OpenSSH這一術語指系統中使用的Secure Shell軟體的軟體實施。用於在遠端系統上安全執行shell。如果您在可提供ssh服務的遠端Linux系統中擁有使用者帳戶,則ssh是通常用來遠端登入到該系統的命令。ssh命令也可用於在遠端系統中執行命令。
常見的遠端登入工具有:
telnet //遠端登入協議,23/TCP//一般用於測試埠或者介面是否開啟
認證明文
資料傳輸明文
ssh //Secure SHell,應用層協議,22/TCP
通訊過程及認證過程是加密的,主機認證
使用者認證過程加密
資料傳輸過程加密
dropbear //嵌入式系統專用的SSH伺服器端和客戶端工具,一般應用於手機上
1.2 SSH 版本
openssh有兩個版本,分別為v1和v2,其特點如下:
v1:基於CRC-32做MAC,無法防範中間人攻擊
v2:雙方主機協議選擇安全的MAC方式。基於DH演算法做金鑰交換,基於RSA或DSA演算法實現身份認證
關於金鑰交換
協商生成密碼的過程叫做金鑰交換(Internet Key Exchange,IKE)使用的是DH協議(Diffie-Hellman):
A(主機) --> B(主機)
p,g(大素數,生成數),在網路中傳輸的,公開的
A:自己取一個隨機數x
B:自己取一個隨機數y
A:g^x%p --> B
B:g^y%p --> A
A:(g^y%p)^x=g^yx%p
B:(g^x%p)^y=g^xy%p
這最後得出的g^xy%p就是最終的金鑰
1.3 SSH 認證方式
openssh有兩種認證方式,分別是:
1.4 openSSH 的工作模式
openSSH是基於C/S架構工作的
伺服器端 //sshd,配置檔案在/etc/ssh/sshd_config
[root@CTL .ssh]# vim /etc/ssh/sshd_config
# $OpenBSD: sshd_config,v 1.100 2016/08/15 12:32:04 naddy Exp $
# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.
# This sshd was compiled with PATH=/usr/local/bin:/usr/bin
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options override the
# default value.
# If you want to change the port on a SELinux system, you have to tell
# SELinux about this change.
# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER
#
#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::
.
# Example of overriding settings on a per-user basis
#Match User anoncvs
# X11Forwarding no
# AllowTcpForwarding no
# PermitTTY no
# ForceCommand cvs server
客戶端
//ssh,配置檔案在/etc/ssh/ssh_config
ssh-keygen //金鑰生成器
ssh-copy-id //將公鑰傳輸至遠端伺服器
scp //跨主機安全複製工具
$OpenBSD: ssh_config,v 1.30 2016/02/20 23:06:23 sobrado Exp $
# This is the ssh client system-wide configuration file. See
# ssh_config(5) for more information. This file provides defaults for
# users, and the values can be changed in per-user configuration files
# or on the command line.
# Configuration data is parsed as follows:
# 1. command line options
# 2. user-specific file
# 3. system-wide file
# Any configuration value is only changed the first time it is set.
# Thus, host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.
# Site-wide defaults for some commonly used options. For a comprehensive
# list of available options, their meanings and defaults, please see the
# ssh_config(5) man page.
# Host *
# ForwardAgent no
# ForwardX11 no
# RhostsRSAAuthentication no
# RSAAuthentication yes
# PasswordAuthentication yes
# Send locale-related environment variables
SendEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
SendEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
SendEnv LC_IDENTIFICATION LC_ALL LANGUAGE
SendEnv XMODIFIERS
1.5 Secure Shell 示例
//以當前使用者身份建立遠端互動式shell,然後在結束時使用exit命令返回到之前的shell
[root@CTL .ssh]# ssh 192.168.112.131
The authenticity of host "192.168.112.131 (192.168.112.131)" can"t be established.
//生成了一個演算法是SHA256得公鑰
ECDSA key fingerprint is SHA256:dyCibeKTgTQDtKrGgYAKVnGsLcR/Necufp4Jvnx0cTc.
ECDSA key fingerprint is MD5:bb:a6:d4:16:be:40:d1:d9:ef:6b:89:c9:22:bb:bd:b0.
//問你是否信任所連線得主機,不信任則不連線
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added "192.168.112.131" (ECDSA) to the list of known hosts.
[email protected]"s password:
Last login: Mon Apr 1 14:24:13 2019 from 192.168.112.14
//此時從使用者名稱得知已經登陸到另一臺主機
[root@GUI ~]#
//以其他使用者身份(remoteuser)在選定主機(remotehost)上連線到遠端`shell`
[root@CTL .ssh]# ssh [email protected]
Last login: Mon Apr 1 14:24:54 2019 from 192.168.112.14
//以遠端使用者身份(remoteuser)在遠端主機(remotehost)上透過將輸出返回到本地顯示器的方式來執行單一命令
//首先登陸一臺主機檢視自己IP
[root@GUI .ssh]# ip a s ens33
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000link/ether 00:0c:29:8e:77:9b brd ff:ff:ff:ff:ff:ffinet 192.168.112.131/24 brd 192.168.112.255 scope global dynamic ens33valid_lft 1191sec preferred_lft 1191secinet6 fe80::bc68:f1a3:4a1f:87fb/64 scope link
valid_lft forever preferred_lft forever
//在用另一臺主機透過ssh來遠端執行命令
[root@CTL .ssh]# ssh [email protected] "/usr/sbin/ip a s ens33"
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000link/ether 00:0c:29:8e:77:9b brd ff:ff:ff:ff:ff:ffinet 192.168.112.131/24 brd 192.168.112.255 scope global dynamic ens33valid_lft 1783sec preferred_lft 1783secinet6 fe80::bc68:f1a3:4a1f:87fb/64 scope link
[root@CTL .ssh]#
//w命令可以顯示當前登入到計算機的使用者列表。這對於顯示哪些使用者使用ssh從哪些遠端位置進行了登入以及執行了何種操作等內容特別有用
Last login: Mon Apr 1 14:30:57 2019 from 192.168.112.14
//在切換到GUI主機使用w命令檢視 可以看到192.168.112.14使用者在登陸中
[root@GUI .ssh]# w14:40:59 up 4:37, 2 users, load average: 0.00, 0.02, 0.05
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 192.168.112.1 10:03 3.00s 0.17s 0.01s w
root pts/1 192.168.112.14 14:40 2.00s 0.03s 0.03s -bash
1.5 SSH 主機金鑰
ssh透過公鑰加密的方式保持通訊安全。當某一ssh客戶端連線到ssh伺服器時,在該客戶端登入之前,伺服器會向其傳送公鑰副本。這可用於為通訊渠道設定安全加密,並可驗證客戶端的伺服器。
當用戶第一次使用ssh連線到特定伺服器時,ssh命令可在使用者的/.ssh/known_hosts檔案中儲存該伺服器的公鑰。在此之後每當使用者進行連線時,客戶端都會透過對比/.ssh/known_hosts檔案中的伺服器條目和伺服器傳送的公鑰,確保從伺服器獲得相同的公鑰。如果公鑰不匹配,客戶端會假定網路通訊已遭劫持或伺服器已被入侵,並且中斷連線。
//主機ID儲存在本地客戶端系統上的 ~/.ssh/known_hosts 中(家目錄中的隱藏目錄.ssh)
[root@CTL ~]# cat /root/.ssh/known_hosts
192.168.112.131 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBJvfkdzYN1ayz0bbvSc5be4/rddT4r2q/DfLo6VtruJgNNsexqi5GzSJ7AGB1kECRSw4/eg1Z11x05bGjRJfL+8=
//主機金鑰儲存在SSH伺服器上的 /etc/ssh/ssh_host_key* 中(也就是不手動生成金鑰的情況下會自動使用這裡的金鑰)
[root@CTL ~]# ls /etc/ssh/*key*
/etc/ssh/ssh_host_ecdsa_key /etc/ssh/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ed25519_key /etc/ssh/ssh_host_ed25519_key.pub /etc/ssh/ssh_host_rsa_key /etc/ssh/ssh_host_rsa_key.pub
使用者可透過使用公鑰身份驗證進行ssh登入身份驗證。ssh允許使用者使用私鑰-公鑰方案進行身份驗證。這意味著將生成私鑰和公鑰這兩個金鑰。私鑰檔案用作身份驗證憑據,像密碼一樣,必須妥善保管。公鑰複製到使用者希望登入的系統,用於驗證私鑰。公鑰並不需要保密。擁有公鑰的ssh伺服器可以釋出僅持有您私鑰的系統才可解答的問題。因此,可以根據所持有的金鑰進行驗證。如此一來,就不必在每次訪問系統時鍵入密碼,但安全性仍能得到保證。
使用ssh-keygen命令生成密碼。將會生成私鑰/.ssh/id_rsa和公鑰/.ssh/id_rsa.pub。
//使用ssh-keygen生成金鑰時首先會詢問你金鑰檔案存放的位置,預設是在/root/.ssh/id_rsa和id_rsa.pub
[root@CTL ~]# ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
//接著會詢問你是否為你的私鑰配置密碼
Enter passphrase (empty for no passphrase):
//最後會提示你金鑰建立成功,私鑰存放在id_rsa,公鑰放在id_rsa.pub
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:XFV5J+RPAuuHQZBipB8yUyQ22/QAOWT+z2Tsi+cJcpw root@CTL
The key"s randomart image is:
//RSA演算法金鑰一般為2048位
+---[RSA 2048]----+
| .B=* .o+oo. |
| +oOoo.o +o o|
| Boo.o o ooo|
| B + . o + |
| S + o . .|
| . B . |
| . E + |
| o o.o |
| .o+ |
+----[SHA256]-----+
注意:
生成金鑰時,系統將提供指定密碼的選項,在訪問私鑰時必須提供該密碼。如果私鑰被偷,除頒發者之外的其他任何人很難使用該私鑰,因為已使用密碼對其進行保護。這樣,在攻擊者破解並使用私鑰前,會有足夠的時間生成新的金鑰對並刪除所有涉及舊金鑰的內容。
OpenSSH這一術語指系統中使用的Secure Shell軟體的軟體實施。用於在遠端系統上安全執行shell。如果您在可提供ssh服務的遠端Linux系統中擁有使用者帳戶,則ssh是通常用來遠端登入到該系統的命令。ssh命令也可用於在遠端系統中執行命令。
常見的遠端登入工具有:
telnetsshdropbeartelnet //遠端登入協議,23/TCP//一般用於測試埠或者介面是否開啟
認證明文
資料傳輸明文
ssh //Secure SHell,應用層協議,22/TCP
通訊過程及認證過程是加密的,主機認證
使用者認證過程加密
資料傳輸過程加密
dropbear //嵌入式系統專用的SSH伺服器端和客戶端工具,一般應用於手機上
1.2 SSH 版本
openssh有兩個版本,分別為v1和v2,其特點如下:
v1:基於CRC-32做MAC,無法防範中間人攻擊
v2:雙方主機協議選擇安全的MAC方式。基於DH演算法做金鑰交換,基於RSA或DSA演算法實現身份認證
關於金鑰交換
協商生成密碼的過程叫做金鑰交換(Internet Key Exchange,IKE)使用的是DH協議(Diffie-Hellman):
A(主機) --> B(主機)
p,g(大素數,生成數),在網路中傳輸的,公開的
A:自己取一個隨機數x
B:自己取一個隨機數y
A:g^x%p --> B
B:g^y%p --> A
A:(g^y%p)^x=g^yx%p
B:(g^x%p)^y=g^xy%p
這最後得出的g^xy%p就是最終的金鑰
1.3 SSH 認證方式
openssh有兩種認證方式,分別是:
基於口令認證(即密碼認證)基於金鑰認證(非對稱加密。有一對金鑰,公鑰(P)和私鑰(S))1.4 openSSH 的工作模式
openSSH是基於C/S架構工作的
伺服器端 //sshd,配置檔案在/etc/ssh/sshd_config
[root@CTL .ssh]# vim /etc/ssh/sshd_config
# $OpenBSD: sshd_config,v 1.100 2016/08/15 12:32:04 naddy Exp $
# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.
# This sshd was compiled with PATH=/usr/local/bin:/usr/bin
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options override the
# default value.
# If you want to change the port on a SELinux system, you have to tell
# SELinux about this change.
# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER
#
#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::
.
.
.
# Example of overriding settings on a per-user basis
#Match User anoncvs
# X11Forwarding no
# AllowTcpForwarding no
# PermitTTY no
# ForceCommand cvs server
客戶端
//ssh,配置檔案在/etc/ssh/ssh_config
ssh-keygen //金鑰生成器
ssh-copy-id //將公鑰傳輸至遠端伺服器
scp //跨主機安全複製工具
$OpenBSD: ssh_config,v 1.30 2016/02/20 23:06:23 sobrado Exp $
# This is the ssh client system-wide configuration file. See
# ssh_config(5) for more information. This file provides defaults for
# users, and the values can be changed in per-user configuration files
# or on the command line.
# Configuration data is parsed as follows:
# 1. command line options
# 2. user-specific file
# 3. system-wide file
# Any configuration value is only changed the first time it is set.
# Thus, host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.
# Site-wide defaults for some commonly used options. For a comprehensive
# list of available options, their meanings and defaults, please see the
# ssh_config(5) man page.
# Host *
# ForwardAgent no
# ForwardX11 no
# RhostsRSAAuthentication no
# RSAAuthentication yes
# PasswordAuthentication yes
.
.
.
# Send locale-related environment variables
SendEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
SendEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
SendEnv LC_IDENTIFICATION LC_ALL LANGUAGE
SendEnv XMODIFIERS
1.5 Secure Shell 示例
//以當前使用者身份建立遠端互動式shell,然後在結束時使用exit命令返回到之前的shell
[root@CTL .ssh]# ssh 192.168.112.131
The authenticity of host "192.168.112.131 (192.168.112.131)" can"t be established.
//生成了一個演算法是SHA256得公鑰
ECDSA key fingerprint is SHA256:dyCibeKTgTQDtKrGgYAKVnGsLcR/Necufp4Jvnx0cTc.
ECDSA key fingerprint is MD5:bb:a6:d4:16:be:40:d1:d9:ef:6b:89:c9:22:bb:bd:b0.
//問你是否信任所連線得主機,不信任則不連線
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added "192.168.112.131" (ECDSA) to the list of known hosts.
[email protected]"s password:
Last login: Mon Apr 1 14:24:13 2019 from 192.168.112.14
//此時從使用者名稱得知已經登陸到另一臺主機
[root@GUI ~]#
//以其他使用者身份(remoteuser)在選定主機(remotehost)上連線到遠端`shell`
[root@CTL .ssh]# ssh [email protected]
[email protected]"s password:
Last login: Mon Apr 1 14:24:54 2019 from 192.168.112.14
[root@GUI ~]#
//以遠端使用者身份(remoteuser)在遠端主機(remotehost)上透過將輸出返回到本地顯示器的方式來執行單一命令
//首先登陸一臺主機檢視自己IP
[root@GUI .ssh]# ip a s ens33
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000link/ether 00:0c:29:8e:77:9b brd ff:ff:ff:ff:ff:ffinet 192.168.112.131/24 brd 192.168.112.255 scope global dynamic ens33valid_lft 1191sec preferred_lft 1191secinet6 fe80::bc68:f1a3:4a1f:87fb/64 scope link
valid_lft forever preferred_lft forever
//在用另一臺主機透過ssh來遠端執行命令
[root@CTL .ssh]# ssh [email protected] "/usr/sbin/ip a s ens33"
[email protected]"s password:
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000link/ether 00:0c:29:8e:77:9b brd ff:ff:ff:ff:ff:ffinet 192.168.112.131/24 brd 192.168.112.255 scope global dynamic ens33valid_lft 1783sec preferred_lft 1783secinet6 fe80::bc68:f1a3:4a1f:87fb/64 scope link
valid_lft forever preferred_lft forever
[root@CTL .ssh]#
//w命令可以顯示當前登入到計算機的使用者列表。這對於顯示哪些使用者使用ssh從哪些遠端位置進行了登入以及執行了何種操作等內容特別有用
[root@CTL .ssh]# ssh 192.168.112.131
[email protected]"s password:
Last login: Mon Apr 1 14:30:57 2019 from 192.168.112.14
//在切換到GUI主機使用w命令檢視 可以看到192.168.112.14使用者在登陸中
[root@GUI .ssh]# w14:40:59 up 4:37, 2 users, load average: 0.00, 0.02, 0.05
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 192.168.112.1 10:03 3.00s 0.17s 0.01s w
root pts/1 192.168.112.14 14:40 2.00s 0.03s 0.03s -bash
1.5 SSH 主機金鑰
ssh透過公鑰加密的方式保持通訊安全。當某一ssh客戶端連線到ssh伺服器時,在該客戶端登入之前,伺服器會向其傳送公鑰副本。這可用於為通訊渠道設定安全加密,並可驗證客戶端的伺服器。
當用戶第一次使用ssh連線到特定伺服器時,ssh命令可在使用者的/.ssh/known_hosts檔案中儲存該伺服器的公鑰。在此之後每當使用者進行連線時,客戶端都會透過對比/.ssh/known_hosts檔案中的伺服器條目和伺服器傳送的公鑰,確保從伺服器獲得相同的公鑰。如果公鑰不匹配,客戶端會假定網路通訊已遭劫持或伺服器已被入侵,並且中斷連線。
//主機ID儲存在本地客戶端系統上的 ~/.ssh/known_hosts 中(家目錄中的隱藏目錄.ssh)
[root@CTL ~]# cat /root/.ssh/known_hosts
192.168.112.131 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBJvfkdzYN1ayz0bbvSc5be4/rddT4r2q/DfLo6VtruJgNNsexqi5GzSJ7AGB1kECRSw4/eg1Z11x05bGjRJfL+8=
//主機金鑰儲存在SSH伺服器上的 /etc/ssh/ssh_host_key* 中(也就是不手動生成金鑰的情況下會自動使用這裡的金鑰)
[root@CTL ~]# ls /etc/ssh/*key*
/etc/ssh/ssh_host_ecdsa_key /etc/ssh/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ed25519_key /etc/ssh/ssh_host_ed25519_key.pub /etc/ssh/ssh_host_rsa_key /etc/ssh/ssh_host_rsa_key.pub
2. 配置基於 SSH 金鑰的身份驗證使用者可透過使用公鑰身份驗證進行ssh登入身份驗證。ssh允許使用者使用私鑰-公鑰方案進行身份驗證。這意味著將生成私鑰和公鑰這兩個金鑰。私鑰檔案用作身份驗證憑據,像密碼一樣,必須妥善保管。公鑰複製到使用者希望登入的系統,用於驗證私鑰。公鑰並不需要保密。擁有公鑰的ssh伺服器可以釋出僅持有您私鑰的系統才可解答的問題。因此,可以根據所持有的金鑰進行驗證。如此一來,就不必在每次訪問系統時鍵入密碼,但安全性仍能得到保證。
使用ssh-keygen命令生成密碼。將會生成私鑰/.ssh/id_rsa和公鑰/.ssh/id_rsa.pub。
//使用ssh-keygen生成金鑰時首先會詢問你金鑰檔案存放的位置,預設是在/root/.ssh/id_rsa和id_rsa.pub
[root@CTL ~]# ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
//接著會詢問你是否為你的私鑰配置密碼
Enter passphrase (empty for no passphrase):
//最後會提示你金鑰建立成功,私鑰存放在id_rsa,公鑰放在id_rsa.pub
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:XFV5J+RPAuuHQZBipB8yUyQ22/QAOWT+z2Tsi+cJcpw root@CTL
The key"s randomart image is:
//RSA演算法金鑰一般為2048位
+---[RSA 2048]----+
| .B=* .o+oo. |
| +oOoo.o +o o|
| Boo.o o ooo|
| B + . o + |
| S + o . .|
| . B . |
| . E + |
| o o.o |
| .o+ |
+----[SHA256]-----+
注意:
生成金鑰時,系統將提供指定密碼的選項,在訪問私鑰時必須提供該密碼。如果私鑰被偷,除頒發者之外的其他任何人很難使用該私鑰,因為已使用密碼對其進行保護。這樣,在攻擊者破解並使用私鑰前,會有足夠的時間生成新的金鑰對並刪除所有涉及舊金鑰的內容。