简单分ssh.docVIP

简单分析ssh 很多设备，如路由器、防火墙等等，都提供了一种远程访问与管理的接口。如Windows服务器可以利用Telnet协议进行远程管理等等。但是，Telnet不怎么安全。因为其在传输过程中，帐户与密码都是明文传输的。在网络传输过程中，这是非常危险的。因为黑客通过一些网络嗅探工具，能够轻易的窃取网络中明文传输的帐户与密码。故，笔者是不建议通过Telnet协议对网络设备与服务器进行远程管理。 针对Telnet协议不安全这种情况，有人开发出了一个SSH协议。其原理跟Telnet类似，只是其具有更高的安全性。SSH是一个运行在传输控制层上的应用程序。他跟Telnet相比，提供了强大的认证与加密性能。他可以保证在我们连接到网络设备的过程中，其传输的数据是加密处理过的。这么做，就是为了保障帐户与口令的安全。 　　一、SSH软件包的构成。 　　SSH软件包由服务器端与客户端两部分构成。服务器端主要是安装在被控制端，即我们需要进行远程管理的对象。而客户端就是安装在操作方的主机上。SSH软件包适用于所有的操作系统，包括微软、Linux以及思科公司的IOS操作系统等等。不过具体的应用上，还是有一定的差别。如SSH服务器端之能够安装在微软的服务器版本中，而在Linux系统上在没有这个限制，等等。 　　另外，现在的SSH主要包括两个版本，分别为SSH1 与SSH2。SSH1是一个完全免费的软件包；而SSH2则是一个需要付费的软件包。天下没有免费的午餐，SSH2付费版的功能要比SSH1 免费版的功能强大的多。但是，因为其要付费，所以其应用范围还没有SSH1 广。在实际应用中，需要注意SSH2与SSH1版本是两个完全不同的协议并且互不相容。也就是说，你服务端装的是SSH2版本，但是，若你客户端装的是SSH1版本的，则无法利用这个客户端连接到服务器上去。因为两者不兼容。这是在工作中，需要十分注意的一个问题。 　　二、SSH的认证方式。 　　一般来说，SSH提供了两种安全认证方式。 　　一是基于口令的安全认证。在这种认证方式下，用户只需要知道帐户与口令，就可以利用SSH协议远程登陆到服务器。在这种认证模式下，其传输的数据，包括用户名与密码，是密文传输的。但是，他有一种缺陷。也就是说，他不能够保证你正在连接的服务器就是你想连接的服务器。因为他不会验证客户端与服务器端的身份，所以，可能会有人冒充真正的服务器，而管理员却不知情。这种攻击方式，又叫做“中间人”攻击。也算是一个比较“著名”的攻击方式了。 　　二是基于密钥的安全认证。在这种安全认证方式下，需要依靠密钥进行认证。此时，用户需要为自己创建一对密钥。用户要通过其他安全的方式，把公钥方在需要远程管理的服务器上。当管理员连接到SSH服务器上的时候，客户端会向服务器发出请求，要求其利用客户端的密钥进行安全性认证。服务器收到客户端的请求后，就会利用你事先发给他的公钥进行比较、辨别。如要两个密钥一致的话，服务器就用公钥加密质询并把它发送给客户端软件。客户端软件接收到服务器的质询后，就可以利用私人密钥进行解密并把结果发送给服务器。这种方式跟第一种方式相比，就是可以保障SSH服务器的合法性，有效的避免“中间人”攻击。 　　现在SSH1与SSH2两个版本的SSH软件包，都支持这种安全认证方式。由于后一种安全认证方式比较复杂。故用户登录到服务器的时间可能会比较长，有时候甚至会需要一分钟的等待时间，甚至更长。当开始第一个会话的时候，在SSH用户认证提示出现之前，会在客户端上有一个“．”号提示符。一般情况下，这个提示符并不影响SSH的功能。当用户在SSH密钥交换期间，使用私钥生成服务器密钥或者加密一个消息的时候，在用户认证出现之前，这个提示符将会出现在SSH客户端上。我们可以把它看作是一个进程指示器，表示SSH正忙，没有当机。这个过程根据网络状况的不同，持续的时间也有长短。一般在两分钟以内的，可以当作正常情况。若超过这个时间的话，则管理员就需要调整相关的配置，不然会对SSH的正常操作产生影响。 　　不过采用第二种认证方式的话，会给管理员一个额外的收获。如果你的网络中，有很多个SSH服务器。如一个FTP文件服务器还有一个Cisco防火墙，你都部属了一个SSH服务器的话，则此时你作为管理员，就可以只用一个口令就登录到所有你想登录的服务器上去。 　　三、配制实例。 　　由于SSH采用了加密机制，所以其配制起来比Telnet协议要复杂一点。下面笔者就以Cisco的防火墙服务器为例，看看如何配置SSH协议，让其在服务器上生效。 　　为了让防火墙启用SSH服务，则需要通过五个步骤。 　　第一步：配置防火墙主机名。 　　这个步骤虽然不是启用SSH服务的必备步骤。不过，笔者还是建议用户给防火墙起一个合适的名字。当通过客户