SSH从原理到配置

远程连接服务器

什么是远程连接服务器

远程连接服务器通过文字或图形接口方式来远程登录系统，让你在远程终端前登录linux主机以取得可操作主机接口（shell），而登录后的操作感觉就像是坐在系统前面一样。
允许别人远程登录到你的设备上，你的设备就是远程连接服务器。

远程连接服务器的功能

1)分享主机运算能力
2)服务器类型有限度开放连接
3)工作站类型，只对内网开放（安全）

常见的远程管理工具

|--RDP(remotedesktop protocal )协议，windows远程桌面管理（图形界面）
|--telenetCLI界面下远程管理，几乎所有操作系统都有（内容明文传输）  23
|--ssh  CLI界面下的远程管理，几乎所有操作系统都有（内容加密传输） 类unix系统下主要  22  远程管理方式（linux BSD Macos）
|--RFB（remote frame buffer） 图形化远程管理协议 VNC (Virtual Network Computing)使用的协议。（在linux unix Macos 下的图形界面远程管理工具）

SSH

1. SSH代表安全外壳(Secure Shell)，它现在是通过互联网访问网络设备和服务器的唯一的主要协议。
2. SSH默认情况下通过端口22运行;不过很容易更改这个端口。
3. SSH是一种非常安全的协议，因为它共享并发送经过加密的信息，从而为通过互联网等不安全的网络访问的数据提供了机密性和安全性。
4. 一旦通讯的数据使用SSH经过加密，就极难解压和读取该数据，所以我们的密码在公共网络上传输也变得很安全。
5. SSH还使用公钥用于对访问服务器的用户验证身份，这是一种很好的做法，为我们提供了极高的安全性。
6. SSH主要用在所有流行的操作系统上，比如Unix、Solaris、Red-Hat Linux、CentOS和Ubuntu等。
7. ssh服务端由2部分组成：openssh(提供ssh服务) openssl(提供加密的程序)
8. ssh的客户端可以用XSHELL，Securecrt, Mobaxterm等工具进行连接,ssh sftp

TELNET

1. Telnet是电信(Telecommunications)和网络(Networks)的联合缩写，这是一种在UNIX平台上最为人所熟知的网络协议。
2. Telnet使用端口23，它是专门为局域网设计的。
3. Telnet不是一种安全通信协议，因为它并不使用任何安全机制，通过网络/互联网传输明文格式的数据，包括密码，所以谁都能嗅探数据包，获得这个重要信息。
4. Telnet中没有使用任何验证策略及数据加密方法，因而带来了巨大的安全威胁，这就是为什么telnet不再用于通过公共网络访问网络设备和服务器。

SSH

加密是如何实现的

SSH算法

SSH为了确保信息的安全传输，从连接发起到完成各阶段的各个点SSH协议采用了许多不同类型的数据加密技术，包括可逆的对称加密，非对称加密以及不可逆的哈希散列。

Ssl/tls(TransportLayer Security 传输层安全协议）

SecureSocket Layer，为Netscape所研发，用以保障在Internet上数据传输之安全，利用数据加密(Encryption)技术，可确保数据在网络上之传输过程中不会被截取及窃听。
一般通用之规格为40bit之安全标准，美国则已推出128bit之更高安全标准，但限制出境。只要3.0版本以上之I.E.或Netscape浏览器即可支持SSL。 Sslv3 -SSLv2
当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。

SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。

SSL协议可分为两层：

1. SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。
2. SSL握手协议（SSLHandshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。
   

ssl提供服务 ssh root@172.24.8.129

1）认证用户和服务器，确保数据发送到正确的客户机和服务器；  握手协议
2）加密数据以防止数据中途被窃取；                                          ssl记录协议
3）维护数据的完整性，确保数据在传输过程中不被改变。

SSH和SSL的区别

ssl是通讯链路的附加层。可以包含很多协议。https, ftps, .....
ssh只是加密的shell，最初是用来替代telnet的。通过port forward，也可以让其他协议通过ssh的隧道而起到加密的效果。

SSH建立连接的完整过程

连接过程

1. SSH协议版本协商阶段：
   客户端通过TCP三次握手与服务器的SSH端口建立TCP连接。

1.服务器通过建立好的连接向客户端发送一个包含SSH版本信息的报文，格式为“SSH-<SSH协议大版本号>.<SSH协议小版本号>-<软件版本号>”，软件版本号主要用于调试。
2.客户端收到版本号信息后，如果服务器使用的协议版本号低于自己的，但是客户端能够兼容这个低版本的SSH协议，则就使用这个版本进行通信。否则，客户端会使用自己的版本号。
3.客户端将自己决定使用的版本号发给服务器，服务器判断客户端使用的版本号自己是否支持，从而决定是否能够继续完成SSH连接。

如果协商成功，则进入密钥和算法协商阶段。

2. 密钥和算法协商阶段：

1.服务器端和客户端分别发送算法协商报文给对端，报文中包含自己支持的公钥算法列表，加密算法列表，MAC（MessageAuthentication Code，消息验证码）算法列表，压缩算法列表等。
2.和版本协商阶段类似，服务器端和客户端根据自己和对端支持的算法来决定最终要使用的各个算法。
3.服务器端和客户端利用Diffie-Hellman密钥交换算法，主机密钥对等参数，生成共享密钥和会话ID。会话密钥用于在后续的通信过程中两端对传输的数据进行加密和解密，而会话ID用于认证过程。

3. 认证阶段：

1.客户端向服务器端发送认证请求，请求中包含用户名，认证方法，密码或密钥。
2.服务器端对客户端进行认证，如果认证失败，则向客户端发送失败消息，其中包含可以再次认证的方法列表。
3.客户端再次使用支持的认证方法中的一种进行认证，直到达到认证次数上限被服务器终止连接，或者认证成功为止。
SSH支持的两种认证方式：
密码认证：客户端通过用户名/密码进行认证，将使用会话密钥加密后的用户名和密码发送给服务器，服务器解密后与系统保存的用户名和密码进行对比，并向客户端返回认证成功或失败的消息。
密钥认证：采用数字签名来进行认证，目前可以通过RSA和DSA两种算法实现数字签名，客户端通过用户名，公钥以及公钥算法等信息来与服务器完成验证。

4. 会话请求阶段：

1.服务器等待客户端请求。
2.认证完成后，客户端想服务器发送会话请求。
3.服务器处理客户端请求，完成后，会向客户端回复SSH_SMSG_SUCCESS报文，双方进入交互会话阶段。如果请求未被成功处理，则服务器返回SSH_SMSG_FAILURE报文，表示请求处理失败或者不能识别客户端请求。

5. 交互会话阶段：

1.客户端将要执行的命令加密发送给服务器。
2.服务器收到后，解密命令，执行后将结果加密返回客户端。
3.客户端将返回结果解密后显示到终端上。

服务端验证客户端

客户端验证服务端

加密技术

对称加密

对称密钥加密------共享密钥加密（对称密钥加密）：加密和解密同用一个密钥。
加密时就必须将密钥传送给对方，那么如