服务端发送支持的协议版本列表给客户端
  3. 客户端能在协议版本列表里匹配成功,继续往下
  4. 服务端发送自己的public host key给客户端验证
  5. 客户端验证public host key是否自己要连接的目标服务器
  6. 这时候一切ok,就有了生成session真正建立通讯的基础,接下来利用Diffie-Hellman算法来生成对称加密秘钥
  7. 客户端和服务端公开协商生成一个大质数(质数=只能被1和自己整除的数字,大质数是为了提高破解难度)
  8. 客户端和服务端公开协商选择一个对称加密算法,比如AES
  9. 客户端和服务端,各自选择一个质数,当做各自私钥的基础,不能公开,绝密
  10. 客户端和服务端,使用公开的大质数,公开协商好的加密算法,不能公开的自己私有的质数私钥,生成一个公钥,并互相交换
  11. 客户端和服务端,使用公开的大质数,不能公开的自己的质数私钥,公开的对方的公钥,利用Diffie-Hellman算法,生成对称加密用的私钥,算法保证跟对方生成的秘钥是一样的
  12. 接下来通讯全程,就使用这个一样的私钥加密整个过程

3. SSH的密码登陆(对称加密的应用)

本质上就是利用建立session连接时的秘钥,进行对称加密的过程,以下是可视的用密码登陆的过程说明:

  1. 本地命令行输入 ssh root@192.168.1.1,格式是ssh user@host
  2. 会返回服务器的public host key,也是fingerprint
  3. 本地去known_hosts文件夹里搜是否有这ip的记录,是否有这记录
  4. 如果存在,就继续往下
  5. 如果不存在,会提示是否要信任这次连接,也就是是否要存进known_hosts文件夹里
    The authenticity of host '192.168.1.1 (192.168.1.1)' can't be established.
ECDSA key fingerprint is SHA256:Y9mSoSMB9XQwlL/0G2ssG/dU2x6e9kiafnL6Alwok/B.
Are you sure you want to continue connecting (yes/no/[fingerprint])?
  6. 输入yes,这时候就互相生成好相同的秘钥了
  7. 再输入密码,这时候密码就会被秘钥加密,然后发送给服务器
  8. 服务器接收到加密的密码后,用相同的秘钥解密,解密成功后,再验证密码是否正确

ps: 之所以用fingerprint代替key,主要是key过于长(RSA算法生成的公钥有1024位),很难直接比较。所以,对公钥进行hash生成一个128位的指纹,这样就方便比较了。

4. SSH的免密登录(公钥加密私钥解密+hash的应用)

前提:先在要登陆服务端的客户端本地,生成一对公钥私钥,然后把公钥添加到服务端的authorized_keys 文件里
在这里插入图片描述
过程说明:

  1. 先建立session连接,获得对称加密的秘钥,后面要用到
  2. 客户端把本地公钥key ID发送给服务端,服务端在authorized_keys 文件里搜索是否有匹配的
  3. 如果有匹配的,服务端生成一个随机数,然后用匹配的公钥加密,发送给客户端
  4. 客户端用私钥解密,解密成功继续,不成功over(这一步验证身份)
  5. 客户端用解密出来的随机数,加上建立session连接获得的对称加密秘钥,做一次md5,然后把结果发送给服务端
  6. 服务端接收到md5后,自己用自己生成的随机数,加上建立session连接获得的对称加密秘钥(跟客户端完全一样),做一次md5,比对一下2个md5是否一致,一致说明success(这一步加强验证,并检查随机数是否被篡改)

参考

Scoful
关注
专栏目录
远程访问及控制(SSH)
Yplayer001的博客
09-06 727
实验要求:在服务器端配置SSHD服务,在客户端使用多种方式连接。 实验步骤: 一、配置SSH服务端 SSH协议:为客户机提供安全的Shell环境,用于远程管理 默认端口:TCP 22 OpenSSH:服务名称:sshd 服务端主程序:/usr/sbin/sshd 服务端配置文件:/etc/ssh/sshd_config 客户端配置文件:/etc/ssh/ssh_config 服务端的配置 #SSH...
大白话图解 Linux 脏管道(Dirty Pipe) 漏洞(CVE-2022-0847)
omgFuture的博客
03-08 9770
大白话图解 Linux 脏管道(Dirty Pipe) 漏洞(CVE-2022-0847) 漏洞披露链接:https://dirtypipe.cm4all.com/ 背景 ​ 今天(2022年3月8日),开源社区爆出了Linux内核新的一级安全漏洞, Dirty Pipe Vulnerability. 漏洞点于Linux内核5.8版本引入,可以’通杀’后续多个版本内核,以及所有使用了相关Linux内核的下游厂商产品。当然,有必要说明的是,这里的通杀不是针对任意系统的远程命令执行,而是面向内
SSH连接远程服务器
localhost
12-10 645
ssh 用户名@IP地址 比如: ssh root@192.168.1.1 后面可以加-p 指定端口,不加默认端口22
SSH的常用玩法(SSH隧道)
一醉一休的博客
08-11 6650
在内网中,几乎所有的Linux/UNIX服务器和网络设备都支持SSH协议。在一般情况下,SSH协议是被允许通过防火墙和边界设备的,所以经常被攻击者利用,同时,SSH协议的传输过程是加密的,所以我们很难区分合法的 SSH会话和攻击者利用其他网络建立的隧道,攻击者使用SSH端口隧道突破防火墙的限制后,能够建立一些之前无法建立的TCP连接。...
华为远程SSH配置详解
最新发布
qq_61685194的博客
06-21 5295
R1-GigabitEthernet0/0/0]IP address 192.168.1.1 30 //将该接口的IP地址配置为192.168.1.1/30。[R1-aaa]local-user yiqing service-type ssh //设置用户登陆服务类型为ssh。[R1-ui-vty0-4]authentication-mode aaa //认证采用aaa认证。[R1]INT G0/0/0 //进入G0/0/0接口模式。[R1]aaa //进入aaa(aaa为认证授权审计)
SSH 远程登录
HuZhenXing
07-05 1071
远程登录方法: ssh 用户名@ip地址 -p 端口号 例子: ssh zxhu@192.168.1.1 -p 22 , 然后输入密码。 将本地的文件拷贝到远程: scp -P 22 -r 本地文件路径 用户名@ip地址:远程目录 scp -P 22 -r ./bitcoinSource/ zxhu@10.0.0.47:/home/zxhu 将远程文件拷贝到本地: scp -P 22 -r 用户名@ip地址:远程目录 本地文件路径 scp -P 22 -r zxhu@10.0.0.47:/usr/loca
ssh远程登陆
奥给利
09-07 661
SSH远程登陆方式 1.基于账户密码远程登陆 知道服务器的IP以及端口,同时知道SSH连接账号和口令、就可以通过ssh客户端登陆到这台远程主机,联机过程中所有传输的数据都是加密的。 2.基于密钥远程登录 默认情况下,通过ssh登陆到远程的系统,需要提供远程系统上的账号与密码,但为了降低密码泄露的机率和提高登陆的方便性,可以使用基于密钥的验证 ssh key 使用非对称加密方式生产公...
瑞芯微RK3399Pro开发板Hello World
向来痴的专栏
02-27 3168
真正的小白第一次接触RK3399Pro开发板要解决几个问题: 如何开机? 如何进行串口调试? 如何让开发板连接上WiFi? 如何实现个人PC电脑和开发板进行数据互传? 开发板既然是Debian系统,是不是可以看做是一个迷你型的linux服务器,使用ssh连接工具SecureCRT与之进行交互? 下面针对这些问题提供一些经验,供大家参考。...
[Github使用简明教程]如何提交代码到Github
MichaelX的专栏
04-01 9950
可能很多人听过Github,也上过Github,甚至从Github获取过许多开源的代码,但是如果要将项目代码上传到Github上时却束手无策
公有云上唯一一个FIPS-level4级别的HSM是如何实现的
ciscojianguo的专栏
10-07 1211
HSM,FIPS-Level4,Protect Crypto Services (HPCS)扫盲篇什么是HPCS什么是HSM主秘钥(Master key)BYOK功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 Hyper Prot
Openssh生成key hash
09-22
openssh可以生成key hash的一个工具 openssh可以生成key hash的一个工具 openssh可以生成key hash的一个工具 openssh可以生成key hash的一个工具
shell详解 从原理到应用
weixin_41929239的博客
11-11 326
第一章 Shell 概述 总的来说,shell其实就是一个命令行解释器,它用来接收应用程序或者用户的命令,然后调用操作系统内核来完成相应的任务。 这里所说的命令行解释器需要好好地理解下,说成大白话,解析器的实质就是将用户输入的指令转化为机器可以运行的程序,从而可以达到满足用户需求的目的。 我们为什么要用shell:shell是一个强大的编程语言,易编写、易调试、灵活性强。在linux中,我们常常编写shell脚本来满足我们的部分需求。例如,集群启动脚本,文件复制分发脚本。 1)linux中提供的shell
【渗透测试】SSH隧道原理
SunnyCat
01-28 5680
目录一、SSH协议简介二、SSH工作原理三、SSH协议组成四、SSH隧道技术1、本地转发(远程转发到本地-正向代理)2、远程转发(本地转发到远程-反向代理)3、动态转发(socks5代理)五、进阶使用 一、SSH协议简介 SSH(Secure Shell protocol)协议是应用层协议,OpenSSHSSH (Secure SHell)协议的免费开源实现,SSH协议族可以用来进行远程控制,或在计算机之间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、 rcp ftp、 rlogin
ssh远程访问服务与管理登录LINUX服务器
OSoooo的博客
07-12 890
一:SSH 远程管理概述 1.1.ssh远程管理的定义 SSH (Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。 SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。因此ssH协议具有很好的安全性。 1.2 ssh 远程管理的 优点 ssh 客户端 和 ssh 服务端通过网络连接,他们之间的数据传输是加密,压缩的,可以防止信息泄露,提高传输速度 客户端<-------加密数据------->网络<---------
SSH简介
LU1196700392的专栏
07-04 588
1、SSH是英文Secure Shell的简写形式。通过使用SSH,你可以把所有传输的数据进行加密,这样"中间人"这种攻击方式就不可能实现了,而且也能够防止DNS欺骗和IP欺骗。使用SSH,还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替Telnet,又可以为FTP、Pop、甚至为PPP提供一个安全的"通道"。 SSH协议框架中最主要的部分是三个协议: * 传输层协议(The Transport Layer Protocol)提供服务器认证,数据机密性
Linux下的ssh
12-18 785
SSH 为 Secure Shell 的缩写,由 IETF 的网络工作小组(Network Working Group)所制定;SSH 为建立在应用层和传输层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网
SSH服务
qq_45088125的博客
04-19 3386
文章目录引言一、SSH远程管理1、OpenSSH服务器1.1 SSH协议1.2 openSSH服务器配置文件1.3 服务监听选项1.31 服务配置1.32 监听端口修改实验1.4 用户登录控制(安全调优)PermitEmptyPasswords no2、SSH远程登录方式2.1 两种登录方法2.2 故障集3、openssh服务包 引言 SSH 是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方的数据传输进行加密处理,其中包括用户登录时输入的用户口令。SSH是建立在应用层
ssh远程登录可能出现的问题以及解决办法
热门推荐
samuel
12-11 1万+
首先、确保server端的ssh服务是开的(service shhd start) 然后在client端输入: ssh usrname@serverip (远程登录) scp filename usrname@serverip:/URL (远程传输) 常出现的问题: 问题一 ssh登录的时候链接端口失败 提示(1): # ssh 192.1
本机su登录root用户输入的密码和ssh root@192.168.1.96的密码出现的问题
wujiahua的博客
05-31 8642
允许root登录 vi /etc/ssh/sshd_config 将PermitRootLogin值改yes 允许不输入密码登录 将PermitEmptyPasswords yes前面的#号去掉 重启服务:service sshd restart(/etc/initd.d/sshd restart) 测试:sshssh 或 用putty软件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值