Linux网络管理及应用-第12章.pptVIP

* * Linux网络管理及应用 第12章 SSH 服务器的配置与应用 一、SSH服务的基本概念 SSH的英文全称是Secure SHell。通过使用SSH，可以把所有传输的数据进行加密，这样“中间人”这种攻击方式就不可能实现了，而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替telnet，又可以为ftp、pop、甚至ppp提供一个安全的“通道”。 1. 公钥加密体系结构 公钥加密体系结构理论是基于非对称性算法的，非对称性算法使用一对密钥（即公开密钥Public Key和私有密钥Private Key）进行加密和解密。加密密钥和解密密钥是不同的，但它们是互补的，即使用公开密钥加密的信息只有私有密钥才能解密，而使用私有密钥加密的信息只有公开密钥才能解密。 公钥加密体系工作流程 2. SSH协议框架 SSH协议框架中最主要的部分是三个协议：传输层协议、用户认证协议和连接协议。同时SSH协议框架中还为许多高层的网络安全应用协议提供扩展的支持。它们之间的层次关系可以用如下图所示： 3. 主机密钥机制 由于SSH协议是面向互联网网络中主机之间的互访与信息交换，所以主机密钥成为基本的密钥机制。也就是说，SSH协议要求每一个使用本协议的主机都必须至少有一个自己的主机密钥对，服务方通过对客户方主机密钥的认证之后，才能允许其连接请求。 SSH协议关于主机密钥认证的管理方案有两种。 （1）方案一 在此方案中，主机将自己的公用密钥分发给相关的客户机，客户机在访问主机时则使用该主机的公开密钥来加密数据，主机则使用自己的私有密钥来解密数据，从而实现主机密钥认证，确定客户机的可靠身份。 （2）方案二 在此方案中，存在一个密钥认证中心，所有系统中提供服务的主机都将自己的公开密钥提交给认证中心，而任何作为客户机的主机则只要保存一份认证中心的公开密钥就可以了。在这种模式下，客户机在访问服务器主机之前，还必须向密钥认证中心请求认证，认证之后才能够正确地连接到目的主机上。 4. SSH的版本 （1）SSH 1 在SSH1中每一部主机可以使用 RSA 加密方式来产生一个 1024位的 RSA Key ，这个 RSA 的加密方式，主要是用来产生公钥与私钥的计算方法。 SSH1版本的协议加密解密过程大致经过如下步骤： SSH daemon (sshd) 激活时，就会产生一个 768位 的公钥(或称为 server key)存放在SSH 服务器中； 客户端端的请求传送来时，服务器就会将这一个公钥传给客户端 ，客户端比对本地的 RSA 加密方式来确认这一个公钥； 在客户端接受这个768位的server key 之后，客户端自己也会随机产生一个 256位的私钥(host key)，并且以加密的方式将 server key 与 host key 整合成一个完整的 Key ，并且将这个 Key 也传送给服务器； 服务器和客户端在这次连接会话中，就以这一个 1024位的 Key 来进行数据的传输。 因为客户端每次的 256位的 Key 是随机生产的，所以每一次的连接会话中的Key都是不同的。 （2）SSH2 与SSH1不同，在SSH2当中将不再产生Server Key 了，所以当客户端启动连接会话到服务器端时，两者将由Diffie-Hellman Key的计算方式来产生一个分享的Key，之后两者将由类似 Blowfish 的计算方式进行同步解密的动作！ 在预设情况下，使用SSH2的连接会话模式。由于我们在信息的传输过程中，经过了Public Key与Private Key的加密、解密动作，所以在中间的传送过程中，数据有比较大安全保障。 二、SSH服务的安装和使用 Linux平台下广泛使用免费的OpenSSH程序来实现SSH协议，它同时支持SSH1和SSH2协议。 OpenSSH软件包由两部分组成，一个是服务器软件包openssh－server，一个是客户端软件包openssh－clients。通过以下的命名可以查看系统中OpenSSH的安装情况： rpm －q openssh－server 命令的执行结果如下图所示，表示OpenSSH服务已经安装，版本为openssh-server-4.5pl-6.fc7。 1. 启动SSH服务 因为一般Linux平台下都已经默认安装SSH服务并设定开机时启动SSH服务，所以我们可以直接就使用SSH服务了。当然，我们也可以用命令的方式来启动SSH服务。启动SSH服务的命令为： /etc/init.d/sshd start或者service sshd start 可以通过下面的命令查看SSH的工作情况：