原创

SSH浅谈

1.初识SSH

SSH 为 Secure Shell 的缩写,由 IETF 的网络小组(Network Working Group)所制定;SSH 为建立在应用层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。

这里需要注意的是SSH协议的实现软件有很多, 其中最出名的应该是OpenSSH. 例如CentOS6.5默认使用的就是OpenSSH, OpenSSH分client端和server端, 下图中的sshd为运行在Linux中的守护进程, 客户端如Xshell, SecureCRT, Linux自带的ssh等.

Linux版本
openssh daemon

2. SSH原理

SSH的本质就是对在网络中传输的数据进行加密,那一般加密方式分为对称加密和非对称的加密. 对称加密的通信方式因双方使用同一密钥,存在密钥泄露的安全问题, 非对称加密的通信方式也会存在中间人攻击的风险. 所谓中间人攻击是指, 由于SSH不像HTTPS协议那样,SSH协议的公钥是没有证书中心(CA)公证的,也就是说,都是自己签发的。这就导致如果有黑客截获了登陆请求,然后冒充远程主机,将伪造的公钥发给用户,用户再通过伪造的公钥加密密码,再发送给冒充主机,此时冒充的主机就可以获取用户的登陆密码了,那么SSH的安全机制就荡然无存了.

如果SSH使用的是非对称加密机制,为了解决中间人攻击, SSH便增加了2种认证机制.

用户自己认证

如下本机用SSH访问192.168.182.133, 为了确认对方的真实性,SSH会让使用者自己来确定是否相信对方。

口令认证

免密公钥认证

认证流程

例如SSH client A要使用免密公钥认证方式登录到SSH server B, 步骤如下

  • 在A上生成公钥私钥对;
  • 将A公钥拷贝给B,存入B的authorized_keys
  • A向B发送一个连接请求。
  • B得到A的请求后,在authorized_keys中查找,如果有A的公钥,则随机生成一个字符串,并用A的公钥加密,发送给A。
  • A得到B发来的消息后,使用私钥进行解密,然后将解密后的字符串发送给 B。B进行和生成的对比,如果一致,则允许免登录。

扩展延伸:

基于免密公钥认证的原理, 在A->B免密配置成功后, 任何一台主机只要得到A上的生成的私钥, 都可以访问免密B. 进一步来说, 在集群环境下, 只要在一台主机上生成私钥和对应的authorized_keys, 将其copy到其他主机上, 那么集群中的所有主机就可以相互访问了.

使用好处:

集群环境下便于服务器之间的访问

确保服务器的管理密码不被泄露

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 关系型数据库设计浅谈

    简称概念模型,是面向数据库用户的现实世界的模型,主要用来描述世界的概念化结构,它使数据库的设计人员在设计的初始阶段,摆脱计算机系统及DBMS的具体技术问题,集中...

    IT_Skywalker
  • Hadoop-HDFS浅谈

    HDFS是Hadoop中进行分布式存储的组件,旨在提供可靠的, 可扩展的, 高吞吐, 高并发的大数据访问. HDFS是一个主/从(Mater/Slave)体系结...

    IT_Skywalker
  • GCAC52 12.2 Understanding CCA security

    12.2.1 CCA security and ciphertext malleability 可延展性

    安包
  • 在 web 环境运行 react-native 页面

    近两年来 react-native 构造原生应用异常火爆,在 app 中用来替代 H5 页面可以明显提升用户体验,但是在一些场景是需要配套 web 版本的,如果...

    QQ音乐技术团队
  • Adidas、金拱门、KFC、乐天玛特,零售巨头的选址秘诀都在数据里了

    在当前复杂的零售环境下,选址对于零售企业而言变得格外重要,因为位置就是线下流量的直接入口。近期数据侠实验室,DT君邀请到了GeoHey·极海上海分公司的技术总监...

    DT数据侠
  • 互联网+物联网:中国统计学的风口

    论坛君:作为一名统计学教员(王汉生教授谦虚了),每天绞尽脑汁做完研究,难得空闲的时候,教授就琢磨琢磨中国统计学的风口在哪里(果然是高大上的问题)。他认为:统计学...

    小莹莹
  • [深度应用]·首届中国心电智能大赛初赛开源Baseline(基于Keras val_acc: 0.88)

    为响应国家健康中国战略,推送健康医疗和大数据的融合发展的政策,由清华大学临床医学院和数据科学研究院,天津市武清区京津高村科技创新园,以及多家重点医院联合主办的首...

    小宋是呢
  • 认为你的公司需要数据科学家?你可能错了

    当我在15年前开始从事数据工作时,我从未想过近年来数据科学家会如此备受追捧。如今,数据科学家被认为是全球最热门的职位之一,市场上对数据科学家的需求供不应求。

    CDA数据分析师
  • 大规模微服务利器:eBPF + Kubernetes 介绍

    本文翻译自 2020 年 Daniel Borkmann 在 KubeCon 的一篇分享: eBPF and Kubernetes: Little Helper...

    CNCF
  • 各怀心事的边缘计算玩家们

    前面说过我对边缘计算的理解,认为边缘计算是在一定程度上弥补传统云计算的不足,相对于传统的全集中模式的云计算中心,边缘计算节点可以在现场终端侧,也可以在终端与中心...

    边缘计算

扫码关注云+社区

领取腾讯云代金券

,,