SSH学习笔记

登录的基本原理

非对称加密

SSH是基于非对称加密实现的。

非对称加密的特点

• 秘钥由公钥跟私钥组成
• 公钥会分发到需要发起通信的多个网络节点。图中的TopGun既是这样的节点
• 私钥会存储在Server端，不会到处分发
• 使用公钥加密的内容，只有私钥才能解密
• TopGun发起通信时，使用公钥加密。即便被中间人截获，也无法解密内容，因为他没有私钥
• Server使用私钥对密文进行解密，获得通信内容

SSH流程

1. 第一次登陆时，remote server会将自己的公钥下发给client端。同时提示client如下信息

   The authenticity of host 'ssh-server.example.com (12.18.429.21)' can't be established.
   RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.
   Are you sure you want to continue connecting (yes/no)? 
   

   客户端选yes后，会将远程主机的host, ip,公钥放置到自己的.ssh/known_hosts文件中，这使得后续登录，可以省去第一步。一个典型的know_hosts文件样例

   ldn01.jamieweb.net,139.162.222.67 ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC4bVleGrAZFttdMBen/ExLWbUUr5UaaX3Wd8U4nwH6LEaOMxuYu2cyrBuwIVZ9gjSoI0fEWhe345HeQJbdNzE/rd5ojebtS9bQiAB9+GVNKHxemBP01M0OaZJVA/GJnSzjdoEfrCGG8SWIDPQjY02yTQwgQHW5zYlr12Hq3FjKzofJ1Q2PSWbCy3crsA/R4vPHRVLPd8RDj+EXWVwvFgTHriuQWnt9Q/djy1LOPrqNgHn1n17cIED1M0zgXpImoLNC+Z44DmopVdmtwRW57IkedktWQdpCNRYTyOj/as/xn5YStXIWwxila16NYeq6O7zqoedWPiad6qnFloobOcft
   nyc01.jamieweb.net,157.230.83.95 ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC8Gh3exdEvvWqZHdbBogN3kbfutx3af0oO9dof1L+4vFsA8xmMOURjdB/BF9uF44i+1yosOhxh+k0Kjgeo0JAjPWy8e94SpEn2oUFJ3/9y1QzpWR81aAi/B9gSX9KR6uDys1yIhjjBKE0omP6vvSSVndY7BkxXnxBsmvWqeCWP59tFFDVFADG4FLRQW6IPUlD3mJLXxzsbsBUP4x67TAFeHynL/ZyImSlHXWBow3hWopwPouqQpkcIcUZxdt8zR9xmAiEwk8wUDWQg5aMoYp2a8zy7fuUL6PXyomRpoVWKHyZposl1cmST88NXjK+J14oWPHzKAd7zcY29XOXSbKnR
   

2. 客户端基于该公钥，加密自己的登录密码，发送给remote server 。 remote server基于自己的私钥，解密消息，获得client发送的密码，完成认证。由于私钥只有server端有，所以即便中间人攻击，拿刀消息，也无法解密获取client发送的密码

安全风险

在第一次登录时，server下发自己的公钥，client需要信任并存储该公钥，这一步如果被中间人攻击，中间人下发了自己的公钥。从而能够获取到client的登录密码， 中间人再作为client去跟remote server完成登录

公钥免密登录

前面SSH登录中，每次都要输入自己的密码，很繁琐。可以继续利用非对称加密的原理。client自己也生成一组密钥对。将公钥上传至remote server。这样client和server双方，彼此都有一组公私密钥对，整个登录过程，都可以加密进行，而不需要密码。具体步骤。

配置步骤

client使用ssh-keygen命令，生成一组公私密钥对。生成后一般在.ssh文件夹下，其中id_rsa为私钥，id_rsa.pub为公钥，将公钥上传至remote server 。这一步仅需做一次。

client的公钥上传后，一般存在server 端的/.ssh/authorized_keys文件中。

将公钥上传至server 的authorized_keys文件的方法有几种

• 方式1，直接将公钥内容，拷贝到server的.ssh/authorized_keys文件中去。拷贝可以使用命令ssh user@host 'mkdir -p .ssh && cat >> .ssh/authorized_keys' < ~/.ssh/id_rsa.pub，也可以直接登录到server,然后手动编辑authorized_keys文件。
• 方式2，使用命令ssh-copy-id user@host

登录认证步骤

1. Client将自己的公钥存放在Server上，追加在文件authorized_keys中。
2. Server端接收到Client的连接请求后，会在authorized_keys中匹配到Client的公钥pubKey，并生成随机数R，用Client的公钥对该随机数进行加密得到pubKey(R)
   ，然后将加密后信息发送给Client。
3. Client端通过私钥进行解密得到随机数R，然后对随机数R和本次会话的SessionKey利用MD5生成摘要Digest1，发送给Server端。
4. Server端会也会对R和SessionKey利用同样摘要算法生成Digest2。
5. Server端会最后比较Digest1和Digest2是否相同，完成认证过程。

ssh服务的管理

.ssh目录结构

.ssh 文件像user的.profile一样，是跟用户相关的。也即root和ops这两个用户，其.ssh的路径和其下的内容是不一样的。.ssh文件的目录结构

• id_rsa 私钥
• id_rsa.pub 公钥
• known_hosts 存储了本机做为client，与多个server通信时，多个server的公钥
• authorized_keys 存储了本机作为server时，多个client的公钥，以使得client能免密登录

centos中ssh守护进程的管理

查询守护进程的状态service sshd status
重启service sshd restarts
启动service sshd start
停止service sshd stop

一般更改了/etc/ssh/sshd_config文件，则需要重启sshd服务

一些远程登录的配置异常

错误1

 Authentication refused: bad ownership or modes for file /somepath/.ssh/authorized_keys

这个错误的原因是，SSH server会在有登录访问请求时，检查authorized_keys文件的权限是否配置正确，具体来说，就是不能开放给除当前用户意外的其它用户写权限。所以解决办法很简单。确认下authorized_keys文件的group和Others是否写权限，有的话，直接去掉

chmod g-w authorized_keys

之所以有这个限制原因是，一个.ssh文件应该只跟对应的用户相关，相当于用户的profile，该文件的编辑权限，应该只有当前用户，和root可以去编辑。而不能允许其它用户去编辑，否则其它用户可以很容易的添加一些不恶意的client的公钥到该文件，使得恶意的client可以登录到该server。

当然，你可以不改authorized_keys的权限，而是把/etc/ssh/sshd_config配置文件中的StrictModes 设为no ，从而使得sshd不对文件的权限做校验，但非常不建议这么做。

参考链接

https://www.jianshu.com/p/33461b619d53
https://www.ruanyifeng.com/blog/2011/12/ssh_remote_login.html
https://www.daveperrett.com/articles/2010/09/14/ssh-authentication-refused/
https://tldp.meulie.net/en/solrhe/chap15sec122.html