###前言
SSH (Secure Shell),一种程序,用于从网络登录到其他计算机、执行远程机器上的命令、以及将文件从一台计算机移到另一台计算机上。它提供了对于不安全频道的强身份验证和安全通信。它监听端口22 的连接。 Ssh可以完全替代rlogin、rsh、rcp 和rdist。 在很多情况下,该程序可以替换telnet。开启22端口后,远程命令控制和文件传入传出使用如下终端命令:
sudo /etc/init.d/ssh start
###一、SSH 是什么
SSH(the Secure Shell), 是一个很流行的、强大的、基于软件的网络安全工具。任何时候,只要电脑向网络上发送数据,SSH都会自动加密。当接受到数据时,SSH会自动解密。这就是所谓的透明加密:用户象往常一样工作,并不会意识到他们的网络通讯受到了安全加密的保护。另外,SSH使用了现代的安全加密算法,可以用于大公司的关键应用。
SSH采用了client/server体系结构。管理员在服务器上运行SSH server, 用户使用SSH client向服务器发出请求,比如“让我登录吧”,“传送个文件给我”,“请执行这个命令”。client与server之间的所有通讯都进行了安全加密,以防被人修改。
基于SSH的产品可以是client或server, 也可以两者都包括。Uinx上的产品通常包含client和server两者;其它平台通常只有client,现在也出现了基于Windows的服务器。
如果你是unix用户,你可以把SSH想象成unix r-commands(rsh, rlogin, rcp)的安全版本。
###二、SSH 不是什么
虽然SSH代表Secure Shell, 但是它并不是真正意义上的shell,他不是命令解释器,也不提供通配符扩展,命令历史等等。SSH的作用是创建一个“通道”,以便在远程计算机上运行 shell,类似于unix的rsh命令,但是在本地与远程计算机之间增加了端对端的加密。
SSH也不是一个完整的安全解决方案,不过所谓“完整的安全解决方案”是不存在的。它也不能防止“尝试闯入攻击”或“拒绝服务攻击”。它也无法消除病毒、木马、把咖啡洒到键盘上等其它危害。但是,它的确提供了稳固的、用户友好的加密与认证。
###三、SSH 协议
SSH是一个协议,不是一个产品。它说明了在网络上如何进行安全通讯。SSH协议覆盖了认证、加密、网络数据传送的完整性等方面。简而言之,SSH在计算机之间构建网络连接,确保连接双方身份的真实性,同时,它还保证在此连接上传送的数据到达时不会被人更改,不会被他人窃听。
###四、SSH 特点概述
那么,SSH能干什么呢?我们用几个例子来演示SSH的主要特点,例如,安全的远程登录,安全的文件拷贝,安全的远程命令调用等。
####1. 安全远程登录
假设你在好几台机器上有帐号。典型的情况是这样的,你用家中的PC连接到你的ISP,然后使用telnet程序登录到其它机器上的帐号。糟糕的是, telnet程序在internet上用明文传送你的用户名和密码,怀有恶意的第三方可以截获它们。另外,你的整个telnet会话都可以被网络嗅听器监听。
SSH完全可以避免这些问题。你可以运行SSH客户程序ssh, 来代替不安全的telnet程序。例如,为了登录远程主机host.example.com,帐号的用户名为smith, 可以使用如下命令:
$ ssh -l simth host.example.com
客户端采用加密连接,为你在远程主机的SSH服务器上进行认证,就是说,你的用户名和密码离开本地机器之前进行了加密。随后,SSH服务器允许你登录,你的整个登录会话在client和server之间传送的时候都是被加密了的。因为加密是透明的,你感觉不到这与telnet登录之间有什么不同。
####2. 安全的文件传送
假定你在两台Internet机器上有帐号,me@fisrtaccount.com 和metoo@secoundaccount.com, 现在你想把一个文件从第一个帐号传送给第二个帐号。文件中含有商业机密,必须防止被人窥视。传统的文件传输程序(ftp, rcp,email等)并不具有安全性。当数据包在网络上传送的时候,第三方可以截获并读取。为了解决这个问题,你可以用类似PGP这样的程序对 firstaccout.com上的那个文件进行加密,然后用传统方式进行传送,最后在secondaccout.com上解密。但是这个过程很枯燥,而且对用户来说是不透明的。
采用SSH,一个简单的安全拷贝命令就可以在机器之间安全地传送文件。假定文件名为 myfile, 在firstaccount.com上执行的命令为:
$ scp myfile metoo@secondaccount.com:
当scp传送文件时,文件离开firstaccount.com时被自动加密,到达 secondaccount.com时自动解密。
####3. 安全的远程命令执行
假如你是个系统管理员,需要在很多机器上运行同样的命令。你想观察局域网上4台不同机器(grape, lemon, kiwi, 和melon)上的用户活动情况,你可以用unix命令 /usr/ucb/w,干这个事儿。传统上,人们使用rsh, 假定rsh daemon(rshd)在远程计算机上的配置没问题的话,那么管理员可以用下面这个简单的脚本完成任务:
1
2
3
4
5
#! /bin/sh
for machine in grape lemon kiwi melon
do
rsh $machine /usr/ucb/w
done
虽然这个方法可以完成任务,但它是不安全的。/usr/ucb/w的执行结果在网络上是用明文传送的;如果你认为这个信息是机密的,那么所冒的风险是无法令人接受的。更糟的是,rsh的认证机制极其不安全,很容易被攻破。如果使用ssh命令,那么你只要:
1
2
3
4
5
#!/bin/sh
for machine in grape lemon kiwi melon
do
ssh $machine /usr/ucb/w
done
语法基本相同,输出也是相同的,但是在底层,命令本身及其执行结果都是加密传输的,与远程主机连接时可以采用更强壮的认证技术。
####4. 密钥与认证代理
假设你在网络上的很多台机器上拥有帐号。出于安全考虑,你为不同的帐号选择了不同的密码;但是记住这么多密码是很困难的。而且,这本身就是一个安全问题。你键入密码的次数越多,输错密码的可能性就越大。(你是不是有时候本该输入用户名的时候输入了密码?糟糕,大家全看见了!在很多系统上,这种输入错误都会被记录在日志文件当中,这样你的密码就会以明文的形式泄露出去。)能不能只进行一次认证,然后就能安全地访问所有的帐号,不再重复地输入密码呢?
SSH具备各种认证机制,最安全的方式是基于密钥的,而不是基于密码的。所谓密钥就是一个可以唯一标识SSH用户身份的数字。处于安全考虑,密钥也是加密保存的;只有输入了秘密的passphrase才能把它解密。
使用密钥,以及一个叫做认证代理的程序,SSH可以替你在所有机器帐号上进行安全认证,而不用你记住许多密码再不厌其烦地输入这些密码。
工作过程是这样的:
- 事先把一个叫做公钥的特殊文件放在你的远程机器帐号下(这个过程做一次就行了)。这样你就可以使用SSH客户程序访问远程帐号了。
- 在你的本地机器上运行ssh-agent程序,这个程序在后台运行。
- 选择登录会话需要的密钥(一个或多个)
- 用ssh-add程序装入密钥。这个过程需要知道每个密钥的passphrase。
- 这时,ssh-agent程序已经在你的本地机器上运行了,你的密钥被保存在内存中。现在好了,你访问远程帐号时,根本就不用输入任何密码了!除非你从本地机器上退出登录或者终止ssh-gent程序,这个设置一直都不会变。
####5. 访问控制
假如你想让别人使用你的计算机帐号,但只是用于特定目的。例如,当你出门的时候,想让秘书阅读你的邮件,但不想让秘书用你的帐号干别的事儿。有了SSH,你不用泄露或更改密码,就可以让秘书使用你的帐号,而且可以只允许她运行email程序。设置这种受限访问,不需要系统管理员权限。
####6. 端口转发
SSH可以增强其它基于TCP/IP的应用程序(比如telnet, ftp, X Window)的安全性。有种叫做端口转发(port forwarding)或者安全隧道(tunneling)的技术,可以改变TCP/IP连接的递送路线,让它通过SSH连接,透明地进行端对端的加密。端口转发还可以让应用程序穿透防火墙,有时候防火墙禁止使用这些程序,利用端口转发可以绕开防火墙的阻拦。
假定你登录的机器离办公室很远,而你想访问办公室的内部新闻服务器,news.yoyodyne.com。yoyodyne网络是与Internet相连的,但是网络防火墙阻挡了大部分入境端口,特别是新闻端口:119。但是,防火墙允许入境的SSH连接,因为SSH的安全性很高,yoyodnye网络的那个近乎偏执的网管也对它深信不疑。SSH可以建立一个安全隧道,把任意的本地TCP端口(比如3002)与远程主机的新闻端口连接起来。用下面这条命令就行了:
$ ssh -L 3002:localhost:119 news.yoyodyne.com
这条命令的意思是:“ssh,请在本地机器的TCP端口3002与 news.yoyodyne.com的新闻端口(TCP端口22)之间建立一个安全连接。”现在,只要让你的新闻阅读程序连接到本地机器的3002端口,就可以安全地阅读新闻了。ssh创建的安全隧道,自动地与 news.yoyodyne.com 上的新闻服务器通讯,通过隧道的新闻数据受到了加密保护。