1.SSH简介

  1. 传统的网络服务程序,如:ftpPOPtelnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的,就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。所谓“中间人”的攻击方式,就是“中间人”冒充真正的服务器接收你传给服务器的数据,然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”一转手做了手脚之后,就会出现很严重的问题。
  3. 从前,一个名为Tatu Yl?nen的芬兰程序员开发了一种网络协议和服务软件,称为SSHSecure SHell的缩写)。通过使用SSH,你可以把所有传输的数据进行加密,这样“中间人”这种攻击方式就不可能实现了,而且也能够防止DNSIP欺骗。还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,虽然许多人把Secure Shell仅当作Telnet的替代物,但你可以使用它来保护你的网络连接的安全。你可以通过本地或远程系统上的Secure Shell转发其他网络通信,如POPXPPPFTP。你还可以转发其他类型的网络通信,包括CVS和任意其他的TCP通信。另外,你可以使用带 TCP包装的Secure Shell,以加强连接的安全性。除此之外,Secure Shell还有一些其他的方便的功能,可用于诸如Oracle之类的应用,也可以将它用于远程备份和像SecurID卡一样的附加认证。

2. SSH的工作机制

SSH分为两部分:客户端部分和服务端部分。

服务端是一个守护进程(demon),他在后台运行并响应来自客户端的连接请求。服务端一般是sshd进程,提供了对远程连接的处理,一般包括公共密钥认证、密钥交换、对称密钥加密和非安全连接。

客户端包含ssh程序以及像scp(远程拷贝)、slogin(远程登陆)、sftp(安全文件传输)等其他的应用程序。

他们的工作机制大致是本地的客户端发送一个连接请求到远程的服务端,服务端检查申请的包和IP地址再发送密钥给SSH的客户端,本地再将密钥发回给服务端,自此连接建立。刚才所讲的只是SSH连接的大致过程,SSH 1.x和SSH 2.x在连接协议上还有着一些差异。

SSH被设计成为工作于自己的基础之上而不利用超级服务器(inetd),虽然可以通过inetd上的tcpd来运行SSH进程,但是这完全没有必要。启动SSH服务器后,sshd运行起来并在默认的22端口进行监听(你可以用 # ps -waux | grep sshd 来查看sshd是否已经被正确的运行了)如果不是通过inetd启动的SSH,那么SSH就将一直等待连接请求。当请求到来的时候SSH守护进程会产生一个子进程,该子进程进行这次的连接处理。

但是因为受版权和加密算法的限制,现在很多人都转而使用OpenSSH。OpenSSH是SSH的替代软件,而且是免费的,

SSH是由客户端和服务端的软件组成的,有两个不兼容的版本分别是:1.x和2.x。用SSH 2.x的客户程序是不能连接到SSH 1.x的服务程序上去的。OpenSSH 2.x同时支持SSH 1.x和2.x。

3. SSH客户端安装

Ubuntu缺省已经安装了ssh client,没有则执行以下命令安装:

  1. sudo apt-get install ssh   sudo apt-get install openssh-client

按缺省生成id_rsa和id_rsa.pub文件,分别是私钥和公钥。

Linux-SSH-01.png

4. 安装ssh服务端

在两台主机上都安装和配置ssh。

4.1 更新源列表
  1. sudo apt-get update

4.2 安装服务器
  1. sudo apt-get install openssh-server

4.3 启动SSH服务
  1. sudo service ssh start  /etc/init.d/ssh start

Linux-SSH-02.png

4.4 查看SSH服务是否启动
  1. ps -e|grep ssh

Linux-SSH-03.png

输出结果如下:

  1. root@LAPTOP-CID6DE7U:/mnt/c/Users/Along# ps -e|grep ssh
  2.   703 ?        00:00:00 sshd    ----对应服务器端
  3.   215 ?        00:00:00 ssh-agent------对应客户端

ssh-agent表示ssh-client启动,sshd表示ssh-server启动了。

如果缺少sshd,说明ssh服务没有启动或者没有安装。
安装ssh-client命令: apt-get install openssh-client

安装ssh-server命令:apt-get install openssh-server

安装完成以后,先启动服务:/etc/init.d/ssh start

启动后,可以通过ps -e|grep ssh查看是否正确启动。

5. SSH配置

通过修改配置文件/etc/ssh/sshd_config,可以改ssh登录端口和禁止root登录。打开配置文件并修改:

  1. sudo gedit /etc/ssh/sshd_config

把配置文件中的”PermitRootLogin without-password”加一个”#”号,把它注释掉—>再增加一句”PermitRootLogin yes”—>保存,修改成功。(”PermitRootLogin yes”的含义是允许root用户登录)
配置完成后重启ssh服务:

  1. sudo service ssh restart

6. 使用SSH服务

两台主机都安装SSH客户端和服务端后,在作为SSH客户端的主机上执行以下命令,来远程控制作为SSH服务端(zhilan: 192.168.0.125)的主机:

  1. sudo ssh zhilan@192.168.0.125

7. SSH常用命令

  1. #停止服务
  2. sudo service ssh stop
  4. #启动服务
  5. sudo service ssh start
  7. #重启服务
  8. sudo service ssh restart
  10. #登录 (zhilan为192.168.0.125机器上的用户,需要输入密码。)
  11. #常用格式:ssh [-llogin_name] [-p port] [user@]hostname
  12. ssh zhilan@192.168.0.125
  14. #断开连接
  15. exit

8. 卸载SSH服务

如果你用的是redhat,fedora,centos等系列linux发行版,那么敲入以下命令:

  1. sudo yum remove ssh

如果你使用的是debian,ubuntu,linux mint等系列的linux发行版,那么敲入以下命令:

  1. sudo apt-get purge remove ssh

然后就会提示卸载完成。