Secure Shell(SSH,安全外殼)是由IETF(The Internet Engineering Task Force)制定的建立在應用層基礎上的安全網路協定
SSH是專為遠端登入對談和其他網路服務提供安全性的協定,可有效彌補網路中的漏洞(傳統的網路服務應用程式如ftp、pop和telnet等在本質上都是不安全的,因為它們在網路上用明文傳送口令和資料,別有用心的人非常容易就可以截獲這些口令和資料。而且,這些服務程式的安全驗證方式也是有其弱點的,就是很容易受到"中間人"(man-in-the-middle)攻擊[1]),SSH有很多功能,它既可以代替Telnet,又可以為FTP、POP、甚至為PPP提供一個安全的"通道
通過SSH,可以把所有傳輸的資料進行加密,"中間人"這種攻擊方式就不可能實現了,也能夠防止DNS欺騙[2]和IP欺騙[3]。還有一個額外的好處就是傳輸的資料是經過壓縮的,所以可以加快傳輸的速度。目前已經成為Linux系統的標準設定
使用者ssh遠端登入過程:
1)遠端主機收到使用者的登入請求,把自己的公鑰發給使用者。
2)使用者使用這個公鑰,將登入密碼加密後,傳送回來。
3)遠端主機用自己的私鑰,解密登入密碼,如果密碼正確,就同意使用者登入。
(1)傳輸層協定[SSH-TRANS]
提供了伺服器認證,保密性及完整性
此外它有時還提供壓縮功能。
SSH-TRANS 通常執行在TCP/IP連線上,也可能用於其它可靠資料流上
SSH-TRANS提供了強力的加密技術、密碼主機認證及完整性保護
該協定(Secure Shell)中的認證基於主機,並且該協定不執行使用者認證
(2)使用者認證協定[SSH-USERAUTH]
用於向伺服器提供使用者端使用者鑑別功能,它執行在傳輸層協定SSH-TRANS上面
當SSH-USERAUTH開始後,它從低層協定那裡接收對談識別符號(從第一次金鑰交換中的交換雜湊Hash)
對談識別符號唯一標識此對談並且適用於標記以證明私鑰的所有權
SSH-USERAUTH 也需要知道低層協定是否提供保密性保護
(3)連線協定 [SSH-CONNECT]
將多個加密隧道分成邏輯通道
它執行在使用者認證協定上
它提供了互動式登入話路、遠端命令執行、轉發TCP/IP連線和轉發X11連線
從使用者端來看,SSH提供兩種級別的安全驗證:
第一種級別(基於口令的安全驗證):
只要你知道自己帳號和口令,就可以登入到遠端主機
所有傳輸的資料都會被加密,但是不能保證你正在連線的伺服器就是你想連線的伺服器
可能會有別的伺服器在冒充真正的伺服器,也就是受到「中間人」這種方式的攻擊
注意事項(口令登入):
如果你是第一次登入對方主機,系統會出現下面的提示:
$ ssh user@host
The authenticity of host ‘host (12.18.429.21)’ can’t be established.
RSA key fingerprint is 98:2e:d7:e0🇩🇪9f:ac:67:28:c2:42:2d:37:16:58:4d.
Are you sure you want to continue connecting (yes/no)?
這段話的意思是,無法確認host主機的真實性,只知道它的公鑰指紋,問你還想繼續連線嗎?
所謂"公鑰指紋",是指公鑰長度較長(這裡採用RSA演演算法,長達1024位元)
很難比對,所以對其進行MD5計算,將它變成一個128位元的指紋,再進行比較,就容易多了
第二種級別(基於密匙的安全驗證):
需要依靠密匙,也就是你必須為自己建立一對密匙,並把公用密匙放在需要存取的伺服器上
如果你要連線到SSH伺服器上,使用者端軟體就會向伺服器發出請求,請求用你的密匙進行安全驗證
伺服器收到請求之後,先在該伺服器上你的主目錄下尋找你的公用密匙,然後把它和你傳送過來的公用密匙進行比較。如果兩個密匙一致,伺服器就用公用密匙加密「質詢」(challenge)並把它傳送給使用者端軟體。使用者端軟體收到「質詢」之後就可以用你的私人密匙解密再把它傳送給伺服器
用這種方式,你必須知道自己密匙的口令(id_rsa,金鑰,「id_rsa.pub(公鑰)」,「id_rsa(金鑰)」,金鑰和公鑰都通過RSA演演算法獲得)
ssh 預設埠是22
安全協定版本sshv2和sshv1(有漏洞)
ssh伺服器端主要包括兩個服務功能:ssh遠端連結和sftp服務
| 引數 | 說明 |
|---|---|
| Port | 指定sshd程序監聽的埠號,預設為22.可以使用多條指令監聽多個埠.預設將在本機的所有網路接□上監聽,但是可以通過ListenAddress指走只在某個特定的介面上監聽. |
| PermitEmptyPasswords | 是否允許密碼為空的使用者遠端登入.預設為"no" |
| PermitRootLogin | 是否允許root登入.可用值如下:「yes」(預設)表示允許."no"表示禁止. |
| 「without-password」 | 表示禁止使用密碼認證登入."forced-commands-only"表示只有在指走了command選項的情況下才允許使用公鑰認證登入.同時其它認證方法全部被禁止.這個值常用於做遠端備份之類的事情.1.多開一個視窗2.臨時多部署一條連線方式3.給普通使用者sudo許可權 |
| UseDNS | 指定定sshd是否應該對遠端主機名進行反向解折,以檢查此主機名是否與其IP地址真實對應.預設值為"yes」. |
| ListenAddress | 指定監聽並提供服務相應的網路卡地址資訊 |
登入 ssh -i root@ip
scp -i (需要傳輸的檔案路徑) root@ip(傳送目標路徑地址)
批註:
[1]所謂"中間人"攻擊的方式就是"中間人"冒充真正的伺服器接收你傳給伺服器的資料,然後再冒充你把資料傳給真正的伺服器(類似於ASP攻擊等)伺服器和你之間的資料傳送被"中間人"一轉手做了手腳之後,就會出現很嚴重的問題
攻擊描述:
如果有人截獲了登入請求,然後冒充遠端主機,將偽造的公鑰發給使用者,那麼使用者很難辨別真偽。因為不像https協定,SSH協定的公鑰是沒有證書中心(CA)公證的,也就是說,都是自己簽發的。可以設想,如果攻擊者插在使用者與遠端主機之間(比如在公共的wifi區域),用偽造的公鑰,獲取使用者的登入密碼。再用這個密碼登入遠端主機,那麼SSH的安全機制就蕩然無存了
[2]DNS欺騙就是攻擊者冒充域名伺服器的一種欺騙行為
原理:如果可以冒充域名伺服器,然後把查詢的IP地址設為攻擊者的IP地址,這樣的話,使用者上網就只能看到攻擊者的主頁,而不是使用者想要取得的網站的主頁了,這就是DNS欺騙的基本原理.注:DNS欺騙其實並不是真的"黑掉"了對方的網站,而是冒名頂替、招搖撞騙罷了
[3]IP地址欺騙是指行動產生的IP封包為偽造的源IP地址(類似於SYN攻擊,但SYN攻擊偽造的IP是不存在的),以便冒充其他系統或發件人的身份
這是一種駭客的攻擊形式,駭客使用一臺計算機上網,而借用另外一臺機器的IP地址,從而冒充另外一臺機器與伺服器打交道