2. 程式人生 > >SSH 遠程登陸

SSH 遠程登陸

阿新 發佈:2019-03-12
style 也有 原理 輸入 ger 12.1 tac put 中間

2019-03-10 20:41:39

一、什麽是SSH

簡單說,SSH是一種網絡協議,用於計算機之間的加密登錄。

如果一個用戶從本地計算機,使用SSH協議登錄另一臺遠程計算機,我們就可以認為,這種登錄是安全的,即使被中途截獲,密碼也不會泄露。

最早的時候,互聯網通信都是明文通信,一旦被截獲,內容就暴露無疑。1995年,芬蘭學者Tatu Ylonen設計了SSH協議,將登錄信息全部加密,成為互聯網安全的一個基本解決方案,迅速在全世界獲得推廣,目前已經成為Linux系統的標準配置。

需要指出的是,SSH只是一種協議,存在多種實現,既有商業實現,也有開源實現。本文針對的實現是OpenSSH,它是自由軟件,應用非常廣泛。

此外,本文只討論SSH在Linux Shell中的用法。如果要在Windows系統中使用SSH,會用到另一種軟件PuTTY,這需要另文介紹。

二、SSH 遠程登陸原理解析

SSH之所以能夠保證安全,原因在於它采用了公鑰加密

整個過程是這樣的:

(1)遠程主機收到用戶的登錄請求,把自己的公鑰發給用戶。

(2)用戶使用這個公鑰,將登錄密碼加密後,發送回來。

(3)遠程主機用自己的私鑰,解密登錄密碼,如果密碼正確,就同意用戶登錄。

這個過程本身是安全的,但是實施的時候存在一個風險:如果有人截獲了登錄請求,然後冒充遠程主機,將偽造的公鑰發給用戶,那麽用戶很難辨別真偽。因為不像https協議,SSH協議的公鑰是沒有證書中心(CA)公證的,也就是說,都是自己簽發的。

可以設想,如果攻擊者插在用戶與遠程主機之間(比如在公共的wifi區域),用偽造的公鑰,獲取用戶的登錄密碼。再用這個密碼登錄遠程主機,那麽SSH的安全機制就蕩然無存了。這種風險就是著名的"中間人攻擊"(Man-in-the-middle attack)。

SSH協議是如何應對的呢?

如果你是第一次登錄對方主機,系統會出現下面的提示:

  $ ssh user@host

  The authenticity of host ‘host (12.18.429.21)‘ can‘t be established.

  RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.

  Are you sure you want to continue connecting (yes/no)?

這段話的意思是,無法確認host主機的真實性,只知道它的公鑰指紋,問你還想繼續連接嗎?

所謂"公鑰指紋",是指公鑰長度較長(這裏采用RSA算法,長達1024位),很難比對,所以對其進行MD5計算,將它變成一個128位的指紋。上例中是98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d,再進行比較,就容易多了。

很自然的一個問題就是,用戶怎麽知道遠程主機的公鑰指紋應該是多少?回答是沒有好辦法,遠程主機必須在自己的網站上貼出公鑰指紋,以便用戶自行核對。

假定經過風險衡量以後,用戶決定接受這個遠程主機的公鑰。

  Are you sure you want to continue connecting (yes/no)? yes

系統會出現一句提示,表示host主機已經得到認可。

  Warning: Permanently added ‘host,12.18.429.21‘ (RSA) to the list of known hosts.

然後,會要求輸入密碼。

  Password: (enter password)

如果密碼正確,就可以登錄了。

當遠程主機的公鑰被接受以後,它就會被保存在文件$HOME/.ssh/known_hosts之中。下次再連接這臺主機,系統就會認出它的公鑰已經保存在本地了,從而跳過警告部分,直接提示輸入密碼。

每個SSH用戶都有自己的known_hosts文件,此外系統也有一個這樣的文件,通常是/etc/ssh/ssh_known_hosts,保存一些對所有用戶都可信賴的遠程主機的公鑰。

三、SSH 連接基本使用

SSH主要用於遠程登錄。假定你要以用戶名user,登錄遠程主機host,只要一條簡單命令就可以了。

ssh user@host

SSH的默認端口是22,也就是說,你的登錄請求會送進遠程主機的22端口。使用p參數,可以修改這個端口。

ssh -p 2222 user@host

四、免密登陸

Step 1 :生成本機rsa公私鑰

ssh-keygen -t rsa -C "your email address"

執行這句指令會在home目錄下創建.ssh文件夾,裏面默認包含三個文件:id_rsa(私鑰),id_rsa.pub(公鑰),known_hosts。

Step 2 :復制本地的公鑰,登陸服務器,將公鑰粘貼到~/.ssh/authorized_keys文件

ssh user@host ‘cat >> .ssh/authorized_keys‘ < ~/.ssh/id_rsa.pub

Step 3 :在~/.ssh/下創建config文件,並進行如下的配置

Host ailab
    HostName 127.0.0.1
    Port 1000
    User user
    IdentityFile ~/.ssh/id_rsa
    LocalForward 2000 localhost:8888

做完以上三步,就可以直接在shell中輸入ssh ailab進行快捷登陸了!

  

  

SSH 遠程登陸

相關推薦

HCNA配置ssh登陸

serve please nas use png pre cati ble lin 1、拓撲圖 最終實現通過AR1 來SSH登陸到AR2 上 2、配置AR2為開啟SSH服務 Please press enter to start cmd line! ###

SSH 登陸

style 也有 原理 輸入 ger 12.1 tac put 中間 2019-03-10 20:41:39 一、什麽是SSH 簡單說,SSH是一種網絡協議,用於計算機之間的加密登錄。 如果一個用戶從本地計算機,使用SSH協議登錄另一臺遠程計算機,我們就可以認為,這種

SSH登陸

登錄 https協議 偽造 中間 遠程 沒有 遠程登陸 https 我們 SSH用於計算機之間的加密登錄的前提是公鑰為真,所以存在中間人攻擊中間人攻擊:與https協議不同,SSH協議的公鑰是沒有CA公證的,當對公鑰的請求被中間截獲時,中間人可以發出偽造公鑰幹壞事而不被識破

linux中修改ssh端口和禁止root登陸設置

linux中修改ssh端口和禁止root遠程登陸設置linux中修改ssh端口和禁止root遠程登陸設置查看下系統版本[[email protected]/* */ ~]# cat /etc/redhat-releaseCentOS release 6.7 (Final)修改配置文件linux修改

(轉)Linux SSH配置和禁止Root登陸設置

登錄 進行 mit 遠程 重命名 客戶端設置 get 問題 服務 原文 一、修改vi /etc/ssh/sshd_config 文件 1、修改默認端口:默認Port為22,並且已經註釋掉了;修改是把註釋去掉,並修改成其它的端口。 2、禁止root用戶遠程登陸:修改Perm

配置ssh訪問策略

.net cin 不能 onf host conf 規則 inux 一個 假如有兩個域,一個是example.com(172.25.0.0/16),一個是my133t.org(172.24.0.0/16) 要求:從域group3.example.com能ssh遠程訪問兩個虛

ubuntu使用ssh登錄服務器及上傳本地文件到服務器

支持 ssh遠程登錄 本地文件 scp 遠程 服務器 輸入 bsp 5.1 1. ubuntu 遠程登錄    首先你的ubuntu要能夠支持ssh,如果不能,自行百度!      打開終端,輸入       ssh [email protected]/*

ssh服務器

輸入 遠程登錄 name 目錄 use 文件中 命令行 -a 令行 使用用戶名密碼登錄 在命令行中輸入命令: ssh username@ip_address -p port 之後系統會提示輸入密碼,輸入後即可登錄 如果不添加-p選項,則默認是22端口 還可以使用-l選項

CentOS 6.8 SSH登錄優化

ssh sshd 遠程登錄 近期發現通過Xshell登錄遠程Linux主機時需要等待很長時間:通過配置文件sshd_config,修改以下2個參數的值:# vim /etc/ssh/sshd_config#UseDNS yes --> UseDNS noGSSAPIAuthenticat

免密碼SSH執行命令

ssh我們經常需要在遠程主機上執行一些命令,為了方便,可以使用一些方法來實現免密碼SSH登錄,比如:公鑰授權的方式。但是這種方式有一些缺陷,它是針對單臺機器做的授權,也就是說,如果換了一臺機器,授權就失效了,還是需要手動輸入密碼。其實還有另外一種通用性比較強的方式: expect。 expect是一種模擬人機

Linux登陸

src restart 如果 mod 遠程登陸 遠程 log 配置 開啟 1. 遠程機器root賬號(也可以是自定義的賬號abc). 進入.ssh/authorized_keys 文件。沒有的話在用戶下新建一個相同目錄的文件出來 2. 將本地登陸機的%userprofile

CentOS 7.1下SSH登錄服務器詳解-轉

info which 開啟 如何 pty wan public keygen ger 轉自:http://www.linuxidc.com/Linux/2016-03/129204.htm 一、明文傳輸與加密傳輸 明文傳輸:當我們的數據包在網絡上傳輸的時候,以數據包的原

修復Linux的SSH登錄慢

ssh打開SSH的配置文件vi /etc/ssh/sshd_config2.把#UseDNS=yes修改為UseDNS=no3.重啟sshsystemctl restart sshd.service (CentOS 7使用此命令)service sshd restart (CentOS 7 之前的版本使用

Linux修改SSH登錄端口 --服務器安全篇

使用 start rmi 遠程 services fig completed login ssh遠程登錄 p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; font: 14.0px SimSun; color: #333333; backgro

ssh登錄,禁止root登錄

遠程登錄 bin login sys art 遠程 swd etc passwd 1,useradd xiaobingpasswd xiaobing (設置密碼) 2,禁止root登陸,修改 /etc/ssh/sshd_configPermitRootLogin yes 改

關於SSH連接報錯

sshSSH報錯提示為“winscp 服務器異常關閉網絡連接”1 查看SSH登陸日誌:[[email protected]/* */ ~]$ sudo tail -f /var/log/secure......Jul 19 16:42:19 wms-server sshd[3923]: Timeo

Linux學習筆記2_centos7登陸前的總結

linux虛擬機安裝註意事項:1.1 分區配置,註意主流分區方案和企業分區方案。1.2 網絡配置,註意幾種虛擬機下的連接方案,不同生產環境下各方案的利弊。1.3 用戶配置,註意實際企業環境中的用戶及密碼配置。系統初始配置註意事項:2.1 IP地址的分配與網卡配置文件的編輯,vi的輸入及保存退出操作。系統roo

解決ssh執行命令無法使用awk/sed的問題

sed awk 舉例:ssh 目標IP "awk ‘{print \$1}‘ 文件名"ssh 目標IP "sed ‘\$aabc\ndef‘ 文件名"說明:只要保證ssh使用的是“”,並且awk/sed中的$加上轉義即可。解決ssh遠程執行命令無法使用awk/sed的問題

suse linux ssh無法訪問問題

命令 還需 執行 配置 不起作用 rec fire 命令行 linux 當正常安裝完Suse Linux Enterprise Server 11 sp1 時,無法通過SecureCRT或者PuTTY之類的終端程序進行連接。 折騰了一下,發現問題所在: 1、 需要

python工具編寫之paramiko實現SSH連接

編寫 range get missing dede 連接 and try 遠程 客戶端實現有三種方式: 1:用賬號密碼登陸 1.1直接使用SSHClient對象的exec_command()在服務端執行命令: 代碼實現: import paramikoimport sysd