前言
本文是笔者查阅网上资料做的总结,关于SSH原理,什么是对称加密和非对称加密,本文不过多介绍。这里介绍一下SHH的工作过程、配制方法,可能出现的问题及解决方法。
说明:本文中涉及的例子,SSH客户端为:本地主机A,SSH服务器为:服务器B
SSH的工作过程
SSH协议采用C-S(客户端-服务器端)架构进行双方的身份验证以及数据的加密。
服务器端组件监听指定的端口,负责安全连接的建立、对连接方的身份认证、以及为通过身份认证的用户建立正确的环境。
客户端负责发起最初的TCP握手、安全连接的建立、验证服务器的身份与之前记录中的一致、并将自己的验证信息提供给服务器。
一个SSH会话的建立过程分为两个阶段。第一阶段,双方沟通并同意建立一个加密连接通道以供后续信息传输用。第二阶段,对请求接入的用户进行身份验证以确定服务器端是否要给该用户开放访问权限。
建立加密通道
当客户端发起TCP连接时,服务器端返回信息说明自己支持的协议版本,如果客户端上支持的协议与之匹配,则连接继续。服务器会提供自己的公共主机密钥(public host key)以让客户端确认自己访问的是正确的机器。
然后,双方采用一种Diffie-Hellman算法共同为该会话建立密钥。每一方的一部分私有数据,加上来自对方的一部分公共数据,通过这种算法计算,能够得出完全相同的密钥用于本次会话。
整个会话的通讯内容都使用该密钥进行加密。这个阶段使用的公钥/私钥对与用户验证身份用的SSH密钥是完全无关的。
经典Diffie-Hellman算法的计算步骤如下:
1、双方共同选择一个大值素数作为种子值(seed value)
2、双方共同选择一个加密生成器(通常是AES),用于后续的数值操作
3、双方分别各自选择一个素数,该素数的值对对方保密,用于生成本次通讯的私钥(与SSH身份认证私钥无关)
4、双方分别用各自的私钥、共同的加密生成器、和共同的素数生成各自的公钥
5、双方将各自的公钥共享给对方
6、双方用各自的私钥和对方发过来的公钥生成另一个密钥。根据该算法,双方各自计算出来的两个密钥是完全一样的,即“共同的秘密”
7、该密钥被用于本次通讯所有内容的加密
这个共享密钥的加密方式被称为二进制数据包协议(binary packet protocol)。该过程能够让双方平等的参与密钥生成的过程,而不是由单方掌握。这种共享密钥生成的过程是安全的,双方没有交换过任何未经加密的信息。
生成的密钥是对称式密钥,一方用于加密信息的密钥等同于另一方用于解密信息的密钥,而任何第三方由于不持有该密钥,是无法解密双方传递的内容的。
会话加密通道建立后,SSH开始进入用户认证阶段。
服务器验证用户
下一步,服务器验证用户身份以决定是否准许其访问。验证有不同的方式,选择的验证方式取决于服务器的支持。
最简单的验证是密码验证:服务器要求客户端输入密码,客户端输入的密码经过上述的通道加密传输给服务器。
虽然密码是加密过的,然而该方法仍然不被推荐,因为用户经常为了省事而使用过于简单的密码,而这类密码很容易就能够被自动化脚本破解。
最流行的验证方式是SSH密钥对,这也是当前最推荐的方式。SSH密钥对是非对称密钥,私钥和公钥分别用于不同的功能。
公钥用于加密,而私钥用于解密。公钥可以随意上传、共享,因为公钥的流通并不会危及到私钥的保密性。
SSH密钥对的验证过程起始于上一部分加密通道建立之后,其具体执行步骤如下:
1、客户端发送自己的密钥ID给服务器端
2、服务器在自己的authorized_keys文件中检查是否有此ID的公钥
3、如果有,则服务器生成一个随机数,用该公钥加密之
4、服务器将加密后的随机数发给客户端
5、客户端用私钥解密该随机数,然后在本地为随机数做MD5哈希
6、客户端将该MD5哈希发给服务器端
7、服务器端为一开始自己生成的随机数也做一个MD5哈希,然后用通讯通道“公共的密钥”将该哈希加密,再跟客户端发来的内容进行对比。如果双方内容一致,则通过验证,开放访问权限给客户端
简单来说,服务器端用公钥加密信息,客户端用私钥解密信息以证明自己持有私钥。该过程同时使用了对称加密和非对称加密,两种方式各有自己的功用。
用户密码登录
客户端
命令如下:
$ ssh 用户名@IP地址 -p 端口号
用户名:为要登录的服务器B中已存在的用户账户名
IP地址:为服务器B的IP地址
-p 端口号:用来指定端口号,默认为22
第一次登录时,会提示如下提示:
The authenticity of host 'IP地址 (IP地址)' can't be established.
RSA key fingerprint is SHA256:4bYWLpgE6x+NhFcweGtZuKLsHX7IQOGhS06t5dpByHQ.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'IP地址' (RSA) to the list of known hosts.
大概意思是说,你正在访问的主机不能验证它的真实性,它的RSA key(当前访问主机的公钥)指纹是怎样的,你确定要继续连接吗?
输入yes继续,会提示,已永久把当前访问主机的RSA key添加到了已知主机文件(用户目录下,.ssh 文件夹中的knwon_hosts文件)中。之后再次 SSH 登录就不再有该提示了。
接着,输入登录账户的密码即可。
服务器
SSH 密码登录,需要服务器开启密码验证权限,编辑服务器SSH配置命令如下:
$ sudo vim /etc/ssh/sshd_config
在 sshd_config 文件中,Protocol 2 下面 #PasswordAuthentication yes,将前面的#号去掉,保存退出。
公钥登录
公钥登录,即免密码登录。避免的每次登录都要输入的麻烦,也防止了中间人攻击。是SSH远程登录最常用的登录方式。
公钥登录:方法一
Step 1:创建公钥/私钥对ssh-keygen
$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/cloudera/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
提示输入密钥对名称,直接回车,使用默认名称即可;
提示输入密码(使用私钥时,要输入密码),直接回车,不使用密码即可。
Step 2:将id_rsa.pub上传到要远程登录到的机器上
$ scp ~/.sshid_rsa.pub root@IP地址:~/.ssh
Step 3:将公钥添加到authorized_keys中
首先,登录服务器B,在进行下面的操作。
$ cd ~/.ssh
$ cat id_rsa.pub >> ~/.ssh/authorized_keys
Step 4:更改文件权限
$ chmod 600 ~/.ssh/authorized_keys
Step 5:编辑SSH服务器配置文件
$ sudo vim /etc/ssh/sshd_config
找到 #PubkeyAuthentication yes,删除 #号,保存退出。
重启 ssh 服务
$ sudo service sshd restart
Step 6:SSH公钥登录
$ ssh root@IP地址
也可指定验证私钥:
$ ssh -i id_rsa root@ip地址
公钥登录:法二
本地主机A,生成密钥对后:
$ ssh-copy-id root@IP地址
```
然后如方法一,配置服务器即可。
##SSH免密码失败原因定位分析
a) 服务器B上.ssh目录的权限必须是700
b) 服务器B上.authorized_keys文件权限必须是600或者644
c) 服务器B上用户家目录文件权限必须是700,比如用户名是aischang,则/home/aischang这个目录权限必须是700
d) 服务器B上SELinux关闭为disabled,可以使用命令修改setenforce 0 ,查看状态的命令为getenforce或者 查看/etc/selinux/config 文件中是否是disabled
注:SELinux共有3个状态enforcing (执行中)、permissive (不执行但产生警告)、disabled(关闭)。
setenforce 设置的状态是临时的,重启失效。setenforce 1 设置SELinux 成为enforcing模式,setenforce 0 设置SELinux 成为permissive模式。
可以通过一下命令编辑SELinux配置:
sudo vim /etc/selinux/config
将 SELinux=disabled 修改为 SELinux=enforce,然后重启服务器
e) 有可能是StrictModes问题
编辑 vi /etc/ssh/sshd_config
找到#StrictModes yes改成StrictModes no
f) 有可能是PubkeyAuthentication问题
编辑 vi /etc/ssh/sshd_config
如果还不行,可以在服务器A上用ssh -vvv 机器B的ip 查看详情,根据输出内容具体问题具体分析了
注:ssh_config 为SSH客户端配置文件,sshd_config 为SSH服务端配置文件。
