SSH原理和应用

最新推荐文章于 2024-04-26 17:57:56 发布
最新推荐文章于 2024-04-26 17:57:56 发布
阅读量842 收藏 3
点赞数
分类专栏: 计算机网络 文章标签: shell ssh 计算机 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011604052/article/details/52965652
版权

一、SSH的概念

  • 全名SecureShell,是一项建立在应用层和传输层基础上的安全协议,为计算机上的Shell(壳层)提供安全的传输和使用环境。
  • 传统的网络服务程序,如rsh、FTP、POP和Telnet其本质上都是不安全的;因为它们在网络上用明文传送数据、用户帐号和用户口令,很容易受到中间人(man-in-the-middle)攻击方式的攻击。
  • SSH之另一项优点为其传输的数据可以是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替Telnet,又可以为FTP、POP、甚至为PPP提供一个安全的「通道」。
  • OpenSSH是SSH的替代软件包,而且是开放源码且自由的。

二、SSH的安全验证

  • 第一种级别(基于密码的安全验证),知道帐号和密码,就可以登录到远程主机,并且所有传输的数据都会被加密。但是,可能会有别的服务器在冒充真正的服务器,将伪造的公钥发给用户,所以仍然无法避免被「中间人」攻击。步骤如下:
    1. 远程主机收到用户的登录请求,把自己的公钥发给用户。
    2. 用户使用这个公钥,将登录密码加密后,发送回来。
    3. 远程主机用自己的私钥,解密登录密码,如果密码正确,就同意用户登录。
注意:https与ssh不同,https的公钥是经过证书中心公证的,必须从CA (Certificate Authority)申请一个用于证明服务器用途类型的证书。

  • 第二种级别(基于密钥的安全验证),需要依靠密钥,也就是你必须为自己创建一对密钥,并把公有密钥放在需要访问的服务器上。登录的时候,远程主机会向用户发送一段随机字符串,用户用自己的私钥加密后,再发回来。远程主机用事先储存的公钥进行解密,如果成功,就证明用户是可信的,直接允许登录shell,不再要求密码。从而避免被「中间人」攻击。步骤如下:

    1. ssh-keygen -t rsa -c ‘abc@abc’生成公钥私要
    2. ssh-copy-id user@host将公钥传送到远程主机host上面,效果等同ssh user@host ‘mkdir -p .ssh && cat >> .ssh/authorized_keys’ < ~/.ssh/id_rsa.pub
    3. 确认主机/etc/ssh/sshd_config文件RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys
    4. service ssh restart重启主机ssh服务

三、SSH隧道

  • ssh隧道3中类型

    1. 动态端口转发
    2. 本地端口转发
    3. 远端端口转发

  • 动态端口转发

    • 概念:动态端口允许通过配置一个本地端口,把通过隧道到数据转发到远端的所有地址。本地的应用程序需要使用Socks协议与本地端口通讯。此时SSH充当Socks代理服务器的角色。
    • 命令格式:ssh -D [bind_address:]port
    • 描述:谁要是请求[bind_address:]port被我收到了,我就把请求通过ssh服务器发给host:hostport
    • 参数说明:
      • bind_address 指定绑定的IP地址,省略情况会绑定在本地的回环地址(即127.0.0.1),只能自己使用。如果为*会绑定本地所有的IP地址,同一局域网下的其他主机也可以使用。
      • port 指定本地绑定的端口

    • 使用场景:

      • 假设X网络(192.168.18.0/24)有主机A(192.168.18.100),Y网络(192.168.2.0/24)有主机B(192.168.2.100)和主机C(192.168.2.101),已知主机A可以连接主机B,但无法连接主机C。在主机A执行

        $ ssh -D localhost:8080 root@192.168.2.100

      • 然后主机A上的应用程序就可以通过

        SOCKS5 localhost:8080
      • 访问主机C上的服务
    • 优点
      • 配置一个代理服务就可以访问远端机器和与其所在子网络的所有服务
    • 缺点
      • 应用程序需要额外配置SOCKS代理,若应用程序不支持代理配置则无法使用
    • 相关知识
      • HTTP代理:能够代理客户机的HTTP访问,主要是代理浏览器访问网页,它的端口一般为80、8080、3128等;
      • SOCKS代理:SOCKS代理与其他类型的代理不同,它只是简单地传递数据包,而并不关心是何种应用协议,既可以是HTTP请求,所以SOCKS代理服务器比其他类型的代理服务器速度要快得多。SOCKS代理又分为SOCKS4和SOCKS5,二者不同的是SOCKS4代理只支持TCP协议(即传输控制协议),而SOCKS5代理则既支持TCP协议又支持UDP协议(即用户数据包协议),还支持各种身份验证机制、服务器端域名解析等。SOCK4能做到的SOCKS5都可得到,但SOCKS5能够做到的SOCK4则不一定能做到,比如我们常用的聊天工具QQ在使用代理时就要求用SOCKS5代理,因为它需要使用UDP协议来传输数据

  • 本地端口转发

    • 概念:通过SSH隧道,将一个远端机器能够访问到的地址和端口,映射为一个本地的端口。
    • 命令格式:ssh -L [bind_address:]port:host:hostport
    • 描述:对方的ssh服务器是公网主机,我连到上面,并承诺谁要是请求[bind_address:]port被我收到了,我就把请求通过ssh服务器发给host:hostport
    • 参数说明:
      • bind_address 指定绑定的IP地址,省略情况会绑定在本地的回环地址(即127.0.0.1),只能自己使用。如果为*会绑定本地所有的IP地址,同一局域网下的其他主机也可以使用。
      • port 指定本地绑定的端口
      • host 指定数据包转发目标地址的IP,如果目标主机和ssh server是同一台主机时该参数指定为localhost
      • host_port 指定数据包转发目标端口

    • 使用场景:

      • 假设X网络(192.168.18.0/24)有主机A(192.168.18.100),Y网络(192.168.2.0/24)有主机B(192.168.2.100)和主机C(192.168.2.101),已知主机A可以连接主机B,但无法连接主机C。A主机需要访问C主机的VNC服务(5900端口)。在A主机上建立本地转发端口5901

        $ ssh -L 5901:192.168.2.101:5900 root@192.168.2.100

      • 然后本地vnc客户端通过5901端口打开c主机的vnc服务

        open vnc://localhost:5901
      • 访问主机C上的服务
    • 优点
      • 无需设置代理
    • 缺点
      • 每个服务都需要配置不同的端口转发

  • 远端端口转发(反向端口转发)

    • 概念:远程端口转发用于某些单向阻隔的内网环境,比如说NAT,网络防火墙。在NAT设备之后的内网主机可以直接访问公网主机,但外网主机却无法访问内网主机的服务。如果内网主机向外网主机建立一个远程转发端口,就可以让外网主机通过该端口访问该内网主机的服务。可以把这个内网主机理解为“内应”和“开门者”。
    • 命令格式:ssh -R [bind_address:]port:host:hostport
    • 描述:对方是两个内网主机,我是公网主机,其中一个连到我,并告诉我,谁要是请求[bind_address:]port被我收到了,我就把请求通过ssh服务器发给host:hostport
    • 参数说明:
      • bind_address 指定绑定的IP地址,省略情况会绑定在本地的回环地址(即127.0.0.1),只能自己使用。如果为*会绑定本地所有的IP地址,同一局域网下的其他主机也可以使用。
      • port 指定本地绑定的端口
      • host 指定数据包转发源地址的IP,如果源主机和ssh server是同一台主机时该参数指定为localhost
      • host_port 指定数据包转发源端口

    • 使用场景:

      • 假设X网络(192.168.18.0/24)有主机A(192.168.18.100),Y网络(192.168.2.0/24)有主机B(192.168.2.100)和主机C(192.168.2.101),已知主机B可以通过SSH访问登录A主机,但反向直接连接被禁止,主机B和主机C可以相互访问。若主机A想访问主机C的VNC服务(5900端口)。在主机B执行如下命令。

        $ ssh -L 5901:192.168.2.101:5900 root@192.168.2.100

      • 然后本地vnc客户端通过5901端口打开C主机的vnc服务

        open vnc://localhost:5901
      • 访问主机C上的服务
    • 优点
      • 可以穿越防火墙和NAT设备
    • 缺点
      • 每个服务都需要配置不同的端口转发

四、SSH免密码登录

  • 原理:所谓的免密码登录,就是使用了ssh基于密钥的安全认证。
  • 主机A:1.1.1.1
  • 主机B:2.2.2.2

  • 目标:A主机的test用户,以B主机的test用户登录时不需要输入密码

  • 步骤一

    ssh-keygen -t rsa -C 'test@1.1.1.1'
默认路径,无密码就好
scp ~/.ssh/id_rsa.pub test@2.2.2.2:~/

  • 步骤二

    2.2.2.2的主机上
mkdir ~/.ssh
如果已有就不用自己新建了
cat ~/id_rsa.pub >> ~/.ssh/authorized_keys
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

  • 仍然需要输入密码

    • 请确认所有文件夹属于自己chown -R test:test ~/.ssh

    • 请确认权限正确

      chmon 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys
chmod 600 ~/.ssh/id_rsa
chmod 644 ~/.ssh/id_rsa.pub

    • SELinux引发的血案

      ls -laZ ~/.ssh
查看安全上下文信息,如果
drwx------. jenkins jenkins system_u:object_r:ssh_home_t:s0  .ssh
不是ssh_home_t而是别的,就用
restorecon -r -vv .ssh/修复一下吧
修复完如果还不是ssh_home_t,就用
chcon -R -t ssh_home_t .ssh/改一下吧

    • 还没解决?

      你可以看看2.2.2.2的日志
tail /var/log/secure -n 20
或者看看1.1.1.1的日志
ssh -vvv test@2.2.2.2

五、参考文章

lqshanshuo
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSH原理应用
永远在学习Linux之路上
10-22 401
本文档介绍 SSH原理应用,这是企业级非常实用的技术,希望能给大家带来帮助。 一、SSH简介 SSH是SecureShell的缩写,也叫做安全外壳协议。SSH的主要目的是实现安全远程登录。 二 、SSH工作原理 SSH安全性比较好,其对数据进行加密的方式主要有两种:对称加密(密钥加密)和非对称加密(公钥加密)。 对称加密指加密解密使用的是同一套秘钥。Client端把密钥加密后发送给Server端,Server用同一套密钥解密。对称加密的加密强度比较高,很难破解。但是,Client数量庞.
SSH原理与运用
莲藕粉的博客
03-27 181
文章目录SSH介绍SSH协议框架ssh连接建立过程相关文件介绍sshd_config部分参数介绍使用公钥认证免密登录原理操作相关工具介绍sshscpsftp SSH介绍 SSH的英文全称为Secure Shell,是IETF(Internet Engineering Task Force)的Network Working Group所制定的一族协议,其目的是要在非安全网络上提供安全的远程登录和其他...
超详细的图解SSH原理(真的超详细哦~~~~~~~~~)
wang_qiu_hao的博客
11-17 7393
本文以图文方式对SSH原理进行解析(主要指远程登录,没有涉及端口转发等功能)。同时分析了非对称加密的特性,以及在实践过程中如何对加密操作进行改进。known_hosts中存储的内容是什么?known_hosts中存储是已认证的远程主机host key,每个SSH Server都有一个secret, unique ID, called a host key。host key何时加入known_hosts的?。。3.为什么需要known_hosts?
小刘的每日知识点——2019.10.25
weixin_37889780的博客
11-10 304
1、ssh: SSH之所以能够保证安全,原因在于它采用了非对称加密技术(RSA)加密了所有传输的数据。 传统的网络服务程序,如FTP、Pop和Telnet其本质上都是不安全的;因为它们在网络上用明文传送数据、用户帐号和用户口令,很容易受到中间人(man-in-the-middle)攻击方式的攻击。就是存在另一个人或者一台机器冒充真正的服务器接收用户传给服务器的数据,然后再冒充用户把数据传给真正...
SSH功能及其在网络通信中的应用
最新发布
qq_43341279的博客
04-26 477
SSH服务器是另一个应用程序,它接收来自SSH客户端的连接请求,并根据用户的认证信息允许用户登录到服务器。端口转发:SSH可以实现TCP/IP端口转发,将本地端口映射到远程服务器上的端口,或者将远程服务器上的端口映射到本地计算机上。安全远程桌面:结合X11转发功能,SSH可以实现安全的远程桌面访问,用户可以在本地计算机上运行远程服务器上的图形界面应用程序。VPN替代:SSH隧道可以作为VPN的替代方案,为用户提供加密的网络连接,保护用户的网络隐私和数据安全。这提高了安全性,并简化了远程登录的过程。
ssh过程原理讲解
weixin_40384363的博客
12-31 3586
本文对SSH连接验证机制进行了非常详细的分析,还详细介绍了ssh客户端工具的各种功能,相信能让各位对ssh有个全方位较透彻的了解,而不是仅仅只会用它来连接远程主机。 另外,本人翻译了ssh客户端命令的man文档,如本文有不理解的地方,可以参考man文档手册:ssh中文手册。 SSH系列文章: SSH基础:SSHSSH服务 SSH转发代理:ssh-agent用法详解 SSH隧道:端口转发功能详解 1.1 非对称加密基础知识 对称加密:加密和解密使用一样的算法,只要解密时提供与加密时一致的密码就可以完成解
SSH原理应用
大小曲奇的博客
02-24 5523
SSH原理应用一、SSH简介二、SSH工作原理1.对称加密(密钥加密)2.非对称加密(公钥加密)三、中间人攻击四、口令登录五、公钥登录六、SSH端口转发七、SSH基本用法 一、SSH简介   SSH是Secure Shell的缩写,也叫做安全外壳协议。SSH的主要目的是实现安全远程登录。本质上是进行加密的shell。它既可以代替telnet,又可以为ftp、pop、甚至ppp提供一个安全的“通道”。   SSH 为 Secure Shell 的缩写,由 IETF 的网络小组(Network Workin
SSH - 学习与实践探究
william_n的博客
01-14 4126
常用于远程登录系统[服务器, 如云服务器, AWS,阿里云, 腾讯云等],但是也并非一定安全的, 可以参看--下面维基百科介绍
SSH原理详解.docx
01-04
SSH原理详解 SSH(Secure Shell安全外壳)是一种网络安全协议,通过加密和认证机制实现安全的访问和文件传输等业务。传统远程登录或文件传输方式,例如 Telnet、FTP,使用明文传输数据,存在很多的安全隐患。随着...
SSH工作原理及流程
04-09
SSH 工作原理及流程 SSH(Secure Shell)是一种安全的网络协议,用于提供安全的远程访问和文件传输。SSH 协议具有广泛的应用场景,如远程登录、文件传输、网络管理等。...SSH 协议具有广泛的应用场景和多种优点。
SSH和SSM对比总结
01-27
SSH和SSM是Java开发中常用的两种MVC框架,它们都是为了实现模型-视图-控制器的设计模式,帮助开发者高效地构建企业级应用SSH通常指的是Struts2作为控制器,Spring管理服务层和数据访问层,而Hibernate负责数据持久...
SSH工作原理
04-17
SSH 工作原理 javaSSH 工作原理 java
ssh原理应用总结
03-23
SSH 原理应用总结 SSH,全称 Secure Shell,是一种网络协议,用于安全地远程登录和管理网络设备,如服务器。SSH 提供加密的数据传输,确保在不安全的网络环境中,用户的命令行交互、文件传输等敏感信息不被窃取。...
SSH原理之图文详解
Jian Sun_的博客
03-03 3177
一.Telnet和SSH 1.Telnet Telnet是一个远程连接服务是一个C/S架构,具有Server端和Client端,Client通过telnet协议连接到服务器端,这是早期常用的远程连接方法.然后改方法进行连接的过程中使用的都是明文进行传输,在同一网络中的其他用户很容易通过网络工具捕捉到该数据包进行分析进而获取到密码.这是一个很不安全的连接方法.telnet协议使用的是23号端口是基于tcp的链接 2.SSH telnet在本质上都是不安全的,因为它们...
SSH原理
鹤啸九天
08-05 1901
如果对对称加密和非对称加密还不太了解,请先了解《通信加密原理》:https://blog.csdn.net/lzghxjt/article/details/98444934 一、SSH原理SSH为Secure Shell的缩写,默认端口22,由IETF的网络小组(Network Working Group)所制定;SSH为建立在应用层基础上的安全协议。SSH是目前较可靠,专...
SSH 详解(实践及应用
qq_38150250的博客
08-21 1万+
目录 1.SSH 基本知识 2.SSH 客户端 2.1 安装 2.2 基本用法 2.3 命令行配置项 2.4 配置文件 3 SSH 密钥 3.1 密钥生成 3.2 公钥上传 4 SSH 代理 4.1 动态转发 4.2 本地转发 4.3 远程转发 4.4 实际运用 5 SCP命令 5.1 本地复制到远程 5.2 远程复制到本地 5.3 两个远程系统间的复制 6 Rsync 命令 6.1 安装 6.2 基本用法 6.3 远程同步 本地同步到远程服务器 远程服务器.
SSH原理与使用
Shawn的个人博客
03-26 2496
一、SSH介绍 SSH是Secure Shell Protocol的简写,用于加密两台计算机之间的通信,并且支持各种身份验证机制。SSH先对联机数据包通过加密技术进行加密处理,加密后在进行数据传输。确保了传递的数据安全SSH安全的加密协议,用于远程连接linux服务器。 SSH默认端口是22,安全协议版本SSHv2,除了2之外还有SSHv1(有漏洞)。 SSH服务端主要包含两个服务功能SSH远程连接和SFTP服务。 Linux SSH客户端包含ssh远程连接命令,以及远程拷贝scp命令等。 而SS
SSH连接调试:逐行解读SSH -vvv的输出信息
十年运维开发经验的王义杰在此分享自己的知识和经验
09-12 1378
使用ssh -vvv调试SSH连接不仅可以让我们了解SSH连接的内部机制,还能在排查问题时提供有价值的信息。希望通过本文的逐行解读,你能更好地理解SSH连接中的各个环节。这样的信息对于了解SSH的连接机制和故障排查都是非常有用的。希望这篇文章能让你更好地理解SSH连接背后的细节。
【转】26个开源免费又好用的SSH客户端工具
热门推荐
ScilogyHunter的博客
12-28 2万+
工欲善其事、必先利其器,每天都需要通过SSH工具远程登录服务器,那么使用一款高效的连接工具就很有必要。安全外壳协议(Secure Shell,简称SSH)是一种在不安全网络上用于安全远程登录和其他安全网络服务的协议。SSH安全远程登录整个过程SSH由IETF的网络小组(Network Working Group)所制定;SSH 为建立在应用层基础上的安全协议。SSH 是较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值