SSH 远程登录 基础知识

本文汇总本人在网上查到的各种资料，并重新理顺思路，进行组织和排版，修复原文中的错别字等。

定义

SSH (安全外壳协议)为 Secure Shell 的缩写，由IETF(Internet Engineering Task Force)的网络工作小组（NetworkWorkingGroup）所制定。

SSH为建立在应用层和传输层基础上的安全协议。

SSH是目前较可靠的专为远程登录会话和其他网络服务提供安全性的协议。

利用SSH协议可以有效防止远程管理过程中的信息泄露问题。

SSH最初是UNIX系统上的一个程序，后来又迅速扩展到其他操作平台。SSH的主要目的是用来取代传统的telnet和R系列命令（rlogin,rsh,rexec等）远程登录和远程执行命令的工具，实现对远程登录和远程执行命令加密。防止由于网络监听而出现的密码泄漏，对系统构成威胁。

SSH客户端适用于多种平台。几乎所有UNIX平台—包括HP-UX、Linux、AIX、Solaris、DigitalUNIX、Irix，以及其他平台，都可运行SSH。

SSH 协议目前有SSH1和SSH2，SSH2协议兼容SSH1。

应用软件

目前实现SSH1和SSH2协议的主要软件有

OpenSSH

SSH Communications

前者是OpenBSD组织开发的一款免费的SSH软件。
后者是SSH Communications Security Corporation 公司的商业软件。

因此在linux、FreeBSD、OpenBSD、NetBSD等免费类UNIX系统中，通常都使用OpenSSH作为SSH协议的实现软件。

需要注意的是OpenSSH和SSH Communications的登录公钥/私钥的格式是不同的，如果想用SSH Communications产生的私钥/公钥对来登入到使用OpenSSH的linux系统，需要对公钥/私钥进行格式转换。

在出现SSH之前，系统管理员需要登入远程服务器执行系统管理任务时，都是用telnet来实现的，telnet协议采用明文密码传送，在传送过程中对数据也不加密，很容易被不怀好意的人在网络上监听到密码。

同样，在SSH工具出现之前R系列命令也很流行（由于这些命令都以字母r开头，故把这些命令合称为R系列命令R是remote的意思），比如rexec是用来执行远程服务器上的命令的，和telnet的区别是telnet需要先登录远程服务器再实行相关的命令，而R系列命令可以把登录和执行命令并登出系统的操作整合在一起。这样就不需要为在远程服务器上执行一个命令而特地登陆服务器了。

SSH出现后R系列命令已经基本废止了，如果你从来都不知道UNIX历史上有过这些命令，那最好了，如果你知道那么彻底忘记他们吧。telnet命令除了在路由器等网络设备中还使用外，在正式的生产系统中也基本废止不用了，目前telnet最大的用处是用来检测某个网络端口是否正常打开并提供服务，比如我经常用telnet 10.0.0.1 25来检查我的邮件服务器是否正常。

SSH是一种加密协议，不仅在登录过程中对密码进行加密传送，而且对登录后执行的命令的数据也进行加密，这样即使别人在网络上监听并截获了你的数据包，他也看不到其中的内容。

OpenSSH已经是目前大多数linux和BSD操作系统（甚至cygwin）的标准组件。

验证方式

从客户端来看，SSH提供两种级别的安全验证。

第一种级别（基于口令的安全验证）

只要你知道自己帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密，但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器，也就是受到“中间人”这种方式的攻击。

第二种级别（基于密匙的安全验证）

需要依靠 密匙，也就是你必须为自己创建一对密匙，并把公用密匙放在需要访问的服务器上。如果你要连接到SSH服务器上，客户端软件就会向服务器发出请求，请求用你的密匙进行安全验证。服务器收到请求之后，先在该服务器上你的主目录下寻找你的公用密匙，然后把它和你发送过来的公用密匙进行比较。如果两个密匙一致，服务器就用公用密匙加密“质询”（challenge）并把它发送给客户端软件。客户端软件收到“质询”之后就可以用你的私人密匙解密再把它发送给服务器。

用这种方式，你必须知道自己密匙的口令。但是，与第一种级别相比，第二种级别不需要在网络上传送口令。

第二种级别不仅加密所有传送的数据，而且“中间人”这种攻击方式也是不可能的（因为他没有你的私人密匙）。但是整个登录的过程可能需要10秒。

层次

SSH 主要由三部分组成：

传输层协议 [SSH-TRANS]

提供了服务器认证，保密性及完整性。此外它有时还提供压缩功能。 SSH-TRANS 通常运行在 TCP/IP连接上，也可能用于其它可靠数据流上。 SSH-TRANS 提供了强力的加密技术、密码主机认证及完整性保护。该协议中的认证基于主机，并且该协议不执行 用户认证。更高层的用户认证协议可以设计为在此协议之上。

用户认证协议 [SSH-USERAUTH]

用于向服务器提供客户端用户鉴别功能。它运行在 传输层协议 SSH-TRANS 上面。当SSH-USERAUTH 开始后，它从低层协议那里接收会话 标识符（从第一次 密钥交换中的交换 哈希H ）。会话标识符唯一标识此会话并且适用于标记以证明私钥的所有权。 SSH-USERAUTH 也需要知道低层协议是否提供保密性保护。

连接协议 [SSH-CONNECT]

将多个加密隧道分成逻辑通道。它运行在用户认证协议上。它提供了交互式登录话路、远程 命令执行、转发 TCP/IP 连接和转发 X11 连接。

结构

SSH是由 客户端和 服务端的软件组成的，有两个不兼容的版本分别是：1.x和2.x。 用SSH 2.x的客户程序是不能连接到SSH 1.x的服务程序上去的。OpenSSH 2.x同时支持SSH 1.x和2.x。

服务端是一个 守护进程(daemon)，他在后台运行并响应来自客户端的连接请求。服务端一般是sshd进程，提供了对远程连接的处理，一般包括公共密钥认证、密钥交换、 对称密钥加密和非安全连接。

客户端包含ssh程序以及像 scp（远程拷贝）、slogin（远程登陆）、 sftp（安全文件传输）等其他的应用程序。

他们的工作机制大致是本地的客户端发送一个连接请求到远程的服务端，服务端检查申请的包和IP地址再发送密钥给SSH的客户端，本地再将密钥发回给服务端，自此连接建立。SSH 1.x和SSH 2.x在连接协议上有一些差异。

一旦建立一个安全传输层连接，客户机就发送一个服务请求。当用户认证完成之后，会发送第二个服务请求。这样就允许新定义的协议可以与上述协议共存。连接协议提供了用途广泛的各种通道，有标准的方法用于建立安全交互式会话外壳和转发（“ 隧道技术”）专有 TCP/IP 端口和 X11 连接。

SSH被设计成为工作于自己的基础之上而不利用超级服务器( inetd)，虽然可以通过inetd上的 tcpd来运行SSH进程，但是这完全没有必要。启动SSH服务器后，sshd运行起来并在默认的22端口进行监听（你可以用 # ps -waux | grep sshd 来查看sshd是否已经被正确的运行了）如果不是通过inetd启动的SSH，那么SSH就将一直等待连接请求。当请求到来的时候SSH守护进程会产生一个子进程，该子进程进行这次的连接处理。

OpenSSH 软件

OpenSSH软件包包含以下命令：

sshdSSH       服务端程序sftp-server   SFTP服务端程序（类似FTP但提供数据加密的一种协议）scp           非交互式sftp-server的客户端，用来向服务器上传/下载文件sftp　　       交互式sftp-server客户端，用法和ftp命令一样。slogin　　　　ssh的别名ssh　　　　　 SSH协议的客户端程序，用来登入远程系统或远程执行命令ssh-add　　　SSH代理相关程序，用来向SSH代理添加dsa　keyssh-agent   ssh代理程序ssh-keyscan　ssh　public key 生成器

SSH最常用的使用方式是代替telnet进行远程登陆。不同于telnet的密码登陆，SSH还同时支持Publickey、Keybord Interactive、GSSAPI等多种登入方式，不像telnet那样只有输入系统密码一种途径。目前最常用的登陆方式还是传统的Password方式和Publickey方式登陆。下面以Redhat　AS4为例，举例说明这两种登陆方式的用法。

ssh远程登陆使用指南
http://bbs.chinaunix.net/thread-2113237-1-1.html