一、SSH简介
SSH是Secure Shell的缩写,也叫做安全外壳协议。SSH的主要目的是实现安全远程登录。本质上是进行加密的shell。它既可以代替telnet,又可以为ftp、pop、甚至ppp提供一个安全的“通道”。
SSH 为 Secure Shell 的缩写,由 IETF 的网络小组(Network Working Group)所制定;SSH 为建立在应用层基础上的安全协议。SSH 是较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。几乎所有UNIX平台—包括HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix,以及其他平台,都可运行SSH
二、SSH工作原理
对数据进行加密的方式主要有两种:对称加密(密钥加密)和非对称加密(公钥加密)。对称加密和非对称加密是针对密钥和解密的算法而言,SSH采用的是非对称加密方式,SSH的安全性比较好。
SSH的加密原理中,使用了RSA非对称加密算法(RSA公开密钥密码体制的原理是:根据数论,寻求两个大素数比较简单,而将它们的乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥)。
整个过程是这样的:
(1)远程主机收到用户的登录请求,把自己的公钥发给用户。
(2)用户使用这个公钥,将登录密码加密后,发送回来。
(3)远程主机用自己的私钥,解密登录密码,如果密码正确,就同意用户登录。
1.对称加密(密钥加密)
对称加密指加密解密使用的是同一套密钥。Client端(客户端)把密钥加密后发送给Server端(服务器端),Server(服务器端)用同一套密钥解密。(所谓对称,就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解密。密钥是控制加密及解密过程的指令。算法是一组规则,规定如何进行加密和解密。)对称加密的加密强度比较高,很难破解。由于其速度快,对称性加密通常在消息发送方需要加密大量数据时使用。对称式的加密方法如果用于通过网络传输加密文件,那么不管使用任何方法将密钥告诉对方,都有可能被窃听为了解决对称加密的漏洞,于是就产生了非对称加密。
2.非对称加密(公钥加密)
非对称加密加密和解密过程中分别使用不同的密钥,这两个密钥是公开密钥(public key,简称公钥)和私有密钥(private key,简称私钥)。想要能正常完成加密解密过程,就必需配对使用。而在使用过程中,“公钥”是公开的,“私钥”则必须由发送人保密,同时只能由持有人所有。非对称式的加密方法则具有一定的优越性,因为它包含有两个密钥,且仅有其中的“公钥”是可以被公开的,公钥加密后的密文接收方只需要使用自己已持有的私钥进行解密,这样就可以很好的避免密钥在传输过程中产生的安全问题。
三、中间人攻击
SSH之所以能够保证安全,原因在于它采用了公钥加密,这个过程本身是安全的,但是实际用的时候存在一个风险:如果有人截获了登录请求,然后冒充远程主机,将伪造的公钥发给用户,那么用户很难辨别真伪。攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。因为不像https协议(具有双向的身份认证:客户端和服务端在传输数据之前,会通过基于X.509证书对双方进行身份认证 。),SSH协议的公钥是没有证书中心(CA)公证的,是自己签发的。
如果攻击者插在用户与远程主机之间(比如在公共的wifi区域),用伪造的公钥,获取用户的登录密码。再用这个密码登录远程主机,那么SSH的安全机制就不存在了。这种风险就是著名的“中间人攻”(MITM)(Man-in-the-middle attack)。
受到中间人攻击的关键原因是客户端不知道服务端的公钥真假,服务端也不知道客户端的公钥真假。所以破解这个问题的关键是如何相互认证;
那么SSH协议是怎样应对的呢?
四、口令登录
如果是第一次登录远程机,会出现以下提示:
下面展示一些 内联代码片
。
$ ssh user@host
The authenticity of host 'host (12.18.429.21)' can't be established.
RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.
Are you sure you want to continue connecting (yes/no)?
该提示的意思是无法确认host主机的真实性,只知道该主机的公钥指纹,确定继续连接吗?输入yes之后,远程主机的公钥就会被保存下来,输入密码后就可以进行远程连接了。
当远程主机的公钥被接受以后,它就会被保存在文件~/.ssh/known_hosts中,之后的每次连接,系统都会识别 known_hosts文件中的公钥指纹(因为公钥长度较长(采用RSA算法,长达1024位),很难比对,所以对其进行MD5计算,将它变成一个128位的指纹。如98:2e:d7:e0🇩🇪9f:ac:67:28:c2:42:2d:37:16:58:4d,这样比对就容易多了。
经过比对后,如果用户接受这个远程主机的公钥,系统会出现一句提示语:
Warning: Permanently added 'host,12.18.429.21' (RSA) to the list of known hosts.
(警告:将"host,12.18.429.21"(RSA) 永久添加到已知主机列表中);
就会认出它的公钥已经保存在本地了,从而跳过警告部分,直接提示输入密码。每个SSH用户都有自己的known_hosts文件,此外系统也有一个这样的文件,一般是/etc/ssh/ssh_known_hosts,保存一些对所有用户都可信赖的远程主机的公钥。
*五、公钥登录
使用密码登录,每次都必须输入密码,非常麻烦。好在SSH还提供了公钥登录,可以省去输入密码的步骤。
所谓"公钥登录",原理很简单,就是用户将自己的公钥储存在远程主机上。登录的时候,远程主机会向用户发送一段随机字符串,用户用自己的私钥加密后,再发回来。远程主机用事先储存的公钥进行解密,如果成功,就证明用户是可信的,直接允许登录shell,不再要求密码。
这种方法要求用户必须提供自己的公钥。如果没有现成的,可以直接用ssh-keygen生成一个:
$ ssh-keygen
运行上面的命令以后,系统会出现一系列提示,可以一路回车。其中有一个问题是,要不要对私钥设置口令(passphrase),如果担心私钥的安全,这里可以设置一个。
运行结束以后,在~/.ssh/目录下,会新生成两个文件:id_rsa.pub和id_rsa。前者是公钥,后者是私钥。
这时再输入下面的命令,将公钥传送到远程主机host上面:
$ ssh-copy-id user@host
远程主机将用户的公钥,保存在登录后的用户主目录的~/.ssh/authorized_keys文件中。
这样,以后就登录远程主机不需要输入密码了。
如果还是不行,就用vim打开远程主机的/etc/ssh/sshd_config这个文件,将以下几行的注释去掉。
RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys
然后,重启远程主机的ssh服务。
Redhat6系统
service ssh restart
Redhat7系统
systemctl restart sshd
ubuntu系统
service ssh restart
debian系统
/etc/init.d/ssh restart
*六、SSH端口转发
这三种方式说起来有点难理解,通过例子会好理解一点。假设有三台主机,host1、host2、host3。
动态端口转发是找一个代理端口,然后通过代理端口去连相应的端口。动态端口转发的好处在于通过代理端口可以去找很多需要连接的端口,提高了工作效率。比如host1本来是连不上host2的,而host3却可以连上host2。host1可以找到host3作代理,然后通过host3去连接host2的相应端口
本地端口转发也是找到第三方,通过第三方再连接想要连接的端口,但这种方式的端口转发是固定的,是点对点的。比如假定host1是本地主机,host2是远程主机。由于种种原因,这两台主机之间无法连通。但是,另外还有一台host3,可以同时连上host1和host2这两台主机。通过host3,将host1连上host2。host1找到host3,host1和host3之间就像有一条数据传输的道路,通常被称为“SSH隧道”,通过这条隧道host1就可以连上host2。
远程端口转发和本地端口转发就是反过来了。假如host1在外网,host2在内网,正常情况下,host1不能访问host2。通过远程端口转发,host2可以反过来访问host1。host2和host1之间形成了一条道路,host1就可以通过这条道路去访问host2。
*七、SSH基本用法
SSH主要用于远程登录:
假定你要以用户名user,登录远程主机host,只要一条简单命令就可以了。
$ ssh user@host
如果本地用户名与远程用户名一致,登录时可以省略用户名。
$ ssh host
SSH的默认端口是22,也就是说,你的登录请求会送进远程主机的22端口。使用p参数,可以修改这个端口。
$ ssh -p 2018 user@host
上面这条命令表示,ssh直接连接远程主机的2018端口。