SSH的原理与应用

已于 2022-04-28 13:39:15 修改
阅读量5.2k 收藏 16
点赞数 2
文章标签: ssh 网络 安全
于 2022-02-24 10:44:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52223770/article/details/123093686
版权

SSH的原理与应用

一、SSH简介

  SSH是Secure Shell的缩写,也叫做安全外壳协议SSH的主要目的是实现安全远程登录。本质上是进行加密的shell。它既可以代替telnet,又可以为ftp、pop、甚至ppp提供一个安全的“通道”。
  SSH 为 Secure Shell 的缩写,由 IETF 的网络小组(Network Working Group)所制定;SSH 为建立在应用层基础上的安全协议。SSH 是较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。几乎所有UNIX平台—包括HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix,以及其他平台,都可运行SSH

二、SSH工作原理

  对数据进行加密的方式主要有两种:对称加密(密钥加密)非对称加密(公钥加密)。对称加密和非对称加密是针对密钥和解密的算法而言,SSH采用的是非对称加密方式,SSH的安全性比较好。
  SSH的加密原理中,使用了RSA非对称加密算法(RSA公开密钥密码体制的原理是:根据数论,寻求两个大素数比较简单,而将它们的乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥)。
整个过程是这样的
(1)远程主机收到用户的登录请求,把自己的公钥发给用户。
(2)用户使用这个公钥,将登录密码加密后,发送回来。
(3)远程主机用自己的私钥,解密登录密码,如果密码正确,就同意用户登录。

1.对称加密(密钥加密)

  对称加密指加密解密使用的是同一套密钥。Client端(客户端)把密钥加密后发送给Server端(服务器端),Server(服务器端)用同一套密钥解密。(所谓对称,就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解密。密钥是控制加密及解密过程的指令。算法是一组规则,规定如何进行加密和解密。)对称加密的加密强度比较高,很难破解。由于其速度快,对称性加密通常在消息发送方需要加密大量数据时使用。对称式的加密方法如果用于通过网络传输加密文件,那么不管使用任何方法将密钥告诉对方,都有可能被窃听为了解决对称加密的漏洞,于是就产生了非对称加密。

2.非对称加密(公钥加密)

  非对称加密加密和解密过程中分别使用不同的密钥,这两个密钥是公开密钥(public key,简称公钥)和私有密钥(private key,简称私钥)。想要能正常完成加密解密过程,就必需配对使用。而在使用过程中,“公钥”是公开的,“私钥”则必须由发送人保密,同时只能由持有人所有。非对称式的加密方法则具有一定的优越性,因为它包含有两个密钥,且仅有其中的“公钥”是可以被公开的,公钥加密后的密文接收方只需要使用自己已持有的私钥进行解密,这样就可以很好的避免密钥在传输过程中产生的安全问题。

三、中间人攻击

  SSH之所以能够保证安全,原因在于它采用了公钥加密,这个过程本身是安全的,但是实际用的时候存在一个风险:如果有人截获了登录请求,然后冒充远程主机,将伪造的公钥发给用户,那么用户很难辨别真伪。攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。因为不像https协议(具有双向的身份认证:客户端和服务端在传输数据之前,会通过基于X.509证书对双方进行身份认证 。),SSH协议的公钥是没有证书中心(CA)公证的,是自己签发的。

  如果攻击者插在用户与远程主机之间(比如在公共的wifi区域),用伪造的公钥,获取用户的登录密码。再用这个密码登录远程主机,那么SSH的安全机制就不存在了。这种风险就是著名的“中间人攻”(MITM)(Man-in-the-middle attack)。

  受到中间人攻击的关键原因是客户端不知道服务端的公钥真假,服务端也不知道客户端的公钥真假。所以破解这个问题的关键是如何相互认证
那么SSH协议是怎样应对的呢?

四、口令登录

  如果是第一次登录远程机,会出现以下提示:
下面展示一些 内联代码片

$ ssh user@host
The authenticity of host 'host (12.18.429.21)' can't be established.
RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.
Are you sure you want to continue connecting (yes/no)?

  该提示的意思是无法确认host主机的真实性,只知道该主机的公钥指纹,确定继续连接吗?输入yes之后,远程主机的公钥就会被保存下来,输入密码后就可以进行远程连接了。
  当远程主机的公钥被接受以后,它就会被保存在文件~/.ssh/known_hosts中,之后的每次连接,系统都会识别 known_hosts文件中的公钥指纹(因为公钥长度较长(采用RSA算法,长达1024位),很难比对,所以对其进行MD5计算,将它变成一个128位的指纹。如98:2e:d7:e0🇩🇪9f:ac:67:28:c2:42:2d:37:16:58:4d,这样比对就容易多了。
  经过比对后,如果用户接受这个远程主机的公钥,系统会出现一句提示语:

Warning: Permanently added 'host,12.18.429.21' (RSA) to the list of known hosts.

(警告:将"host,12.18.429.21"(RSA) 永久添加到已知主机列表中);

  就会认出它的公钥已经保存在本地了,从而跳过警告部分,直接提示输入密码。每个SSH用户都有自己的known_hosts文件,此外系统也有一个这样的文件,一般是/etc/ssh/ssh_known_hosts,保存一些对所有用户都可信赖的远程主机的公钥。

*五、公钥登录

  使用密码登录,每次都必须输入密码,非常麻烦。好在SSH还提供了公钥登录可以省去输入密码的步骤
  所谓"公钥登录",原理很简单,就是用户将自己的公钥储存在远程主机上。登录的时候,远程主机会向用户发送一段随机字符串,用户用自己的私钥加密后,再发回来。远程主机用事先储存的公钥进行解密,如果成功,就证明用户是可信的,直接允许登录shell,不再要求密码
  这种方法要求用户必须提供自己的公钥。如果没有现成的,可以直接用ssh-keygen生成一个:

 $ ssh-keygen

  运行上面的命令以后,系统会出现一系列提示,可以一路回车。其中有一个问题是,要不要对私钥设置口令(passphrase),如果担心私钥的安全,这里可以设置一个。
  运行结束以后,在~/.ssh/目录下,会新生成两个文件:id_rsa.pub和id_rsa。前者是公钥后者是私钥
  这时再输入下面的命令,将公钥传送到远程主机host上面:

$ ssh-copy-id user@host

  远程主机将用户的公钥,保存在登录后的用户主目录的~/.ssh/authorized_keys文件中。
  这样,以后就登录远程主机不需要输入密码了。
  如果还是不行,就用vim打开远程主机的/etc/ssh/sshd_config这个文件,将以下几行的注释去掉。

RSAAuthentication yes   PubkeyAuthentication yes   AuthorizedKeysFile .ssh/authorized_keys

然后,重启远程主机的ssh服务

Redhat6系统
service ssh restart
Redhat7系统
systemctl restart sshd
ubuntu系统
service ssh restart
debian系统
/etc/init.d/ssh restart

*六、SSH端口转发

  这三种方式说起来有点难理解,通过例子会好理解一点。假设有三台主机,host1、host2、host3。
  动态端口转发是找一个代理端口,然后通过代理端口去连相应的端口。动态端口转发的好处在于通过代理端口可以去找很多需要连接的端口,提高了工作效率。比如host1本来是连不上host2的,而host3却可以连上host2。host1可以找到host3作代理,然后通过host3去连接host2的相应端口
  本地端口转发也是找到第三方,通过第三方再连接想要连接的端口,但这种方式的端口转发是固定的,是点对点的。比如假定host1是本地主机,host2是远程主机。由于种种原因,这两台主机之间无法连通。但是,另外还有一台host3,可以同时连上host1和host2这两台主机。通过host3,将host1连上host2。host1找到host3,host1和host3之间就像有一条数据传输的道路,通常被称为“SSH隧道”,通过这条隧道host1就可以连上host2。
  远程端口转发和本地端口转发就是反过来了。假如host1在外网,host2在内网,正常情况下,host1不能访问host2。通过远程端口转发,host2可以反过来访问host1。host2和host1之间形成了一条道路,host1就可以通过这条道路去访问host2。

*七、SSH基本用法

  SSH主要用于远程登录:
  假定你要以用户名user,登录远程主机host,只要一条简单命令就可以了。

$ ssh user@host

  如果本地用户名与远程用户名一致,登录时可以省略用户名。

$ ssh host

  SSH的默认端口是22,也就是说,你的登录请求会送进远程主机的22端口。使用p参数,可以修改这个端口。

$ ssh -p 2018 user@host

上面这条命令表示,ssh直接连接远程主机的2018端口。

大小曲奇(´ε` )
关注
  • 2
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ssh原理和配置文件详解
06-22
ssh原理和配置文件详解,主要介绍ssh原理和配置文件的配置,怎么使用
ssh原理应用总结
03-23
pring是一个开源框架,它由Rod Johnson创建。它是为了解决企业应用开发的复杂性而创建的。
Hibernate原理应用
10-18
Hibernate原理应用,对有意愿学习ssh的朋友可以助一臂之力!
基于SSH的学生请假管理系统的设计与实现.rar
04-14
1、资源内容:毕业设计lun-wen word版10000字+;开题报告,任务书 2、学习目标:快速完成相关题目设计; 3、应用场景:课程设计、diy、毕业、参赛; 4、特点:直接可以编辑使用; 5、使用人群:设计参赛人员,学生,教师等。 6、使用说明:下载解压可直接使用。 7、能学到什么:通过学习本课题的设计与实现, 学习内部架构和原理,为后续的创作提供一定的设计思路和设计启发 , 同时也为后续的作品创作提供有力的理论依据、实验依据和设计依据, 例如提供一些开源代码、设计原理和电路图等有效的资料,而且本设计简单, 通俗易通,易于学习,为不同使用者提供学习资源,方便快捷, 是一种有效且实用的,同时也是一份值得学习和参考的资料。
SSH登录及其原理详解
东曜说
04-19 3296
干货时刻 本文主要讲解了什么是SSH以及SSH协议口令验证登录和公钥登录等两种登录方式的原理,同时演示了如何用SSH连接Github。 SSH 是什么 SSH的全称为Secure Shell,即安全外壳协议。它是一种专为远程登陆会话和网络服务提供安全性的应用层协议。说白了就是用来连接服务器的一种方式。 在SSH的加密原理中,就用到了非对称加密算法。在讲SSH加密原理前,我们先溯本追源,了解一下加密算法和其中经典的非对称加密算法RSA。 加密算法 计算机网络中的加密算法主要分为对称加密、非对称加密、散列算法等
超详细的图解SSH原理(真的超详细哦~~~~~~~~~)
wang_qiu_hao的博客
11-17 5365
本文以图文方式对SSH原理进行解析(主要指远程登录,没有涉及端口转发等功能)。同时分析了非对称加密的特性,以及在实践过程中如何对加密操作进行改进。known_hosts中存储的内容是什么?known_hosts中存储是已认证的远程主机host key,每个SSH Server都有一个secret, unique ID, called a host key。host key何时加入known_hosts的?。。3.为什么需要known_hosts?
SSH服务2——加密原理
frank_ci的博客
09-23 1622
window的加密原理SSH加密原理前,先说说windows的加密。在windows当中,一个文件是可以被加密的,右键—>属性—>常规—>高级这。只要勾选了“加密内容以便保护数据”,确定后,由于是使用管理员账户加密,而登录的时候使用的还是管理员账户,导致当使用非管理员账户时或者其他计算机尝试打开时,是不允许使用的。 这种加密非常的隐蔽,不像word加密那样,每次打开都需要你输密码,过一段时间都不记得这个文件加密过。当电脑出现故障需要重新安装系统时,虽然这个文件备份过,但是没有导出加密
SSH的工作原理、加密方式以及配置多个ssh key
heyYouU的博客
09-01 3890
本文从SSH工作原理、加密方式开始探究,引出多主机配置ssh连接的密钥选择问题,继续分析ssh_config配置,配以示例配置,干货满满。
SSH加密算法及在 C++ 中使用其他网络协议
CarryMee的博客
05-17 1078
SSH是一种安全网络协议,包含多种加密算法和密钥交换协议,用于保证数据传输的机密性和完整性。同时,C++中可以使用其他网络协议进行数据传输,比如FTP和SFTP等,使用第三方库比如libcurl和libssh等可以方便地实现这些协议的数据传输功能。非对称加密算法是指加密和解密使用不同的密钥,常见的非对称加密算法有RSA、DSA、ECC等。在SSH中,常用的非对称加密算法是RSA算法,用于密钥交换和数字签名等操作。对称加密算法是指加密和解密使用相同的密钥,常见的对称加密算法有DES、3DES、AES等。
万字详解SSHSSH登录原理+SSH配置+模拟实现SSH免密登录)
爱敲代码的三毛的博客
07-14 2819
ssh是一种用于安全访问远程服务器的协议,远程管理工具。对比起telnet,它更加的安全,那么它是如何保证安全的呢?总结:发送方和接收方使用的是同一个密钥来进行加密和解密发送方使用密钥将明文数据加密成密文,然后发送出去对称加密里最关键的就是这个密钥,客户端和服务器需要约定好密钥是啥如果是客户端生成了密钥,就需要通过网络告知服务器,密钥是啥密钥本身也在网络上文明传输,也容易被黑客获取,一旦被黑客获取到了了,后续的加密就失去了意义。引入非对称加密,使用非对称加密来对对称密钥进行加密解密:既然都有非对称加密了,为
SSH原理与运用.docx
12-11
随着Linux设备从电脑逐渐扩展到手机、外设和家用电器,SSH的使用范围也越来越广。不仅程序员离不开它,很多普通用户也每天使用。 SSH具备多种功能,可以用于很多场合。有些事情,没有它就是办不成。本文是我的...
修复ssh加密算法
live的专栏
02-18 1787
修复ssh加密算法 1)修改ssh配置文件sshd_config,添加加密算法 最后添加以下内容(去掉arcfour,arcfour128,arcfour256,aes128-cbc,3des-cbc等弱加密算法): Ciphers aes128-ctr,aes192-ctr,aes256-ctr MACs hmac-sha1,hmac-ripemd160 本地环境参考示例: $ vi /etc/ssh/sshd_config
对称加密,非对称加密,SSH
Meiko记录
03-27 583
熟悉Linux的人肯定都知道SSHSSH是一种用于安全访问远程服务器的网络协议。它将客户端与服务端之间的消息通过加密保护起来,这样就无法被窃取或篡改了。那么它安全性是如何实现的呢? 为了理解SSH,先要介绍两个重要概念:对称加密和非对称加密。 对称加密: 在对称加密中,客户端和服务端使用同一个密钥对数据进行加密和解密。这种方法的好处是加密强度高,很难破解。缺点也很明显,即密钥本身容...
SSH密钥交换算法解析:从安全性到配置优化
最新发布
十年运维开发经验的王义杰在此分享自己的知识和经验
09-12 1316
SSH密钥交换算法是保障SSH通信安全的关键一环。虽然通过ssh -Q kex命令可以查询SSH客户端支持的所有密钥交换算法,但并不意味着所有列出的算法都会在默认配置中被启用。通过手动更新SSH客户端或服务器的配置文件,我们可以确保使用最安全的密钥交换算法。了解这些背后的机制和设置方法,不仅可以提高我们系统的安全性,还可以在遇到问题时,更快地找到解决方案。希望这篇文章能为你提供有价值的信息和指导。
ssh加密的两种方式
路人也是身边人的博客
10-10 7264
说明 不知道可以先点开下面这个链接学习一下ssh两种加密的原理(单独看RSA加密的话我的另一个转载的博客比较详细http://blog.csdn.net/qq_38584967/article/details/78189388)。 本来想转载,结果图片没过来,就暂且放个链接吧哈哈。 SSH加密原理、RSA非对称加密算法学习与理解 http://www.cnblogs.com/Alenl
小刘的每日知识点——2019.10.25
weixin_37889780的博客
11-10 297
1、ssh: SSH之所以能够保证安全,原因在于它采用了非对称加密技术(RSA)加密了所有传输的数据。 传统的网络服务程序,如FTP、Pop和Telnet其本质上都是不安全的;因为它们在网络上用明文传送数据、用户帐号和用户口令,很容易受到中间人(man-in-the-middle)攻击方式的攻击。就是存在另一个人或者一台机器冒充真正的服务器接收用户传给服务器的数据,然后再冒充用户把数据传给真正...
ssh过程原理讲解
weixin_40384363的博客
12-31 3504
本文对SSH连接验证机制进行了非常详细的分析,还详细介绍了ssh客户端工具的各种功能,相信能让各位对ssh有个全方位较透彻的了解,而不是仅仅只会用它来连接远程主机。 另外,本人翻译了ssh客户端命令的man文档,如本文有不理解的地方,可以参考man文档手册:ssh中文手册。 SSH系列文章: SSH基础:SSHSSH服务 SSH转发代理:ssh-agent用法详解 SSH隧道:端口转发功能详解 1.1 非对称加密基础知识 对称加密:加密和解密使用一样的算法,只要解密时提供与加密时一致的密码就可以完成解
ssh 加密算法相关信息含义解析与弱加密算法禁用方法
热门推荐
龙瑜的博客
08-23 1万+
Ciphers 指定 SSH-2 允许使用的加密算法。多个算法之间使用逗号分隔。可以使用的算法如下: “aes128-cbc”, “aes192-cbc”, “aes256-cbc”, “aes128-ctr”, “aes192-ctr”, “aes256-ctr”, “3des-cbc”, “arcfour128”, “arcfour256”, “arcfour”, “blowfish-cbc”, “cast128-cbc” 默认值是可以使用上述所有算法。 MACs 指定允许在 SSH-2 中使用哪些消息
如何查询SSH客户端支持的加密算法:全面解析
十年运维开发经验的王义杰在此分享自己的知识和经验
09-12 3913
SSH客户端支持多种加密算法,包括对称加密算法、非对称加密算法、MAC算法和密钥交换算法。通过ssh -Q命令系列,我们可以方便地查询这些算法。除了默认支持的算法外,还可以通过查阅文档或手动配置来了解更多支持的算法。这样,不仅可以确保通信过程的安全性,还能在需要时灵活地更换加密算法。对于不同环境和不同需求,了解SSH客户端支持哪些加密算法是非常有用的。希望这篇文章能为你提供全面的指导和帮助。
公私钥ssh登录原理
07-27
公私钥(SSH key)登录是一种使用非对称加密算法进行身份验证的方法,常用于SSH(Secure Shell)远程登录。以下是公私钥SSH登录的原理: 1. 生成密钥对:用户首先在客户端生成一对密钥,包括公钥和私钥。私钥是保密的,存储在用户的本地计算机上,而公钥可以安全地分享给其他人。 2. 分发公钥:用户将自己的公钥分发给要连接的SSH服务器。这可以通过将公钥添加到服务器上的`authorized_keys`文件中来实现。 3. 身份验证过程:当用户尝试通过SSH连接到服务器时,服务器会向客户端发送一个随机的挑战(challenge)。 4. 使用私钥进行签名:客户端使用其私钥对挑战进行签名,生成一个数字签名。 5. 传输签名:客户端将数字签名发送回服务器。 6. 验证签名:服务器使用之前分发的公钥对接收到的签名进行验证。如果签名验证成功,则服务器可以确认客户端拥有与公钥相关联的私钥。 7. 授权访问:如果验证成功,服务器将授予客户端对SSH会话的访问权限。 这种身份验证方式相比传统的基于密码的身份验证更安全,因为私钥不会被传输,也不需要在每次登录时输入密码。同时,使用更长的密钥可以增加安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值