SSH的原理及企业级应用

而我主要利用它来翻越长城,去看境外的风光。你也可能会使用它进行一些与我一样的工作:“比喻说翻越长城备份或迁移网站”等。但你可能不明白它的原理及一些其它方面的应用,SSH给于我们的不只是翻越长城及备份网站这么简单,还有其它一些更好的功能,并且很好地利用到企业应用里面。

1、什么是SSH?

SSH为Secure Shell的缩写,由IETF的网络工作小组(Network Working Group)所制定;SSH为建立在应用层和传输层基础上的安全协议。

传统的网络服务程序,如FTP、POP和Telnet其本质上都是不安全的;因为它们在网络上用明文传送数据、用户帐号和用户口令,很容易受到中间人(man-in-the-middle)攻击方式的攻击。就是存在另一个人或者一台机器冒充真正的服务器接收用户传给服务器的数据,然后再冒充用户把数据传给真正的服务器。

而SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。透过SSH可以对所有传输的数据进行加密,也能够防止DNS欺骗和IP欺骗。

SSH之另一项优点为其传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替Telnet,又可以为FTP、POP、甚至为PPP提供一个安全的“通道”。

2、SSH的安全验证是如何工作的?

从客户端来看,SSH提供两种级别的安全验证。

第一种级别(基于口令的安全验证)只要你知道自己帐号和口令,就可以登录到远程主机。所有传输的数据都会被加密,但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器,也就是受到“中间人”这种方式的攻击。

第二种级别(基于密匙的安全验证)需要依靠密匙,也就是你必须为自己创建一对密匙,并把公用密匙放在需要访问的服务器上。如果你要连接到SSH服务器上,客户端软件就会向服务器发出请求,请求用你的密匙进行安全验证。服务器收到请求之后,先在你在该服务器的家目录下寻找你的公用密匙,然后把它和你发送过来的公用密匙进行比较。如果两个密匙一致,服务器就用公用密匙加密“质询”(challenge)并把它发送给客户端软件。客户端软件收到“质询”之后就可以用你的私人密匙解密再把它发送给服务器。

用这种方式,你必须知道自己密匙的口令。但是,与第一种级别相比,第二种级别不需要在网络上传送口令。

第二种级别不仅加密所有传送的数据,而且“中间人”这种攻击方式也是不可能的(因为他没有你的私人密匙)。但是整个登录的过程可能需要10秒。

3、SSH 企业级的应用

一般在企业应用中,如果要远程连接到服务器,一般的做法都是先VPN连接到客户内网,然后再SSH到远程服务器,这样数据远程传输不仅有VPN的保护,还有SSH的保护,使数据传输更加安全。我们这里着重阐述SSH的认证配置。

SSH的认证不仅可以通过口令,还可以通过证书,当然还可以使用证书和口令相结合的认证方式,下面我将分别阐述各种认证的配置方法:

1.通过口令认证

第一步:安装相关软件包
使用命令 rpm -qa | grep openssh查看是否安装相关软件包。
[root@server ~]# rpm -qa | grep openssh
openssh-server-4.3p2-16.el5
openssh-4.3p2-16.el5
openssh-clients-4.3p2-16.el5
openssh-askpass-4.3p2-16.el5
如果没有,则安装以上软件包,当然也可以下载源码包,进行编译安装,具体方法这里就不多说了,不清楚的自加google一下。

第二步:配置 SSH

#服务器端配置 /etc/ssh/sshd_config
#只考虑协议版本2
/usr/local/etc/ssh/sshd_config
# 全局配置
VersionAddendum TecZm-20050505 #在telnet ip 22时只能看出openssh的版本,看不出OS
Protocol 2 #使用协议版本2
Port 22 #sshd监听22端口
ListenAddress 192.168.7.1 #sshd只监听目标ip为192.168.7.1的请求
AllowGroups wheel myguest #允许wheel组和myguest组的用户登录
AllowUsers teczm [email protected] #允许来自以上组的teczm用户和authen用户登录,
#且authen用户只能从主机192.168.8.5登录
#DenyGroups #拒绝登录的组,参数设置和AllowGroups一样
#DenyUsers #拒绝登录的用户,参数设置和AllowUsers一样
#AllowTcpForwarding yes #是否转发的TCP包都被允许。默认是 “yes”。
LoginGraceTime 60 #60秒内客户端不能登录即登录超时,sshd切断连接。
KeyRegenerationInterval 1800 #1800秒(30分钟)后自动重新生成服务器的密匙。
MaxStartups 3 #设置同时发生的未验证的并发量,即同时可以有几个
UseDNS no #不使用DNS查询客户端。
PermitRootLogin no #不允许root登录,root可由wheel组用户登录后su。
X11Forwarding no #禁止用户运行远程主机上的X程序。
UseLogin yes #禁止X11Forwarding
#认证配置(口令认证、PAM 认证、非对称密钥认证任选其一)
#口令认证
PubkeyAuthentication no #不使用非对称密钥认证
PasswordAuthentication yes #使用口令认证
PermitEmptyPasswords no #不允许使用空密码的用户登录
#PAM认证
PasswordAuthentication no #不使用口令认证
UsePAM #使用pam认证
ChallengeResponseAuthentication yes #允许挑战应答方式
#非对称密钥认证
PasswordAuthentication no #不使用口令认证
PubkeyAuthentication yes #使用非对称密钥认证
AuthorizedKeysFile .ssh/authorized_keys #用户认证使用的公钥

一般情况下,默认的SSH配置文件就可以满足口令认证需要。

第三步:开启SSH服务

使用命令开启当前的SSH服务:/etc/init.d/sshd start
使用命令使其开机自动运行:chkconfig sshd on

2.通过证书认证

在以上配置的基础上,为了使认证过程更加安全,还可以使用非对称密钥加密证书技术,步骤和说明如下:
第一步:生成非对称密钥
[root@server ~]# ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):#私钥存储目录
Enter passphrase (empty for no passphrase):password#私钥的认证密码
Enter same passphrase again:password#确认私钥的认证密码
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
19:49:2d:57:4d:a6:43:9b:23:f5:75:bd:db:9c:8a:21 [email protected]

第二步:拷贝公钥到服务器
[root@server ~]# ssh-copy-id [email protected]
The authenticity of host ‘192.168.20.26 (192.168.20.26)’ can’t be established.
RSA key fingerprint is 4c:73:36:e0:21:6d:0c:08:16:66:14:a1:30:26:cb:08.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added ‘192.168.20.26’ (RSA) to the list of known hosts.
[email protected]’s password:sys_password#系统密码
Now try logging into the machine, with “ssh ‘[email protected]′”, and check in:

.ssh/authorized_keys

to make sure we haven’t added extra keys that you weren’t expecting.

[root@server ~]#

第三步:测试非对称认证
[root@server ~]# ssh 192.168.20.26
Enter passphrase for key ‘/root/.ssh/id_rsa’:password#私钥的认证密码
Last login: Tue Jul 22 09:22:40 2008 from 192.168.20.26
[root@server ~]#

3. 证书和口令结合认证

在第二种方法中,如果默认非对称密钥的口令为空,则是只通过证书认证,如果设置了非对称密钥口令,则是证书和口令结合认证,当然这里的口令不是系统口令,是嵌套在密钥中的另外一个口令,可以起到双重保护的作用。

补充:在应用ssh证书认证的过程中,还有两个命令可以应用,
ssh-agent bash #在bash环境下启用ssh代理服务
ssh-add #将ssh密钥添加到内存中
这两个命令结合使用的作用就是避免每次通过SSH登录服务器时重复输入口令,当然这种也会造成一些不安全的因素,所以一般不使用。

以上文字整理,内容参考于:“中文维基”和“胡文昌技术博客”。这里还有SSH工具推荐。

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注