操作系统SSH协议知识介绍
今天给大家分享SSH协议相关的知识介绍,希望对大家能有所帮助! 1、SSH协议概念介绍
SSH(Secure Shell)安全外壳协议,是一种建立在应用层基础上的安全协议,通过对密码进行加密传输验证,可以在不安全的网络中对网络服务提供安全的传输环境,实现SSH客户端和SSH服务器端的连接,所以SSH是基于客户端-服务端模式。
2、SSH服务组成
SSH服务由服务端软件OpenSSH和连接客户端组成(SSH、SecureCRT,xshell等),默认端口是22。SSH是一个守护进程,负责实时监听客户端请求,并进行处理。 3、SSH协议框架组成
SSH协议框架中核心部分的三个协议:传输层协议、用户认证协议、连接协议。 传输层协议(The Transport Layer Protocol):提供服务器认证,数据安全性,信息完整性等功能的支持。 用户认证协议(The User Authentication Protocol):为服务器提供客户端的身份的识别。 连接协议(The Connection Protocol):将加密的信息隧道复用成若干个逻辑通道,提供给更高层的应用协议使用; 各种高层应用协议可以相对地独立于SSH基本体系之外,然后依靠这个基本框架,通过连接协议使用SSH的安全机制。
4、SSH工作流程4.1 版本号协商阶段
SSH目前包括 SSH1和SSH2两个版本, 双方通过版本协商确定使用的版本 服务端开启22端口,等待客户端发起连接请求 客户端向服务端发起TCP初始连接请求,建立后,服务端向客户端发送报文(版本标志字符串:SSH-<主协议版本号>.<次协议版本号>-<软件版本号>>) 客户端收到报文后,解析数据包,如果服务端的协议版本号比自己的低,且客户端能支持服务端的低版本,就采用服务器端的低版本协议号,否则采用客户端自己的协议版本号。 客户端回应服务器一个报文,包含客户端决定使用的协议版本号。服务端会比较客户端发来的版本号,决定是否能同客户端进行正常工作。 协商成功,就会进入密钥和算法协商阶段,否则服务端断开TCP连接。
注意 :版本号协商阶段报文都是采用明文方式传输的。 4.2 密钥和算法协商阶段
SSH支持多种加密算法, 双方根据服务端和客户端支持的算法,协商出最终使用的算法 服务端和客户端分别发送算法协商报文给对方,报文中包含自己支持的公钥算法列表、加密算法列表、MAC(Message Authentication Code,消息验证码)算法列表、压缩算法列表等协商信息。 服务端和客户端根据对方和自己支持的算法列表确定最终使用的算法。 服务端和客户端利用 DH交换(Diffie-Hellman Exchange)算法、主机密钥对等参数,生成会话密钥和会话 ID,然后双方都拿到了相同的会话ID和会话密钥。 后续数据通信,两端都会使用会话密钥进行加密和解密,从而保证了数据传送的安全 认证阶段,两端会使用会话 ID用于认证过程。
注意 :在协商阶段之前,服务器端已经生成 RSA或 DSA密钥对,主要用于参与会话密钥的生成。 4.3 认证阶段
SSH客户端向服务端发起认证请求, 服务端会对客户端进行认证 客户端向服务端发送认证请求,认证请求信息中包含用户名、认证方法、与该认证方法相关的内容(比如:password认证时,内容为密码)。 服务端对客户端进行认证,如果认证失败,会向客户端发送认证失败消息,其中也包含可以再次发起认证的方法列表。 客户端从服务端返回的认证方法列表中选取一种认证方法再次进行认证。 该过程反复进行, 直到认证成功或者认证次数达到上限, 服务端关闭连接为止。 4.5 会话请求阶段:
认证通过后,客户端向服务端发送会话请求 服务器等待客户端的请求; 认证通过后,客户端向服务器发送会话请求; 服务器处理客户端的请求。请求被成功处理后, 服务端会向客户端回应 SSH_SMSG_SUCCESS包,SSH进入交互会话阶段;否则回应 SSH_SMSG_FAILURE包,表示服务器处理请求失败或者不能识别请求。 4.6 交互会话阶段
会话请求通过后,服务端和客户端可以进行信息的交互 客户端将要执行的命令加密后传给服务器; 服务器接收到报文,解密后执行该命令,将执行的结果加密发还给客户端; 客户端将接收到的结果解密后显示到终端上.
说明 :在当前阶段下,数据可以被双向传送 5、SSH的认证方式5.1 password认证:
客户端向服务端发出 password认证请求,然后将用户名和密码加密后发送给服务器;服务器将该信息解密后得到用户名和密码的明文,与自己设备上保存的用户名和密码进行比较,并返回认证成功或失败的消息。 5.2publickey 认证:
采用数字签名的方法来认证客户端。目前,设备上可以利用RSA和 DSA两种公共密钥算法实现数字签名。
客户端发送包含用户名、公共密钥和公共密钥算法的 publickey 认证请求给服务端。服务器、端对公钥进行合法性检查,如果不合法,则直接发送失败消息;否则,服务器利用数字签名对客户端进行认证,并返回认证成功或失败的消息。 5.3. password-publickey 认证(SSH2.0)
指定该用户的认证方式为 password 和 publickey认证必须同时满足。
说明:客户端版本为 SSH1的用户只要通过其中一种认证即可登录;客户端版本为 SSH2的用户必须两种认证都通过才能登录。 5.4 any认证(SSH2.0)
指定该用户的认证方式可以是什么 password、 publickey中任意一种。 6、SSH常用命令6.1 远程登录
ssh 用户名@远程主机ip:首次登陆需要下载对方公钥。
示例:ssh 192.168.1.100 6.2 远程上传
scp [需要上传文件的本地位置] root@远程主机ip:[需要保存在远程主机的路径]:从本地上传文件到远程主机
示例:scp /root/test.sh root@192.168.1.100 6.3 远程复制
scp root@远程主机ip:[远程主机文件绝对路径] [需要保存的本地位置]:从远程主机下载文件到本机
示例:scp root@192.168.1.100:/root/test.sh /root
人性的自私和贪婪头号周刊人之初性本善,在现实的社会善良只是表象,而人性深处的自私和贪婪却显露无遗,自私和贪婪以及各种的欲望。人性最大的弱点并非是自私,而是贪婪。贪婪是人的本性,不分贵贱,无论高低,
王者荣耀?在开始这个话题之前,我先说明一下,王者荣耀是一把双刃剑,有利也有弊。其次我,我是完全有资格去评价这款游戏的,因为我是王者荣耀元老级游戏玩家。作为忠实王者荣耀玩家,此次评价完全是站在
做完这10件事后,我突然就不焦虑了大家好,我是小璐儿,一个专注个人成长和自媒体写作的95后。点击上方关注,一起共同进步。随着年龄越来越大,焦虑感越发的强烈,时常会想自己都这么大了,还一事无成,不能做自己想做的事,不
特斯拉起诉项立刚,后者回应积极应诉IT之家5月11日消息,根据信息显示,特斯拉汽车(北京)有限公司与项立刚等网络侵权责任纠纷一案新增开庭公告,原告为特斯拉汽车(北京)有限公司,案件将于5月24日在北京互联网法院开庭
特斯拉起诉项立刚!后者曾称特斯拉必须要开掉陶琳天眼查显示,近日,特斯拉汽车(北京)有限公司与项立刚等网络侵权责任纠纷一案新增开庭公告,原告为特斯拉汽车(北京)有限公司,案件将于5月24日在北京互联网法院开庭。随后,项立刚发微博
外观设计提升小米12Ultra曝光,小米11堪比乞丐低价,加速抢购曝开启倒计时6499元起售价小米12Ultra新概念机尤其是在发布时间上更直接指出将抢在iPhone14系列之前的6月中旬发布,曝开启倒计时6499元起售价小米12Ultra新概念
OPPOReno8系列有望本月发布,大杯天玑8100马里亚纳X芯片加持本月各大手机厂商中端新机潮仍然继续。考虑到下个月6。18以及暑期即将到来,各大手机厂商加快了机型更新尤其是线下机型的发布计划。对此,数码博主数码闲聊站也在微博公开表示,OPPORe
具备小米品质,日本川崎精钢IPX7,69元热销5万台97好评小米作为国产品牌,不光在手机业务方面有着非常优秀的表现,同样在其他领域也深受消费者的欢迎。曾经小米在官方的宣传标语中,提到了小米智造,品质国货,可见小米对自己旗下的产品质量非常重视
张亮发文回应儿子初中早恋抵制网暴,管好自己有网友爆料说张亮的儿子天天,真名张悦轩,2007年11月12日出生于中国北京,今年才15岁,正在读初中二年级,2013年8月,6岁的张悦轩跟随父亲张亮参加了亲子综艺爸爸去哪儿,因为
爸爸去哪儿张亮儿子天天14岁谈恋爱张亮天天女友朋友发文回应5月9日,张亮儿子天天(张悦轩)与女孩亲密合照曝光引起热议随后张亮发文回应,表示会多多了解孩子并正确引导,但希望大家不要网暴未成年,以免对其心理造成伤害10日天天女友的好友发文回应
小米手机隐藏的几大功能,实用且有趣,就连米粉都未必全了解不知道大家发现没?身边越来越多的人开始换上了小米手机,用他们的话来说,选择小米产品,最主要还是因为MIUI系统在实用性方面非常强。今天笔者就给大家分享小米手机上隐藏的几个实用且有趣