如果你跟我一样属于服务器开发人员,那么对SSH协议肯定不会陌生,上篇文章写到了HTTPS中的SSL,是为了点对多的互联网系统构造而生的,那么,问题来了,当你访问自己的服务器时,你是怎么做的呢?
使用证书?
太贵了,虽然现在有免费证书,难道你还不嫌证书安装麻烦吗?
裸连?
服务器的安全我想不必多说了吧,如果你在外面连接了黑客搭建的公开WiFi,他把你的账号密码截取到了,我只能安慰你一句:everything will be ok.
芬兰学者Tatu Ylonen设计了SSH协议,将登录信息全部加密,成为互联网安全的一个基本解决方案,迅速在全世界获得推广,目前已经成为Linux系统的标准配置。
和HTTPS基本一样
还记得https是怎么保证信息传输的安全性吗?
1.小白把公钥告诉小明
2.小明用自己的公钥加密信件
3.小明用小白的公钥加密自己的公钥
4.小白用私钥解密出小明的公钥
5.小白用小明的公钥解密信件
把小白替换为服务器,把小明替换成服务器操作人员(你)
这时候存在一个问题,你不知道服务器给你发送的公钥是不是真的,因为没有证书去保证公钥的合法性
解决证书问题
初次ssh登录服务器
如果经常和服务器打交道,大家肯定不会对这张图片陌生,简单翻译一下:
无法验证服务器的合法性,它的公钥指纹是98:2e........(可以在服务器提供商那验证,类似于下载东西的时候md5),你确定要继续链接吗?
当技术人员确认了这个公钥的合法性,就可以登陆啦
当远程主机的公钥被接受以后,它就会被保存在文件$HOME/.ssh/known_hosts之中。下次再连接这台主机,系统就会认出它的公钥已经保存在本地了,从而跳过警告部分,直接提示输入密码。
如果下次你再链接相同的服务器(被仿造的服务器)系统就会提示错误
每个SSH用户都有自己的known_hosts文件,此外系统也有一个这样的文件,通常是/etc/ssh/ssh_known_hosts,保存一些对所有用户都可信赖的远程主机的公钥。
