Harrison's blog

导航

ssh那些事儿

  第一次使用ssh是上学期搭建hadoop集群的时候,当时照着各种配置文档费了九牛二虎之力终于把环境搭建成功,现在想想当时还真是不容易呢。好了废话不扯了,进入正题。       

  计算机发展早期能实现两台机器之间的通信已属不易,所以当时并没有什么加密的措施,Telnet所有的认证和数据传输都是明文的,很不安全,随着时间的发展加密的的需求越来越迫切,后来就出现了ssh。

  加密方式主要分为三种:

  1、对称加密:有加密算法和解密算法,算法可以不同,但加密和解密使用同一密钥。对称加密的优势计算速度快,但是安全性几乎完全依赖于密钥。

  2、非对称加密:每个密码成对出现,分为公钥(public key)和私钥(private key)。公钥加密的只能私钥解密,私钥加密的只能公钥解密,一把钥匙开一把锁。比较典型的公钥加密方式是RSA加密,公钥加密虽然提高了安全性,但是加密速度要比对称加密慢3个数量级,所以一般公钥加密不会用在加密数据上,只能用在身份认证上。

  3、单向加密:单向加密用于提取数据的指纹信息,常用于数据完整性的校验,它有两个特征:雪崩效应和定长输出。

       ssh有两个版本,v1版本对中间人攻击无能为力,不太安全,建议切换到v2版本,在嵌入式系统中也有一个好用的ssh工具dropbear。ssh实现认证的方式就是使用的非对称加密,而这里ssh认证的过程有基于口令基于密钥两种。

  在基于口令的认证过程中,客户端A向服务器B发起连接请求时,服务器B会将自己的公钥发送给客户端A,如果是第一次连接服务器会出现这样一段提示:

$ ssh someone@xxx.xxx.xxx.xxx   -p   xxx 
1 The authenticity of host '[xxx.xxx.xxx.xxx]:2222 ([xxx.xxx.xxx.xxx]:2222)' can't be established. 2 ECDSA key fingerprint is SHA256:9J/zsFKXzAt++8zxqUTZ1EFMVxcpRSNcvduszmeiNAQ. 3 Are you sure you want to continue connecting (yes/no)?

  因为是第一次连接,所以不能确定这就是你要连接的那台主机,被别人用其他主机冒名顶替也不是不可能。因此你需要对自己负责,确定对方发来的公钥的指纹信息没什么问题的话就可以连上去,我觉得这里基本都是直接回答yes,因为单凭这个指纹信息一般人也没什么办法分辨真伪。输入yes后就代表你接受了对方的公钥,此时客户端自己随机生成一对对称密钥,用服务器的公钥加密后再发回给服务器,服务器用私钥解密后就可以得到双方通信的对称密钥,以后发送用户名和密码以及其他数据都会用这对对称密钥加密,但这对对称密钥会不定期更换,在/etc/ssh/sshd_config文件中会有相应的配置选项。

  第一次连接成功后,以后再连接这台服务器就不会在出现上面的提示了,因为服务器的公钥已经保存在~/.ssh/know_hosts文件中了

1 $ cat   ~/.ssh/known_hosts
2 |1|+Ke03ORmqeSdSINJH5oixg48VLo=|OTXwIW8Sie+Qvp2wGyVv7fBjBGI= ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBDDj6+Zo403xXzLFHOloiPTHF/DcUs8fZzdG3x+MLhGgfskyse4BmnvVHYO4RLGkZUPRfWC6jMuAL2WLPXE3+7I=

   另一种方式是基于密钥的认证方式,也就是我们常说的ssh免密码登陆。使用这种方式时,客户端需要自己先生成一个非对称密钥对,然后预先将自己的公钥传送到要连接的服务器上,私钥自己保留。发起连接时,客户端用私钥加密一段数据发送给服务器,服务器如果能用对应用户的公钥解密就认证成功,在整个过程中没有传送密码,所以常说成ssh免密码登陆。具体操作步骤如下:

1、ssh-keygen   -t    rsa           ssh-keygen会生成一对非对称密钥对,-t表示使用rsa加密算法,也可以选择dsa

 

此时查看~/.ssh目录会发现多了俩文件,id_rsa和id_rsa.pub,第一个是私钥文件第二个是公钥文件,将id_rsa.pub中的内容复制到远程主机的~/.ssh/authorized_keys文件中再重新加载配置文件即可,如果没有这个文件可以手动建立,这里我用ssh-copy-id工具比较方便。

ssh-copy-id    -i   id_rsa.pub     someone@xxx.xxx.xxx.xxx    -p   2222

这时ssh   someone@xxx.xxx.xxx.xxx就可以直接免密码登陆了。当然也可以手动用scp将公钥的内容拷贝至服务器上的~/.ssh/authorized_keys文件中,但我觉得ssh-copy-id这个工具比较方便。

  ssh服务端的配置文件在/etc/ssh/sshd_config文件中,可配置的条目有很多,具体可以man  5  sshd_config 。解释一下其中几个字段的意思吧,port 表示监听端口,这里我改成了2222,因为现在网上的坏人太多了,我登陆服务器后用lastb命令查看登陆日志总能发现一堆试图暴力破解服务器的记录,把默认的22号端口改掉可以增加一点安全性。ListenAddress   0.0.0.0  表示监听任意端口,因为一台主机可能同时有ipv4和ipv6地址,还可能有好几个。Protocol  2表示ssh的版本是2,AuthorizedKeysFile    %h/.ssh/authorized_keys表示公钥存放的位置。如果修改配置文件需要重新加载配置文件,可以用service   sshd   reload,查看/etc/init.d/ssh脚本,reload选项其实就是给ssh进程发送SIGHUP信号(1号信号),1号信号可以让服务在不重启的条件下重新读取配置文件。

   基于ssh的还有scp ,sftp命令。我仅介绍一下sftp,之前用得比较少,sftp  -P   port_num   username@hostname,登陆之后就和ftp的使用方式差不多了,具体用法还是去看man手册吧

 

 

 

posted on 2016-03-26 17:57  HarrisonZhou  阅读(388)  评论(0编辑  收藏  举报