过程原理:
(1)版本协商阶段
1、服务器端打开端口22,等待客户端连接;
2、客户端向服务器端发起TCP初始连接请求,TCP连接建立后,服务器向客户端发送第一个报文,包括版 本标志字符串,格式为“SSH-..”,协议版本号由主版本号 和次版本号组成,软件版本号主要是为调试使用。
3、客户端收到报文后,解析该数据包,如果服务器的协议版本号比自己的低,且客户端能支持服务器端的 低版本,就使用服务器端的低版本协议号,否则使用自己的协议版本号。
4、客户端回应服务器一个报文,包含了客户端决定使用的协议版本号。服务器比较客户端发来的版本号, 决定是否能同客户端一起工作。如果协商成功,则进入密钥和算法协商阶段,否则服务器断开TCP连接。 说明:上述报文都是采用明文方式传输。
(2)密钥和算法协商阶段
1、服务器端和客户端分别发送算法协商报文给对端,报文中包含自己支持的公钥算法列表、加密算法列 表、MAC(Message Authentication Code,消息验证码)算法列表、压缩算法列表等等。
2、服务器端和客户端根据对端和本端支持的算法列表得出最终使用的算法。
3、服务器端和客户端利用DH交换(Diffie-Hellman Exchange)算法、主机密钥对等参数,生成会话 密钥和会话ID。 由此,服务器端和客户端就取得了相同的会话密钥和会话ID。对于后续传输的数据,两端都会使用会话密 钥进行加密和解密,保证了数据传送的安全。在认证阶段,两端会使用会话用于认证过程。
3)认证阶段
1、服务器端和客户端分别发送算法协商报文给对端,报文中包含自己支持的公钥算法列表、加密算法列 表、MAC(Message Authentication Code,消息验证码)算法列表、压缩算法列表等等。
2、服务器端和客户端根据对端和本端支持的算法列表得出最终使用的算法。
3、服务器端和客户端利用DH交换(Diffie-Hellman Exchange)算法、主机密钥对等参数,生成会话 密钥和会话ID。 由此,服务器端和客户端就取得了相同的会话密钥和会话ID。对于后续传输的数据,两端都会使用会话密 钥进行加密和解密,保证了数据传送的安全。在认证阶段,两端会使用会话用于认证过程。
SSH提供两种认证方法:
基于口令的认证(password认证):客户端向服务器发出password认证请求,将用户名和密码加密后发 送给服务器,服务器将该信息解密后得到用户名和密码的明文,与设备上保存的用户名和密码进行比较, 并返回认证成功或失败消息。
基于密钥的认证(publickey认证):客户端产生一对公共密钥,将公钥保存到将要登录的服务器上的那 个账号的家目录的.ssh/authorized_keys文件中。认证阶段:客户端首先将公钥传给服务器端。服务 器端收到公钥后会与本地该账号家目录下的authorized_keys中的公钥进行对比,如果不相同,则认证 失败;否则服务端生成一段随机字符串,并先后用客户端公钥和会话密钥对其加密,发送给客户端。客户 端收到后将解密后的随机字符串用会话密钥发送给服务器。如果发回的字符串与服务器端之前生成的一 样,则认证通过,否则,认证失败。
注:服务器端对客户端进行认证,如果认证失败,则向客户端发送认证失败消息,其中包含可以再次认证 的方法列表。客户端从认证方法列表中选取一种认证方法再次进行认证,该过程反复进行。直到认证成功 或者认证次数达到上限,服务器关闭连接为止。
远程连接服务器的类型(以登录的连接界面来分类)
文字接口
明文传输:Telnet、RSH等,目前非常少用
加密传输:SSH为主,已经取代明文传输
图形接口:XDMCP、VNC、XRDP等
文字接口连接服务器 SSH(Secure Shell Protocol,安全的壳程序协议)它可以通过数据包加密技术将等待传输的数据包加 密后再传输到网络上。
ssh协议本身提供两个服务器功能:
一个是类似telnet的远程连接使用shell的服务 器;
另一个就是类似ftp服务的sftp-server,提供更安全的ftp服务。
vim /etc/ssh/sshd_config
默认的端口22;监听IP地址;
可以修改
需要关闭selinux
root@server1 ~]# setenforce 0 #关闭
[root@server1 ~]# getenforce #检查
Permissive #成功
重启服务
[root@server1 ~]# systemctl restart sshd2.
拒绝root用户远程登陆:
PermitRootLogin no
允许特定用户ssh登陆,其他用户都无法登陆:
AllowUsers USERNAME(用户名)
3.公钥放置的位置
../authorized_keys
HostKey /etc/ssh/ssh_host_rsa_key # rsa私钥认证
linux客户端通过秘钥登录linux服务端root用户:
在客户端
创建密钥对 [root@Ubuntu ~]# ssh-keygen -t rsa ssh-keygen
生成、管理和转换认证密钥 -t制定类型RSA
/root/.ssh/id_rsa私钥文件
/root/.ssh/id_rsa.pub公钥文件 #复制该公钥文件到服务端的该目录下
[root@Ubuntu ~]# ssh-copy-id root@192.168.232.135
#在本地服务器上登陆对端服务器
[root@Ubuntu ~]# ssh root@192.168.232.135#测试
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
