SSH服務詳解
第1章 SSH服務
1.1 SSH服務協議說明
Secure Shell(SSH,安全外殼)是由IETF(The Internet Engineering Task Force)制定的建立在應用層基礎上的安全網路協議
SSH是專為遠程登錄會話和其他網路服務提供安全性的協議,可有效彌補網路中的漏洞(傳統的網路服務應用程式如ftp、pop和telnet等在本質上都是不安全的,因為它們在網路上用明文傳送口令和資料,別有用心的人非常容易就可以截獲這些口令和資料,而且,這些服務程式的安全驗證方式也是有其弱點的,就是很容易受到"中間人"(man-in-the-middle)攻擊[1]),SSH有很多功能,它既可以代替Telnet,又可以為FTP、POP、甚至為PPP提供一個安全的"通道
通過SSH,可以把所有傳輸的資料進行加密,"中間人"這種攻擊方式就不可能實作了,也能夠防止DNS欺騙[2]和IP欺騙[3],還有一個額外的好處就是傳輸的資料是經過壓縮的,所以可以加快傳輸的速度,目前已經成為Linux系統的標準配置
用戶ssh遠程登錄程序:
1)遠程主機收到用戶的登錄請求,把自己的公鑰發給用戶,
2)用戶使用這個公鑰,將登錄密碼加密后,發送回來,
3)遠程主機用自己的私鑰,解密登錄密碼,如果密碼正確,就同意用戶登錄,
1.2 SSH主要組成部分:
(1)傳輸層協議[SSH-TRANS]
提供了服務器認證,保密性及完整性
此外它有時還提供壓縮功能,
SSH-TRANS 通常運行在TCP/IP連接上,也可能用于其它可靠資料流上
SSH-TRANS提供了強力的加密技術、密碼主機認證及完整性保護
該協議(Secure Shell)中的認證基于主機,并且該協議不執行用戶認證
(2)用戶認證協議[SSH-USERAUTH]
用于向服務器提供客戶端用戶鑒別功能,它運行在傳輸層協議SSH-TRANS上面
當SSH-USERAUTH開始后,它從低層協議那里接識訓話識別符號(從第一次密鑰交換中的交換哈希Hash)
會話識別符號唯一標識此會話并且適用于標記以證明私鑰的所有權
SSH-USERAUTH 也需要知道低層協議是否提供保密性保護
(3)連接協議 [SSH-CONNECT]
將多個加密隧道分成邏輯通道
它運行在用戶認證協議上
它提供了互動式登錄話路、遠程命令執行、轉發TCP/IP連接和轉發X11連接
1.3 SSH驗證編輯
從客戶端來看,SSH提供兩種級別的安全驗證:
第一種級別(基于口令的安全驗證):
只要你知道自己帳號和口令,就可以登錄到遠程主機
所有傳輸的資料都會被加密,但是不能保證你正在連接的服務器就是你想連接的服務器
可能會有別的服務器在冒充真正的服務器,也就是受到“中間人”這種方式的攻擊
注意事項(口令登錄):
如果你是第一次登錄對方主機,系統會出現下面的提示:
$ ssh user@host
The authenticity of host ‘host (12.18.429.21)’ can’t be established.
RSA key fingerprint is 98:2e:d7:e0🇩🇪9f:ac:67:28:c2:42:2d:37:16:58:4d.
Are you sure you want to continue connecting (yes/no)?
這段話的意思是,無法確認host主機的真實性,只知道它的公鑰指紋,問你還想繼續連接嗎?
所謂"公鑰指紋",是指公鑰長度較長(這里采用RSA演算法,長達1024位)
很難比對,所以對其進行MD5計算,將它變成一個128位的指紋,再進行比較,就容易多了
第二種級別(基于密匙的安全驗證):
需要依靠密匙,也就是你必須為自己創建一對密匙,并把公用密匙放在需要訪問的服務器上
如果你要連接到SSH服務器上,客戶端軟體就會向服務器發出請求,請求用你的密匙進行安全驗證
服務器收到請求之后,先在該服務器上你的主目錄下尋找你的公用密匙,然后把它和你發送過來的公用密匙進行比較,如果兩個密匙一致,服務器就用公用密匙加密“質詢”(challenge)并把它發送給客戶端軟體,客戶端軟體收到“質詢”之后就可以用你的私人密匙解密再把它發送給服務器
用這種方式,你必須知道自己密匙的口令(id_rsa,密鑰,“id_rsa.pub(公鑰)”,“id_rsa(密鑰)”,密鑰和公鑰都通過RSA演算法獲得)
1.4 SSH埠
ssh 默認埠是22
安全協議版本sshv2和sshv1(有漏洞)
ssh服務端主要包括兩個服務功能:ssh遠程鏈接和sftp服務
1.5 命令引數
| 引數 | 說明 |
|---|---|
| Port | 指定sshd行程監聽的埠號,默認為22.可以使用多條指令監聽多個埠.默認將在本機的所有網路接□上監聽,但是可以通過ListenAddress指走只在某個特定的介面上監聽. |
| PermitEmptyPasswords | 是否允許密碼為空的用戶遠程登錄.默認為"no" |
| PermitRootLogin | 是否允許root登錄.可用值如下:“yes”(默認)表示允許."no"表示禁止. |
| “without-password” | 表示禁止使用密碼認證登錄."forced-commands-only"表示只有在指走了command選項的情況下才允許使用公鑰認證登錄.同時其它認證方法全部被禁止.這個值常用于做遠程備份之類的事情.1.多開一個視窗2.臨時多部署一條連接方式3.給普通用戶sudo權限 |
| UseDNS | 指定定sshd是否應該對遠程主機名進行反向解折,以檢查此主機名是否與其IP地址真實對應.默認值為"yes”. |
| ListenAddress | 指定監聽并提供服務相應的網卡地址資訊 |
登錄 ssh -i root@ip
1.6 進行ssh傳輸測驗:
scp -i (需要傳輸的檔案路徑) root@ip(傳送目標路徑地址)
批注:
[1]所謂"中間人"攻擊的方式就是"中間人"冒充真正的服務器接收你傳給服務器的資料,然后再冒充你把資料傳給真正的服務器(類似于ASP攻擊等)服務器和你之間的資料傳送被"中間人"一轉手做了手腳之后,就會出現很嚴重的問題
攻擊描述:
如果有人截獲了登錄請求,然后冒充遠程主機,將偽造的公鑰發給用戶,那么用戶很難辨別真偽,因為不像https協議,SSH協議的公鑰是沒有證書中心(CA)公證的,也就是說,都是自己簽發的,可以設想,如果攻擊者插在用戶與遠程主機之間(比如在公共的wifi區域),用偽造的公鑰,獲取用戶的登錄密碼,再用這個密碼登錄遠程主機,那么SSH的安全機制就蕩然無存了
[2]DNS欺騙就是攻擊者冒充域名服務器的一種欺騙行為
原理:如果可以冒充域名服務器,然后把查詢的IP地址設為攻擊者的IP地址,這樣的話,用戶上網就只能看到攻擊者的主頁,而不是用戶想要取得的網站的主頁了,這就是DNS欺騙的基本原理.注:DNS欺騙其實并不是真的"黑掉"了對方的網站,而是冒名頂替、招搖撞騙罷了
[3]IP地址欺騙是指行動產生的IP資料包為偽造的源IP地址(類似于SYN攻擊,但SYN攻擊偽造的IP是不存在的),以便冒充其他系統或發件人的身份
這是一種黑客的攻擊形式,黑客使用一臺計算機上網,而借用另外一臺機器的IP地址,從而冒充另外一臺機器與服務器打交道
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/178617.html
標籤:其他
上一篇:防火墻簡單實驗