SSH 原理与应用

什么是 SSH

  • SSH 是一种网络协议,该协议用于计算机间通信/登录信息的加密
  • 使用场景主要是远程登录
  • 早期,互联网通信使用明文,一旦被截获,信息则泄露
  • 而,若 Client 通过 SSH 协议加密登录 Server, 我们则认为这种登录是安全的,即使登录信息中途被截获

SSH 的实现

  • SSH 是一种协议
  • 实现版本多样
    • Linux 中实现版本是 OpenSSH
    • Windows 中则是 PuTTY

SSH 登录基本用法

  • Client 上远程登录 Server, Server 的用户名:user,域名:hostname
  • Client 上执行命令行:ssh user@hostname,用于发起登录请求,后面需要输入登录密码
    • Client, Server 相同用户名,则可省略user,即:ssh hostname
    • SSH 默认端口22,若 Server 更改了端为222,登录命令行为:ssh -p 222 user@hostname

SSH 登录流程

  1. Client 发起登录请求,即 ssh user@hostname
  2. Server 接收 Client 的登录请求,并将自己的公钥发给 Client
  3. Client 接收并使用这个公钥 加密登录密码,并将加密后的密码发送给 Server
  4. Server 用自己的私钥 解密发送过来的用自己的公钥加密过的密码
  5. 如果解密后的 密码正确,则同意 Client 登录

登录过程出现的中间人攻击

  • 上述 1->2 步骤之间,Fake_Server 截获了 登录信息,并将伪造的公钥 颁发给 Client
  • Client 用 伪造公钥 加密自己的密码,再发送,又被截获
  • Fake_Server 获得了你的密码
  • Fake_Server 拿着Client 的密码 登录 真实 Server

中间人攻击的原因

  • Client 不能断定接收到的公钥的正确性
  • 公钥并没有被公正,都是每个Server 颁发自己的
  • 解决办法:Server 在自己的官网公示出自己的公钥,Client 自行确认

口令/密码登录-详解 SSH 登录流程

  1. Client 发出登录请求
  2. Server 返还一个公钥, 提示 Client 是否接收
$ ssh user@host

The authenticity of host 'host (12.18.429.21)' can't be established. //host 地址

RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d. //公钥信息

Are you sure you want to continue connecting (yes/no)?
//提示Client 当前无法确认 host 的真实性,问其是否继续连接
  1. Client权衡后决定接收,回车
 Warning: Permanently added 'host,12.18.429.21' (RSA) to the list of known hosts.
 //将 host 的 公钥 存放到 known_hosts 文件中
  1. Cleint 提示:输入密码
Password: (enter password)
  1. 成功登录
  2. 下次登录该主机,因为 known_hosts 目录下 已经存在该主机的 公钥,直接跳到 输入密码阶段

  • ~/.ssh/known_hosts 文件存放 可信赖的远程主机的公钥
  • 每个用户都有自己的 known_hosts 文件,系统也有一个该文件,用来保存对所有用户都信赖的远程主机的公钥

公钥登录

  • 上例使用密码登录,需每次输入密码,比较麻烦
  • 公钥登录原理
    1. 前提:Client 生成自己的公钥、私钥,命令行: ssh-keygen -t rsa
    2. Client 首先将自己的公钥 存到 Server 上,意味着该用户有权访问Server
    3. Client 请求登录时,Server 返回一段随机字符串给 Client
    4. Client 用 自己的私钥对随机字符串加密,并发回给 Server
    5. Server 用之前存放的 公钥解密,如果成功,则说明用户可信直接登录成功

  • Client 生成公钥秘钥后,即执行:ssh-keygen -t rsa
  • $HOME/.ssh/目录会生成两个文件
    • id_rsa.pub 公钥
    • id_rsa 私钥
  • Client 将公钥传送到 Server 上,命令行:ssh-copy-id user@hostname
  • 此刻登录无需 密码
  • Server 保存用户公钥的位置
    • $HOME/.ssh/authorized_keys 文件中,多个Client的公钥依次追加到文件末尾
  • /etc/ssh/sshd_config 文件 删除以下注释
# RSAAuthentication yes
# PubkeyAuthentication yes
# AuthorizedKeysFile .ssh/authorized_keys
  • 重启 SSH 服务
    • service ssh restart //ubuntu
    • /etc/init.d/ssh restart //debian
参考:http://www.ruanyifeng.com/blog/2011/12/ssh_remote_login.html

你可能感兴趣的:(SSH 原理与应用)