远程登录安全连接协议SSH(Secure Shell)

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: SSH(Secure Shell)协议是一种用于在不安全网络上提供安全远程登录、命令执行和数据传输的加密网络协议,通过公钥加密和身份验证技术确保通信的安全性和隐私性。

@[TOC]

什么是SSH协议?

SSH(Secure Shell)协议是一种用于在不安全网络上提供安全远程登录、命令执行和数据传输的加密网络协议,通过公钥加密和身份验证技术确保通信的安全性和隐私性。
image.png

SSH(Secure Shell)最初由Tatu Ylönen在1995年开发,现在已经发展成为一种广泛使用的标准工具,尤其是在Unix和Linux系统中。

因为telnet的明文传输特性,很多网络设备的登录方式也由telnet改为SSH登录,telnet会越来越快的退出舞台,而SSH则会在更多的场景下广泛使用。

以下是对SSH协议的详细介绍:

SSH为何是安全的?

SSH主要通过加密技术和身份验证机制来确保通信的安全性。它使用公钥加密技术进行用户认证和会话密钥的交换,这使得数据在传输过程中即使被截获也无法被解密。此外,SSH还提供了数据完整性检查和重放攻击防护等功能。

SSH由哪些组件构成?

SSH协议由以下几个主要组件构成:

  • SSH客户端:运行在本地计算机上,用于发起SSH连接请求。
  • SSH服务器:运行在远程计算机上,监听SSH连接请求并进行响应。
  • SSH协议:定义了客户端和服务器之间的通信规则和数据格式。
    image.png

SSH可以帮助实现的功能

SSH协议提供了多种功能,包括:

  • 远程登录:允许用户通过命令行界面安全地访问和控制远程计算机。
  • 文件传输:支持安全的文件上传和下载,通常通过内置的SFTP(SSH File Transfer Protocol)或SCP(Secure Copy)协议实现。
  • 端口转发:可以将远程计算机上的网络端口转发到本地计算机或反之,从而实现安全的网络隧道和代理服务。
  • X11转发:允许在SSH连接中安全地转发X Window System图形界面。

SSH的工作原理

SSH的工作过程主要包括以下几个步骤:

  • 握手阶段:客户端和服务器之间建立一个安全的连接,并协商加密算法和会话密钥。
  • 身份验证阶段:客户端向服务器提供身份证明,通常使用密码、公钥或其他身份验证方法。
  • 会话阶段:一旦身份验证成功,客户端和服务器之间就可以通过加密的通道进行交互,包括执行命令、传输文件等操作。
    image.png

SSH的历史版本

SSH协议已经经历了多个版本的发展:

  • SSH-1:最初的SSH版本,现在已被认为存在安全漏洞,不再推荐使用。
  • SSH-2:当前广泛使用的版本,提供了更强的安全性和更多的功能。在启用SSH的时候,最好指定一下SSH-2的版本。

常用的SSH工具有哪些

常见的SSH工具包括:

  • OpenSSH(开源的SSH实现,包含ssh、scp、sftp等命令),Windows 10及以后,也有基于Windows 的openSSH:Windows也能安装OpenSSH远程加密连接工具
  • PuTTY(Windows平台的SSH客户端)下载链接
  • SecureCRT(也支持ssh方式登录)正版要收费
  • SSH Secure Shell Client(商业SSH客户端)等

总的来说,SSH是一个强大的安全工具,为管理员和用户提供了一种安全、可靠的方式来访问和管理远程系统,以及在不安全的网络环境中传输数据。由于其强大的安全特性和广泛的兼容性,SSH已经成为运维工程师的必备工具之一。

SSH配置案例参考

Windows 安装SSH

OpenSSH 已添加至 Windows系统,在Windows系统中也可以安装和使用Windows自带的OpenSSH工具。通过Windows 设置来安装 OpenSSH可以参考这篇博客:Windows也能安装OpenSSH远程加密连接工具

Ubuntu系统SSH配置

大多数Ubuntu系统在安装的时候,会提示选择是否安装SSH。如果系统中没有安装,则需要进行SSH安装。

sudo apt-get update
sudo apt-get install ssh

默认选择ssh安装是,会找到关联包及需要安装的包:

The following additional packages will be installed:
  libwrap0 ncurses-term openssh-server openssh-sftp-server ssh-import-id
Suggested packages:
  molly-guard monkeysphere ssh-askpass

同意继续安装后,会开始下载命中和关联的包下载:

Do you want to continue? [Y/n] y
Get:1 http://archive.ubuntu.com/ubuntu jammy-updates/main amd64 openssh-sftp-server amd64 1:8.9p1-3ubuntu0.5 [38.7 kB]
Get:2 http://archive.ubuntu.com/ubuntu jammy/main amd64 libwrap0 amd64 7.6.q-31build2 [47.9 kB]
Get:3 http://archive.ubuntu.com/ubuntu jammy-updates/main amd64 openssh-server amd64 1:8.9p1-3ubuntu0.5 [435 kB]
Get:4 http://archive.ubuntu.com/ubuntu jammy-updates/main amd64 ssh all 1:8.9p1-3ubuntu0.5 [4842 B]
Get:5 http://archive.ubuntu.com/ubuntu jammy-updates/main amd64 ncurses-term all 6.3-2ubuntu0.1 [267 kB]
Get:6 http://archive.ubuntu.com/ubuntu jammy/main amd64 ssh-import-id all 5.11-0ubuntu1 [10.1 kB]
Fetched 804 kB in 4s (184 kB/s)

安装过程中也会自动创建RSA密钥文件,等待自行安装完成即可。

Setting up openssh-sftp-server (1:8.9p1-3ubuntu0.5) ...
Setting up ssh-import-id (5.11-0ubuntu1) ...
Setting up libwrap0:amd64 (7.6.q-31build2) ...
Setting up ncurses-term (6.3-2ubuntu0.1) ...
Setting up openssh-server (1:8.9p1-3ubuntu0.5) ...

Creating config file /etc/ssh/sshd_config with new version
Creating SSH2 RSA key; this may take some time ...
3072 SHA256:3aWRTPAKMhv2d+n26FiduYxCt40wfl0THM4D66FH2/s root@Ubuntu22 (RSA)
Creating SSH2 ECDSA key; this may take some time ...
256 SHA256:7el9/WDO00oT+UrYA+c1+6XYFLVM/EhsvZaRmXtaZeg root@Ubuntu22 (ECDSA)
Creating SSH2 ED25519 key; this may take some time ...
256 SHA256:nIqnuYpj+NY7HVJCU90jiR9PiWLMFjceZ67qHjOgzLY root@Ubuntu22 (ED25519)

安装完成,版本信息ssh is already the newest version (1:8.9p1-3ubuntu0.5)

mirror@Ubuntu22:~$ sudo apt-get upgrade ssh
[sudo] password for mirror:
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
ssh is already the newest version (1:8.9p1-3ubuntu0.5).
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
mirror@Ubuntu22:~$

Cisco Switch SSH配置

在switch中启用SSH配置比较简单,参考如下:

switch(config)#ip ssh version 2  #启用SSH版本2
switch(config)#line vty 0 3      #指定在VTY线路上允许SSH登录
switch(config-line)#transport input ssh

若交换机默认没要RSA密钥文件,可以通过如下命令新建:

switch(config)crypto key generate rsa modulus 2048

华为Switch SSH配置

华为Switch SSH配置也很简单,参考如下:

[Huawei] ssh server enable  #启用交换机上的SSH服务器功能
[Huawei] user-interface vty 0 15 #配置了VTY用户界面,允许SSH协议的入站连接
[Huawei-ui-vty0-15] protocol inbound ssh

通常交换机默认都建立RS的密钥,如果没有的话,可以通过以下命令新建:

[Huawei] crypto key generate rsa modulus 2048

或者想要清除之前的密钥文件,也可以执行如下命令:

[Huawei] crypto key zeroize rsa

客户端启用SSH连接

以secureCRT为例,建立连接:

  1. 选择SSH2协议;尽量不要去使用SSH1。
  2. hostname输入要连接系统的IP或者hostname;
  3. port 选择默认端口22。
  4. username可以先不用输入,等连接建立后,会再提示输入username和password。
    image.png
    希望以上关于SSH的总结,可以帮助到大家认识和使用SSH协议。

目录
相关文章
|
10天前
|
Java 数据库连接 网络安全
JDBC常用特性-SSH隧道连接
JDBC常用特性-SSH隧道连接
|
4月前
|
Ubuntu Shell 网络安全
安装了ubuntu虚拟机后发现shell无法连接 ubuntu开启ssh连接
【8月更文挑战第23天】安装了ubuntu虚拟机后发现shell无法连接
346 6
|
2月前
|
网络安全 数据安全/隐私保护 C++
VS Code 的SSH连接不成功问题分析与解决
VS Code 的SSH连接不成功问题分析与解决
|
2月前
|
存储 安全 Shell
上传漏洞利用时,没有回显上传目录怎么连接shell
上传漏洞利用时,没有回显上传目录怎么连接shell
|
4月前
|
网络安全
mac下通过ssh脚本实现免账号密码连接运服务器
mac下通过ssh脚本实现免账号密码连接运服务器
55 3
|
4月前
|
监控 网络安全 数据安全/隐私保护
Mac服务器ssh连接工具
Mac服务器ssh连接工具
131 2
|
4月前
|
网络安全 数据安全/隐私保护
VSC通过 SSH 连接到远程服务器时,每次都需要输入密码
VSC通过 SSH 连接到远程服务器时,每次都需要输入密码
1189 0
|
4月前
|
安全 Linux 网络安全
在Linux中,如何配置SSH以确保远程连接的安全?
在Linux中,如何配置SSH以确保远程连接的安全?
|
4月前
|
存储 安全 Linux
说到Linux安全,SSH限制IP登录绕不开这3种方法!
说到Linux安全,SSH限制IP登录绕不开这3种方法!
231 0
|
Web App开发 JavaScript Shell
从Secure Shell看Chrome强大的Native Client
Google Chrome App Store中有一个强大的SSH client(可以代替PuTTY), 关键它是集成在网页之中,下面是截图: 它的强大正是Chrome强大的Native Client所造就的。
1340 0
下一篇
DataWorks