如何理解 Linux 系统 SSH 协议和原理
一、基础概念
1、概念:
ssh,全称叫 Secure Shell,由 IETF 的网络工作小组(Network Working Group)所制定;SSH 为一项创建在应用层和传输层基础上的安全协议。
2、传统网络服务程序缺点:
rsh/ftp/telnet 在网络上用明文传送数据、用户帐号和用户口令,很容易受到中间人(man-in-the-middle)攻击方式的攻击。
3、SSH 安全协议的优点:
专为远程登录会话和其他网络服务提供安全性的协议;是一个允许两台电脑之间通过安全的连接进行数据交换的网络协议(公钥加密技术)。
二、如何使用,应用场所
ssh 协议常应用于客户端与服务器网络通信、数据交换的场景。
1、服务器:默认情况下,ssh 服务器,会在 TCP 端口 22 进行监听;
2、OpenSSH (OpenBSD Secure Shell) 是一套使用 ssh 协议、通过计算机网络、提供加密通讯会话的计算机程序。
三、工作原理
SSH 分为密码认证和公钥认证两种认证方式,下面是各自的流程。
1、密码认证
客户端请求 SSH 服务器,服务器发送其公钥给客户端。
客户端使用服务器返回的公钥,加密自己的通讯密钥(客户端产生的密钥,不是用户的公钥或私钥),而后发给服务器。
服务器使用自己的私钥解密通讯密钥,至此,双方建立起了安全的通讯信道。
客户端将用户名和密码加密后发送给服务器进行验证
2、公钥认证
客户生成密钥对后,将公钥上传到服务器上(一般存放在~/.ssh/authorized_keys 文件中)
登陆时,客户端发送包含用户名、公共密钥和公共密钥算法的 认证请求给服务器端。
服务器对认证请求进行检查。
四、总结
由于密码认证比较简单,属于非对称加密算法的一种校验方法,实质是为了确保数据的保密性。这里我们主要讲解公匙认证。
公钥认证,是使用一对加密字符串,一个称为公钥(public key), 任何人都可以看到其内容,用于加密;另一个称为密钥(private key),只有拥有者才能看到,用于解密。 通过公钥加密过的密文使用密钥可以轻松解密,但根据公钥来猜测密钥却十分困难。
1、在使用公钥认证之前,先检查一下服务器的 ssh 配置文件/etc/ssh/sshd_config
RSAAuthentication yes # 启用 RSA 认证,默认为yesPubkeyAuthentication yes # 启用公钥认证,默认为yes
如果配置没有问题,那么你就可以进行下一步了。
2、下面我们举个例子,比如有两台机器,客户机A 与服务器 B,想用 ssh 公钥认证方式从 A 机器用 client 用户登录到 B 机器的 server 用户,方法如下:
1)、在客户机 A 上生成公钥与密钥
[client@test ~]$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/client/.ssh/id_rsa): #此处直接按回车即可
Created directory '/home/client/.ssh'.
Enter passphrase (empty for no passphrase): #此处直接按回车即可
Enter same passphrase again: #此处直接按回车即可
Your identification has been saved in /home/client/.ssh/id_rsa.
Your public key has been saved in /home/client/.ssh/id_rsa.pub.
The key fingerprint is:
f5:30:ba:10:ee:7a:c6:cf:d8:ec:3f:4c:b3:f1:09:6d client@linuxsong.org
这样就生成了 client 用户在这台机器的公钥(/home/client/.ssh/id_rsa.pub )和私钥(/home/client/.ssh/id_rsa).
2).将上一步生成的公钥文件拷贝到服务器 B 上。然后将文件内容追加到 server 用户目录的.ssh/authorized_keys 中:
[server@server]$ cat id_rsa.pub >> .ssh/authorized_keys
这样,client 用户从客户机上登录到服务器的 server 用户,就不用再输入密码了。
注意:
.ssh 目录的权限必须是 0700
.ssh/authorized_keys 文件权限必须是 0600
否则公钥认证不会生效。
版权声明: 本文为 InfoQ 作者【Changing Lin】的原创文章。
原文链接:【http://xie.infoq.cn/article/b9e80571055275eb79c357763】。文章转载请联系作者。
获得机遇的手段远超于固有常规之上~ 2020.04.29 加入
我能做的,就是调整好自己的精神状态,以最佳的面貌去面对那些未曾经历过得事情,对生活充满热情和希望。
评论