Secure Shell（SSH）是一種加密?網(wǎng)絡(luò)協(xié)議，用于在不安全的網(wǎng)絡(luò)上安全地運(yùn)行網(wǎng)絡(luò)服務(wù)。

SSH通過客戶端 - 服務(wù)器體系結(jié)構(gòu)中的不安全網(wǎng)絡(luò)提供安全通道，將SSH客戶端應(yīng)用程序與SSH服務(wù)器相連接。

常見的應(yīng)用程序包括遠(yuǎn)程命令行登錄和遠(yuǎn)程命令執(zhí)行，但任何網(wǎng)絡(luò)服務(wù)都可以通過SSH進(jìn)行安全保護(hù)。

協(xié)議規(guī)范區(qū)分了兩個(gè)主要版本，分別稱為SSH-1和SSH-2。最著名的示例應(yīng)用程序是用戶遠(yuǎn)程登錄計(jì)算機(jī)系統(tǒng)。

該協(xié)議最明顯的應(yīng)用是在類似Unix的操作系統(tǒng)上訪問shell帳戶，但它在Windows上也有一些有限的用途。在2015年，微軟宣布他們將在未來的版本中包含對(duì)SSH的本地支持。

SSH被設(shè)計(jì)為替代Telnet和不安全的遠(yuǎn)程shell協(xié)議，如Berkeley?rlogin，rsh和rexec協(xié)議。這些協(xié)議以明文形式發(fā)送信息，特別是密碼，使它們易于使用數(shù)據(jù)包分析進(jìn)行截取和披露。SSH使用的加密旨在通過不安全的網(wǎng)絡(luò)（如Internet）提供數(shù)據(jù)的機(jī)密性和完整性，盡管Edward Snowden泄漏的文件表明國(guó)家安全局有時(shí)可以解密SSH，允許他們讀取SSH會(huì)話的內(nèi)容。

2017年7月6日，政府透明度組織維基解密確認(rèn)，美國(guó)中央情報(bào)局開發(fā)的工具可以安裝在運(yùn)行Microsoft?Windows或GNU / Linux操作系統(tǒng)的計(jì)算機(jī)上，以攔截受害系統(tǒng)上SSH客戶端啟動(dòng)的SSH連接。

定義

如果需要，SSH使用公鑰加密來驗(yàn)證遠(yuǎn)程計(jì)算機(jī)并允許它對(duì)用戶進(jìn)行身份驗(yàn)證。^[有幾種使用SSH的方式;?一種是使用自動(dòng)生成的公私密鑰對(duì)來簡(jiǎn)單地加密網(wǎng)絡(luò)連接，然后使用密碼認(rèn)證登錄。

另一種方法是使用手動(dòng)生成的公私密鑰對(duì)來執(zhí)行認(rèn)證，允許用戶或程序登錄而不必指定密碼。在這種情況下，任何人都可以生成一對(duì)不同的密鑰（公共和私人）。公鑰被放置在所有必須允許訪問匹配私鑰所有者的計(jì)算機(jī)上（所有者保密私鑰）。雖然身份驗(yàn)證基于私鑰，但身份驗(yàn)證過程中永遠(yuǎn)不會(huì)通過網(wǎng)絡(luò)傳輸密鑰本身。SSH只驗(yàn)證提供公鑰的同一個(gè)人是否擁有匹配的私鑰。在SSH的所有版本中它來驗(yàn)證未知是重要的公共密鑰，即關(guān)聯(lián)與身份的公共密鑰，然后再接受它們?yōu)橛行У摹?/span>在未經(jīng)驗(yàn)證的情況下接受攻擊者的公鑰將授權(quán)未經(jīng)授權(quán)的攻擊者作為有效用戶。

密鑰管理

在類Unix系統(tǒng)上，授權(quán)公鑰列表通常存儲(chǔ)在允許遠(yuǎn)程登錄的用戶的主目錄中，文件為?/ .ssh / authorized_keys。這個(gè)文件只有在除了所有者和根以外的任何東西都不能被寫入的情況下，才受到SSH的尊重。當(dāng)遠(yuǎn)程端存在公鑰并且本地端存在匹配的私鑰時(shí)，不再需要輸入密碼（某些軟件（如消息傳遞接口（MPI）堆棧）可能需要此無密碼訪問權(quán)限才能運(yùn)行正確）。但是，為了增加安全性，可以使用密碼鎖定私鑰本身。

私鑰也可以在標(biāo)準(zhǔn)位置查找，其完整路徑可以指定為命令行設(shè)置（ssh?選項(xiàng)-i）。在SSH-凱基工具產(chǎn)生公鑰和私鑰，總是成對(duì)出現(xiàn)。

SSH還支持通過自動(dòng)生成的密鑰加密的基于密碼的身份驗(yàn)證。在這種情況下，攻擊者可以模仿合法的服務(wù)器端，請(qǐng)求密碼并獲取它（中間人攻擊）。但是，這只有在雙方之前從未認(rèn)證過的情況下才有可能，因?yàn)镾SH記住了服務(wù)器端以前使用的密鑰。SSH客戶端在接受新的，以前未知的服務(wù)器的密鑰之前發(fā)出警告。密碼認(rèn)證可以被禁用。

用法

SSH通常用于登錄遠(yuǎn)程機(jī)器并執(zhí)行命令，但它也支持隧道，轉(zhuǎn)發(fā)?TCP端口和X11連接;?它可以使用關(guān)聯(lián)的SSH文件傳輸（SFTP）或安全副本（SCP）協(xié)議傳輸文件。^[2]?SSH使用客戶端 - 服務(wù)器模型。

在標(biāo)準(zhǔn)TCP端口?22已被分配用于接觸SSH服務(wù)器。

SSH?客戶端程序通常用于建立到接受遠(yuǎn)程連接的SSH?守護(hù)程序的連接。兩者通常都存在于大多數(shù)現(xiàn)代操作系統(tǒng)中，包括macOS，大多數(shù)Linux，OpenBSD，FreeBSD，NetBSD，Solaris和OpenVMS。值得注意的是，Windows是少數(shù)幾個(gè)默認(rèn)不包含SSH的現(xiàn)代桌面/服務(wù)器操作系統(tǒng)之一。專有，免費(fèi)軟件和開源（例如PuTTY，和作為Cygwin?^的一部分的OpenSSH版本）存在各種復(fù)雜性和完整性的版本。本地Linux文件管理器（例如Konqueror）可以使用FISH協(xié)議通過拖放功能提供分割窗格GUI。開源Windows程序WinSCP?使用PuTTY作為后端提供了類似的文件管理（同步，復(fù)制，遠(yuǎn)程刪除）功能。WinSCP?和PuTTY?都可以直接從USB驅(qū)動(dòng)器運(yùn)行，而無需在客戶機(jī)上安裝。在Windows中設(shè)置SSH服務(wù)器通常需要安裝（例如，通過安裝Cygwin^[）。在?Windows 10版本1709中，可以使用官方的OpenSSH Win32端口。

SSH在云計(jì)算中非常重要，可以解決連接問題，避免直接在Internet上暴露基于云的虛擬機(jī)的安全問題。SSH隧道可以通過互聯(lián)網(wǎng)提供安全路徑，通過防火墻到虛擬機(jī)。

歷史和發(fā)展

版本1.x?

1995年，芬蘭赫爾辛基科技大學(xué)的研究員TatuYl?nen設(shè)計(jì)了第一個(gè)版本的協(xié)議（現(xiàn)在稱為SSH-1），并在他的大學(xué)網(wǎng)絡(luò)上發(fā)起了密碼嗅探攻擊。?SSH的目標(biāo)是取代早期的rlogin，TELNET，ftp?和rsh協(xié)議，它們不提供強(qiáng)認(rèn)證，也不保證機(jī)密性。Yl?nen將其實(shí)??施作為免費(fèi)軟件發(fā)布在1995年7月，該工具迅速流行起來。到1995年底，SSH用戶群已增至50個(gè)國(guó)家的20,000名用戶。

1995年12月，Yl?nen成立了SSH通信安全公司，以推廣和開發(fā)SSH。原始版本的SSH軟件使用了各種免費(fèi)軟件，例如GNU libgmp，但由SSH Communications Security發(fā)布的更新版本演變?yōu)槿找?/span>專有的軟件。

據(jù)估計(jì)，到2000年，用戶數(shù)量已增長(zhǎng)到200萬。

版本2.x?

“Secsh”是負(fù)責(zé)SSH協(xié)議第2版的IETF工作組的官方Internet工程任務(wù)組（IETF）名稱。2006年，該協(xié)議的修訂版本SSH-2被采納為標(biāo)準(zhǔn)。該版本與SSH-1不兼容。SSH-2通過SSH-1提供安全性和功能改進(jìn)。例如，通過Diffie-Hellman密鑰交換和通過消息認(rèn)證碼進(jìn)行強(qiáng)大的完整性檢查，可以提供更好的安全性。SSH-2的新功能包括通過單個(gè)SSH連接運(yùn)行任意數(shù)量的shell會(huì)話。由于SSH-2在SSH-1上的優(yōu)越性和普及性，一些實(shí)現(xiàn)例如Lsh?和Dropbear?僅支持SSH-2協(xié)議。

版本1.99?

在2006年1月，在版本2.1建立之后，RFC 4253指出，支持2.0和以前版本的SSH的SSH服務(wù)器應(yīng)該將它的版本識(shí)別為1.99。這不是一個(gè)真正的版本，而是一種識(shí)別向后兼容性的方法。

OpenSSH和OSSH?

在1999年，開發(fā)人員想要一個(gè)免費(fèi)的軟件版本，然后回到原來的1.2.12版本的原始SSH程序中，該程序是在開源許可證下最后發(fā)布的。Bj?rnGr?nvall的OSSH隨后從該代碼庫(kù)開發(fā)而來。此后不久，OpenBSD的開發(fā)分叉Gr?nvall的代碼，并在其上做了廣泛的工作，創(chuàng)造OpenSSH的，它隨2.6版本的OpenBSD。從這個(gè)版本開始，一個(gè)“可移植性”分支形成了將OpenSSH移植到其他操作系統(tǒng)。

截至2005年，OpenSSH是最受歡迎的SSH實(shí)現(xiàn)中的一種，在大量操作系統(tǒng)中默認(rèn)使用。OSSH同時(shí)已經(jīng)過時(shí)。OpenSSH繼續(xù)保持并支持SSH-2協(xié)議，已經(jīng)從OpenSSH 7.6版本的代碼庫(kù)中刪除了對(duì)SSH-1的支持。

用途

通過SSH?隧道傳輸X11應(yīng)用程序的示例：用戶'josh'已經(jīng)從本地機(jī)器'foofighter'連接到遠(yuǎn)程機(jī)器'tengwar'以運(yùn)行xeyes。 使用運(yùn)行在Windows上的PuTTY通過SSH?登錄到OpenWrt。

SSH是一種協(xié)議，可用于許多平臺(tái)上的許多應(yīng)用程序，包括大多數(shù)Unix變體（Linux，BSD包括Apple的?macOS和Solaris）以及Microsoft Windows。下面的一些應(yīng)用程序可能需要僅與特定SSH客戶端或服務(wù)器兼容的功能。例如，使用SSH協(xié)議來實(shí)現(xiàn)VPN是可能的，但目前只有OpenSSH服務(wù)器和客戶端實(shí)現(xiàn)。

• 要登錄到遠(yuǎn)程主機(jī)上的shell（替換Telnet和rlogin）
• 為了在遠(yuǎn)程主機(jī)上執(zhí)行單個(gè)命令（替換rsh）
• 為了設(shè)置自動(dòng)（無密碼）登錄到遠(yuǎn)程服務(wù)器（例如，使用OpenSSH?）
• 安全的文件傳輸
• 結(jié)合rsync備份，有效且安全地復(fù)制和鏡像文件
• 為轉(zhuǎn)發(fā)或隧道的端口（不要與混淆VPN，其路由不同網(wǎng)絡(luò)之間的數(shù)據(jù)包，或橋?2個(gè)廣播域到一個(gè)）。
• 用作完整的加密VPN。請(qǐng)注意，只有OpenSSH服務(wù)器和客戶端支持此功能。
• 對(duì)于從遠(yuǎn)程主機(jī)轉(zhuǎn)發(fā)X（可能通過多個(gè)中間主機(jī)）
• 用于通過與支持SOCKS協(xié)議的?SSH客戶端的加密代理連接來瀏覽網(wǎng)頁(yè)。
• 使用SSHFS將本地計(jì)算機(jī)上的目錄作為文件系統(tǒng)安全地掛載到遠(yuǎn)程服務(wù)器上。
• 用于通過上述一種或多種機(jī)制自動(dòng)遠(yuǎn)程監(jiān)控和管理服務(wù)器。
• 用于支持SSH的移動(dòng)或嵌入式設(shè)備上的開發(fā)。

文件傳輸協(xié)議

Secure Shell協(xié)議用于多種文件傳輸機(jī)制。

• 安全拷貝（SCP），通過SSH?從RCP協(xié)議發(fā)展而來
• rsync，旨在比SCP更有效
• SSH文件傳輸協(xié)議（SFTP），一種安全的FTP替代品（不要與SSH或FTPS上的FTP混淆）
• 1998年發(fā)布的通過shell協(xié)議傳輸?shù)奈募?/span>（又名FISH），通過SSH?從Unix shell命令演變而來
• 快速和安全協(xié)議（FASP），又名Aspera，使用SSH進(jìn)行控制，使用UDP端口進(jìn)行數(shù)據(jù)傳輸。

建筑

SSH-2二進(jìn)制包的示意圖。

SSH-2協(xié)議具有內(nèi)部架構(gòu)（在RFC 4251中定義），具有良好分離的層，即：

• 在傳輸層（RFC 4253）。該層處理初始密鑰交換以及服務(wù)器認(rèn)證，并設(shè)置加密，壓縮和完整性驗(yàn)證。它向上層公開了一個(gè)用于發(fā)送和接收每個(gè)大小最多為32,768字節(jié)的明文數(shù)據(jù)包的接口（實(shí)現(xiàn)中可以允許使用更多的接口）。傳輸層還安排密鑰重新交換，通常在1 GB數(shù)據(jù)傳輸后或1小時(shí)后（以先發(fā)生者為準(zhǔn)）。
• 所述用戶認(rèn)證層（RFC 4252）。該層處理客戶端認(rèn)證并提供多種認(rèn)證方法。身份驗(yàn)證是由客戶端驅(qū)動(dòng)的：當(dāng)系統(tǒng)提示您輸入密碼時(shí)，可能是SSH客戶端提示，而不是服務(wù)器。服務(wù)器僅響應(yīng)客戶端的身份驗(yàn)證請(qǐng)求。廣泛使用的用戶認(rèn)證方法包括以下內(nèi)容：
  • 密碼：一種簡(jiǎn)單密碼驗(yàn)證的方法，包括允許更改密碼的設(shè)施。并非所有的程序都使用這種方法
  • publickey：基于公共密鑰的身份驗(yàn)證方法，通常至少支持DSA或RSA密鑰對(duì)，其他實(shí)現(xiàn)也支持X.509證書。
  • 鍵盤交互（RFC 4256）：一種通用的方法，其中服務(wù)器發(fā)送一個(gè)或多個(gè)提示輸入信息，客戶端顯示它們并發(fā)回用戶鍵入的響應(yīng)。用于提供一次性密碼認(rèn)證，如S / Key或SecurID。當(dāng)PAM是底層的主機(jī)認(rèn)證提供者時(shí)，由某些OpenSSH配置使用，以有效地提供密碼認(rèn)證，有時(shí)導(dǎo)致無法使用僅支持普通密碼認(rèn)證方法的客戶端登錄。
  • GSSAPI身份驗(yàn)證方法，它提供了一種可擴(kuò)展的方案，可使用Kerberos 5或NTLM等外部機(jī)制執(zhí)行SSH身份驗(yàn)證，為SSH會(huì)話提供單一登錄功能。這些方法通常通過用于組織的商業(yè)SSH實(shí)現(xiàn)來實(shí)現(xiàn)，但OpenSSH確實(shí)有一個(gè)可用的GSSAPI實(shí)現(xiàn)。
• 的連接層（RFC 4254）。該層定義了提供SSH服務(wù)的頻道，頻道請(qǐng)求和全局請(qǐng)求的概念。一個(gè)SSH連接可以同時(shí)托管多個(gè)通道，每個(gè)通道都可以雙向傳輸數(shù)據(jù)。通道請(qǐng)求用于中繼通道特定的帶外數(shù)據(jù)，例如，更改的終端窗口大小或服務(wù)器端進(jìn)程的退出代碼。SSH客戶端請(qǐng)求使用全局請(qǐng)求轉(zhuǎn)發(fā)的服務(wù)器端端口。標(biāo)準(zhǔn)渠道類型包括：
  • 外殼為端子殼，SFTP和exec請(qǐng)求（包括SCP轉(zhuǎn)移）
  • direct-tcpip用于客戶端到服務(wù)器的轉(zhuǎn)發(fā)連接
  • forwarded-tcpip用于服務(wù)器到客戶端的轉(zhuǎn)發(fā)連接
• 該SSHFP?DNS記錄（RFC 4255）規(guī)定，才能在驗(yàn)證主機(jī)的真實(shí)性，以幫助主機(jī)公鑰指紋。

這種開放式體系結(jié)構(gòu)提供了相當(dāng)大的靈活性，允許將SSH用于超出安全shell的各種用途。傳輸層的功能本身就與傳輸層安全（TLS）相當(dāng);?用戶認(rèn)證層具有高度可擴(kuò)展的自定義認(rèn)證方法;?并且連接層提供了將多個(gè)輔助會(huì)話復(fù)用到單個(gè)SSH連接的能力，這一功能與BEEP相當(dāng)，并且在TLS中不可用。

增強(qiáng)功能

這些旨在提高SSH產(chǎn)品的性能：

• SSH-over-?SCTP：支持SCTP而不是TCP作為面向連接的傳輸層協(xié)議
• ECDSA：支持橢圓曲線DSA而不是DSA或RSA進(jìn)行簽名。
• ECDH：支持橢圓曲線Diffie-Hellman，而不是簡(jiǎn)單的Diffie-Hellman來進(jìn)行加密密鑰交換。
• UMAC：對(duì)UMAC而不是支持HMAC的MAC?/完整性。

轉(zhuǎn)自**百科
創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎(jiǎng)勵(lì)來咯，堅(jiān)持創(chuàng)作打卡瓜分現(xiàn)金大獎(jiǎng)

總結(jié)

以上是生活随笔為你收集整理的SSH （Secure Shell）详解的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。