ssh的簡單介紹
OpenSSH 提供了以下幾個工具:
1. ssh:實現 SSH 協議,用以建立安全連接,它替代了較早的 rlogin 和 Telnet。
2. scp, sftp:利用 SSH 協議遠程傳輸文件,它替代了較早的 rcp。
3. sshd:SSH 服務器守護進程,運行在服務器端。
4. ssh-keygen:用以生成 RSA 或 DSA 密鑰對。
5. ssh-agent, ssh-add:管理密鑰的工具。
6. ssh-keyscan:掃描網絡中的主機,記錄找到的公鑰。
SSH主要用於遠程登錄。假定你要以用戶名user,登錄遠程主機host,只要一條簡單命令就可以了。
ssh [email protected]
如果本地用戶名與遠程用戶名一致,登錄時可以省略用戶名。
$ ssh host
SSH的默認端口是22,也就是說,你的登錄請求會送進遠程主機的22端口。使用p參數,可以修改這個端口。
$ ssh -p 2222 [email protected]
上面這條命令表示,ssh直接連接遠程主機的2222端口。
三、中間人攻擊
SSH之所以能夠保證安全,原因在於它采用了公鑰加密。
整個過程是這樣的:服務器首先比對從客戶端發送過來的公鑰與在己方註冊的公鑰是否一致,如果一致,服務器會使用該公鑰加密數據向客戶端發起 "挑戰",從而避免中間人攻擊。"挑戰" 是指服務器使用公鑰加密數據發送給客戶端,客戶端使用配對的私鑰對數據進行解密,客戶端成功解密後將答案發回服務器進行驗證,結果一致則挑戰成功,表示客戶端是合法用戶可以進行安全通信。
(1)遠程主機收到用戶的登錄請求,把自己的公鑰發給用戶。
(2)用戶使用這個公鑰,將登錄密碼加密後,發送回來。
(3)遠程主機用自己的私鑰,解密登錄密碼,如果密碼正確,就同意用戶登錄。
這個過程本身是安全的,但是實施的時候存在一個風險:如果有人截獲了登錄請求,然後冒充遠程主機,將偽造的公鑰發給用戶,那麽用戶很難辨別真偽。因為不像https協議,SSH協議的公鑰是沒有證書中心(CA)公證的,也就是說,都是自己簽發的。
可以設想,如果攻擊者插在用戶與遠程主機之間(比如在公共的wifi區域),用偽造的公鑰,獲取用戶的登錄密碼。再用這個密碼登錄遠程主機,那麽SSH的安全機制就蕩然無存了。這種風險就是著名的"中間人攻擊"(Man-in-the-middle attack)。
SSH協議是如何應對的呢?
四、口令登錄
如果你是第一次登錄對方主機,系統會出現下面的提示:
[[email protected] ~]$ ssh [email protected]
The authenticity of host ‘192.168.1.62 (192.168.1.62)‘ can‘t be established.
RSA key fingerprint is b4:ed:e2:83:c2:07:d5:56:38:4a:c9:be:bb:bb:b5:cf.
Are you sure you want to continue connecting (yes/no)?
這段話的意思是,無法確認host主機的真實性,只知道它的公鑰指紋,問你還想繼續連接嗎?
所謂"公鑰指紋",是指公鑰長度較長(這裏采用RSA算法,長達1024位),很難比對,所以對其進行MD5計算,將它變成一個128位的指紋。上例中是b4:ed:e2:89:c2:07:d5:56:38:4a:c9:3e:bb:bb:b5:cf,再進行比較,就容易多了。
很自然的一個問題就是,用戶怎麽知道遠程主機的公鑰指紋應該是多少?遠程主機可以在自己的網站上貼出公鑰指紋,以便用戶自行核對。假定經過風險衡量以後,用戶決定接受這個遠程主機的公鑰。
ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key #在主機上查看主機的指紋,ssh-keygen 命令的 -l 選項指示打印公鑰的指紋。-f 指定公鑰文件。
Are you sure you want to continue connecting (yes/no)? yes
系統會出現一句提示,表示host主機已經得到認可。
Warning: Permanently added ‘host,192.168.1.62‘ (RSA) to the list of known hosts.
然後,會要求輸入密碼。
Password: (enter password)
如果密碼正確,就可以登錄了。
當遠程主機的公鑰被接受以後,它就會被保存在文件$HOME/.ssh/known_hosts之中。下次再連接這臺主機,系統就會認出它的公鑰已經保存在本地了,從而跳過警告部分,直接提示輸入密碼。
每個SSH用戶都有自己的known_hosts文件,此外系統也有一個這樣的文件,通常是/etc/ssh/ssh_known_hosts,保存一些對所有用戶都可信賴的遠程主機的公鑰。
五、公鑰登錄
使用密碼登錄,每次都必須輸入密碼,非常麻煩。好在SSH還提供了公鑰登錄,可以省去輸入密碼的步驟。
所謂"公鑰登錄",原理很簡單,就是用戶將自己的公鑰儲存在遠程主機上。
1、遠程主機會向用戶發送一段用用戶公鑰加密的隨機字符串x,
2、用戶用自己的私鑰解密後,用服務端的公鑰加密,再發回來。
3、遠程主機用自己的私鑰進行解密,如果成功,就證明用戶是可信的,直接允許登錄shell,不再要求密碼。
這種方法要求用戶必須提供自己的公鑰。如果沒有現成的,可以直接用ssh-keygen生成一個:
$ ssh-keygen
運行上面的命令以後,系統會出現一系列提示,可以一路回車。其中有一個問題是,要不要對私鑰設置口令(passphrase),如果擔心私鑰的安全,這裏可以設置一個。
運行結束以後,在$HOME/.ssh/目錄下,會新生成兩個文件:id_rsa.pub和id_rsa。前者是你的公鑰,後者是你的私鑰。
這時再輸入下面的命令,將公鑰傳送到遠程主機host上面:
$ ssh-copy-id [email protected]
好了,從此你再登錄,就不需要輸入密碼了。
如果還是不行,就打開遠程主機的/etc/ssh/sshd_config這個文件,檢查下面幾行前面"#"註釋是否取掉。
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
六、authorized_keys文件
遠程主機將用戶的公鑰,保存在登錄後的用戶主目錄的$HOME/.ssh/authorized_keys文件中。公鑰就是一段字符串,只要把它追加在authorized_keys文件的末尾就行了。
這裏不使用上面的ssh-copy-id命令,改用下面的命令,解釋公鑰的保存過程:
$ ssh [email protected] ‘mkdir -p .ssh && cat >> .ssh/authorized_keys‘ < ~/.ssh/id_rsa.pub
這條命令由多個語句組成,依次分解開來看:
(1)"$ ssh [email protected]",表示登錄遠程主機;
(2)單引號中的mkdir .ssh && cat >> .ssh/authorized_keys,表示登錄後在遠程shell上執行的命令:
(3)"$ mkdir -p .ssh"的作用是,如果用戶主目錄中的.ssh目錄不存在,就創建一個;
(4)‘cat >> .ssh/authorized_keys‘ < ~/.ssh/id_rsa.pub的作用是,將本地的公鑰文件~/.ssh/id_rsa.pub,重定向追加到遠程文件authorized_keys的末尾。
寫入authorized_keys文件後,公鑰登錄的設置就完成了。
七、疑問
Q1: SSH的版本和區別。
A1: SSH2避免了RSA的專利問題,並修補了CRC的缺陷。SSH2用數字簽名算法(DSA)和Diffie-Hellman(DH)算法代替RSA來完成對稱密鑰的交換,用HMAC來代替CRC。同時SSH2增加了AES和Twofish等對稱加密算法。
SSH(Secure SHell)到目前為止有兩個不兼容的版本——SSH1和SSH2。SSH1又分為1.3和1.5兩個版本。SSH1采用DES、3DES、Blowfish和RC4等對稱加密算法保護數據安全傳輸,而對稱加密算法的密鑰是通過非對稱加密算法(RSA)來完成交換的。SSH1使用循環冗余校驗碼(CRC)來保證數據的完整性,但是後來發現這種方法有缺陷。
更多內容請參考The SSHv1 Protocol & The SSHv2 Protocol
Q2: 什麽是HMAC?
A2: HMAC(Hash Message Authentication Code) ,散列消息鑒別碼,基於密鑰的Hash算法的認證協議。消息鑒別碼實現鑒別的原理是,用公開函數和密鑰產生一個固定長度的值作為認證標識,用這個標識鑒別消息的完整性。使用一個密鑰生成一個固定大小的小數據塊,即MAC,並將其加入到消息中,然後傳輸。接收方利用與發送方共享的密鑰進行鑒別認證等。
Q3: 什麽是X11 forwarding?
A3: sh的X11 forwarding特性可以使X client和X server安全地通訊。使用X11 forwarding後,從X client到X Server方向的數據先被送至ssh server,ssh server利用和ssh client的安全通道轉發給ssh client,再由ssh client轉發給X server,從X server到X client的數據流同理。這裏ssh server和ssh client充當了X client和X server間數據的轉發器,由於ssh server和X client、ssh client和X server一般在同一臺機器上,它們之間是一種安全的進程間通訊,而ssh server和ssh client間的通訊也是安全的,所以X client和X server間的通訊就是安全的。
Q4: 什麽是TTY?
A4: 終端是一種字符型設備,它有多種類型,通常使用tty來簡稱各種類型的終端設備。tty是 Teletype的縮寫。Teletype是最早出現的一種終端設備,很象電傳打字機,是由Teletype公司生產的。設備名放在特殊文件目錄/dev/下。
Q5: 簡單描述下SSH運行的過程?
ref:http://www.ruanyifeng.com/blog/2011/12/ssh_remote_login.html http://blog.csdn.net/oncoding/article/details/4365062 http://www.cnblogs.com/ifantastic/p/3984150.htmlA5:簡要過程如下:
協商階段:這裏所有通信是不加密的
1、Client端向Server端發起SSH連接請求。
2、Server端向Client端發起版本協商。
3、協商結束後Server端發送Host Key公鑰 Server Key公鑰,隨機數等信息。
4、Client端返回確認信息
認證階段:從此以後所有通信均加密。
1、遠程主機會向用戶發送一段用用戶公鑰加密的隨機字符串x,
2、用戶用自己的私鑰解密後,用服務端的公鑰加密,再發回來。
3、遠程主機用自己的私鑰進行解密,如果成功,就證明用戶是可信的,直接允許登錄shell,不再要求密碼。
認證成功後,進入交互階段。
ssh的簡單介紹