关于linux:SSH-的原理与应用

本文档介绍 SSH 的原理与利用，这是企业级十分实用的技术，心愿能给大家带来帮忙。

一、SSH 简介
SSH 是 Secure Shell 的缩写，也叫做平安外壳协定。SSH 的次要目标是实现平安近程登录。

二、SSH 工作原理
SSH 的安全性比拟好，其对数据进行加密的形式次要有两种：对称加密（密钥加密）和非对称加密（公钥加密）。

对称加密指加密解密应用的是同一套秘钥。Client 端把密钥加密后发送给 Server 端，Server 用同一套密钥解密。对称加密的加密强度比拟高，很难破解。然而，Client 数量宏大，很难保障密钥不透露。如果有一个 Client 端的密钥透露，那么整个零碎的安全性就存在重大的破绽。为了解决对称加密的破绽，于是就产生了非对称加密。非对称加密有两个密钥：“公钥”和“私钥”。公钥加密后的密文，只能通过对应的私钥进行解密。想从公钥推理出私钥简直不可能，所以非对称加密的安全性比拟高。

SSH 的加密原理中，应用了 RSA 非对称加密算法。
整个过程是这样的：
（1）近程主机收到用户的登录申请，把本人的公钥发给用户。
（2）用户应用这个公钥，将登录明码加密后，发送回来。
（3）近程主机用本人的私钥，解密登录明码，如果明码正确，就批准用户登录。

三、中间人攻打
SSH 之所以可能保障平安，起因在于它采纳了公钥加密，这个过程自身是平安的，然而理论用的时候存在一个危险：如果有人截获了登录申请，而后假冒近程主机，将伪造的公钥发给用户，那么用户很难分别真伪。因为不像 https 协定，SSH 协定的公钥是没有证书核心（CA）公证的，是本人签发的。

如果攻击者插在用户与近程主机之间（比方在公共的 wifi 区域），用伪造的公钥，获取用户的登录明码。再用这个明码登录近程主机，那么 SSH 的平安机制就不存在了。这种危险就是驰名的 ” 中间人攻打 ”（Man-in-the-middle attack）。那么 SSH 协定是怎么应答的呢？

四、口令登录
如果是第一次登录近程机，会呈现以下提醒：

$ ssh user@host
The authenticity of host ‘host (12.18.429.21)’ can’t be established.
RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.
Are you sure you want to continue connecting (yes/no)?
因为公钥长度较长（采纳 RSA 算法，长达 1024 位），很难比对，所以对其进行 MD5 计算，将它变成一个 128 位的指纹。如 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d，这样比对就容易多了。

通过比对后，如果用户承受这个近程主机的公钥，零碎会呈现一句提醒语：

Warning: Permanently added ‘host,12.18.429.21’ (RSA) to the list of known hosts.
示意 host 主机已失去认可，而后再输出登录明码就能够登录了。

当近程主机的公钥被承受当前，它就会被保留在文件~/.ssh/known_hosts 之中。下次再连贯这台主机，零碎就会认出它的公钥曾经保留在本地了，从而跳过正告局部，间接提醒输出明码。每个 SSH 用户都有本人的 known_hosts 文件，此外零碎也有一个这样的文件，个别是 /etc/ssh/ssh_known_hosts，保留一些对所有用户都可信赖的近程主机的公钥。

五、公钥登录
应用明码登录，每次都必须输出明码，十分麻烦。好在 SSH 还提供了公钥登录，能够省去输出明码的步骤。
所谓 ” 公钥登录 ”，原理很简略，就是用户将本人的公钥贮存在近程主机上。登录的时候，近程主机会向用户发送一段随机字符串，用户用本人的私钥加密后，再发回来。近程主机用当时贮存的公钥进行解密，如果胜利，就证实用户是可信的，间接容许登录 shell，不再要求明码。

这种办法要求用户必须提供本人的公钥。如果没有现成的，能够间接用 ssh-keygen 生成一个：$ ssh-keygen

运行下面的命令当前，零碎会呈现一系列提醒，能够一路回车。其中有一个问题是，要不要对私钥设置口令（passphrase），如果放心私钥的平安，这里能够设置一个。
运行完结当前，在~/.ssh/ 目录下，会新生成两个文件：id_rsa.pub 和 id_rsa。前者是公钥，后者是私钥。

这时再输出上面的命令，将公钥传送到近程主机 host 下面：

$ ssh-copy-id user@host
近程主机将用户的公钥，保留在登录后的用户主目录的~/.ssh/authorized_keys 文件中。
这样，当前就登录近程主机不须要输出明码了。

如果还是不行，就用 vim 关上近程主机的 /etc/ssh/sshd_config 这个文件，将以下几行的正文去掉。

RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys
而后，重启近程主机的 ssh 服务。

Redhat6 零碎
service ssh restart
Redhat7 零碎
systemctl restart sshd
ubuntu 零碎
service ssh restart
debian 零碎
/etc/init.d/ssh restart
实战
生成秘钥
[root@Jaking ~]# ifconfig
ens33: flags=4163 mtu 1500

    inet 192.168.10.88  netmask 255.255.255.0  broadcast 192.168.10.255
    inet6 fe80::1026:b2d7:b2bc:82be  prefixlen 64  scopeid 0x20
    ether 00:0c:29:57:18:93  txqueuelen 1000  (Ethernet)
    RX packets 993461  bytes 114570794 (109.2 MiB)
    RX errors 0  dropped 0  overruns 0  frame 0
    TX packets 66404  bytes 45385043 (43.2 MiB)
    TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73 mtu 65536

    inet 127.0.0.1  netmask 255.0.0.0
    inet6 ::1  prefixlen 128  scopeid 0x10

[root@Jaking ~]# ssh-keygen #这里要始终按回车
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
89:86:42:59:1f:27:f1:f4:26:e8:10:bb:ae:37:e2:69 root@Jaking.localdomain
The key’s randomart image is:
+–[RSA 2048]—-+
| o +.o |
| o + B . |
| o o o o o |
| . = . + |
| . o + S |
| o . |
| . |
| Eoo |

[root@Jaking ~]# cat /root/.ssh/id_rsa
—–BEGIN RSA PRIVATE KEY—–
MIIEogIBAAKCAQEAuc8KoCp+dmHY99gOAt9ywPXv1YZyzdOKuDSaYZOMEp9c78sU
JDZl08LEQCSgiNKaUYZxd5XGMHkk2n9dDWKmH5NJ1KBP+Olp433A4W+BBFF71wRD
2OU8ulAwNNSsWB5Q2EXcCqHDtu9zN7fZvujPMVvVqprPqw+gXpskjRI2lG34iftf
lRJoChXSrEOJQEMwYJcps45xoy/7yOhPidpoU3BE1ojemMecL5bQTnd56eR1zjIE
pCtwNWaKm8VJfqHge/A75R60QKfv0SjsNQaddo7gqYBkj+2zbxiJY5K1WE5K4UyU
7wLzjBNZW0h/EaE73wHEKoFni8ydZ8cbjJJZhwIDAQABAoIBAARGg1QUJjzLG5b4
XborMhTGk/Ix2cpqp7J9Y2ADaSG0kQrjfV8n8UfiH2nqbdc4IVzm3w2FYL4Uy4hL
jfSU5IWtefFujuiHVmxppFqLmkhjJ5pW+siu3arb1YAhtKWCbRHM6bdE6Z/3+oq5
rET8TmgwWMZIMacaAPKsVzb3yFG5/AU4HS4V4XgmfoqEnjwrYUnySOcZKkYvoEPe
lJchN44SjrKd2MndtXRgm0GbSCbwrMj3Blmx8qutnaqzMZVIgicxu2tim6mTCWru
5SaydYQbDA3CX909qkvx4IVTYy2+6K1jfLy+ikhv3kJnivD0TAlEmJe4cR3G7zpV
kKdz1yECgYEA5Y971v7zz+GBeAhF9H2y7iUY9V3mSdWbwS2sCDXVpzwrjCYE9QGa
hbE6k5NyrUmK1GxhtWJbHUjDQMS8fvDIARJ23W3T/Y3sa6XBjN6Hq5DRyicy+0tJ
dxynEpqzFdkYt77bpcEKXhoAakpDrfrR182Wd4rk80UHdp1XlZcLIMsCgYEAzzWN
Yt2UJQ4aWRxTA0+H3NRZuzrSs8vl+i7Iw02ZsDxB39/0vCSsL0OczwdR6XK2tMvG
61Czve/8A9g/ERgFbWIGKqs777T9jgVS/JslRle4/JGCGeKZcw0msKOKqCHTYYOE
RAVZ2jPqaZZ8Gamc+TE6F5qupXhU8EB0csXpPrUCgYA5NeoqKb3/p/bJQF6W0SDf
wvUWaYF0Ez1PBp/iJ/CITjGYKv1/RhgJi6LKlqu0zihASoaLWujUQocOxDkp9b4S
rlRbWPzFKzKpnVTAU9FCC8SM+fn1sMytV8G3nEBXiJRlbrZ098gqrZY+5yU43dKg
UsdWIZJvolt6zzm9uTf3wwKBgGQo77oNf3HV+lh+v4XHKNZO8zz0tyrf8b/YY4U8
eoDc777G4+caFv0VwrO0Rx0ALV8BbZsLvIagfYJiQkICCYWRL4fqk6NQKow++JlQ
aVkySCIWN/xJM4GQptYVh420JBhr2UCEEaXPGI2Hh19kRJOT/w+v3qHvo6cqkN91
2URNAoGAGzMTIjaYBHVzdQAZT0Tb01xRXhV9BxH9WM8KPN2WH1pqxkMQ0DG0hnk9
hnC7Lv8W0kRUkDb56D+wxAyLe4GO4Zy51IGnAWGWivHmVxh6Q9ToggOiqsAGTGA/
HTGTElG7tOsXNIGu/eImgPeSKbAZ+Zi9HYNWx4SY/7OYnuwfXAM=
—–END RSA PRIVATE KEY—–
[root@Jaking ~]# cd /root/.ssh
[root@Jaking .ssh]# ls
id_rsa id_rsa.pub known_hosts
[root@Jaking .ssh]# cat id_rsa.pub
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC5zwqgKn52Ydj32A4C33LA9e/VhnLN04q4NJphk4wSn1zvyxQkNmXTwsRAJKCI0ppRhnF3lcYweSTaf10NYqYfk0nUoE/46WnjfcDhb4EEUXvXBEPY5Ty6UDA01KxYHlDYRdwKocO273M3t9m+6M8xW9Wqms+rD6BemySNEjaUbfiJ+1+VEmgKFdKsQ4lAQzBglymzjnGjL/vI6E+J2mhTcETWiN6Yx5wvltBOd3np5HXOMgSkK3A1ZoqbxUl+oeB78DvlHrRAp+/RKOw1Bp12juCpgGSP7bNvGIljkrVYTkrhTJTvAvOME1lbSH8RoTvfAcQqgWeLzJ1nxxuMklmH root@Jaking.localdomain
[root@Jaking .ssh]#
[root@Jaking .ssh]#
[root@Jaking .ssh]#
[root@Jaking .ssh]# ssh-copy-id root@192.168.10.10
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed — if you are prompted now it is to install the new keys
root@192.168.10.10’s password:

Number of key(s) added: 1

Now try logging into the machine, with: “ssh ‘root@192.168.10.10′”
and check to make sure that only the key(s) you wanted were added.
验证免密登录
[root@Jaking .ssh]# ssh root@192.168.10.10
Last login: Wed Nov 20 15:18:11 2019 from 192.168.10.88
[root@Jaking ~]# ifconfig
ens32: flags=4163 mtu 1500

    inet 192.168.10.10  netmask 255.255.255.0  broadcast 192.168.10.255
    inet6 fe80::20c:29ff:fe84:eae5  prefixlen 64  scopeid 0x20
    ether 00:0c:29:84:ea:e5  txqueuelen 1000  (Ethernet)
    RX packets 16300  bytes 1107939 (1.0 MiB)
    RX errors 0  dropped 0  overruns 0  frame 0
    TX packets 13043  bytes 17924190 (17.0 MiB)
    TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73 mtu 65536

    inet 127.0.0.1  netmask 255.0.0.0
    inet6 ::1  prefixlen 128  scopeid 0x10

六、SSH 端口转发
SSH 端口转发有三种：动静端口转发、本地端口转发、近程端口转发。
这三种形式说起来有点难了解，通过例子会好了解一点。假如有三台主机，host1、host2、host3。

动静端口转发是找一个代理端口，而后通过代理端口去连相应的端口。动静端口转发的益处在于通过代理端口能够去找很多须要连贯的端口，进步了工作效率。比方 host1 原本是连不上 host2 的，而 host3 却能够连上 host2。host1 能够找到 host3 作代理，而后通过 host3 去连贯 host2 的相应端口

本地端口转发也是找到第三方，通过第三方再连贯想要连贯的端口，但这种形式的端口转发是固定的，是点对点的。比方假设 host1 是本地主机，host2 是近程主机。因为种种原因，这两台主机之间无奈连通。然而，另外还有一台 host3，能够同时连上 host1 和 host2 这两台主机。通过 host3，将 host1 连上 host2。host1 找到 host3,host1 和 host3 之间就像有一条数据传输的路线，通常被称为“SSH 隧道”，通过这条隧道 host1 就能够连上 host2。

近程端口转发和本地端口转发就是反过来了。如果 host1 在外网，host2 在内网，失常状况下，host1 不能拜访 host2。通过近程端口转发，host2 能够反过来拜访 host1。host2 和 host1 之间造成了一条路线，host1 就能够通过这条路线去拜访 host2。

七、SSH 根本用法
SSH 次要用于近程登录:
假设你要以用户名 user，登录近程主机 host，只有一条简略命令就能够了。

$ ssh user@host
如果本地用户名与近程用户名统一，登录时能够省略用户名。

$ ssh host
SSH 的默认端口是 22，也就是说，你的登录申请会送进近程主机的 22 端口。应用 p 参数，能够批改这个端口。

$ ssh -p 2018 user@host
下面这条命令示意，ssh 间接连贯近程主机的 2018 端口。

总结
以上就是 SSH 的原理与利用，心愿大家能好好了解，给理论工作带来帮忙。