什么是SSH?

傳統的網絡服務程序，如:ftp、pop和telnet在本質上都是不安全的，因為它們在網絡上用明文傳送口令和數據，別有用心的人非常容易就可以截獲這些口令和數據。而且，這些服務程序的安全驗證方式也是有其弱點的，就是很容易受到"中間人"(man-in-the-middle)這種方式的攻擊。所謂"中間人"的攻擊方式，就是"中間人"冒充真正的服務器接收你的傳給服務器的數據，然后再冒充你把數據傳給真正的服務器。服務器和你之間的數據傳送被"中間人"一轉手做了手腳之后，就會出現很嚴重的問題。

SSH的英文全稱是Secure SHell。通過使用SSH，你可以把所有傳輸的數據進行加密，這樣"中間人"這種攻擊方式就不可能實現了，而且也能夠防止DNS和IP欺騙。還有一個額外的好處就是傳輸的數據是經過壓縮的，所以可以加快傳輸的速度。SSH有很多功能，它既可以代替telnet，又可以為ftp、pop、甚至ppp提供一個安全的"通道"。

最初SSH是由芬蘭的一家公司開發的。但是因為受版權和加密算法的限制，現在很多人都轉而使用OpenSSH。OpenSSH是SSH的替代軟件，而且是免費的，可以預計將來會有越來越多的人使用它而不是SSH。

SSH是由客戶端和服務端的軟件組成的，有兩個不兼容的版本分別是:1.x和2.x。用SSH 2.x的客戶程序是不能連接到SSH 1.x的服務程序上去的。OpenSSH 2.x同時支持SSH 1.x和2.x。

SSH的安全驗證是如何工作的

從客戶端來看，SSH提供兩種級別的安全驗證。

第一種級別(基于口令的安全驗證)只要你知道自己帳號和口令，就可以登錄到遠程主機。所有傳輸的數據都會被加密，但是不能保證你正在連接的服務器就是你想連接的服務器。可能會有別的服務器在冒充真正的服務器，也就是受到"中間人"這種方式的攻擊。

第二種級別(基于密匙的安全驗證)需要依靠密匙，也就是你必須為自己創建一對密匙，并把公用密匙放在需要訪問的服務器上。如果你要連接到SSH服務器上，客戶端軟件就會向服務器發出請求，請求用你的密匙進行安全驗證。服務器收到請求之后，先在你在該服務器 的家目錄下尋找你的公用密匙，然后把它和你發送過來的公用密匙進行比較。如果兩個密匙一致，服務器就用公用密匙加密"質詢"(challenge)并把它發送給客戶端軟件。客戶端軟件收到"質詢"之后就可以用你的私人密匙解密再把它發送給服務器。

用這種方式，你必須知道自己密匙的口令。但是，與第一種級別相比，第二種級別不需要在網絡上傳送口令。

第二種級別不僅加密所有傳送的數據，而且"中間人"這種攻擊方式也是不可能的(因為他沒有你的私人密匙)。但是整個登錄的過程可能需要10秒。

安裝并測試OpenSSH

因為受到美國法律的限制，在很多Linux的發行版中都沒有包括OpenSSH。但是，可以從網絡上下載并安裝OpenSSH(有關OpenSSH的安裝和配置請參考:http://www.linuxaid.com.cn/engineer/brimmer/html/OpenSSH.htm)。

安裝完OpenSSH之后，用下面命令測試一下:

ssh -l [your accountname on the remote host] [address of the remote host]

如果OpenSSH工作正常，你會看到下面的提示信息:

The authenticity of host [hostname] can't be established.

Key fingerprint is 1024 5f:a0:0b:65:d3:82:df:ab:44:62:6d:98:9c:fe:e9:52.

Are you sure you want to continue connecting (yes/no)?

OpenSSH告訴你它不知道這臺主機，但是你不用擔心這個問題，因為你是第一次登錄這臺主機。鍵入"yes"。這將把這臺主機的"識別標記"加到"~/.ssh/know_hosts"文件中。第二次訪問這臺主機的時候就不會再顯示這條提示信息了。

然后，SSH提示你輸入遠程主機上你的帳號的口令。輸入完口令之后，就建立了SSH連接，這之后就可以象使用telnet那樣使用SSH了。

SSH的密匙

生成你自己的密匙對

生成并分發你自己的密匙有兩個好處:

1) 可以防止"中間人"這種攻擊方式

2) 可以只用一個口令就登錄到所有你想登錄的服務器上

用下面的命令可以生成密匙:

ssh-keygen

如果遠程主機使用的是SSH 2.x就要用這個命令:

ssh-keygen -d

在同一臺主機上同時有SSH1和SSH2的密匙是沒有問題的，因為密匙是存成不同的文件的。

ssh-keygen命令運行之后會顯示下面的信息:

Generating RSA keys: ............................ooooooO......ooooooO

Key generation complete.

Enter file in which to save the key (/home/[user]/.ssh/identity):

[按下ENTER就行了]

Created directory '/home/[user]/.ssh'.

Enter passphrase (empty for no passphrase):

[輸入的口令不會顯示在屏幕上]

Enter same passphrase again:

[重新輸入一遍口令，如果忘記了口令就只能重新生成一次密匙了]

Your identification has been saved in /home/[user]/.ssh/identity.

[這是你的私人密匙]

Your public key has been saved in /home/[user]/.ssh/identity.pub.

The key fingerprint is: 2a:dc:71:2f:27:84:a2:e4:a1:1e:a9:63:e2:fa:a5:89 [user]@[local machine]

"ssh-keygen -d"做的是幾乎同樣的事，但是把一對密匙存為(默認情況下)"/home/[user]/.ssh/id_dsa"(私人密匙)和"/home/[user]/.ssh/id_dsa.pub"(公用密匙)。

現在你有一對密匙了:公用密匙要分發到所有你想用ssh登錄的遠程主機上去;私人密匙要好好地保管防止別人知道你的私人密匙。用"ls -l ~/.ssh/identity"或"ls -l ~/.ssh/id_dsa"所顯示的文件的訪問權限必須是"-rw-------"。

如果你懷疑自己的密匙已經被別人知道了，不要遲疑馬上生成一對新的密匙。當然，你還要重新分發一次公用密匙。