如何理解Linux系统SSH协议和原理

一、基础概念

1、概念：

ssh，全称叫Secure Shell，由IETF的网络工作小组（Network Working Group）所制定；SSH为一项创建在应用层和传输层基础上的安全协议。

2、传统网络服务程序缺点：

rsh/ftp/telnet 在网络上用明文传送数据、用户帐号和用户口令，很容易受到中间人（man-in-the-middle）攻击方式的攻击。

3、SSH安全协议的优点：

专为远程登录会话和其他网络服务提供安全性的协议；是一个允许两台电脑之间通过安全的连接进行数据交换的网络协议(公钥加密技术)。

二、如何使用，应用场所

ssh协议常应用于客户端与服务器网络通信、数据交换的场景。

1、服务器：默认情况下，ssh服务器，会在 TCP 端口 22 进行监听；

2、OpenSSH (OpenBSD Secure Shell) 是一套使用ssh协议、通过计算机网络、提供加密通讯会话的计算机程序。

三、工作原理

SSH分为密码认证和公钥认证两种认证方式，下面是各自的流程。

1、密码认证

客户端请求SSH服务器，服务器发送其公钥给客户端。

客户端使用服务器返回的公钥，加密自己的通讯密钥（客户端产生的密钥，不是用户的公钥或私钥），而后发给服务器。

服务器使用自己的私钥解密通讯密钥，至此，双方建立起了安全的通讯信道。

客户端将用户名和密码加密后发送给服务器进行验证

2、公钥认证

客户生成密钥对后，将公钥上传到服务器上（一般存放在~/.ssh/authorized_keys文件中）

登陆时，客户端发送包含用户名、公共密钥和公共密钥算法的 认证请求给服务器端。

服务器对认证请求进行检查。

四、总结

由于密码认证比较简单，属于非对称加密算法的一种校验方法，实质是为了确保数据的保密性。这里我们主要讲解公匙认证。

公钥认证，是使用一对加密字符串，一个称为公钥(public key)， 任何人都可以看到其内容，用于加密；另一个称为密钥(private key)，只有拥有者才能看到，用于解密。 通过公钥加密过的密文使用密钥可以轻松解密，但根据公钥来猜测密钥却十分困难。

1、在使用公钥认证之前，先检查一下服务器的ssh配置文件/etc/ssh/sshd_config

RSAAuthentication yes # 启用 RSA 认证，默认为yesPubkeyAuthentication yes # 启用公钥认证，默认为yes

如果配置没有问题，那么你就可以进行下一步了。

2、下面我们举个例子，比如有两台机器，客户机A与服务器B，想用ssh公钥认证方式从A机器用client用户登录到B机器的server用户，方法如下：

1）、在客户机A上生成公钥与密钥

[client@test ~]$ ssh-keygen -t rsa

Generating public/private rsa key pair.

Enter file in which to save the key (/home/client/.ssh/id_rsa): #此处直接按回车即可

Created directory '/home/client/.ssh'.

Enter passphrase (empty for no passphrase): #此处直接按回车即可

Enter same passphrase again: #此处直接按回车即可

Your identification has been saved in /home/client/.ssh/id_rsa.

Your public key has been saved in /home/client/.ssh/id_rsa.pub.

The key fingerprint is:

f5:30:ba:10:ee:7a:c6:cf:d8:ec:3f:4c:b3:f1:09:6d client@linuxsong.org

这样就生成了client用户在这台机器的公钥(/home/client/.ssh/id_rsa.pub )和私钥(/home/client/.ssh/id_rsa).

2）.将上一步生成的公钥文件拷贝到服务器B上。然后将文件内容追加到server用户目录的.ssh/authorized_keys中：

[server@server]$ cat id_rsa.pub >> .ssh/authorized_keys

这样，client用户从客户机上登录到服务器的server用户，就不用再输入密码了。

注意：

.ssh 目录的权限必须是0700

.ssh/authorized_keys 文件权限必须是0600

否则公钥认证不会生效。