操作系统:SSH协议知识介绍

今天给大家共享SSH协议相关的知识介绍,希望对大家能有所协助!

1、SSH协议概念介绍

SSH(Secure Shell)安全外壳协议,是一种建立在运用层基础上的安全协议,经过对暗码进行加密传输验证,能够在不安全的网络中对网络服务供给安全的传输环境,实现SSH客户端和SSH服务器端的衔接,所以SSH是基于客户端-服务端模式。

2、SSH服务组成

SSH服务由服务端软件OpenSSH和衔接客户端组成(SSH、SecureCRT,xshell等),默认端口是22。SSH是一个看护进程,负责实时监听客户端恳求,并进行处理。

3、SSH协议结构组成

SSH协议结构中中心部分的三个协议:传输层协议、用户认证协议、衔接协议。

  • 传输层协议(The Transport Layer Protocol):供给服务器认证,数据安全性,信息完整性等功能的支撑。

  • 用户认证协议(The User Authentication Protocol):为服务器供给客户端的身份的辨认。

  • 衔接协议(The Connection Protocol):将加密的信息地道复用成若干个逻辑通道,供给给更高层的运用协议运用; 各种高层运用协议能够相对地独立于SSH根本体系之外,然后依靠这个根本结构,经过衔接协议运用SSH的安全机制。

操作系统:SSH协议知识介绍

4、SSH作业流程

4.1 版别号洽谈阶段

SSH目前包括 SSH1和SSH2两个版别, 两边经过版别洽谈确定运用的版别

  • 服务端敞开22端口,等候客户端建议衔接恳求

  • 客户端向服务端建议TCP初始衔接恳求,建立后,服务端向客户端发送报文(版别标志字符串:SSH-<主协议版别号>.<次协议版别号>-<软件版别号>>)

  • 客户端收到报文后,解析数据包,假如服务端的协议版别号比自己的低,且客户端能支撑服务端的低版别,就选用服务器端的低版别协议号,否则选用客户端自己的协议版别号。

  • 客户端回应服务器一个报文,包括客户端决议运用的协议版别号。服务端会比较客户端发来的版别号,决议是否能同客户端进行正常作业。

  • 洽谈成功,就会进入密钥和算法洽谈阶段,否则服务端断开TCP衔接。

留意:版别号洽谈阶段报文都是选用明文方法传输的。

4.2 密钥和算法洽谈阶段

SSH支撑多种加密算法, 两边依据服务端和客户端支撑的算法,洽谈出最终运用的算法

  • 服务端和客户端分别发送算法洽谈报文给对方,报文中包括自己支撑的公钥算法列表、加密算法列表、MAC(Message Authentication Code,音讯验证码)算法列表、紧缩算法列表等洽谈信息。

  • 服务端和客户端依据对方和自己支撑的算法列表确定最终运用的算法。

  • 服务端和客户端运用 DH交流(Diffie-Hellman Exchange)算法、主机密钥对等参数,生成会话密钥和会话 ID,然后两边都拿到了相同的会话ID和会话密钥。

  • 后续数据通信,两头都会运用会话密钥进行加密和解密,从而确保了数据传送的安全

  • 认证阶段,两头会运用会话 ID用于认证进程。

留意:在洽谈阶段之前,服务器端现已生成 RSA或 DSA密钥对,主要用于参加会话密钥的生成。

4.3 认证阶段

SSH客户端向服务端建议认证恳求, 服务端会对客户端进行认证

  • 客户端向服务端发送认证恳求,认证恳求信息中包括用户名、认证办法、与该认证办法相关的内容(比如:password认证时,内容为暗码)。

  • 服务端对客户端进行认证,假如认证失利,会向客户端发送认证失利音讯,其中也包括能够再次建议认证的办法列表。

  • 客户端从服务端返回的认证办法列表中选取一种认证办法再次进行认证。

  • 该进程重复进行, 直到认证成功或许认证次数达到上限, 服务端关闭衔接为止。

4.5 会话恳求阶段:

认证经往后,客户端向服务端发送会话恳求

  • 服务器等候客户端的恳求;

  • 认证经往后,客户端向服务器发送会话恳求;

  • 服务器处理客户端的恳求。恳求被成功处理后, 服务端会向客户端回应 SSH_SMSG_SUCCESS包,SSH进入交互会话阶段;否则回应 SSH_SMSG_FAILURE包,表明服务器处理恳求失利或许不能辨认恳求。

4.6 交互会话阶段

会话恳求经往后,服务端和客户端能够进行信息的交互

  • 客户端将要履行的指令加密后传给服务器;

  • 服务器接收到报文,解密后履行该指令,将履行的成果加密发还给客户端;

  • 客户端将接收到的成果解密后显示到终端上.

阐明:在当前阶段下,数据能够被双向传送

5、SSH的认证方法

5.1 password认证:

客户端向服务端宣布 password认证恳求,然后将用户名和暗码加密后发送给服务器;服务器将该信息解密后得到用户名和暗码的明文,与自己设备上保存的用户名和暗码进行比较,并返回认证成功或失利的音讯。

5.2publickey 认证:

选用数字签名的办法来认证客户端。目前,设备上能够运用RSA和 DSA两种公共密钥算法实现数字签名。

客户端发送包括用户名、公共密钥和公共密钥算法的 publickey 认证恳求给服务端。服务器、端对公钥进行合法性查看,假如不合法,则直接发送失利音讯;否则,服务器运用数字签名对客户端进行认证,并返回认证成功或失利的音讯。

5.3. password-publickey 认证(SSH2.0)

指定该用户的认证方法为 password 和 publickey认证有必要一起满足。

阐明:客户端版别为 SSH1的用户只要经过其中一种认证即可登录;客户端版别为 SSH2的用户有必要两种认证都经过才干登录。

5.4 any认证(SSH2.0)

指定该用户的认证方法能够是 password、 publickey中恣意一种。

6、SSH常用指令

6.1 长途登录

ssh 用户名@长途主机ip:初次登陆需求下载对方公钥。

示例:ssh 192.168.1.100

6.2 长途上传

scp [需求上传文件的本地方位] root@长途主机ip:[需求保存在长途主机的路径]:从本地上传文件到长途主机

示例:scp /root/test.sh root@192.168.1.100

6.3 长途复制

scp root@长途主机ip:[长途主机文件绝对路径] [需求保存的本地方位]:从长途主机下载文件到本机

示例:scp root@192.168.1.100:/root/test.sh /root