ssh編譯安裝的好處

1. 20210115-編譯安裝ssh的坑之PAM

      選擇RPM包的優點：穩定，可靠，規范，對應的解決方案也比較成熟，運維方便並便於自動化

      選擇RPM包的缺點：更新不夠及時，可能存在安全漏洞不及時解決

      選擇編譯包的優點：功能新，提供最快的安全漏洞解決支持，自主選擇模塊

      選擇編譯包的缺點：自主選擇性強，操作及管理難度較大，運維不方便且不利於自動化

      A：RPM包安裝自帶PAM模塊；如果是編譯安裝，必須--with-pam

      B：登錄時的PAM驗證機制流程：

      一般來說，telnet會引用login的PAM模塊，而login的驗證階段會有/etc/securetty的限制！由於遠程聯機屬於pts/n (n 為數字)的動態終端機介面裝置名稱，並沒有寫入到/etc/securetty ，因此root無法以telnet登陸遠程主機。至於ssh使用的是/etc/pam.d/sshd這個模塊，你可以查閱一下該模塊，由於該模塊的驗證階段並沒有加入pam_securetty，因此就沒有/etc/securetty的限制！故可以從遠程直接聯機到伺服器端。

      在配置ssh時，最好先臨時啟用Telnet(xinetd)，在Telnet環境下確認ssh配置完成，並確實ssh登錄正常後，再關閉Telnet(xinetd)。

      在SSH主配置文件/etc/ssh/sshd_config開啟PAN機能「UsePAM yes」查看log中沒有PAM的報錯，有報錯是這樣的「Starting sshd:/etc/ssh/sshd_config line 82: Unsupported option UsePAM」，說明沒有部署PAM模塊。

2. SSH是什麼意思

是一種加密的網路傳輸協議。

可在不安全的網路中為網路服務提供安全的傳輸環境。SSH通過在網路中創建安全隧道來實現SSH客戶端與伺服器之間的連接。SSH最常見的用途是遠程登錄系統，人們通常利用SSH來傳輸命令行界面和遠程執行命令。

使用頻率最高的場合類Unix系統，但是Windows操作系統也能有限度地使用SSH。2015年，微軟宣布將在未來的操作系統中提供原生SSH協議支持，Windows10 1809 版本已提供可手動安裝的OpenSSH工具。

(2)ssh編譯安裝的好處擴展閱讀

ssh結構

SSH是由客戶端和服務端的軟體組成的，有兩個不兼容的版本分別是：1.x和2.x。 用SSH 2.x的客戶程序是不能連接到SSH 1.x的服務程序上去的。OpenSSH 2.x同時支持SSH 1.x和2.x。

1、服務端是一個守護進程(daemon)，他在後台運行並響應來自客戶端的連接請求。服務端一般是sshd進程，提供了對遠程連接的處理，一般包括公共密鑰認證、密鑰交換、對稱密鑰加密和非安全連接。

2、客戶端包含ssh程序以及像scp（遠程拷貝）、slogin（遠程登陸）、sftp（安全文件傳輸）等其他的應用程序。

3、他們的工作機制大致是本地的客戶端發送一個連接請求到遠程的服務端，服務端檢查申請的包和IP地址再發送密鑰給SSH的客戶端，本地再將密鑰發回給服務端，自此連接建立。SSH 1.x和SSH 2.x在連接協議上有一些差異。

SSH被設計成為工作於自己的基礎之上而不利用超級伺服器(inetd)，雖然可以通過inetd上的tcpd來運行SSH進程，但是這完全沒有必要。

啟動SSH伺服器後，sshd運行起來並在默認的22埠進行監聽（你可以用 # ps -waux | grep sshd 來查看sshd是否已經被正確的運行了）如果不是通過inetd啟動的SSH，那麼SSH就將一直等待連接請求。當請求到來的時候SSH守護進程會產生一個子進程，該子進程進行這次的連接處理 。

3. SSL和SSH和OpenSSH，OpenSSL有什麼區別

1、SSL(Secure Sockets Layer 安全套接層),它提供使用 TCP/IP 的通信應用程序間的隱私與完整性。比如你訪問https://servername 就是用了ssl協議，地址欄會出現小鎖，雙擊就能查看ssl伺服器證書的詳細信息。TCP埠：443
2、SSH(Secure Shell 遠程登陸用)，安全可以和telnet比較一下，比如telnet傳輸用戶密碼是明文的，而SSH是加密的。明文的可以監聽到。TCP埠22
3、OpenSSH是個SSH的軟體，OpenSSH is the premier connectivity tool for remote login with the SSH protocol. linux/unix都用openssh軟體提供SSH服務。簡單來說，比如以前的Solaris系統默認不提供ssh服務，需要安裝OpenSSH才行。

4. ssh是什麼

SSH：安全外殼協議
一、SSH介紹
什麼是SSH？
傳統的網路服務程序，如：ftp、pop和telnet在本質上都是不安全的，因為它們在網路上用明文傳送口令和數據， 別有用心的人非常容易就可以截 獲這些口令和數據。而且，這些服務程序的安全驗證方式也是有其弱點的， 就是很容易受到「中間人」（man-in-the-middle）這種方式的攻 擊。所謂「中間人」的攻擊方式， 就是「中間人」冒充真正的伺服器接收你的傳給伺服器的數據，然後再冒充你把數據傳給真正的伺服器。 伺服器和你之間的數 據傳送被「中間人」一轉手做了手腳之後，就會出現很嚴重的問題。
SSH的英文全稱是Secure Shell。通過使用SSH，你可以把所有傳輸的數據進行加密，這樣「中間人」這種攻擊方式就不可能實現了， 而且也能夠防止DNS和IP欺騙。還有一個 額外的好處就是傳輸的數據是經過壓縮的，所以可以加快傳輸的速度。 SSH有很多功能，它既可以代替telnet，又可以為ftp、pop、甚至ppp提 供一個安全的「通道」。
最初SSH是由芬蘭的一家公司開發的。但是因為受版權和加密演算法的限制，現在很多人都轉而使用OpenSSH。 OpenSSH是SSH的替代軟體，而且是免費的，可以預計將來會有越 來越多的人使用它而不是SSH。
SSH是由客戶端和服務端的軟體組成的，有兩個不兼容的版本分別是：1.x和2.x。 用SSH 2.x的客戶程序是不能連接到SSH 1.x的服務程序上去的。OpenSSH 2.x同時支持SSH 1.x和2.x。
SSH的安全驗證是如何工作的
從客戶端來看，SSH提供兩種級別的安全驗證。
第一種級別（基於口令的安全驗證）只要你知道自己帳號和口令，就可以登錄到遠程主機。所有傳輸的數據都會被加密， 但是不能保證你正在連接的伺服器就是你想連接的伺服器。可能會有別的伺服器在冒充真正的伺服器， 也就是受到「中間人」這種方式的攻擊。
第二種級別（基於密匙的安全驗證）需要依靠密匙，也就是你必須為自己創建一對密匙，並把公用密匙放在需要訪問的伺服器上。 如果你要連接到SSH伺服器 上，客戶端軟體就會向伺服器發出請求，請求用你的密匙進行安全驗證。伺服器收到請求之後， 先在你在該伺服器的家目錄下尋找你的公用密匙，然後把它和你發 送過來的公用密匙進行比較。如果兩個密匙一致， 伺服器就用公用密匙加密「質詢」（challenge）並把它發送給客戶端軟體。 客戶端軟體收到「質 詢」之後就可以用你的私人密匙解密再把它發送給伺服器。
用這種方式，你必須知道自己密匙的口令。但是，與第一種級別相比，第二種級別不需要在網路上傳送口令。
第二種級別不僅加密所有傳送的數據，而且「中間人」這種攻擊方式也是不可能的（因為他沒有你的私人密匙）。 但是整個登錄的過程可能需要10秒。
二、SSL介紹（Secure socket Layer & Security Socket Layer）
一個應用程序的安全需求在很大程度上依賴於將如何使用該應用程序和該應用程序將要保護什麼。不過，用現有技術實現強大的、 一般用途的安全通常是可能的。認證就是一個很好的示例。
當顧客想從 Web 站點購買某個產品時，顧客和 Web 站點都要進行認證。顧客通常是以提供名字和密碼的方式來認證他自己。 另一方面，Web 站 點通過交換一塊簽名數據和一個有效的 X.509 證書（作為 SSL 握手的一部分）來認證它自己。 顧客的瀏覽器驗證該證書並用所附的公用密鑰驗證簽 名數據。一旦雙方都認證了，則交易就可以開始了。
SSL 能用相同的機制處理伺服器認證（就如在上面的示例中）和客戶機認證。 Web 站點典型地對客戶機認證不依賴 SSL — 要求用戶提供密碼是較容易的。而 SSL 客戶機和伺服器認證對於透明認證是完美的， 對等機 — 如 p2p 應用程序中的對等機之間一定會發生透明認證。
安全套接字層（Secure Sockets Layer （SSL）） ，SSL 是一種安全協議，它為網路（例如網際網路）的通信提供私密性。SSL 使應用程序在通信時不用擔心被竊聽和篡改。 SSL 實際上 是共同工作的兩個協議：「SSL 記錄協議」（SSL Record Protocol）和「SSL 握手協議」 （SSL Handshake Protocol）。「SSL 記錄協議」是兩個協議中較低級別的協議，它為較高級別的協議， 例如 SSL 握手協議對 數據的變長的記錄進行加密和解密。SSL 握手協議處理應用程序憑證的交換和驗證。
當一個應用程序（客戶機）想和另一個應用程 序（伺服器）通信時，客戶機打開一個與伺服器相連接的套接字連接。然後， 客戶機和伺服器對安全連接進行協商。作為協商的一部分，伺服器向客戶機作自我認 證。客戶機可以選擇向伺服器作或不作自我認證。 一旦完成了認證並且建立了安全連接，則兩個應用程序就可以安全地進行通信。按照慣例，我將把發起該通信的 對等機看作客戶機， 另一個對等機則看作伺服器，不管連接之後它們充當什麼角色。
名為 A 和 B 的兩台對等機想安全地進行通 信。在我們簡單的 p2p 應用程序的環境中，對等機 A 想查詢對等機 B 上的一個資源。 每個對等機都有包含其專用密鑰的一個資料庫（名為 keystore）和包含其公用密鑰的證書。密碼保護資料庫的內容。 該資料庫還包含一個或多個來自被信任的對等機的自簽名證書。 對等機 A 發起這 項事務，每台對等機相互認證，兩台對等機協商採用的密碼及其長度並建立一個安全通道。完成這些操作之後， 每個對等機都知道它正在跟誰交談並且知道通道是 安全的。 SSL (Secure socket Layer)安全套接層協議主要是使用公開密鑰體制和X.509數字證書技術保護信息傳輸的機密性和完 整性， 它不能保證信息的不可抵賴性，主要適用於點對點之間的信息傳輸，常用Web Server方式。
安全套接層協議（SSL，Security Socket Layer）是網景（Netscape）公司提出的基於WEB應用的安全協議，它包括：伺服器認證、 客戶認證（可選）、SSL鏈路上的數據
完整性和SSL鏈路上的數據保密性。對於電子商務應用來說，使用SSL可保證信息的真實性、 完整性和保密性。但由於SSL不對應用層的消息進行數字簽 名，因此不能提供交易的不可否認性，這是SSL在電子商務中使用的最大不足。 有鑒於此，網景公司在從Communicator 4.04版開始的所有瀏 覽器中引入了一種被稱作「表單簽名（Form Signing）」的功能， 在電子商務中，可利用這一功能來對包含購買者的訂購信息和付款指令的表單進行 數字簽名，從而保證交易信息的不可否認性。綜上所述， 在電子商務中採用單一的SSL協議來保證交易的安全是不夠的，但採用"SSL+表單簽名"模式能夠 為電子商務提供較好的安全性保證。
------------------------------------------------------------------------------------------------

（SSH: Secure Shell Protocol）

安全外殼協議（SSH）是一種在不安全網路上提供安全遠程登錄及其它安全網路服務的協議。Secure Shell，又可記為S S H，最初是U N I X系統上的一個程序，後來又迅速擴展到其他操作平台。S S H是一個好的應用程序，在正確使用時，它可以彌補網路中的漏洞。除此以外， S S H之所以酷，還有以下原因：S S H客戶端適用於多種平台。幾乎所有的U N I X平台—包括H P - U X、L i n u x、A I X、S o l a r i s、Digital UNIX、I r i x、S C O，以及其他平台—都可以運行S S H。而且，已經有一些客戶端(其中有些為測試版)可以運行於U N I X操作平台以外，包括O S / 2、V M S、B e O S、J a v a、Wi n d o w s 9 5 / 9 8和Windows NT。這樣，你就可以在幾乎所有的平台上運行S S H客戶端程序了。對非商業用途它是免費的。許多S S H版本可以獲得源代碼，並且只要不用於商業目的，都可以免費得到。而且，U N I X版本也提供了源代碼，這就意味著任何人都可以對它進行修改。但是，如果你選擇它用於商業目的，那麼無論使用何種版本的S S H，你都得確認已經注冊並獲得了相應許可權。絕大多數S S H的客戶端和守護進程都有一些注冊限制。惟一的S S H通用公共注冊(General Public License，G P L )版本是l s h，它目前還是測試版。通過I n t e r n e t傳送密碼安全可靠。這是S S H被認可的優點之一。如果你考察一下接入ISP(Internet Service Provider，I n t e r n e t服務供應商)或大學的方法，一般都是採用Te l n e t或P O P郵件客戶進程。因此，每當要進入自己的賬號時，你輸入的密碼將會以明碼方式發送(即沒有保護，直接可讀)，這就給攻擊者一個盜用你賬號的機會—最終你將為他的行為負責。對應用的支持。由於S S H的源代碼是公開的，所以在U N I X世界裡它獲得了廣泛的認可。L i n u x，其源代碼也是公開的，大眾可以免費獲得，並同時獲得了類似的認可。這就使得所有開發者(或任何人)都可以通過補丁程序或b u g修補來提高其性能，甚至還可以增加功能。這也第一部分獲得並安裝S S H意味著其性能可以不斷得到提高而無須得到來自原始創作者的直接技術支持。S S H替代了不安全的遠程應用程序。S S H是設計用來替代伯克利版本的r命令集的；它同時繼承了類似的語法。其結果是，使用者注意不到使用S S H和r命令集的區別。利用它，你還可以干一些很酷的事。通過使用S S H，你在不安全的網路中發送信息時不必擔心會被監聽。你也可以使用P O P通道和Te l n e t方式，通過S S H可以利用P P P通道創建一個虛擬個人網路( Virtual Private Network, V P N )。S S H也支持一些其他的身份認證方法，如K e r b e r o s和安全I D卡等。

但是因為受版權和加密演算法的限制，現在很多人都轉而使用OpenSSH。 OpenSSH是SSH的替代軟體，而且是免費的，可以預計將來會有越 來越多的人使用它而不是SSH。

SSH是由客戶端和服務端的軟體組成的，有兩個不兼容的版本分別是：1.x和2.x。 用SSH 2.x的客戶程序是不能連接到SSH 1.x的服務程序上去的。OpenSSH 2.x同時支持SSH 1.x和2.x。

SSH 主要有三部分組成：

傳輸層協議 [SSH-TRANS] 提供了伺服器認證，保密性及完整性。此外它有時還提供壓縮功能。 SSH-TRANS 通常運行在 TCP/IP連接上，也可能用於其它可靠數據流上。 SSH-TRANS 提供了強力的加密技術、密碼主機認證及完整性保護。該協議中的認證基於主機，並且該協議不執行用戶認證。更高層的用戶認證協議可以設計為在此協議之上。

用戶認證協議 [SSH-USERAUTH] 用於向伺服器提供客戶端用戶鑒別功能。它運行在傳輸層協議 SSH-TRANS 上面。當 SSH-USERAUTH 開始後，它從低層協議那裡接收會話標識符（從第一次密鑰交換中的交換哈希 H ）。會話標識符唯一標識此會話並且適用於標記以證明私鑰的所有權。 SSH-USERAUTH 也需要知道低層協議是否提供保密性保護。

連接協議 [SSH-CONNECT] 將多個加密隧道分成邏輯通道。它運行在用戶認證協議上。它提供了互動式登錄話路、遠程命令執行、轉發 TCP/IP 連接和轉發 X11 連接。

一旦建立一個安全傳輸層連接，客戶機就發送一個服務請求。當用戶認證完成之後，會發送第二個服務請求。這樣就允許新定義的協議可以與上述協議共存。連接協議提供了用途廣泛的各種通道，有標準的方法用於建立安全互動式會話外殼和轉發（「隧道技術」）專有 TCP/IP 埠和 X11 連接。

通過使用SSH，你可以把所有傳輸的數據進行加密，這樣"中間人"這種攻擊方式就不可能實現了，而且也能夠防止DNS欺騙和IP欺騙。使用SSH，還有一個額外的好處就是傳輸的數據是經過壓縮的，所以可以加快傳輸的速度。SSH有很多功能，它既可以代替Telnet，又可以為FTP、PoP、甚至為PPP提供一個安全的"通道"。

SSH分為兩部分：客戶端部分和服務端部分。

服務端是一個守護進程(demon)，他在後台運行並響應來自客戶端的連接請求。服務端一般是sshd進程，提供了對遠程連接的處理，一般包括公共密鑰認證、密鑰交換、對稱密鑰加密和非安全連接。

客戶端包含ssh程序以及像scp（遠程拷貝）、slogin（遠程登陸）、sftp（安全文件傳輸）等其他的應用程序。

他們的工作機制大致是本地的客戶端發送一個連接請求到遠程的服務端，服務端檢查申請的包和IP地址再發送密鑰給SSH的客戶端，本地再將密鑰發回給服務端，自此連接建立。剛才所講的只是SSH連接的大致過程，SSH 1.x和SSH 2.x在連接協議上還有著一些差異。

SSH被設計成為工作於自己的基礎之上而不利用超級伺服器(inetd)，雖然可以通過inetd上的tcpd來運行SSH進程，但是這完全沒有必要。啟動SSH伺服器後，sshd運行起來並在默認的22埠進行監聽（你可以用 # ps -waux | grep sshd 來查看sshd是否已經被正確的運行了）如果不是通過inetd啟動的SSH，那麼SSH就將一直等待連接請求。當請求到來的時候SSH守護進程會產生一個子進程，該子進程進行這次的連接處理。

SSH:新的MVC軟體開發模式， SSH（Struts，Spring，Hibernate） Struts進行流程式控制制，Spring進行業務流轉，Hibernate進行資料庫操作的封裝，這種新的開發模式讓我們的開發更加方便、快捷、思路清晰！

5. ssh原理及應用

簡單說，SSH是一種網路協議，用於計算機之間的遠程加密登錄。

SSH 為 Secure Shell的縮寫，由 IETF 的網路小組（Network Working Group）所制定，SSH 為建立在應用層基礎上的安全協議。SSH 是目前較可靠，專為遠程登錄會話和其他網路服務提供安全性的協議。利用 SSH 協議可以有效防止遠程管理過程中的信息泄露問題。SSH最初是UNIX系統上的一個程序，後來又迅速擴展到其他操作平台。SSH安裝容易、使用簡單，而且比較常見，一般的Unix系統、Linux系統、FreeBSD系統都附帶有支持SSH的應用程序包。Windows如果需要使用SSH，可以安裝PuTTY或者Cygwin。

SSH 服務基於非對稱加密（public-key cryptography，也稱公開密鑰加密）技術實現數據加密傳輸。該技術會生成一對數學相關的密鑰， 其中一個用於對數據進行加密，而且只能用於加密，而另一個只能用於解密 。使用加密密鑰加密後的數據，只能用對應的解密密鑰才能解密。而且，只知道其中一個密鑰，無法計算出另一個。因此，如果公開了一對密鑰中的一個，並不會危害到另一個的秘密性質。通常把公開的密鑰稱為公鑰（public key），而不公開的密鑰稱為私鑰（private key）。

一般來說，非對稱加密的應用場景有兩個：

與對稱密鑰加密相比，非對稱加密的優點在於不存在共享的通用密鑰。由於解密用的私鑰無需發送給任何用戶，所以可以避免密鑰被劫持或篡改。而加密用的公鑰即便被劫持或篡改，如果沒有與其匹配的私鑰，也無法解密數據。所以，截獲的公鑰是沒有任何用處的。

當前，SSH主要採用 RSA 演算法（協議 V2 默認演算法）和 DSA 演算法（協議 V1 僅支持該演算法）來實現非對稱加密技術。

SSH連接時，整個交互過程如上圖。，主要可以分為三個階段

服務端在每次啟動 SSH 服務時，都會自動檢查 /etc/ssh/ 目錄下相關密鑰文件的有效性。如果相關文件檢查發現異常，則會導致服務啟動失敗，並拋出相應錯誤信息。 如果文件相關不存在，則會自動重新創建。

默認創建的相關文件及用途說明如下：

當伺服器SSH服務啟動，客戶端也安裝了SSH後，就可以進行連接了。

後續登錄校驗及正常的數據傳輸，都會通過雙向加密方式進行。相關交互說明如下：

從這個連接過程中，可以看出，主要使用到兩個文件夾下的內容：

在連接中的兩個過程：

之所以有多組密鑰，是因為使用了不同的加密演算法。
客戶端接收到之後，會存儲在 ~/.ssh/known_hosts 文件里，查看這個文件，可以看到有一行與伺服器 ssh_host_ecdsa_key.pub 內容一致。

所以， ~/.ssh/authorized_keys 里表示本機可以被哪些機器訪問
~/.ssh/known_hosts 里表示本機訪問過哪些機器

SSH配置文件有兩個，一個是 ssh_config ,一個是 sshd_config 。前者是客戶端配置，後者是伺服器配置。也就是說，如果本機是作為客戶端，那麼就修改第一個配置，如果本機是作為伺服器，那麼就修改第二個配置，

一般來說，和密鑰登錄的配置有關的有以下幾個，如果密鑰配置好後無法登錄，嘗試配置以下三項。

其他

傳統的網路服務程序，如FTP、Pop和Telnet在傳輸機制和實現原理上是沒有考慮安全機制的，其本質上都是不安全的。因為它們在網路上用明文傳送數據、用戶帳號和用戶口令，別有用心的人通過竊聽等網路攻擊手段非常容易地就可以截獲這些數據、用戶帳號和用戶口令。而且，這些網路服務程序的簡單安全驗證方式也有其弱點，那就是很容易受到"中間人"（man-in-the-middle）這種攻擊方式的攻擊。

所謂"中間人"的攻擊方式，就是"中間人"冒充真正的伺服器接收你的傳給伺服器的數據，然後再冒充你把數據傳給真正的伺服器。伺服器和你之間的數據傳送被"中間人"一轉手做了手腳之後，就會出現很嚴重的問題。中間人能夠攻擊，主要原因在於他能認識截取的信息，也能發出讓接受者認識的信息。

使用SSH，你可以把所有傳輸的數據進行加密，這樣"中間人"這種攻擊方式就不可能實現了，而且也能夠防止DNS欺騙和IP欺騙。使用SSH，還有一個額外的好處就是傳輸的數據是經過壓縮的，所以可以加快傳輸的速度。SSH有很多功能，它既可以代替Telnet，又可以為FTP、Pop、甚至為PPP提供一個安全的"通道"。

最初的SSH是由芬蘭的一家公司開發的。但是因為受版權和加密演算法的限制，現在很多人都轉而使用OpenSSH。OpenSSH是SSH的替代軟體包，而且是免費的，可以預計將來會有越來越多的人使用它而不是SSH。

6. Linux-SSL和SSH和OpenSSH，OpenSSL有什麼區別

ssl是通訊鏈路的附加層。可以包含很多協議。https, ftps, .....
ssh只是加密的shell，最初是用來替代telnet的。通過port forward，也可以讓其他協議通過ssh的隧道而起到加密的效果。
SSL是一種國際標準的加密及身份認證通信協議，您用的瀏覽器就支持此協議。SSL（Secure Sockets Layer）最初是由美國Netscape公司研究出來的，後來成為了Internet網上安全通訊與交易的標准。SSL協議使用通訊雙方的客戶證書以及CA根證書，允許客戶/伺服器應用以一種不能被偷聽的方式通訊，在通訊雙方間建立起了一條安全的、可信任的通訊通道。它具備以下基本特徵：信息保密性、信息完整性、相互鑒定。 主要用於提高應用程序之間數據的安全系數。SSL協議的整個概念可以被總結為：一個保證任何安裝了安全套接字的客戶和伺服器間事務安全的協議，它涉及所有TC/IP應用程序。

SSH的英文全稱是Secure SHell。通過使用SSH，你可以把所有傳輸的數據進行加密，這樣「中間人」這種攻擊方式就不可能實現了，而且也能夠防止DNS和IP欺騙。還有一個額外的好處就是傳輸的數據是經過壓縮的，所以可以加快傳輸的速度。SSH有很多功能，它既可以代替telnet，又可以為ftp、pop、甚至ppp提供一個安全的「通道」。SSH是由客戶端和服務端的軟體組成的，有兩個不兼容的版本分別是：1.x和2.x。用SSH 2.x的客戶程序是不能連接到SSH 1.x的服務程序上去的。OpenSSH 2.x同時支持SSH 1.x和2.x。SSH的安全驗證是如何工作的從客戶端來看，SSH提供兩種級別的安全驗證。第一種級別（基於口令的安全驗證）只要你知道自己帳號和口令，就可以登錄到遠程主機。所有傳輸的數據都會被加密，但是不能保證你正在連接的伺服器就是你想連接的伺服器。可能會有別的伺服器在冒充真正的伺服器，也就是受到「中間人」這種方式的攻擊。第二種級別（基於密匙的安全驗證）需要依靠密匙，也就是你必須為自己創建一對密匙，並把公用密匙放在需要訪問的伺服器上。如果你要連接到SSH伺服器上，客戶端軟體就會向伺服器發出請求，請求用你的密匙進行安全驗證。伺服器收到請求之後，先在你在該伺服器的家目錄下尋找你的公用密匙，然後把它和你發送過來的公用密匙進行比較。如果兩個密匙一致，伺服器就用公用密匙加密「質詢」（challenge）並把它發送給客戶端軟體。客戶端軟體收到「質詢」之後就可以用你的私人密匙解密再把它發送給伺服器。用這種方式，你必須知道自己密匙的口令。但是，與第一種級別相比，第二種級別不需要在網路上傳送口令。第二種級別不僅加密所有傳送的數據，而且「中間人」這種攻擊方式也是不可能的（因為他沒有你的私人密匙）。但是整個登錄的過程可能需要10秒。
OpenSSL------一個C語言函數庫，是對SSL協議的實現。
OpenSSH-----是對SSH協議的實現。
ssh 利用 openssl 提供的庫。openssl 中也有個叫做 openssl 的工具，是 openssl 中的庫的命令行介面。
從編譯依賴上看：
openssh依賴於openssl，沒有openssl的話openssh就編譯不過去，也運行不了。
HTTPS可以使用TLS或者SSL協議，而openssl是TLS、SSL協議的開源實現，提供開發庫和命令行程序。openssl很優秀，所以很多涉及到數據加密、傳輸加密的地方都會使用openssl的庫來做。
可以理解成所有的HTTPS都使用了openssl。以root身份執行命令：grep -l 'libssl.*deleted' /proc/*/maps | tr -cd 0-9\\n | xargs -r ps u，可以看到哪些進程載入了老版本的openssl庫。

7. ssh有什麼好處

簡單的說，SSH是一種網路協議，主要用於客戶端與遠程主機的安全鏈接和交互。
安全鏈接的過程是：
1.遠程主機端收到客戶端的登陸請求時先發送自己的公鑰給客戶端
2.客戶端用拿到的公鑰加密用戶名和密碼，然後發送給遠程主機
3.遠程主機用自己的密鑰解密收到的用戶名和密碼，然後校驗用戶名和密碼是否正確，如果正確則登陸成功。
2.客戶端免密登陸遠程主機 《Linux就該這么學》
如果只是通過第一步，以後的每次登陸都需要輸入登陸密碼，非常麻煩。幸運的是SSH提供了公鑰登陸（免密登陸）
公鑰登錄的流程如下：
1.客戶端在自己本地生成一對公鑰密鑰文件，然後將公鑰存儲在遠程主機上
2.客戶端登陸時，遠程主機會隨機生成一串字元串發送給客戶端
3.客戶端用自己的密鑰將收到的字元串加密，並返回給遠程主機
4.遠程主機利用公鑰解密收到的加密字元串，如果解密成功並且與發送的一致則直接免密登陸。