什么是SSH?可能對某些人來說很新鮮吧��? 今天我們就討論下這個話題吧���!
SSH的英文全稱是Secure SHell。通過使用SSH�����,你可以把所有傳輸?shù)臄?shù)據(jù)進行加密���,這樣"中間人"這種攻擊方式就不可能實現(xiàn)了���,而且也能夠防止DNS和IP欺騙。還有一個額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的���,所以可以加快傳輸?shù)乃俣?。SSH有很多功能��,它既可以代替telnet,又可以為ftp�、pop、甚至ppp提供一個安全的"通道"�����。SSH客戶端與服務器端通訊時��,用戶名及口令均進行了加密��,有效防止了對口令的竊聽�。最初SSH是由芬蘭的一家公司開發(fā)的。但是因為受版權和加密算法的限制���,現(xiàn)在很多人都轉而使用OpenSSH。OpenSSH是SSH的替代軟件��,而且是免費的�,可以預計將來會有越來越多的人使用它而不是SSH。SSH是由客戶端和服務端的軟件組成的�����。SSH安裝容易�����、使用簡單,而且比較常見�����,一般的Unix系統(tǒng)�����、Linux系統(tǒng)�����、FreeBSD系統(tǒng)都附帶有支持SSH的應用程序包���。
為了方便理解�����,我們這里講解幾個概念:
1����,所謂"中間人"的攻擊方式�����,就是"中間人"冒充真正的服務器接收你的傳給服務器的數(shù)據(jù),然后再冒充你把數(shù)據(jù)傳給真正的服務器�����。服務器和你之間的數(shù)據(jù)傳送被"中間人"一轉手做了手腳之后�����,就會出現(xiàn)很嚴重的問題��。傳統(tǒng)的網(wǎng)絡服務程序�,如:ftp、pop和telnet在本質(zhì)上都是不安全的����,因為它們在網(wǎng)絡上用明文傳送口令和數(shù)據(jù),別有用心的人非常容易就可以截獲這些口令和數(shù)據(jù)�。而且����,這些服務程序的安全驗證方式也是有其弱點的,就是很容易受到"中間人"(man-in-the-middle)這種方式的攻擊�。
2,所謂明文:密碼技術目的就是要偽裝信息。加密是指將信息經(jīng)過加密函數(shù)及加密密鑰轉換,變成無規(guī)則,無意義的密文;而解密則是將此密文經(jīng)過解密函數(shù)���、解密密鑰的處理還原成明文����。密碼技術是網(wǎng)絡安全技術的基礎����。
那么SSH的安全驗證是如何工作的?
從客戶端來看,SSH提供兩種級別的安全驗證���。
第一種級別(基于口令的安全驗證)只要你知道自己賬號和口令���,就可以登錄到遠程主機。所有傳輸?shù)臄?shù)據(jù)都會被加密�,但是不能保證你正在連接的服務器就是你想連接的服務器?��?赡軙袆e的服務器在冒充真正的服務器��,也就是受到"中間人"這種方式的攻擊����。
第二種級別(基于密匙的安全驗證)需要依靠密匙,也就是你必須為自己創(chuàng)建一對密匙�,并把公用密匙放在需要訪問的服務器上。如果你要連接到SSH服務器上��,客戶端軟件就會向服務器發(fā)出請求�����,請求用你的密匙進行安全驗證���。服務器收到請求之后�,先在你在該服務器 的家目錄下尋找你的公用密匙�,然后把它和你發(fā)送過來的公用密匙進行比較。如果兩個密匙一致����,服務器就用公用密匙加密"質(zhì)詢"(challenge)并把它發(fā)送給客戶端軟件?����?蛻舳塑浖盏?質(zhì)詢"之后就可以用你的私人密匙解密再把它發(fā)送給服務器�����。
用這種方式���,你必須知道自己密匙的口令����。但是�,與第一種級別相比,第二種級別不需要在網(wǎng)絡上傳送口令����。
第二種級別不僅加密所有傳送的數(shù)據(jù),而且"中間人"這種攻擊方式也是不可能的(因為他沒有你的私人密匙)�����。但是整個登錄的過程可能需要10秒����。
好了,就說到這里吧��,要想深入地自學這方面的知識��,還請大家自己自己自學和尋找資料�,用心學習了�!
什么是SSH呢��?
什么是SSH呢?
SSH的英文全稱是Secure SHell�����。通過使用SSH�,你可以把所有傳輸?shù)臄?shù)據(jù)進行加密,這樣"中間人"這種攻擊方式就不可能實現(xiàn)了����,而且也能夠防止DNS和IP欺騙。還有一個額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的����,所以可以加快傳輸?shù)乃俣取SH有很多功能�,它既可以代替telnet,又可以為ftp��、pop�����、甚至ppp提供一個安全的"通道"���。SSH客戶端與服務器端通訊時�,用戶名及口令均進行了加密��,有效防止了對口令的竊聽���。最初SSH是由芬蘭的一家公司開發(fā)的����。但是因為受版權和加密算法的限制�����,現(xiàn)在很多人都轉而使用OpenSSH��。OpenSSH是SSH的替代軟件�����,而且是免費的����,可以預計將來會有越來越多的人使用它而不是SSH。SSH是由客戶端和服務端的軟件組成的��。SSH安裝容易、使用簡單�,而且比較常見,一般的Unix系統(tǒng)����、Linux系統(tǒng)、FreeBSD系統(tǒng)都附帶有支持SSH的應用程序包���。
SSH的安全驗證是如何工作的?
從客戶端來看����,SSH提供兩種級別的安全驗證��。
第一種級別(基于口令的安全驗證)只要你知道自己賬號和口令�����,就可以登錄到遠程主機����。所有傳輸?shù)臄?shù)據(jù)都會被加密,但是不能保證你正在連接的服務器就是你想連接的服務器���?����?赡軙袆e的服務器在冒充真正的服務器����,也就是受到"中間人"這種方式的攻擊���。
第二種級別(基于密匙的安全驗證)需要依靠密匙�,也就是你必須為自己創(chuàng)建一對密匙�����,并把公用密匙放在需要訪問的服務器上���。如果你要連接到SSH服務器上�,客戶端軟件就會向服務器發(fā)出請求����,請求用你的密匙進行安全驗證。服務器收到請求之后�,先在你在該服務器 的家目錄下尋找你的公用密匙,然后把它和你發(fā)送過來的公用密匙進行比較。如果兩個密匙一致�����,服務器就用公用密匙加密"質(zhì)詢"(challenge)并把它發(fā)送給客戶端軟件�����?����?蛻舳塑浖盏?質(zhì)詢"之后就可以用你的私人密匙解密再把它發(fā)送給服務器���。
用這種方式���,你必須知道自己密匙的口令。但是�,與第一種級別相比,第二種級別不需要在網(wǎng)絡上傳送口令����。
第二種級別不僅加密所有傳送的數(shù)據(jù),而且"中間人"這種攻擊方式也是不可能的(因為他沒有你的私人密匙)���。但是整個登錄的過程可能需要10秒��。
從網(wǎng)絡管理角度�,特別站在一個網(wǎng)絡管理員來看,登錄公司的網(wǎng)絡設備��,如果使用telnet登錄���,密碼有可能會被公司里一些人員用sniffer等工具看到��,而且很多管理員把很多路由器的密碼設置相同。所以請網(wǎng)絡管理員們最好用ssh登錄路由器或交換機���。具體配置如 下:
Hostname xxxxx
Ip domain-name test.com
Crypto key generate rsa然后可以設置rsa密鑰加密位數(shù)
Sh ip ssh可以查看ssh設置
Crypto key zeroize rsa刪除ssh服務
ip ssh authentication-retries 5設置重試次數(shù)
|
|
