美文网首页
3分钟带你搞定SSH工作原理

3分钟带你搞定SSH工作原理

作者: 槑斯Hou | 来源:发表于2018-12-31 22:33 被阅读0次

    深入理解SSH工作原理

    说起Linux操作系统,对于做技术的人来说,没有不熟悉的;熟悉Linux的人那肯定都对SSH不陌生。ssh是一种用于安全访问远程服务器的协议,远程管理工具。它之所以集万身宠爱为一身,就是因为它的安全性。那么它到底是怎么样来保证安全的呢?

    首先,在讲SSH是如何保证安全的之前,我们先来了解以下几个密码学相关概念:

    对称加密算法(DES)

    对称加密算法之DES.png
    1. Jack想要给Harry发送信息一个信息A,为了安全起见,Jack使用一种加密算法,比如给信息通过加一个数字B得到一个新的数字C,然后以公开的方式发送给Harry
    2. Harry接受到数字C后,通过减去一个数字B得到最终的真正的信息A
    3. Jack发送给Harry的信息A称为明文;加密后的信息C称为密文;加密用的B称之为密钥
    4. 加密算法(方法)可以很复杂,不一定是加和减,也可以是乘和除等等
    5. 以上过程中,加密和解密的秘钥是同一个密钥B

    总结:

    1. 发送方使用密钥明文数据加密成密文,然后发送出去

    2. 接收方收到密文后,使用同一个密钥将密文解密成明文进行读取

    非对称加密算法(RSA)

    非对称加密之RSA.png
    1. 首先Harry生成一对有相互关系的密钥对,比如e(公钥)和f(私钥);其中公钥是可以公开给所有人的,私钥必须Harry本人私自留存,不得泄露。
    2. 当Jack发送请求时,Harry会把自己的公钥e发送给Jack
    3. Jack拿着Harry的公钥e通过一种加密算法将信息A加密成密文C,以公开的方式发送给Harry
    4. Harry收到密文C后,通过自己本地留存的私钥f将密文解密成最终的信息A
    5. 以上过程中,加密使用的是公钥e,解密使用的是私有f;使用不同的秘钥加解密

    总结:

    1. 发送方使用接收方发送过来的公钥明文数据加密成密文,然后发送出去

    2. 接收方收到密文后,使用自己本地留存的私钥将密文解密成明文进行读取

    • 对称加密算法与非对称加密算法区别
      • 对称加密
        1. 使用同一个密钥进行加密和解密,密钥容易泄露
        2. 加密速度快,效率高,数据传输速度快,安全性较低
      • 非对称加密
        1. 使用不同的密钥(公钥和私钥)进行加密和解密
        2. 加密速度远远慢于对称加密,数据传输速度慢,安全性较高

    SSH基于用户名密码认证

    ssh远程基于用户认证访问过程.png
    1. SSH客户端向SSH服务端发起一个登录请求

    2. SSH服务端将自己的公钥发送给SSH客户端

      注意:如果是第一次访问,则提示以下内容:

      [root@MissHou ~]# ssh 192.168.10.171
      The authenticity of host '192.168.10.171 (192.168.10.171)' can't be established.     //无法确认主机192.168.10.171的真实性
      RSA key fingerprint is 9f:71:de:3c:86:25:dd:f0:06:78:ab:ba:96:5a:e4:95.
      Are you sure you want to continue connecting (yes/no)?yes
      说明:
      当客户端输入yes确认对方的公钥指纹后,server端的公钥就会被存放到客户机的用户家目录里~/.ssh/known_hosts文件中,下次再访问就直接通过密码登录,不需要再确认公钥。
      
    3. SSH客户端使用服务端发过来的公钥将自己的密码加密并且发送给SSH服务端

    4. SSH服务端收到SSH客户端发过来的加密密码后使用本地留存的私钥进行解密

    5. SSH服务端将解密出来的密码和/etc/shadow文件里的用户密码对比认证

    6. SSH服务端认证成功,则返回登录成功结果,并发送一个随机会话口令给客户端,该口令用于后面两台主机进行数据传输的一个临时加密会话口令

    SSH基于密钥对认证

    非对称加密.png
    对比总结:
    • ssh远程登录两种认证方式
      • 基于用户名密码认证
        1. 用户身份认证(认证用户名和密码)使用非对称加密算法(安全)
        2. 数据传输使用对称加密算法(快)
        3. 要知道访问服务器用户的密码
      • 基于密钥对的认证(免密码)
        1. 用户身份认证(比对用户公钥)使用非对称加密算法(安全)
        2. 数据传输使用对称加密算法(快)
        3. 事先要将用户的公钥远程拷贝到服务器端

    SSH免密码登录配置

    环境介绍
    node1:
    10.1.1.250  用户:code1
    node2:
    10.1.1.1        用户:code
    
    实际需求

    node1主机上的code1用户免密码以code用户身份访问node2主机

    操作步骤
    1. node1主机上的code1用户生成一对秘钥
    [code1@node1 ~]$ ssh-keygen
    Generating public/private rsa key pair.
    Enter file in which to save the key (/home/code1/.ssh/id_rsa): 
    Enter passphrase (empty for no passphrase): 
    Enter same passphrase again: 
    Your identification has been saved in /home/code1/.ssh/id_rsa.
    Your public key has been saved in /home/code1/.ssh/id_rsa.pub.
    The key fingerprint is:
    73:5b:dc:96:43:4a:37:b3:98:8f:c4:39:3b:9b:3d:87 code1@jumper
    The key's randomart image is:
    +--[ RSA 2048]----+
    |                 |
    |                 |
    |            . =  |
    |           + O = |
    |        S . @ *  |
    |         o + * . |
    |          . + .. |
    |             =E .|
    |            o .o |
    +-----------------+
    [code1@node1 ~]$ cd .ssh/
    [code1@node1 .ssh]$ ll
    total 8
    -rw------- 1 code1 coding 1671 Dec 30 21:44 id_rsa
    -rw-r--r-- 1 code1 coding  394 Dec 30 21:44 id_rsa.pub
    
    1. node1上的code1用户将自己的公钥拷贝到node2端的code用户的家目录里
    [code1@node1 .ssh]$ ssh-copy-id code@10.1.1.1
    The authenticity of host '10.1.1.1 (10.1.1.1)' can't be established.
    RSA key fingerprint is 30:c8:1a:67:55:22:33:26:e5:fb:44:56:4d:8b:26:40.
    Are you sure you want to continue connecting (yes/no)? yes
    Warning: Permanently added '10.1.1.1' (RSA) to the list of known hosts.
    code@10.1.1.1's password: 
    Now try logging into the machine, with "ssh 'code@10.1.1.1'", and check in:
    
      .ssh/authorized_keys
    
    to make sure we haven't added extra keys that you weren't expecting.
    

    3.测试验证

    1. 查看node2端的code用户家目录里的公钥存放文件
    [code@node2 .ssh]$ cat authorized_keys 
    ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEApBfeaTY1PYpCKzOzpQzUzzAUqFKLdWyHTX2d6p3nLC4wXvh80pXyD3PTXjxkDYjfBP9+3h4HUnm7FTNiAHy79cTnDnDhfbKlYQcm3k6N4lu6H8ffhnitV0Yavxw8wfSQxK/khUybNU52370H8cfFn+msWK7hOweEYoQzliplBPmVR6FVeM+PkIZtvvMCN9TFL87XL6C6HJkMqgmyLNNtI334cYwQq3W619Y8kLl9l0/Vilp/WM97Akc/f1BkKIC4XveiRSVikzSM3Oh9gJV64rS2AdhtWeQN0DKGEYqX2OQTOdBmrIIZ4E7/NWWivesz9OjFsLUGRaohcuB/tMhbnw== code1@node1
    
    1. node1上的code1人员是否可以实现免密码登录node2
    [code1@node1 ~]$ ssh code@10.1.1.1
    Last login: Sat Dec 29 08:44:33 2018 from 10.1.1.250
    [code@node2 ~]$ 
    

    总结:

    1. 客户端用户生成一对秘钥(公钥和私钥)
    2. 将自己的公钥拷贝到远程主机的某个用户下面——>用户家目录里的authorized_keys
    3. 测试验证
    相关文件解读
    1. id_rsa:私钥
    2. id_rsa.pub:公钥
    3. authorized_keys:保存已授权的客户端公钥
    4. known_hosts:保存已认证的远程主机公钥

    相关文章

      网友评论

          本文标题:3分钟带你搞定SSH工作原理

          本文链接:https://www.haomeiwen.com/subject/mutglqtx.html