SSH全称(Secure SHell)是一种安全的应用层网络协议,用于计算机间的安全通信,是目前一套成熟的远程登陆解决方案。
最初SSH是由芬兰的一家公司开发的。但是因为受版权和加密算法的限制,现在很多人都转而使用OpenSSH。 OpenSSH是SSH的替代软件,而且是免费的。SSH是由客户端和服务端的软件组成的,有两个不兼容的版本分别:1.x和2.x。用SSH 2.x的客户程序是不能连接到SSH 1.x的服务程序上去的。OpenSSH 2.x同时支持SSH 1.x和2.x。
登陆方式有两种:密码登陆与公钥登陆,详见 SSH安全登陆原理:密码登陆与公钥登陆。
密码登陆
(1)客户端发起连接请求。
(2)远程主机收到用户的登录请求,把自己的公钥发给客户端。
(3)客户端接收远程主机的公钥,然后使用远程主机的公钥加密登录密码,紧接着将加密后的登录密码连同自己的公钥一并发送给远程主机。
(4)远程主机接收客户端的公钥及加密后的登录密码,用自己的私钥解密收到的登录密码,如果密码正确则允许登录,到此为止双方彼此拥有了对方的公钥,开始双向加密解密。等下次再登陆时,客户端检测到收到的公钥已经在本地存在,就不会报警告了
第一次连接时会有类似的提示:
The authenticity of host 'host (18.18.229.21)' can't be established.
RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.
Are you sure you want to continue connecting (yes/no)?
如果确定这个公钥就是目标服务器发过来的公钥,就点击yes,完成登陆。
- 提示:警惕中间人攻击。在密码登陆进行到第2步时,客户端收到了服务器的公钥,但是不确定这个公钥到底是不是要访问的目标服务器(也可能时中间攻击者,发送过来的假公钥)。
密码登陆.jpg
公钥登录
公钥登陆相对密码登陆可以避免中间攻击,同时也简单很多
1.客户端在本地生成一对公私钥
2.将客户端本地生成的公钥手动添加到远端服务器上
3.客户端发起登陆请求到远端服务器
4.远端服务器收到请求后,会本地生成一串随机字符,并将该随机字符串发送给客户端
5.客户端收到远端服务器的随机字符串后,用本地私钥加密,并将密文传给远端服务器
6.远端服务器将收到的密文用保存的客户端公钥解密,并将解密结果与原随机字符串对比,若一致的话证明客户端可信,允许登陆。
公钥登陆.jpg
手机端常用App
iOS:WebSSH、Termius、iTerminal、Shelly、SSH助手;
Android:Termius、JuiceSSH、ConnectBot
做一个简单的评测:
| 系统 | APP | 广告 | 别名 | 分组 | 快捷输入 | 命令提示 | 储存命令 | 插件 | 备注 |
|---|---|---|---|---|---|---|---|---|---|
| iOS | WebSSH | 多 | √ | √ | 简单 | × | √ | × | 广告太多体验极差 |
| iOS | Termius | 无 | √ | √ | 丰富 | √ | × | × | UI优美、可视化文件夹、丰富的快捷键、视图可触摸缩放 |
| iOS | iTerminal | 少 | √ | × | 简单 | × | × | × | 底部广告 |
| iOS | Shelly | 少 | √ | × | 简单 | × | × | × | 无法保存用户名,视图可触摸缩放 |
| iOS | SSH助手 | 无 | √ | × | 简单 | × | × | × | 中文环境 |
| Android | Termius | 无 | √ | √ | 丰富 | × | × | × | 丰富的快捷键,视图可触摸缩放 |
| Android | JuiceSSH | 无 | √ | √ | 丰富 | × | 高级版√ | √ | 高级版有更丰富功能,中文环境 |
| Android | ConnectBot | 无 | √ | × | 无 | × | × | × | 每次登陆需要重输密码,登陆后可执行指定命令,中文环境 |
iOS_WebSSh
iOS_Termius
iOS_iTerminal
iOS_Shelly
iOS_SSH助手
Android_Termius
Android_JuiceSSH
Android_ConnectBot
常用命令集合
-
lsls命令显示文件和目录的信息
ls以默认方式显示当前目录文件列表
ls -a显示所有文件包括隐藏文件
ls -l显示文件属性,包括大小,日期,符号连接,是否可读写及是否可执行
ls -lh显示文件的大小,以容易理解的格式印出文件大小 (例如 1K 234M 2G)
ls -lt显示文件,按照修改时间排序
ls -F在列出的文件名和目录名后添加标志。例如,在可执行文件后添加“*”,在目录名后添加“/”以区分不同的类型。
-
cd切换目录
cd dir切换到当前目录下的dir目录
cd /切换到根目录
cd ..切换到到上一级目录
cd ../..切换到上二级目录
cd ~切换到用户目录,比如是root用户,则切换到/root下
-
cp复制文件
cp source target将文件source复制为target
cp /root/source .将/root下的文件source复制到当前目录
cp –av soure_dir target_dir将整个目录复制,两目录完全一样
-
top实时显示进程的状态。默认状态显示的是cpu密集型的进程,并且每5秒钟更新一次。你可以通过PID的数字大小,age (newest first), time (cumulative time),resident memory usage(常驻内存使用)以及进程从启动后占用cpu的时间。刷新中想退出,输入命令q即可。
top -b批量处理模式,加上-b后,top显示的时候,将每一次显示的结果都打印出来,不会将上一次的结果给冲掉。
top -p pid显示某个进程的信息
top -p pid1,pid2,pid3显示多进程信息
top -u username显示某个用户的进程信息
top -H显示线程的信息,而不是进程的信息
top -d ntime设置刷屏的时间(单位为s)
-
rm删除文件或目录
rm file删除某一个文件
rm -f file删除时候不进行提示。可以与r参数(递归删除)配合使用
rm -rf dir删除当前目录下叫dir的整个目录
-
diff比较文件内容
diff dir1 dir2比较目录1与目录2的文件列表是否相同,但不比较文件的实际内容,不同则列出
diff file1 file2比较文件1与文件2的内容是否相同,如果是文本格式的文件,则将不相同的内容显示,如果是二进制代码则只表示两个文件是不同的
comm file1 file2比较文件,显示两个文件不相同的内容
-
df检查文件系统的磁盘空间占用情况。可以利用该命令来获取硬盘被占用了多少空间,目前还剩下多少空间等信息。
df -a列出全部目录
df -Ta列出全部目录,并且显示文件类型
df -B显示块信息
df -i以i节点列出全部目录
df -h按照日常习惯显示(如:1K、100M、20G)
df -x [filesystype]不显示[filesystype]
-
ps显示进程信息
ps ux显示当前用户的进程
ps uxwww显示当前用户的进程的详细信息
ps aux显示所有用户的进程
ps ef显示系统所有进程信息
-
cat显示文件的内容
cat file显示file内容
-
vi编辑文件file
vi 基本使用及命令:
在命令模式下,按一下"a"("A")键或者”i” ("I")或者"o"("O")键,即进入插入态文本输入模式。在文本输入模式下,按Esc键,即回到命令模式。
按"a"键,插入到当前光标的后面;按"i"键,在当前光标处插入;按"A"键,在当前光 标所在行的最后插入;按"I"键,在当前光标所在行的开头插入。
退出Vi 的方式: 先按[ESC]键回到命令模式,然后输入:w(写入文件),注意要先输入冒号!:w!(不询问方式写入文件),:wq保存并退出,:q退出,s:q!不保存退出,:x 该命令的功能同命令模式下的ZZ命令功能相同
在命令模式中,连按两次大写字母Z,若当前编辑的文件曾被修改过,则Vi保存该文件后退出,返回到shell;若当前编辑的文件没被修改过,则Vi直接退出, 返回到shell。
-
touch创建一个空文件
touch aaa.txt当前目录下创建一个空文件,文件名为aaa.txt
-
man查看某个命令的帮助,如果你不知道某个命令的用法不懂,可以问他,他知道就回告诉你
man ls显示ls命令的帮助内容
SFTP
SFTP是一种安全的文件传输协议,一种通过网络传输文件的安全方法;它确保使用私有和安全的数据流来安全地传输数据。
SFTP要求客户端用户必须由服务器进行身份验证,并且数据传输必须通过安全通道(SSH)进行,即不传输明文密码或文件数据。它允许对远程文件执行各种操作,有点像远程文件系统协议。SFTP允许从暂停传输,目录列表和远程文件删除等操作中恢复。与FTP相比,经过SSH通道加密更安全,但相对的效率也降低。
SSH1和SSH2
SSH(Secure SHell)到目前为止有两个不兼容的版本——SSH1和SSH2。
SSH1又分为1.3和 1.5两个版本。SSH1采用DES、3DES、Blowfish和RC4等对称加密算法保护数据安全传输,而对称加密算法的密钥是通过非对称加密算法(RSA)来完成交换的。SSH1使用循环冗余校验码(CRC)来保证数据的完整性,但是后来发现这种方法有缺陷。
SSH2避免了RSA的专利问题,并修补了CRC的缺陷。SSH2用数字签名算法(DSA)和Diffie-Hellman(DH)算法代替RSA来完成对称密钥的交换,用消息证实代码(HMAC)来代替CRC。同时SSH2增加了AES和Twofish等对称加密算法。
而现在几乎都不支持SSH1了,仅支持SSH2版本。
网友评论