ssh那些事儿

　　第一次使用ssh是上学期搭建hadoop集群的时候&＃xff0c;当时照着各种配置文档费了九牛二虎之力终于把环境搭建成功&＃xff0c;现在想想当时还真是不容易呢。好了废话不扯了&＃xff0c;进入正题。       

　　计算机发展早期能实现两台机器之间的通信已属不易&＃xff0c;所以当时并没有什么加密的措施&＃xff0c;Telnet所有的认证和数据传输都是明文的&＃xff0c;很不安全&＃xff0c;随着时间的发展加密的的需求越来越迫切&＃xff0c;后来就出现了ssh。

　　加密方式主要分为三种&＃xff1a;

　　1、对称加密&＃xff1a;有加密算法和解密算法&＃xff0c;算法可以不同&＃xff0c;但加密和解密使用同一密钥。对称加密的优势计算速度快&＃xff0c;但是安全性几乎完全依赖于密钥。

　　2、非对称加密&＃xff1a;每个密码成对出现&＃xff0c;分为公钥(public key)和私钥(private key)。公钥加密的只能私钥解密&＃xff0c;私钥加密的只能公钥解密&＃xff0c;一把钥匙开一把锁。比较典型的公钥加密方式是RSA加密&＃xff0c;公钥加密虽然提高了安全性&＃xff0c;但是加密速度要比对称加密慢3个数量级&＃xff0c;所以一般公钥加密不会用在加密数据上&＃xff0c;只能用在身份认证上。

　　3、单向加密&＃xff1a;单向加密用于提取数据的指纹信息&＃xff0c;常用于数据完整性的校验&＃xff0c;它有两个特征&＃xff1a;雪崩效应和定长输出。

       ssh有两个版本&＃xff0c;v1版本对中间人攻击无能为力&＃xff0c;不太安全&＃xff0c;建议切换到v2版本&＃xff0c;在嵌入式系统中也有一个好用的ssh工具dropbear。ssh实现认证的方式就是使用的非对称加密&＃xff0c;而这里ssh认证的过程有基于口令和基于密钥两种。

　　在基于口令的认证过程中&＃xff0c;客户端A向服务器B发起连接请求时&＃xff0c;服务器B会将自己的公钥发送给客户端A&＃xff0c;如果是第一次连接服务器会出现这样一段提示&＃xff1a;

　　因为是第一次连接&＃xff0c;所以不能确定这就是你要连接的那台主机&＃xff0c;被别人用其他主机冒名顶替也不是不可能。因此你需要对自己负责&＃xff0c;确定对方发来的公钥的指纹信息没什么问题的话就可以连上去&＃xff0c;我觉得这里基本都是直接回答yes&＃xff0c;因为单凭这个指纹信息一般人也没什么办法分辨真伪。输入yes后就代表你接受了对方的公钥&＃xff0c;此时客户端自己随机生成一对对称密钥&＃xff0c;用服务器的公钥加密后再发回给服务器&＃xff0c;服务器用私钥解密后就可以得到双方通信的对称密钥&＃xff0c;以后发送用户名和密码以及其他数据都会用这对对称密钥加密&＃xff0c;但这对对称密钥会不定期更换&＃xff0c;在/etc/ssh/sshd_config文件中会有相应的配置选项。

　　第一次连接成功后&＃xff0c;以后再连接这台服务器就不会在出现上面的提示了&＃xff0c;因为服务器的公钥已经保存在~/.ssh/know_hosts文件中了

　　 另一种方式是基于密钥的认证方式&＃xff0c;也就是我们常说的ssh免密码登陆。使用这种方式时&＃xff0c;客户端需要自己先生成一个非对称密钥对&＃xff0c;然后预先将自己的公钥传送到要连接的服务器上&＃xff0c;私钥自己保留。发起连接时&＃xff0c;客户端用私钥加密一段数据发送给服务器&＃xff0c;服务器如果能用对应用户的公钥解密就认证成功&＃xff0c;在整个过程中没有传送密码&＃xff0c;所以常说成ssh免密码登陆。具体操作步骤如下&＃xff1a;

1、ssh-keygen   -t    rsa           ssh-keygen会生成一对非对称密钥对&＃xff0c;-t表示使用rsa加密算法&＃xff0c;也可以选择dsa

此时查看~/.ssh目录会发现多了俩文件&＃xff0c;id_rsa和id_rsa.pub&＃xff0c;第一个是私钥文件第二个是公钥文件&＃xff0c;将id_rsa.pub中的内容复制到远程主机的~/.ssh/authorized_keys文件中再重新加载配置文件即可&＃xff0c;如果没有这个文件可以手动建立&＃xff0c;这里我用ssh-copy-id工具比较方便。

ssh-copy-id    -i   id_rsa.pub     someone&＃64;xxx.xxx.xxx.xxx    -p   2222

这时ssh   someone&＃64;xxx.xxx.xxx.xxx就可以直接免密码登陆了。当然也可以手动用scp将公钥的内容拷贝至服务器上的~/.ssh/authorized_keys文件中&＃xff0c;但我觉得ssh-copy-id这个工具比较方便。

　　ssh服务端的配置文件在/etc/ssh/sshd_config文件中&＃xff0c;可配置的条目有很多&＃xff0c;具体可以man  5  sshd_config 。解释一下其中几个字段的意思吧&＃xff0c;port 表示监听端口&＃xff0c;这里我改成了2222&＃xff0c;因为现在网上的坏人太多了&＃xff0c;我登陆服务器后用lastb命令查看登陆日志总能发现一堆试图暴力破解服务器的记录&＃xff0c;把默认的22号端口改掉可以增加一点安全性。ListenAddress   0.0.0.0  表示监听任意端口&＃xff0c;因为一台主机可能同时有ipv4和ipv6地址&＃xff0c;还可能有好几个。Protocol  2表示ssh的版本是2&＃xff0c;AuthorizedKeysFile    %h/.ssh/authorized_keys表示公钥存放的位置。如果修改配置文件需要重新加载配置文件&＃xff0c;可以用service   sshd   reload&＃xff0c;查看/etc/init.d/ssh脚本&＃xff0c;reload选项其实就是给ssh进程发送SIGHUP信号(1号信号)&＃xff0c;1号信号可以让服务在不重启的条件下重新读取配置文件。

　　 基于ssh的还有scp &＃xff0c;sftp命令。我仅介绍一下sftp&＃xff0c;之前用得比较少&＃xff0c;sftp  -P   port_num   username&＃64;hostname&＃xff0c;登陆之后就和ftp的使用方式差不多了&＃xff0c;具体用法还是去看man手册吧