一、SSH
SSH的全称为Security Shell,其目的是要在非安全网络上提供安全的远程登录和其它安全网络服务,通常代替TELNET协议、RSH协议等来使用。SSH允许客户机通过网络连接到远程服务器并运行该服务器上的应用程序,被广泛应用于系统管理中,可对客户机和服务器之间的数据流进行加密。
SSH分为客户端和服务端两个部分。服务端是一个守护进程,在后台运行并响应来自客户端的连接请求;一般是sshd进程,提供对远程连接的处理,一般包括公钥认证、密钥交换、对称密钥加密和非安全连接等。客户端包含ssh程序以及如scp(远程拷贝)、slogin(远程登录)、sftp(安全文件传输)等应用程序。SSH的连接过程大致为:本地客户端发送一个连接请求到远程的服务端;服务端检查申请包和IP后,发送密钥(公钥)给SSH的客户端;本地客户端再将密钥发回给服务端,连接建立。
SSH支持两种级别的安全验证方式:
(1) 基于密码的安全验证方式
这种方式使用服务器的用户名和密码进行远程登录,所有传输的数据都会被加密。密码方式具有以下缺点:不能保证当前正在连接的服务器就是正确的目标服务器;密码容易被人偷窥或受到暴力攻击;服务器上的一个帐户若要给多人使用,则必须让所有使用者都知道密码,导致密码容易泄露,而且修改密码时必须通知所有人。
(2) 基于密钥的安全验证方式
采用基于密钥的验证方式时,客户端要首先为自己创建一对密钥,并通过某种安全方式把公钥放到需要访问的服务器上。在密钥方式下,客户端和服务器各自拥有自己的公私密钥对,连接时进行双向认证,保证了服务器的正确性,同时不需要输入服务器密码(只需要客户端自己的密钥密码)杜绝了密码方式的缺点。
二、OpenSSH
OpenSSH 是 SSH (Secure SHell)协议的免费开源实现,用安全、加密的网络连接工具代替了TELNET、FTP、RLOGIN、RSH和RCP等工具。OpenSSH支持SSH协议的版本1.3、1.5和2;从 OpenSSH的版本2.9以来,默认的协议是版本2,支持RSA和DSA密钥,默认使用RSA密钥,服务端使用私钥,将其公钥用于客户端。
(1) OpenSSH配置文件说明
sshd_config SSH的配置文件
ssh_host_dsa_key DSA算法生成的私钥
ssh_host_dsa_key.pub DSA算法生成的公钥
ssh_host_keySSH v1版本,RSA算法所生成的私钥
ssh_host_key.pub SSH v1版本,RSA算法所生成的公钥
ssh_host_rsa_key RSA算法生成的私钥
ssh_host_rsa_key.pub RSA算法生成的公钥
(2) sshd_config配置说明
#KeyRegenerationInterval 1h //指定SSHv1服务器使用的密钥重新生成的间隔时间,默认为1h
#ServerKeyBits 768 //指定SSHv1服务器密钥的长度,默认为768
#SyslogFacility AUTHPRIV //指定SSH记录信息中的设备码
#