每天都在用 SSH,你知道 SSH 的原理吗?

最新推荐文章于 2024-04-28 23:54:34 发布
最新推荐文章于 2024-04-28 23:54:34 发布
阅读量349 收藏 1
点赞数
分类专栏: 开发环境 Linux 命令行系列 文章标签: ssh 网络协议
原文链接:https://zhuanlan.zhihu.com/p/108161141
版权

目录

每天都在用 SSH,你知道 SSH 的原理吗?

以下内容转自:每天都在用 SSH,你知道 SSH 的原理吗?

现在就让我们一起开心地聊一聊 SSH 到底是怎么运作的。先抛开大家经常讲的 Public/Private Key,我们从其他角度来看看 SSH。SSH 的连接分为两步:

  • 客户端和服务端建立连接

  • 用户身份鉴权

客户端和服务端建立连接

在这一大步中,又分为以下几小步:
在这里插入图片描述

  1. 客户端联系服务端,双方沟通自己支持的 SSH 协议的版本,约定使用某个共同支持的版本。
  2. 服务端将自己的 Host Key 、加密方法和其他一些参数发给客户端。
  3. 客户端通过 Host Key 验证服务端身份,双方用服务端发来的参数和 Diffie-Hellman 算法生成 Session Key。
  4. 加密通道建立完成。

在这几步中,出现了两个 Key:Host Key 和 SessionKey。

Host Key 分为 PublicPrivate 两种。服务端拥有 Public Key 和 Private Key,并将 Public Key 发送给客户端客户端用 Public Host Key 验证这台服务器确实是自己要连接的服务器。之后双方使用 Diffie-Hellman 算法生成一致的 SessionKey。

Host Key 由 SSH 自行生成,不需要用户做什么。如果客户端通过 Host Key 发现从来没有连接过这台服务器,会询问用户是否要继续连接,用户回答 yes 之后会在本地的 known_hosts 文件记录这台服务器,下次连接时客户端就不会再次询问。由于仅靠服务端下发 Host Key 的方法无法防范中间人攻击,后来又出现了 Public Key Certificates,由一个可靠的第三方机构给服务端签发证书,从而确保了安全性。

Session Key 用于之后通讯时对消息进行加密解密。这个 Session Key 的机制被称作对称加密Symmetric Encryption),也就是两端使用的相同的 Key 来加密和解密信息。可以看出 SSH 信息的加密解密时并不是用大家自己生成的 Public/ Private Key,而是用双方都一致的 Session Key。

生成 Session Key 的步骤大致如下:
图片来源:维基百科

  1. 客户端和服务端使用沟通时的信息,协商加密算法以及一个双方都知道的数字。
    双方各自生成只有自己才知道的 private 密码,并使用上一步中的数字进行加密,再次生成密码。
  2. 双方交换再次加密后的密码。
  3. 双方在对方发来的密码基础上,加上第二步自己的 private 密码再次加密。本次加密之后得到的结果就是在双方处都相同的 Session Key。

从这个算法中,可以看出客户端和服务端没有直接传输自己在第二步生成的密码,而是通过加密互换再加密的方式来生成 Session Key,从而保障了 Session Key 无法被泄露。

用户身份鉴权

当客户端和服务端之间建立起加密链接后,进入到身份鉴权的步骤。在身份鉴权这一步除了使用 Key 登录外,还能使用密码登录,这里我们只讲 Key 方式的登录。

工作中我们在客户端生成的 Public/Private Key,就是指用来身份鉴权的 Authorized Key。客户端拥有 Private 和 Public Key,提前将 Public Key 放到服务端用于登录。登录时的具体步骤如下:
在这里插入图片描述

  1. 客户端用 Private Key 生成签名向服务器发起登录请求。
  2. 服务端验证签名,检查自己有没有和这个签名匹配的 Public Key,如果有,则进入下一步。
  3. 服务端生成一串随机字符串,用 Public Key 加密后发送给客户端。
  4. 客户端用相应的 Private Key 解密这串字符串,再使用 MD5 hash 和 Session Key 加密该字符串,将结果发送给服务端。
  5. 服务端使用同样的 MD5 hash 和 Session Key 计算这串字符的加密结果,并和客户端发来的结果做比对,如果结果一样,则允许客户端登录。

Public/Private Key 的加密方式被称作不对称加密Asymmetry Encryption),就是说使用不同的 Key 来对信息进行加密解密。客户端使用 Private Key 可以解密服务端使用 Public Key 加密的信息,服务端使用 Public Key 无法解密客户端使用 Private Key 发来的加密信息。登录完成后,Authorized Key 的任务也就完成了。

SSH 完成连接,在接下来的通讯过程中,双方将持续使用 Session Key 进行通讯。

sshd 服务的启动

可以参考sshd_config 中文手册

如果sshd服务启动了,但是客户端ssh连接不上sshd服务,可以按照下述步骤排查:
如果客户端连不上sshd服务的话,首先确认下服务端是否有这些文件,
/etc/ssh/ 路径下参考sshd_config里的HostKey的地方,看看配置了那些HostKeys,如果没配置,可以取消注释符。然后选择对应的HostKey执行下述指令生成xx_key和xx_key.pub文件,这些文件,就是sshd服务的Private Key和Public Key。

ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key
ssh-keygen -t ecdsa -f  /etc/ssh/ssh_host_ecdsa_key
ssh-keygen -t ed25519 -f /etc/ssh/ssh_host_ed25519_key

然后重启下sshd服务:service sshd restart

ssh客户端连接也可以使用用户名+密码的方式,这些配置都在sshd_config里可以配置,具体的配置查看sshd_config的手册

如果重启了sshd服务,需要在本地的~/.ssh/known_hosts里删除远端机器的key,保证下次登录的时候能够重新生成。

总结

SSH 分为两大步,第一步是客户端和服务端建立连接,最终生成双方都一致的 Session Key。第二步使用 Authorized Key 进行登录,登录过程使用 Public/Private Key 验证身份。连接建立完成后,在通讯过程中使用 Session Key 对信息进行加密解密。

参考资料

《SSH, The Secure Shell: The Definitive Guide》

SSH 原理与运用(一):远程登录
跟着大数据和AI去旅行
11-13 810
SSH是每一台Linux电脑的标准配置。 随着Linux设备从电脑逐渐扩展到手机、外设和家用电器,SSH的使用范围也越来越广。不仅程序员离不开它,很多普通用户也每天使用。 SSH具备多种功能,可以用于很多场合。有些事情,没有它就是办不成。本文是我的学习笔记,总结和解释了SSH的常见用法,希望对大家有用。 虽然本文内容只涉及初级应用,较为简单,但是需要读者具备最基本的"Shell知识"和了解"公钥加密"的概念。如果你对它们不熟悉,我推荐先阅读《UNIX / Linux 初学者教程》和《数字签名是什么?》。 .
03__树莓4B_SSH_开启的多种方法
weixin_47205363的博客
06-14 1220
在 1999 年,瑞典程序员基于 SSH 最后一个开源的版本 1.2.12 开发了 OSSH,之后 OpenBSD 开发者在 OSSH 的基础上进行大量修改,形成了 OpenSSHSSH 叫安全外壳协议(Secure Shell),是一种加密的网络传输协议,可在不安全的网络中网络服务提供安全的传输环境。1995年,芬兰学者 Tatu Ylonen 设计了 SSH 协议,将登录信息全部加密,成为互联网安全的一个基本解决方案,迅速在全世界获得推广,目前已经成为所有操作系统的标准配置。方法d:新建SSH文件【
SSH工作原理
04-17
SSH 工作原理 javaSSH 工作原理 java
SSH协议原理解析
weixin_33712987的博客
11-03 333
日常运维工作中,现在我们一般都是采用远程连接工具来远程操作服务器,毕竟我们平时应用的还是Windows系统嘛!有人会说:哎,通过windows的远程工具连接Linux操作系统岂不是很危险,传递数据的时候会不会泄露呢? 答案是会。但是聪明的人类开发了这样一款工具叫Xshell,还是免费的哦!这款工具采用的是SSH非对称加密协议,这时候相对于...
ssh协议原理以及实现
weixin_33692284的博客
11-16 486
ssh(Secure SHell)的诞生:互联网最初的时候,人们使用telnet远程登陆主机进行操作,但是telnet协议用致命缺陷,它的认证过程和数据传输过程都是明文的,这样,我们主机的信息很容易被他人窃取,于是人们发明ssh协议来解决这个问题。ssh原理:(摘抄自http://bbs.hh010.com/thread-140062-1-1.html,别问我为什么不...
SSH原理
鹤啸九天
08-05 1987
如果对对称加密和非对称加密还不太了解,请先了解《通信加密原理》:https://blog.youkuaiyun.com/lzghxjt/article/details/98444934 一、SSH原理SSH为Secure Shell的缩写,默认端口22,由IETF的网络小组(Network Working Group)所制定;SSH为建立在应用层基础上的安全协议。SSH是目前较可靠,专...
【Linux网络】SSH--远程控制与访问
最新发布
weixin_68840588的博客
04-28 2394
心中有梦,脚下有路,持之以恒地前行,即使每天只进步一点点,也终将成为那征服无尽海域的海鸥。
SSH密钥认证机制深度解析】:揭秘SSH密钥背后的工作原理
安全外壳协议(SSH)是一个用于加密网络通信的协议,特别是在远程登录到服务器时。它为数据传输提供了强大的认证和加密机制,确保了数据传输的安全性。 ## 1.2 认证的重要性 在网络安全中,认证是确认身份的关键...
玩转 ssh 免密登录配置:使用两个环境模拟配置成功和其他几种失败的情况
(ÒωÓױ)
12-10 1862
一、引言 最近在工作中,我遇到了这么一个需求: 我们需要每天给客户环境发送一个打包文件,对此,客户环境提供了一个 sftp 服务来接收我们的文件 这是一个非常简单的需求场景,但是这个需求对于我项目的要求就是: 我需要在自己的代码中调用一个 shell 脚本,在这个 shell 脚本中,我需要完成 sftp 指定文件到客户环境的任务 很快的,你就会发现在 shell 脚本中编写调用 sftp...
SSH登录原理
07-16
简单明了的ssh登录原理,解释其公钥与私钥的登录原理,为后端网络储备
SSH工作原理及流程
04-09
描述SSH框架的底层原理,配有原理图、业务流程 调用关系
ssh原理
jinchun1223的专栏
10-06 145
spring的最大作用ioc/di,将类与类的依赖关系写在配置文件中,程序在运行时根据配置文件动态加载依赖的类,降低的类与类之间的藕合度。它的原理是在applicationContext.xml加入bean标签,在bean标签中通过class属性说明具体类名、通过property标签说明该类的属性名、通过constructor-args说明构造子的参数。其一切都是返射,当通过application...
SSH原理
风吹草动的博客
03-28 443
社内研修,重新整理了一下SSH原理 (如果有不正确的地方,请留言指出,以后完善。) 基础 概念 SSH 是 Secure Shell 的缩写,提供了安全性的远程访问别的机器的机制。 目的 相比Telnet和Ftp实现,安全的数据传输 如何实现安全 加密的两种方式,对称加密 和 非对称加密 对称加密;方法使用同一个密钥,一旦泄露,所有的安全均不可靠 非对称加密;使用公钥和私钥的两个密钥,只能使用私...
小刘的每日知识点——2019.10.25
weixin_37889780的博客
11-10 365
1、ssh: SSH之所以能够保证安全,原因在于它采用了非对称加密技术(RSA)加密了所有传输的数据。 传统的网络服务程序,如FTP、Pop和Telnet其本质上都是不安全的;因为它们在网络上用明文传送数据、用户帐号和用户口令,很容易受到中间人(man-in-the-middle)攻击方式的攻击。就是存在另一个人或者一台机器冒充真正的服务器接收用户传给服务器的数据,然后再冒充用户把数据传给真正...
SSH协议原理
KING
07-14 757
SSH协议原理 1.      对称加密算法:采用单钥密码系统的加密方法,同一个秘钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单秘钥加密; 2.      非对称加密算法:又名公开秘钥加密算法,非对称加密算法需要两个秘钥:公开秘钥和私有秘钥; SHH命令: shh 用户名@IP  //远程管理指定Linux服务器 scp [-r] 用户名@ip:要下载
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值