什么是SSH

一、什么是远程连接服务器

1、远程连接服务器通过文字或图形接口方式来远程登录系统，让你在远程终端前登录linux主机以取得可操作主机接口（shell），而登录后的操作感觉就像是坐在系统前面一样。

2、远程连接服务器的功能

1）分享主机运算能力

2）服务器类型，有限度开放连接

3）工作站类型，只对内网开放

3、常见的远程管理工具方式：（以登录的连接界面来分类）

文字接口

         明文传输：Telnet、RSH等，目前非常少用

         加密传输：SSH为主，已经取代明文传输

图形接口：XDMCP、VNC、XRDP等

1）RDP(remote desktop protocal )协议，windows远程桌面管理（图形界面），win+R 输入mstsc

2）telenet CLI界面下远程管理，几乎所有操作系统都有（内容明文传输）

3）ssh  CLI界面下的远程管理，几乎所有操作系统都有（内容加密传输） 类unix系统下主要

4、远程管理方式（linux BSD Macos）     

RFB （remote framebuffer） 图形化远程管理协议 VNC (Virtual Network Computing)使用的协议。（在linux unix Macos 下的图形界面远程管理工具）

二、文字接口连接服务器

SSH（Secure Shell Protocol，安全的壳程序协议），它可以通过数据包加密技术将等待传输的数据包加密后再传输到网络上。ssh协议本身提供两个服务器功能：一个是类似telnet的远程连接使用shell的服务器；另一个就是类似ftp服务的sftp-server，提供更安全的ftp服务。

SSH 为建立在应用层基础上的安全协议。SSH 是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。

1、SSH代表安全外壳(Secure Shell)，它现在是通过互联网访问网络设备和服务器的唯一的主要协议。

2、SSH默认情况下通过端口22运行；端口可以修改

3、SSH是一种非常安全的协议，因为它共享并发送经过加密的信息，从而为通过互联网等不安全的网络访问的数据提供了机密性和安全性。

4、一旦通讯的数据使用SSH经过加密，就极难解压和读取该数据，所以我们的密码在公共网络上传输也变得很安全。

5、SSH还使用公钥用于对访问服务器的用户验证身份，这是一种很好的做法，为我们提供了极高的安全性。

6、SSH主要用在所有流行的操作系统上，比如Unix、Solaris、Red-Hat Linux、CentOS和Ubuntu等。

三、TELNET

1、Telnet是电信(Telecommunications)和网络(Networks)的联合缩写，这是一种在UNIX平台上最为人所熟知的网络协议。

2、Telnet使用端口23，它是专门为局域网设计的。

3、Telnet不是一种安全通信协议，因为它并不使用任何安全机制，通过网络/互联网传输明文格式的数据，包括密码，所以谁都能嗅探数据包，获得这个重要信息。

4、Telnet中没有使用任何验证策略及数据加密方法，因而带来了巨大的安全威胁，这就是为什么telnet不再用于通过公共网络访问网络设备和服务器。

四、连接加密技术

1、目前常见的网络数据包加密技术通常是通过“非对称**系统”来处理的。主要通过两把不一样的公钥与私钥来进行加密与解密的过程。

公钥（public key）：提供给远程主机进行数据加密的行为，所有人都可获得你的公钥来将数据加密。

私钥（private key）：远程主机使用你的公钥加密的数据，在本地端就能够使用私钥来进行解密。私钥只有自己拥有。

2、对称**加密，又称私钥加密，即信息的发送方和接收方用一个**去加密和解密数据

五、秘钥技术证书作用

1、PFX

公钥加密技术12号标准（Public Key Cryptography Standards #12，PKCS#12）为存储和传输用户或服务器私钥、公钥和证书指定了一个可移植的格式。它是一种二进制格式，这些文件也称为PFX文件。

CER： 用于存储公钥证书的文件格式

RSA：算法是一种非对称密码算法

2、PKI（Public Key Infrastructure ） 即"公钥基础设施"，是一种遵循既定标准的**管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的**和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。

3、PKI体系能够实现的功能有：

1）身份认证

2）数据完整性

3）数据机密性

4）操作的不可否认性

4、什么是证书

证书用于保证**的合法性

证书把公钥与拥有对应私钥的主体标识信息捆绑在一起

证书的主体可以是用户、计算机、服务等

证书格式遵循X.509标准

X.509是由国际电信联盟制定的数字证书标准

使用者的公钥值

使用者标识信息（如名称和电子邮件地址）

有效期（证书的有效时间）

颁发者标识信息

颁发者的数字签名

证书可以应用于

Web服务器身份验证

Web用户身份验证

安全电子邮件

Internet协议安全(IPSec)

数字证书由权威公正的第三方机构即CA签发

5、CA的作用

CA（Certificate Authority，证书颁发机构）

CA的核心功能是颁发和管理数字证书

CA的作用

处理证书申请

鉴定申请者是否有资格接收证书

证书的发放

证书的更新

接收最终用户数字证书的查询、撤销

产生和发布证书吊销列表（CRL）

数字证书的归档

**归档

历史数据归档

6、证书发放过程

六、ssh远程连接验证方式

从客户端来看，SSH提供两种级别的安全验证。

1）第一种级别（基于口令的安全验证）

只要你知道自己帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密，但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器，也就是受到“中间人”这种方式的攻击。

Mod_ssl

2）第二种级别（基于密匙的安全验证）

需要依靠密匙，也就是你必须为自己创建一对密匙，并把公用密匙放在需要访问的服务器上。如果你要连接到SSH服务器上，客户端软件就会向服务器发出请求，请求用你的密匙进行安全验证。服务器收到请求之后，先在该服务器上你的主目录下寻找你的公用密匙，服务器就用公用密匙加密“质询”（challenge）并把它发送给客户端软件。客户端软件收到“质询”之后就可以用你的私人密匙解密再把它发送给服务器。

用这种方式，你必须知道自己密匙的口令。但是，与第一种级别相比，第二种级别不需要在网络上传送口令。

第二种级别不仅加密所有传送的数据，而且“中间人”这种攻击方式也是不可能的（因为他没有你的私人密匙）。但是整个登录的过程可能需要10秒  。

七、ssh建立连接的完整过程

SSH工作过程：在整个通讯过程中，为实现SSH的安全连接，服务端与客户端要经历如下五个阶段：

过程	说明
版本号协商阶段	SSH目前包括SSH1和SSH2两个版本，双方通过版本协商确定使用的版本
**和算法协商阶段	SSH支持多种加密算法，双方根据本端和对端支持的算法，协商出最终使用的算法
认证阶段	SSH客户端向服务器端发起认证请求，服务器端对客户端进行认证
会话请求阶段	认证通过后，客户端向服务器端发送会话请求
交互会话阶段	会话请求通过后，服务器端和客户端进行信息的交互

1、版本协商阶段

1）服务器端打开端口22，等待客户端连接；

2）客户端向服务器端发起TCP初始连接请求，TCP连接建立后，服务器向客户端发送第一个报文，包括版本标志字符串，格式为“SSH-<主协议版本号>.<次协议版本号>.<软件版本号>”，协议版本号由主版本号和次版本号组成，软件版本号主要是为调试使用。

3）客户端收到报文后，解析该数据包，如果服务器的协议版本号比自己的低，且客户端能支持服务器端的低版本，就使用服务器端的低版本协议号，否则使用自己的协议版本号。

4）客户端回应服务器一个报文，包含了客户端决定使用的协议版本号。服务器比较客户端发来的版本号，决定是否能同客户端一起工作。如果协商成功，则进入**和算法协商阶段，否则服务器断开TCP连接。

说明：上述报文都是采用明文方式传输。

2、**和算法协商阶段

1）服务器端和客户端分别发送算法协商报文给对端，报文中包含自己支持的公钥算法列表、加密算法列表、MAC（Message Authentication Code，消息验证码）算法列表、压缩算法列表等等。

2）服务器端和客户端根据对端和本端支持的算法列表得出最终使用的算法。

3）服务器端和客户端利用DH交换（Diffie-Hellman Exchange）算法、主机**对等参数，生成会话**和会话ID。

由此，服务器端和客户端就取得了相同的会话**和会话ID。对于后续传输的数据，两端都会使用会话**进行加密和解密，保证了数据传送的安全。在认证阶段，两端会使用会话用于认证过程。

3、会话**的生成：

1）客户端需要使用适当的客户端程序来请求连接服务器，服务器将服务器的公钥发送给客户端。（服务器的公钥产生过程：服务器每次启动sshd服务时，该服务会主动去找/etc/ssh/ssh_host*文件，若系统刚装完，由于没有这些公钥文件，因此sshd会主动去计算出这些需要的公钥文件，同时也会计算出服务器自己所需要的私钥文件。）

2）服务器生成会话ID，并将会话ID发给客户端。

3）若客户端第一次连接到此服务器，则会将服务器的公钥数据记录到客户端的用户主目录内的~/.ssh/known_hosts。若是已经记录过该服务器的公钥数据，则客户端会去比对此次接收到的与之前的记录是否有差异。客户端生成会话**，并用服务器的公钥加密后，发送给服务器。

4）服务器用自己的私钥将收到的数据解密，获得会话**。

5）服务器和客户端都知道了会话**，以后的传输都将被会话**加密。

4、认证阶段

SSH提供两种认证方法：

基于口令的认证（password认证）：客户端向服务器发出password认证请求，将用户名和密码加密后发送给服务器，服务器将该信息解密后得到用户名和密码的明文，与设备上保存的用户名和密码进行比较，并返回认证成功或失败消息。

基于**的认证（publickey认证）：客户端产生一对公共**，将公钥保存到将要登录的服务器上的那个账号的家目录的.ssh/authorized_keys文件中。认证阶段：客户端首先将公钥传给服务器端。服务器端收到公钥后会与本地该账号家目录下的authorized_keys中的公钥进行对比，如果不相同，则认证失败；否则服务端生成一段随机字符串，并先后用客户端公钥和会话**对其加密，发送给客户端。客户端收到后将解密后的随机字符串用会话**发送给服务器。如果发回的字符串与服务器端之前生成的一样，则认证通过，否则，认证失败。

注：服务器端对客户端进行认证，如果认证失败，则向客户端发送认证失败消息，其中包含可以再次认证的方法列表。客户端从认证方法列表中选取一种认证方法再次进行认证，该过程反复进行。直到认证成功或者认证次数达到上限，服务器关闭连接为止。