引言
在进行远程连接服务器时,我经常使用MobaXterm,在选择Session时,常会看到这个页面:
Session
之前不求甚解,只知道SSH可以进行远程连接,不清楚Telnet,其实学过FTP,看到SFTP,也没去看他们到底区别在哪里,Shell编程学了一点也不系统,感觉好多要学。今天先来学习Telnet和SSH协议。
Telnet
简介
Telnet(telecommunication network protocol,电信网络协议)是一个简单的远程终端协议,使用端口23。用户用Telnet就可在其所在地通过TCP连接注册(即登录)到远地的另一台主机上(使用主机名或IP地址)。Telnet能将用户的击键传到远地主机,同时也能将远地主机的输出通过TCP连接返回到用户屏幕。这种服务是透明的,因为用户感觉到好像键盘和显示器是直接连在远地主机上。因此,Telnet又称为终端仿真协议。
工作原理
Telnet也使用客户/服务器方式。在本地系统运行Telnet客户进程,而在远地主机则运行Telnet服务器进程。和FTP的情况相似,服务器中的主进程等待新的请求,并产生从属进程来处理每一个连接。
Telnet能够适应许多计算机和操作系统的差异。例如,对于文本中一行的结束,有的系统使用ASCII码的回车(CR),有的系统使用换行(LF),还有的系统使用两个字符,回车-换行(CR-LF)。又如,在中断一个程序时,许多系统使用Control-C(C),但也有系统使用ESC按键。为了适应这种差异,Telnet定义了数据和命令应怎样通过互联网。这些定义就是所谓的NVT(Network Virtual Terminal,网络虚拟终端)。
NVT格式
客户软件把用户的击键和命令转换成NVT格式,并送交服务器。服务器软件把收到的数据和命令从NVT格式转换成远地系统所需的格式。向用户返回数据时,服务器把远地系统的格式转换为NVT格式,本地客户再从NVT格式转换到本地系统所需的格式。
NVT的格式定义很简单:所有的通信都使用8位(一个字节)。在运转时,NVT使用7位ASCII 码传送数据,而当高位置1时用作控制命令。ASCII码共有95个可打印字符(如字母、数字、标点符号)和33个控制字符。所有可打印字符在NVT中的意义和在ASCII码中一样。但NVT只使用了ASCII码的控制字符中的几个。此外,NVT还定义了两字符的CR-LF为标准的行结束控制符。当用户键入回车按键时,Telnet的客户就把它转换为CR-LF再进行传输,而Telnet服务器要把CR-LF转换为远地机器的行结束字符。Telnet的选项协商(Option Negotiation)机制使Telnet客户和Telnet服务器可商定使用更多的终端功能,协商的双方是平等的,也就是说任何一方都可以主动发送选项协商请求给对方。
选项协商6种情况
- WILL:发送方本身将激活(enable)选项。
- DO:发送方想叫接收端激活选项。
- WONT:发送方本身想禁止选项。
- DON'T:发送方想让接收端去禁止选项。
注:由于Telnet规则规定,对于激活选项请求(如1和2),有权同意或者不同意。而对于使选项失效请求(如3和4),必须同意。这样,4种请求就会组合出6种情况,如上图所示。
安全性
不安全,因为使用明文传输。一旦被ARP中毒等中间人攻击,就会暴露用户名、密码等敏感信息。另外,账号密码简单时也可被暴力破解。
SSH
简介
SSH(Secure Shell),由 IETF 的网络小组(Network Working Group)所制定,端口22。SSH 为建立在应用层基础上的安全协议。SSH 是较可靠的,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台,几乎所有UNIX平台都可使用。
通过使用SSH,你可以把所有传输的数据进行加密,这样"中间人"这种攻击方式就不可能实现了,而且也能够防止DNS欺骗和IP欺骗。使用SSH,还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替Telnet,又可以为FTP、PoP、甚至为PPP提供一个安全的"通道" 。
22端口由来小故事:SSH设计者Tatu Ylonen设计SSH是为了替代telnet(端口23)和ftp(端口21),端口22在当时是空闲的,正好就在telnet和ftp的端口之间,他感觉这个端口号天然就带有可信度光环。于是就选择了端口22作为SSH的端口。原文可查看ssh-端口。
另外,Tatu Ylonen于1995年写的SSH,W·Richard Stevens 于1994年写的《TCP/IP详解卷I》,所以里面只有Telnet,而没有SSH。可以阅读RFC4250进行更详细的了解。
OpenSSH是SSH协议的免费开源实现,OpenSSH提供了服务端的程序(openssh-server)和客户端工具(openssh-client),接下来以OpenSSH为例,介绍一下SSH命令及高级配置
安装与开启服务
# 安装服务端/客户端(Ubuntu)
$ sudo apt install openssh-server/openssh-client
# 安装服务端/客户端(Centos)
$ sudo yum install openssh-server/openssh-client
# 查看ssh服务是否开启
$ netstat -tlp | grep ssh
# 启动/停止/重启 ssh服务
$ sudo /etc/init.d/ssh start/stop/restart
查看ssh服务是否开启
命令
ssh命令
SSH命令
版本等信息
注意
user
是远程服务器登录的用户名,默认为当前用户hostname是
远程服务器地址,可以是IP/域名/别名exit/logout
命令均可退出当前登录
接下来,展示一下连接ssh服务器
Windows连接Ubuntu
可以看到,使用SHA256进行了校验,生成了一个指纹,我们关闭连接,重连一次。
再次连接
再次连接,可以发现,已经没有了校验显示,输入密码后直接登录,稍微简便了一点。那么,校验记录存在哪呢?
cd ~/.shh cat known_hosts
Windows下校验记录
第一条是我的GitLab的,就划掉了,第二条是刚才连接的。
Linux下校验记录
在~/.ssh/known_hosts文件中可以看到。接下来,我们就来详细看看一些配置。
高级配置
Linux下,ssh配置信息都保存在~/.ssh
中
后两个默认是不存在的,需要手动创建。下面Windows中也是仅有known_hosts文件的,另外两个是我给GitLab配置密钥文件时创建的。
Windows下
Windows下内容
服务器别名
每次都写IP地址,但是IP地址比较难记,我们可以去一个别名。新建一个config文件,内容如下:
Host Ubuntu
HostName 10.28.214.174
User llvm
Port 22
config文件
其中,Port可以不写,默认就是22端口。
别名登录
免密登录
通过以上,我们即可通过别名和密码登录了,但是每次都输入密码,比较麻烦,接下来我们看看免密登录。
客户端生成密钥对
ssh-keygen
参数
我一般是不用参数的,它会给一些提示,我一般全部按Enter,选择默认,这次由于文件路径名字重复,才改了一个。上面的参数,博主只感觉-t参数比较有用,但是密码学学的也不好,默认的rsa加密方式也很好,一般也是默认。
生成密钥文件
查看密钥文件
上传公钥到服务器
ssh-copy-id user@hostname
windows下没有这个命令,只能手动了。使用这个命令其实是将公钥追加到了服务器的authroized_keys文件中,我们把文件放到Ubuntu中,使用命令追加一下。
公钥上传成功
接下来,我们就可以使用密钥文件登录了
ssh -i id_rsa_ubuntu Ubuntu
密钥文件登录
还是有点麻烦,需要记着服务器需要使用哪个对应的私钥。我们再配置一下,添加私钥文件:
IdentityFile C:\Users\DELL\.ssh\id_rsa_ubuntu
配置密钥文件
好啦,至此,我们可以只是用一个别名就能登录了:
ssh Ubuntu即可登录,无需密码
当然,我们只是为了学习一下ssh,平时博主也直接使用MobaXterm、Xshell等软件直接连接,有工具的话会节省很多时间。
对于GitHub、GitLab等也会使用密钥文件的方式,将公钥上传到服务器即可。
GitLab上传页面
以GitLab为例,可以看到,要求上传ssh-rsa或ssh-ed25519的公钥。客户端生成密钥对时,可以使用-t参数,选择ed25519,也可使用默认的rsa方式。
安全性
- 有效防止远程管理过程中的信息泄漏
- 传输 数据加密,能够防止DNS和IP欺骗
- 传输 数据压缩,加快传输速度
账号密码简单时也可被暴力破解。
关于这两个协议的安全实验,将在学习暴力破解的时候再展示。
参考
《计算机网络第7版 谢希仁》6.3
《TCP/IP详解I》第26章