SSH之所以能够保证安全,原因在于它采用了公钥加密。
整个过程是这样的:(1)远程主机收到用户的登录请求,把自己的公钥发给用户。(2)用户使用这个公钥,将登录密码加密后,发送回来。(3)远程主机用自己的私钥,解密登录密码,如果密码正确,就同意用户登录。
这个过程本身是安全的,但是实施的时候存在一个风险:如果有人截获了登录请求,然后冒充远程主机,将伪造的公钥发给用户,那么用户很难辨别真伪。因为不像https协议,SSH协议的公钥是没有证书中心(CA)公证的,也就是说,都是自己签发的。
可以设想,如果攻击者插在用户与远程主机之间(比如在公共的wifi区域),用伪造的公钥,获取用户的登录密码。再用这个密码登录远程主机,那么SSH的安全机制就荡然无存了。这种风险就是著名的"中间人攻击"(Man-in-the-middle attack)。
密码登陆
ssh root@host The authenticity of host 'host (12.18.429.21)' can't be established. RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d. Are you sure you want to continue connecting (yes/no)?
这段话的意思是,无法确认host主机的真实性,只知道它的公钥指纹,问你还想继续连接吗?
"公钥指纹",是指公钥长度较长(这里采用RSA算法,长达1024位),很难比对,所以对其进行MD5计算,将它变成一个128位的指纹。上例中是98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d,再进行比较
很自然的一个问题就是,用户怎么知道远程主机的公钥指纹应该是多少?回答是没有好办法,远程主机必须在自己的网站上贴出公钥指纹,以便用户自行核对。
Are you sure you want to continue connecting (yes/no)? yes
系统会出现一句提示,表示host主机已经得到认可。
Warning: Permanently added 'host,12.18.429.21' (RSA) to the list of known hosts.
然后,会要求输入密码。
Password: (enter password)
当远程主机的公钥被接受以后,它就会被保存在文件$HOME/.ssh/known_hosts(保存一些对所有用户都可信赖的远程主机的公钥)之中。下次再连接这台主机,系统就会认出它的公钥已经保存在本地了,从而跳过警告部分,直接提示输入密码。
----------------------------
公钥登陆
"公钥登录",原理很简单,就是用户将自己的公钥储存在远程主机上。
登录的时候,远程主机会向用户发送一段随机字符串,用户用自己的私钥加密后,再发回来。远程主机用事先储存的公钥进行解密,如果成功,就证明用户是可信的,直接允许登录shell,不再要求密码。
id_rsa.pub和id_rsa。前者是你的公钥,后者是你的私钥。
// ubuntu系统
service ssh restart
// debian系统
/etc/init.d/ssh restart
----------------------------------------
ssh root@host 'cat >> ~/.ssh/authorized_keys' <~/.ssh/id_rsa.pub
单引号中间的部分,表示在远程主机上执行的操作;后面的输入重定向,表示数据通过SSH传向远程主机。
查看远程主机是否运行进程httpd
ssh user@host 'ps ax | grep [h]ttpd'
端口转发
绑定本地端口
既然SSH可以传送数据,那么我们可以让那些不加密的网络连接,全部改走SSH连接,从而提高安全性。
$ ssh -D 8080 user@host
SSH会建立一个socket,去监听本地的8080端口。一旦有数据传向那个端口,就自动把它转移到SSH连接上面,发往远程主机。可以想象,如果8080端口原来是一个不加密端口,现在将变成一个加密端口。
本地端口转发
假定host1是本地主机,host2是远程主机。由于种种原因,这两台主机之间无法连通。但是,另外还有一台host3,可以同时连通前面两台主机。因此,很自然的想法就是,通过host3,将host1连上host2。
$ ssh -L 2121:host2:21 host3 //本地端口:目标主机:目标主机端口
指定SSH绑定本地端口2121,然后指定host3将所有的数据,转发到目标主机host2的21端口(假定host2运行FTP,默认端口为21)。
$ ftp localhost:2121 //就等于连上了host2的21端口
本地端口转发"使得host1和host3之间仿佛形成一个数据传输的秘密隧道,因此又被称为"SSH隧道"。
ssh -L8888:localhost:8080 dna@176.34.35.16 password: 123
http://localhost:8888/web/reports/allAccountOverview
远程端口转发
还是接着看上面那个例子,host1与host2之间无法连通,必须借助host3转发。但是,特殊情况出现了,host3是一台内网机器,它可以连接外网的host1,但是反过来就不行,外网的host1连不上内网的host3。这时,"本地端口转发"就不能用了,怎么办?
解决办法是,既然host3可以连host1,那么就从host3上建立与host1的SSH连接,然后在host1上使用这条连接就可以了。
ssh -R 2121:host2:21 host1 //远程主机端口:目标主机:目标主机端口
绑定之后,我们在host1就可以连接host2了:
$ ftp localhost:2121
相关推荐
本文将深入探讨如何使用"Update_SSH_1.0.21.tar.gz"这个压缩包来升级Red Hat 6、7以及CentOS 6、7系统上的OpenSSH至8.0版本,并更新OpenSSL到1.0.2,以加强Linux系统的安全性。 首先,我们要明白为什么需要升级SSH...
标题中的"ssh.rar_SSH登录_ssh_ssh mysql_基于SSH"表明这个压缩包可能包含了关于如何使用SSH框架实现一个基于MySQL数据库的登录功能的资源。SSH框架通常包括以下组件: 1. **Spring**:这是一个全面的应用框架,...
这个"SSH.rar_SSH登陆_ssh_ssh登录界面"的压缩包文件内容可能包含了一组有关SSH登录界面的练习题或者教程,旨在帮助用户理解和掌握SSH的使用。 SSH的主要功能是加密网络通信,确保数据在传输过程中不被窃取或篡改。...
FIPS是一个由美国政府制定的用于认证加密算法的标准,尤其在政府和金融等领域有着严格的应用要求。使用openssl-fisp可以确保在这些领域的服务器上进行的加密操作符合监管规定。 接下来,OpenSSH是SSH(Secure Shell...
通常,这样的系统会包含用户认证、权限控制、资源分配等功能,用于管理用户的访问和操作。 5. **SSH学习资源**:对于初学者,这套资源可能包含SSH的基本概念、配置教程、命令行使用示例,甚至可能有关于如何设置和...
标题中的“mdbs.zip_ssh博客_ssh网站_博客_博客 SSH”表明这是一个关于SSH框架在构建博客系统中的应用的资源包。SSH是Spring、Struts和...此外,还有可能涉及前端页面的设计、用户认证与授权、数据验证等方面的知识。
标签"oa_ssh"和"oa_ssh_mysql"表明文件可能包含OA系统如何利用SSH连接到MySQL数据库的信息,尽管原始描述中提到的是Oracle。这可能是为了展示如何在OA系统中整合多种数据库技术。"oracle ssh"和"ssh_mysql"进一步...
9. **安全性优化**:为了增强SSH的安全性,可以限制只允许特定的公钥登录,禁用密码认证,定期更换密钥,启用SSH审计日志等。 这个“ssh.zip_SSH实例_ssh”的压缩包可能包含了这些操作的具体步骤、配置文件示例或...
7. **安全性**:论坛系统可能还需要考虑用户认证和授权,例如SSH框架可以帮助实现基于角色的访问控制(RBAC),确保只有授权用户才能执行特定操作。 8. **性能优化**:可能包含缓存策略、数据库查询优化等措施,以...
1. **连接管理**:创建SSH连接,配置用户名、密码、公钥认证等。 2. **会话管理**:打开SSH会话,执行远程命令并获取输出。 3. **SFTP服务**:通过SFTP协议安全地上传、下载和管理远程文件。 4. **SCP服务**:使用...
1. **SSH连接基础**:理解SSH连接的基本流程,包括公钥认证、密码认证等安全机制。在Structs2中,这些可能会被封装成易于使用的函数或类。 2. **SSH会话管理**:SSH会话包含了命令执行、文件传输等功能。在Structs...
5. 安全性:了解如何设置SSH服务器的认证机制,保护系统免受非法访问。 6. 整合与测试:学习如何在IDE中导入项目,进行编译、运行和调试。 总的来说,这个"ssh-template.rar"压缩包提供了一个实践SSH框架集成的起点...
总的来说,这个压缩包为学习SSH框架和Java Web开发提供了一个实用的学习资源,涵盖了从基础的用户认证到复杂的数据操作等多个重要环节。对于希望提升自己在SSH框架下开发能力的开发者来说,这是一个不可多得的实践...
标签中的"ssh_j2ee"表明这是将SSH与J2EE平台结合的实践案例。"sshsample3"可能是一个特定的项目名称,表示这是SSH示例的第三个版本,可能包含了之前版本的改进和新特性。 压缩包内的"www.pudn.com.txt"文件可能是从...
SSHA(Salted SHA,加盐SHA)是一种增强版的SHA哈希算法,它在原始的SHA哈希基础上增加了...在实际项目中,除了密码加密,还需要考虑其他安全措施,如使用HTTPS传输敏感数据,定期更换盐值策略,以及实施多因素认证等。
4. **密钥认证**:除了传统的密码认证,SSH2还支持公钥/私钥对的认证方式,提供更高的安全性。 **PHP SSH2模块在Windows下的使用** 针对Windows平台,PHP SSH2模块通常需要VC9编译版本,以确保与PHP版本兼容。提供...
5. **公钥认证**:为了免密登录,可以设置SSH公钥认证。在本地生成公钥对,然后将公钥复制到服务器的`~/.ssh/authorized_keys`文件中。 6. **测试连接**:完成上述步骤后,再次尝试SSH登录,这次应该无需输入密码。...
2. 配置SSH:编辑`sshd_config`配置文件,设置端口号、认证方法、允许的登录用户等参数。 3. 启动SSH服务:使用系统服务管理命令启动SSH服务,如`systemctl start sshd`。 4. 客户端配置:在本地机器上,可能需要...
标题中的"SSH-login.rar_ssh_ssh login"提示我们这个压缩包文件包含了关于SSH(Spring、Struts和Hibernate)框架集成,并且特别关注SSH框架中的登录功能。描述进一步指出这是一个使用Struts、Hibernate和Spring进行...
使用时应确保服务器端的安全设置,避免密码明文传输,尽可能使用密钥对认证,并保持库版本的及时更新,以防因已知漏洞被攻击。 总的来说,mlcommons_box_ssh是一个方便Python开发者进行SSH操作的库,它提供了连接、...