ssh加密和连接

❶ ssh的简介与常用用法

ssh 为 secure shell 的英文缩写，是一种加密的网络传输协议。常用于登录远程服务器与在远程服务器上执行命令。

SSH 使用客户端-服务器模型，标准端口为 22。服务器端需要开启 SSH 守护进程接受远端的连接，而用户需要使用 SSH 客户端与服务端连接。

最常见的开源实现是 OpenSSH

登录：

在远程机器上执行 command，把 stdout，stderr 送回来然后断开连接：

常用参数：

scp 是一个命令行工具，是英文 secure 的缩写，用于在服务器和客户端之间传输文件，操作类似cp。

使用注意点：远程主机名后要加个冒号再跟路径。如：

SSH 以非对称加密实现身份验证。身份验证有多种途径，可以使用密码来认证，也可以通过实现配置好的密钥文件来认证。

通过密钥认证登录的条件：

我们通常使用 ssh-keygen 这个工具来生成公钥和私钥，如下：

这会生成两个文件 ~/.ssh/id_rsa 和 ~/.ssh/id_rsa.pub ，前者是私钥，我们应该小心保护，后者是公钥，应当将其放到服务端的 ~/.ssh/authorized_keys 中去，我们可以使用 ssh--id 这个工具来完成：

或者手动将其复制粘贴过去。

也可以使用如下命令：

跳板机，又常叫做“Bastion host”。

在企业中，业务服务器通常有 ip 限制，不允许直接从办公机登录，而是需要先登录一个跳板机，通过跳板机来登录业务服务器。

这样做的目的是：隔离内部网络，只允许从跳板机访问，那么我们只需要特别关注跳板机的安全配置就可以了，便于更好的进行安全控制。

我们可以配置 ssh 客户端，让 ssh 替我们处理跳板机的登录，避免多次输入命令的负担。

假设我们有跳板机 jumpserver 和 目标服务器 targetserver。

方法一、使用命令行的 -J 参数

方法二、配置文件： ~/.ssh/config

然后就可以直接：

sshd 的配置文件： /etc/ssh/sshd_config 。

我们可以修改 sshd 的默认配置来增强系统的安全性，以下是一些需要注意的配置项：

❷ SSH隧道协议（AES密钥对加密法则）

SSH是每一台linux电脑的标准配置

随着Linux设备从电脑逐渐扩展到手机、外设和家用电器，SSH的适用范围也越来越广。不仅程序员离不开它，很多普通用户也每天使用；SSH具备多种功能，可以用于很多场合。有些事情，没有它就是办不成

简单说，SSH是一种网络协议，用于计算机之间的加密登录。
如果一个用户从本地计算机，使用SSH协议登录另一台远程计算机，我们就可以认为，这种登录是安全的，即使被中途截获，密码也不会泄露。
最早的时候，互联网通信都是明文通信，一旦被截获，内容就暴露无疑。1995年，芬兰学者Tatu Ylonen设计了SSH协议，将登录信息全部加密，成为互联网安全的一个基本解决方案，迅速在全世界获得推广，目前已经成为Linux系统的标准配置。雹和陵
需要指出的是，SSH只是一种协议，存在多种实现，既有商业实现，也有开源实现。

SSH主要用于远程登录。假定你要以用户名user，登录远程主机host，只要一条简单命令就可以了。

如果本地用户名与远程用户名一致，登录时可以省略用户名。

SSH的默认端口是22，也就是说，你的登录请求会送进远程主机的22端口。使用p参数，可以修改这个端口。

上面这条命令表示，ssh直接连接远程主机的2222端口。

SSH之所以能够保证安全，原因在于它采用了公钥加密。
整个过程是这样的：（1）远程主机收到用户的登录请求，把自己的公钥发给用户。（2）用户使用这个公钥，将登录密码加密后，发送回来。（3）远程主机用自己的私钥，解密登录密码，如果密码正确，就同意用户登录。

这个过程本身是安全的，但是实施的时候存在一个风险：如果有人截获了登录请求，然后冒充远程主机，将伪造的公钥发给用户，那么用户很难辨别真伪。因为不像https协议，SSH协议的公钥是没有证书中心棚裤（CA）公证的，也就是说，都是自己签发的。

可以设想，如果攻击者插在用户与远程主机之间（比如在公共的wifi区域），用伪造的公钥，获取用户的登录密码。再用这个密码登录远程主机，那么SSH的安全机制就荡然无存了。这种风险就是着名的“中间人攻击”（Man-in-the-middle attack）。

SSH协议是如何应对的呢？

如果你是第一次登录对方主机，系统会出现下面的提示：

这段话的意思是，无法确认host主机的真实性，只知道它的公钥指纹，问你还想继续连接吗？

所谓”公钥指纹”，是指公钥长度较长（这里采用RSA算法，长达1024位），很难比对，所以对其进行MD5计算，将它变成一个128位的指纹。上例中是98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d，再进行比较，就容易多了。

很自然的一个问题就是，用户怎么知道远程主机的公钥指纹应该是多少？回答是没有好办法，远程主机必须在自己的网站上贴出公钥指纹，以便用户自行核对。

假定经过风险衡量以后，用户决定接受这个远程主机的公钥。

系统会出现一句提示，表示host主机已经得到认可。

然后，会要求输入密码。

如果密码正确，就可以登录了。

当远程主机的公钥被接受以后，它就会被保存在文件 $HOME/.ssh/known_hosts 之中。下次再连接这台主机，系统就会认出它的公钥已经保存在本地了，从而跳过警告部分，直接提示输入密码。

每个SSH用户都有自己的 known_hosts 文件，此外系统也有一个这样的文件，通常是 /etc/ssh/ssh_known_hosts ，保存一些对所有用户都可信赖的远程主机的公钥。

使用密码登录，每次都必须输入密码，非常麻烦。好在SSH还提供了公钥登录，可以省去输入密码的步骤。

所谓”公钥登录”，原理很简单，就是用户将自己的公钥储存在远程主机上。登录的时候，远程主机会向用户发送一段随机字符串，用户用自己的私钥加密后，再发回来。远程主机用事先储存的公钥进行解密，如果成功，就证明用户是可信的，直接允许登录shell，不再要求密码。

这种方法要求用户必须提供自己的公钥。如果没有现成的源戚，可以直接用 ssh-keygen 生成一个：

运行上面的命令以后，系统会出现一系列提示，可以一路回车。其中有一个问题是，要不要对私钥设置口令（passphrase），如果担心私钥的安全，这里可以设置一个。

运行结束以后，在$HOME/.ssh/目录下，会新生成两个文件： id_rsa.pub 和 id_rsa 。前者是你的公钥，后者是你的私钥。

这时再输入下面的命令，将公钥传送到远程主机host上面：

好了，从此你再登录，就不需要输入密码了。

如果还是不行，就打开远程主机的 /etc/ssh/sshd_config 这个文件，检查下面几行前面”#”注释是否取掉。

然后，重启远程主机的ssh服务。

远程主机将用户的公钥，保存在登录后的用户主目录的 $HOME/.ssh/authorized_keys 文件中。公钥就是一段字符串，只要把它追加在 authorized_keys 文件的末尾就行了。

这里不使用上面的ssh--id命令，改用下面的命令，解释公钥的保存过程：

这条命令由多个语句组成，依次分解开来看：

（1） ”$ ssh user@host” ，表示登录远程主机；

（2）单引号中的 mkdir .ssh && cat >> .ssh/authorized_keys ，表示登录后在远程shell上执行的命令：

（3） ”$ mkdir -p .ssh” 的作用是，如果用户主目录中的.ssh目录不存在，就创建一个；

（4） ’cat >> .ssh/authorized_keys’ < ~/.ssh/id_rsa.pub 的作用是，将本地的公钥文件 ~/.ssh/id_rsa.pub ，重定向追加到远程文件 authorized_keys 的末尾。

写入 authorized_keys 文件后，公钥登录的设置就完成了。

❸ ssh服务介绍

SSH是Secure Shell Protocol的简写。在进行数据传输之前，SSH先对联机数据包通过加密技术进行加密处理，加密后在进行数据传输。确保了传递的数据安全。
SSH是专为远程登陆会话和其他网络服务提供的安全性协议。利用SSH协议可以有效的防止远程管理过程中的信息泄漏问题。
在默认状态下，SSH服务主要提供两个服务功能；一个是提供类似telnet远程联机服务器的服务，即上面提到的SSH服务：另一个类似FTP服务的sftp-server，借助SSH协议来传输数据的，提供更安全的SFTP服务 提醒SSH客户端（ssh命令）还包含一个很有用的远程安全拷贝命令scp，也是通过ssh协议工作的
小结：
1）SSH是安全的加密协议，用于远程连接Linux服务器。
2）SSH默认的端口是22，安全协议版本是SSH2，除了2还有ssh1有漏洞
3）SSH服务器端主要包含两个服务器功能SSH远程连接，SFTP服务。
4）Linux SSH客户端包含ssh远程连接命令，以及远程拷贝scp命令等。

修改SSH服务的运行参数，是通过修改配置文件/etc /ssh/sshd_config实现的。
Port 52114 （ssh默认连接端口是22 修改他）
PermitRootLogin no（禁止远程root登陆）
PermitEmptyPasswords no（禁止空密码的登陆）
UseDNS no（不适用DNS）
ListenAddress 172.16.1.61：22 （只监听内网IP 可以加端口号）

在远程管理linux系统基本上都要使用到ssh，原因很简单：telnet、FTP等传输方式是‍以明文传送用户认证信息，本质上是不安全的，存在被网络窃听的危险。SSH（Secure Shell）目前较可靠，是专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题，透过SSH可以对所有传输的数据进行加密，也能够防止DNS欺骗和IP欺骗。

ssh_config和sshd_config都是ssh服务器的配置文件，二者区别在于，前者是针对客户端的配置文件，后者则是针对服务端的配置文件。两个配置文件都允许你通过设置不同的选项来改变客户端程序的运行方式。下面列出来的是两个配置文件中最重要的一些关键词，每一行为“关键词&值”的形式，其中“关键词”是忽略大小写的。
‍‍1、编辑 /etc/ssh/ssh_config 文件
Site-wide defaults for various options
Host *
ForwardAgent no
ForwardX11 no
RhostsAuthentication no
RhostsRSAAuthentication no
‍ RSAAuthentication yes
PasswordAuthentication yes
FallBackToRsh no
UseRsh no
BatchMode no
CheckHostIP yes
StrictHostKeyChecking no
IdentityFile ~/.ssh/identity
Port 22
Cipher blowfish
EscapeChar ~

下面对上述选项参数逐进行解释：
Site-wide defaults for various options
带“#”表示该句为注释不起作，该句不属于配置文件原文，意在说明下面选项均为系统初始默认的选项。说明一下，实际配置文件中也有很多选项前面加有“#”注释，虽然表示不起作用，其实是说明此为系统默认的初始化设置。
Host *
"Host"只对匹配后面字串的计算机有效，“ ”表示所有的计算机。从该项格式前置一些可以看出，这是一个类似于全局的选项，表示下面缩进的选项都适用于该设置，可以指定某计算机替换 号使下面选项只针对该算机器生效。
ForwardAgent no
"ForwardAgent"设置连接是否经过验证代理（如果存在）转发给远程计算机。
ForwardX11 no
"ForwardX11"设置X11连接是否被自动重定向到安全的通道和显示集（DISPLAY set）。
RhostsAuthentication no
"RhostsAuthentication"设置是否使用基于rhosts的安全验证。
RhostsRSAAuthentication no
"RhostsRSAAuthentication"设置是否使用用RSA算法的基于rhosts的安全验证。
RSAAuthentication yes
"RSAAuthentication"设置是否使用RSA算法进行安全验证。
PasswordAuthentication yes
"PasswordAuthentication"设置是否使用口令验证。
FallBackToRsh no
"FallBackToRsh"设置如果用ssh连接出现错误是否自动使用rsh，由于rsh并不安全，所以此选项应当设置为"no"。
UseRsh no
"UseRsh"设置是否在这台计算机上使用"rlogin/rsh"，原因同上，设为"no"。
BatchMode no
"BatchMode"：批处理模式，一般设为"no"；如果设为"yes"，交互式输入口令的提示将被禁止，这个选项对脚本文件和批处理任务十分有用。
CheckHostIP yes
"CheckHostIP"设置ssh是否查看连接到服务器的主机的IP地址以防止DNS欺骗。建议设置为"yes"。
StrictHostKeyChecking no
"StrictHostKeyChecking"如果设为"yes"，ssh将不会自动把计算机的密匙加入"$HOME/.ssh/known_hosts"文件，且一旦计算机的密匙发生了变化，就拒绝连接。
IdentityFile ~/.ssh/identity
"IdentityFile"设置读取用户的RSA安全验证标识。
Port 22
"Port"设置连接到远程主机的端口，ssh默认端口为22。
Cipher blowfish
“Cipher”设置加密用的密钥，blowfish可以自己随意设置。
EscapeChar ~
“EscapeChar”设置escape字符。
2、编辑 /etc/ssh/sshd_config 文件：‍
This is ssh server systemwide configuration file.
Port 22
ListenAddress 192.168.1.1
HostKey /etc/ssh/ssh_host_key
ServerKeyBits 1024
LoginGraceTime 600
KeyRegenerationInterval 3600
PermitRootLogin no
IgnoreRhosts yes
IgnoreUserKnownHosts yes
StrictModes yes
X11Forwarding no
PrintMotd yes
SyslogFacility AUTH
LogLevel INFO
RhostsAuthentication no
RhostsRSAAuthentication no
RSAAuthentication yes
PasswordAuthentication yes
PermitEmptyPasswords no
AllowUsers admin

‍下面逐行说明上面的选项设置：
Port 22
"Port"设置sshd监听的端口号。
ListenAddress 192.168.1.1
"ListenAddress”设置sshd服务器绑定的IP地址。
HostKey /etc/ssh/ssh_host_key
"HostKey”设置包含计算机私人密匙的文件。
ServerKeyBits 1024
"ServerKeyBits”定义服务器密匙的位数。
LoginGraceTime 600
"LoginGraceTime”设置如果用户不能成功登录，在切断连接之前服务器需要等待的时间（以秒为单位）。
KeyRegenerationInterval 3600
"KeyRegenerationInterval”设置在多少秒之后自动重新生成服务器的密匙（如果使用密匙）。重新生成密匙是为了防止用盗用的密匙解密被截获的信息。
PermitRootLogin no
"PermitRootLogin”设置是否允许root通过ssh登录。这个选项从安全角度来讲应设成"no"。
IgnoreRhosts yes
"IgnoreRhosts”设置验证的时候是否使用“rhosts”和“shosts”文件。
IgnoreUserKnownHosts yes
"IgnoreUserKnownHosts”设置ssh daemon是否在进行RhostsRSAAuthentication安全验证的时候忽略用户的"$HOME/.ssh/known_hosts”
StrictModes yes
"StrictModes”设置ssh在接收登录请求之前是否检查用户家目录和rhosts文件的权限和所有权。这通常是必要的，因为新手经常会把自己的目录和文件设成任何人都有写权限。
X11Forwarding no
"X11Forwarding”设置是否允许X11转发。
PrintMotd yes
"PrintMotd”设置sshd是否在用户登录的时候显示“/etc/motd”中的信息。
SyslogFacility AUTH
"SyslogFacility”设置在记录来自sshd的消息的时候，是否给出“facility code”。
LogLevel INFO
"LogLevel”设置记录sshd日志消息的层次。INFO是一个好的选择。查看sshd的man帮助页，已获取更多的信息。
RhostsAuthentication no
"RhostsAuthentication”设置只用rhosts或“/etc/hosts.equiv”进行安全验证是否已经足够了。
RhostsRSAAuthentication no
"RhostsRSA”设置是否允许用rhosts或“/etc/hosts.equiv”加上RSA进行安全验证。
RSAAuthentication yes
"RSAAuthentication”设置是否允许只有RSA安全验证。
PasswordAuthentication yes
"PasswordAuthentication”设置是否允许口令验证。
PermitEmptyPasswords no
"PermitEmptyPasswords”设置是否允许用口令为空的帐号登录。
AllowUsers admin
"AllowUsers”的后面可以跟任意的数量的用户名的匹配串，这些字符串用空格隔开。主机名可以是域名或IP地址。

通常情况下我们在连接 OpenSSH服务器的时候假如 UseDNS选项是打开的话，服务器会先根据客户端的 IP地址进行 DNS PTR反向查询出客户端的主机名，然后根据查询出的客户端主机名进行DNS正向A记录查询，并验证是否与原始 IP地址一致，通过此种措施来防止客户端欺骗。平时我们都是动态 IP不会有PTR记录，所以打开此选项也没有太多作用。我们可以通过关闭此功能来提高连接 OpenSSH 服务器的速度。

1）执行命令生成私钥和公钥 ssh-keygen -t dsa 如图：

3）我们切换过去就不需要密码了 如图

❹ 怎么才能加密客户端和GBase 8c服务器之间的网络连接

你可以试试使用ssh来加密客户端和GBase8c服务器之间的连接，命令为ssh-L63333:localhost:[email protected]。

❺ SSH的工作原理

传统的网络服务程序，比如 FTP ， POP ， Telnet ，本质上都是不安全的，因为它们在网络上用明文传送数据、用户账号和用户口令，很容易受到 中间人 攻击方式的攻击，攻击者会冒充真正的服务器接收用户传给服务器的数据，然后再冒充用户把数据传给真正的服务器。

为了满足安全性的需求， IETF 的网络工作小组制定了 Secure Shell （缩写为 SSH ），这是一项创建在 应用层 和 传输层 基础上的安全协议，为计算机上的 Shell 提供安全的传输和使用环境。

SSH 是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄漏问题。通过 SSH 可以对所有传输的数据进行加密，也能够防止DNS欺骗和IP欺骗。

本文将会重点讨论 SSH 中用到的加密算法和建立安全连接的过程。

为了保证信息传输的安全性， SSH 使用了对称加密、非对称加密和散列等技术。

对称密钥加密又称为对称加密、私钥加密、共享密钥加密，是密码学中一类加密算法。这类算法在加密和解密时使用相同的密钥，或是使用两个可以简单地相互推算的密钥。

SSH 使用对称密钥加密整个连接过程中传输的信息。值得注意的是，用户自己创建的public/private密钥对仅仅用于验证，不会用在加密连接上。对称加密允许对密码进行身份验证，以防止第三方窥探。

共享密钥通过密钥交换算法生成，它可以让双方在完全没有对方任何预先信息的条件下通过不安全信道创建起一个密钥。客户端和服务端都参与了这个过程，过程的细节将在后面阐述。

生成的密钥将用来加密这次会话过程中客户端和服务端传输的数据。这个过程会在验证客户身份之前完成。

SSH 支持多种对称密钥算法，包括AES，Blowfish，3DES，CAST128和Arcfour。客户端和服务端可以配置采用算法的列表。客户端列表中第一个能被服务端支持的算法将被采用。

比如在Ubuntu 14.04上，客户端和服务端默认的配置如下： aes128-ctr , aes192-ctr , aes256-ctr , arcfour256 , arcfour128 , [email protected] , [email protected] , [email protected] , aes128-cbc , blowfish-cbc , cast128-cbc , aes192-cbc , aes256-cbc , arcfour 。
也就是说，如果两台Ubuntu 14.04采用默认配置，它们总是会采用 aes128-ctr 算法来加密连接。

在非对称加密方法中，需要一对密钥，一个是私钥，一个是公钥。这两个密钥数学相关。用公钥加密后所得的信息，只能用私钥才能解密。如果知道了其中一个，并不能计算另外一个。因此，如果公开了一对密钥中的一个，并不会危害到另外一个的秘密性质。

SSH 在一些地方使用了非对称加密。

在密钥交换过程中使用到了非对称加密。在这个阶段，客户端和服务端生成临时密钥对，并且交换公钥来生成共享密钥。

在身份验证的过程中也使用了非对称加密。 SSH 密钥对用来向服务端验证客户端身份。客户端创建一对密钥，然后将公钥上传到远程服务器上，写入文件 ~/.ssh/authorized_keys 。

在创建共享密钥后，客户端必须向服务端证明身份。服务端会使用文件中的公钥加密一段信息，并将加密后的信息发送给客户端。如果客户端可以能够破解这段信息，那么就能够证明自己拥有相关的私钥。之后服务端会为客户端设置shell环境。

散列是电脑科学中一种对资料的处理方法，它通过某种特定的算法将要检索的项与涌来检索的索引关联起来，生成一种便于搜索的数据结构（散列表）。它也常用做一种资讯安全的方法，由一串资料中经过散列算法计算出来的资料指纹，来识别档案和资料是否有被篡改。

SSH 主要使用了散列消息认证码（Keyed-hash message authentication code，缩写为HMAC)，来确认消息没有被篡改。

上面提到的对称加密协商过程中，会使用消息认证码（MAC）算法。这个算法会从客户端支持的算法中选出。

在密钥协商完成后，所有的消息都必须携带MAC，用于通信双方验证消息的一致性。MAC值由共享密钥，消息的分组序列和实际消息内容计算得到。

在对称加密区域之外，MAC本身作为分组的最后部分被发送。研究者通常建议先机密数据，然后计算MAC

SSH 协议采用客户端-服务端模型对两方进行身份验证，并对它们之间的数据进行加密。

服务端在指定端口监听连接请求。它负责协商安全连接，认证连接方，并为客户端生成正确的shell环境。

客户端负责协商安全连接，验证服务器的身份是否与以前记录的信息相匹配，并提供凭证进行身份验证。

SSH会话分为两个阶段。第一个是同意和建立加密来保护未来的沟通。第二个阶段是对用户进行身份验证，并发现是否应该授予对服务器的访问权限。

当客户端发起请求后，服务端返回支持的协议版本。如果客户端可以匹配其中一个协议版本，则连接继续。服务端会提供它的公共主机密钥，客户端可以用这个密钥来验证服务端是否合法。

此时，通信双方采用迪菲-赫尔曼算法来协商会话密钥。

该算法的大致过程如下：

用于其余连接的共享密钥加密被称为二进制数据包协议。上述过程允许双方平等地参与生成共享密钥。

生成的密钥是对称密钥，这意味着用于加密消息的密钥也可以用于解密。其目的是将后面的通信包装在不能被外部人员解密的加密隧道中。

在生成会话密钥后，就开始进行用户身份验证。

根据服务器接受的方式，有几种不同的方法可用于身份验证。

最简单的方法是密码验证，其中服务器要求客户端输入尝试登陆账号的密码。密码是通过协商加密发送的。

虽然密码被加密，但由于密码的复杂性受到限制，因此通常不建议使用此方法。与其他身份验证的方法相比，自动脚本相对容易攻破正常长度的密码。

最为推荐的选择是使用SSH密钥对。SSH密钥对是非对称密钥。

公钥用于加密只能用私钥解密的数据。公钥可以自由共享，因为没有从公钥中导出私钥的方法。

验证流程如下：

可以看到，密钥的不对称性允许服务端使用公钥加密消息给客户端。然后，客户端可以通过正确解密消息来证明它拥有私钥。

笔者本科专业是信息安全，不过毕业后并没有从事安全行业，工作4年课堂上学习的知识基本忘的差不多了。
而SSH算是工作中最常用到的东西之一，其工作原理涉及不少密码学的东西。
写这篇博文，一是希望能帮助读者了解SSH，二也是希望自己能捡起一些专业知识。在互联网／软件相关行业里，不论是否从事安全工作，了解这些东西都是很有必要的。

❻ ssh原理及应用

简单说，SSH是一种网络协议，用于计算机之间的远程加密登录。

SSH 为 Secure Shell的缩写，由 IETF 的网络小组（Network Working Group）所制定，SSH 为建立在应用层基础上的安全协议。SSH 是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序，后来又迅速扩展到其他操作平台。SSH安装容易、使用简单，而且比较常见，一般的Unix系统、Linux系统、FreeBSD系统都附带有支持SSH的应用程序包。Windows如果需要使用SSH，可以安装PuTTY或者Cygwin。

SSH 服务基于非对称加密（public-key cryptography，也称公开密钥加密）技术实现数据加密传输。该技术会生成一对数学相关的密钥， 其中一个用于对数据进行加密，而且只能用于加密，而另一个只能用于解密 。使用加密密钥加密后的数据，只能用对应的解密密钥才能解密。而且，只知道其中一个密钥，无法计算出另一个。因此，如果公开了一对密钥中的一个，并不会危害到另一个的秘密性质。通常把公开的密钥称为公钥（public key），而不公开的密钥称为私钥（private key）。

一般来说，非对称加密的应用场景有两个：

与对称密钥加密相比，非对称加密的优点在于不存在共享的通用密钥。由于解密用的私钥无需发送给任何用户，所以可以避免密钥被劫持或篡改。而加密用的公钥即便被劫持或篡改，如果没有与其匹配的私钥，也无法解密数据。所以，截获的公钥是没有任何用处的。

当前，SSH主要采用 RSA 算法（协议 V2 默认算法）和 DSA 算法（协议 V1 仅支持该算法）来实现非对称加密技术。

SSH连接时，整个交互过程如上图。，主要可以分为三个阶段

服务端在每次启动 SSH 服务时，都会自动检查 /etc/ssh/ 目录下相关密钥文件的有效性。如果相关文件检查发现异常，则会导致服务启动失败，并抛出相应错误信息。 如果文件相关不存在，则会自动重新创建。

默认创建的相关文件及用途说明如下：

当服务器SSH服务启动，客户端也安装了SSH后，就可以进行连接了。

后续登录校验及正常的数据传输，都会通过双向加密方式进行。相关交互说明如下：

从这个连接过程中，可以看出，主要使用到两个文件夹下的内容：

在连接中的两个过程：

之所以有多组密钥，是因为使用了不同的加密算法。
客户端接收到之后，会存储在 ~/.ssh/known_hosts 文件里，查看这个文件，可以看到有一行与服务器 ssh_host_ecdsa_key.pub 内容一致。

所以， ~/.ssh/authorized_keys 里表示本机可以被哪些机器访问
~/.ssh/known_hosts 里表示本机访问过哪些机器

SSH配置文件有两个，一个是 ssh_config ,一个是 sshd_config 。前者是客户端配置，后者是服务器配置。也就是说，如果本机是作为客户端，那么就修改第一个配置，如果本机是作为服务器，那么就修改第二个配置，

一般来说，和密钥登录的配置有关的有以下几个，如果密钥配置好后无法登录，尝试配置以下三项。

其他

传统的网络服务程序，如FTP、Pop和Telnet在传输机制和实现原理上是没有考虑安全机制的，其本质上都是不安全的。因为它们在网络上用明文传送数据、用户帐号和用户口令，别有用心的人通过窃听等网络攻击手段非常容易地就可以截获这些数据、用户帐号和用户口令。而且，这些网络服务程序的简单安全验证方式也有其弱点，那就是很容易受到"中间人"（man-in-the-middle）这种攻击方式的攻击。

所谓"中间人"的攻击方式，就是"中间人"冒充真正的服务器接收你的传给服务器的数据，然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被"中间人"一转手做了手脚之后，就会出现很严重的问题。中间人能够攻击，主要原因在于他能认识截取的信息，也能发出让接受者认识的信息。

使用SSH，你可以把所有传输的数据进行加密，这样"中间人"这种攻击方式就不可能实现了，而且也能够防止DNS欺骗和IP欺骗。使用SSH，还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替Telnet，又可以为FTP、Pop、甚至为PPP提供一个安全的"通道"。

最初的SSH是由芬兰的一家公司开发的。但是因为受版权和加密算法的限制，现在很多人都转而使用OpenSSH。OpenSSH是SSH的替代软件包，而且是免费的，可以预计将来会有越来越多的人使用它而不是SSH。

❼ 简述什么是ssh以及ssh协议解决的问题

很多网站都是概念，我直接复制过来给你看，
SSH是一种加密的网络传输协议。 可在不安全的网络中为网络服务提供安全的传输环境。SSH通过在网络中创建安全隧道来实现SSH客户端与服务器之间的连接。SSH最常见的用途是远程登录系统，人们通常利用SSH来传输命令行界面和远程执行命令。你说协议解决的问题？你这个是问通过SSH连接，然后去服务器解决问题吗？这个可以在《Linux就该这么学》第9章节 使用ssh服务管理远程主机。你可以看看如何使用SSH连接远端电脑或者服务器。

❽ ssh跳板机与远程连接

今日内容

1.什么是SSH

SSH是一个安全协议，在进行数据传输时，会对数据包进行加密处理，加密后在进行数据传输。确保了数据传输安全

2.SSH的主要功能是什么

1.提供远程连接服务器的服务

2.对远程连接传输数据进行加密

3.SSH与Telnet之间有什么关系

4.抓包分析ssh与telnet的区别

telnet使用在交换机 路由器 防火墙 等这类设备上

ssh 使用在服务器邻域

5.SSH相关客户端指令ssh scp sftp

客户端可以使用的命令：

ssh：用来连接远程Linux服务器（xshell底层，调用的就是ssh命令）

scp：远程拷贝，全量拷贝（每次拷贝都是全量）

sftp:远程传输

6.SSH远程登录方式，用户密码 密钥方式

用户密码：简单容易被破解、复杂记不住

基于密钥的方式来实现：

生产一对拥有数学关系的密钥对（公钥、私钥）

公钥加密，私钥解密。
公钥可以对外提供，对外开放。
私钥只有自己持有，不对外开放

7.密钥方式的实现案例

8.SSH场景实践，借助SSH免秘实现跳板机功能?

9.SSH远程连接功能安全优化?

❾ ssh简介与使用

使用SSH的优点：
1）利用 SSH 协议可以有效防止远程管理过程中绝丛的信息泄露问题，也能够防止DNS欺骗和IP欺骗。
2）使用SSH传输的数据是经过压缩的，所以可以加快传输的速度 。

但并不是说SSH就是绝对安全的，因为它本身提供两种级别的验证方法：

第一种级别（基于口令的安全验证）：只要你知道自己帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密，但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器，也就是受到“中间人攻击”这种方式的攻击。

第二种级别（基于密钥的安全验证）：你必须为自己创建一对密钥，并把公钥放在需要访问的服务器上。如果你要连接到SSH服务器上，客户端软件就会向服务器发出请求，请求用你的密钥进行安全验证。服务器收到请求之后，先在该服务器上你的主目录下寻找你的公钥，然后把它和你发送过来的公钥进行比较。如果两个密钥一致，服务器就用公钥加密“质询”(challenge)并把它发送给客户端软件。客户端软件收到“质询”之后就可以用你的私钥在本地解密再把它发送给服务器完成登录。与第一种级别相比，第二种级别不仅加密所有传输的数据，也不需要在网络上传送口令，因此安全性更肢皮高，可以有效防止中间人攻击。

1.在客户端（本地）生成密钥对

密钥锁码在使用私钥时必须输入，这样就可以保护私钥不被盗用。当然，也可以留空，实现无密码登录，这里密钥锁码设置为空。完成上述步骤后，在 root 用户的家并饥樱目录中生成了一个 .ssh 的隐藏目录，内含两个密钥文件，其中id_rsa 为私钥，id_rsa.pub 为公钥。

❿ 请教如何用ssh连接远程服务器

目前，远程连接服务器的类型有以下几种：
① 文字接口的明文传输：Telnet、RSH为主，很少用到。
② 文字接口的加密传输：以SSH为主，已经取代了上面的明文传输方式。
③ 图形接口：XDMCP、VNC、XRDP等较为常见。
这篇文章只为实战，不为普及概念性知识。所以我只讲解在工作中最常用到的技术SSH。关于SFTP技术和VNC技术，请查阅我的其他博客。
好，先来看一下SSH的相关技术：
SSH，英文全程是Secure Shell Protocol(安全的壳程序协议)。SSH是现在公司基本上都在使用的一种文字接口的加密传输技术，采用的是非对称秘钥系统。

对于SSH的原理，你们可以参考我的另外一篇博客，我把链接贴在这里：
SSH原理

⑴来吧，我们先来查看一下sshd这个服务（这就是SSH的远程连接必须开启的服务，属于系统自带），注意，一般这个sshd服务是默认自动开启的。

注意：切记authorized_keys这个文件的权限必须是644