SSH 原理与应用

什么是 SSH

• SSH 是一种网络协议，该协议用于计算机间通信/登录信息的加密
• 使用场景主要是远程登录
• 早期，互联网通信使用明文，一旦被截获，信息则泄露
• 而，若 Client 通过 SSH 协议加密登录 Server, 我们则认为这种登录是安全的，即使登录信息中途被截获

SSH 的实现

• SSH 是一种协议
• 实现版本多样
  • Linux 中实现版本是 OpenSSH
  • Windows 中则是 PuTTY

SSH 登录基本用法

• Client 上远程登录 Server, Server 的用户名：user，域名：hostname
• Client 上执行命令行：ssh user@hostname，用于发起登录请求，后面需要输入登录密码
  • Client, Server 相同用户名，则可省略user，即：ssh hostname
  • SSH 默认端口22，若 Server 更改了端为222，登录命令行为：ssh -p 222 user@hostname

SSH 登录流程

1. Client 发起登录请求，即 ssh user@hostname
2. Server 接收 Client 的登录请求，并将自己的公钥发给 Client
3. Client 接收并使用这个公钥 加密登录密码，并将加密后的密码发送给 Server
4. Server 用自己的私钥 解密发送过来的用自己的公钥加密过的密码
5. 如果解密后的 密码正确，则同意 Client 登录

登录过程出现的中间人攻击

• 上述 1->2 步骤之间，Fake_Server 截获了 登录信息，并将伪造的公钥 颁发给 Client
• Client 用 伪造公钥 加密自己的密码，再发送，又被截获
• Fake_Server 获得了你的密码
• Fake_Server 拿着Client 的密码 登录 真实 Server

中间人攻击的原因

• Client 不能断定接收到的公钥的正确性
• 公钥并没有被公正，都是每个Server 颁发自己的
• 解决办法：Server 在自己的官网公示出自己的公钥，Client 自行确认

口令/密码登录-详解 SSH 登录流程

1. Client 发出登录请求
2. Server 返还一个公钥, 提示 Client 是否接收

$ ssh user@host

The authenticity of host 'host (12.18.429.21)' can't be established. //host 地址

RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d. //公钥信息

Are you sure you want to continue connecting (yes/no)?
//提示Client 当前无法确认 host 的真实性，问其是否继续连接

3. Client权衡后决定接收，回车

　Warning: Permanently added 'host,12.18.429.21' (RSA) to the list of known hosts.
　//将 host 的 公钥 存放到 known_hosts 文件中

4. Cleint 提示：输入密码

Password: (enter password)

5. 成功登录
6. 下次登录该主机，因为 known_hosts 目录下 已经存在该主机的 公钥，直接跳到 输入密码阶段

注

• ~/.ssh/known_hosts 文件存放 可信赖的远程主机的公钥
• 每个用户都有自己的 known_hosts 文件，系统也有一个该文件，用来保存对所有用户都信赖的远程主机的公钥

公钥登录

• 上例使用密码登录，需每次输入密码，比较麻烦
• 公钥登录原理
  1. 前提：Client 生成自己的公钥、私钥，命令行: ssh-keygen -t rsa
  2. Client 首先将自己的公钥 存到 Server 上，意味着该用户有权访问Server
  3. Client 请求登录时，Server 返回一段随机字符串给 Client
  4. Client 用 自己的私钥对随机字符串加密，并发回给 Server
  5. Server 用之前存放的 公钥解密，如果成功，则说明用户可信直接登录成功

注

• Client 生成公钥秘钥后，即执行：ssh-keygen -t rsa
• $HOME/.ssh/目录会生成两个文件
  • id_rsa.pub 公钥
  • id_rsa 私钥
• Client 将公钥传送到 Server 上，命令行：ssh-copy-id user@hostname
• 此刻登录无需 密码
• Server 保存用户公钥的位置
  • $HOME/.ssh/authorized_keys 文件中，多个Client的公钥依次追加到文件末尾
• /etc/ssh/sshd_config 文件 删除以下注释

# RSAAuthentication yes
# PubkeyAuthentication yes
# AuthorizedKeysFile .ssh/authorized_keys

• 重启 SSH 服务
  • service ssh restart //ubuntu
  • /etc/init.d/ssh restart //debian

参考：http://www.ruanyifeng.com/blog/2011/12/ssh_remote_login.html