什么是SSH?可能對某些人來說很新鮮吧�? 今天我們就討論下這個話題吧!
SSH的英文全稱是Secure SHell�。通過使用SSH���,你可以把所有傳輸?shù)臄?shù)據(jù)進行加密,這樣"中間人"這種攻擊方式就不可能實現(xiàn)了���,而且也能夠防止DNS和IP欺騙��。還有一個額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的��,所以可以加快傳輸?shù)乃俣?。SSH有很多功能�,它既可以代替telnet,又可以為ftp��、pop��、甚至ppp提供一個安全的"通道"���。SSH客戶端與服務(wù)器端通訊時����,用戶名及口令均進行了加密����,有效防止了對口令的竊聽����。最初SSH是由芬蘭的一家公司開發(fā)的���。但是因為受版權(quán)和加密算法的限制���,現(xiàn)在很多人都轉(zhuǎn)而使用OpenSSH。OpenSSH是SSH的替代軟件�����,而且是免費的����,可以預(yù)計將來會有越來越多的人使用它而不是SSH���。SSH是由客戶端和服務(wù)端的軟件組成的�����。SSH安裝容易����、使用簡單,而且比較常見���,一般的Unix系統(tǒng)��、Linux系統(tǒng)���、FreeBSD系統(tǒng)都附帶有支持SSH的應(yīng)用程序包。
為了方便理解��,我們這里講解幾個概念:
1�,所謂"中間人"的攻擊方式,就是"中間人"冒充真正的服務(wù)器接收你的傳給服務(wù)器的數(shù)據(jù)����,然后再冒充你把數(shù)據(jù)傳給真正的服務(wù)器。服務(wù)器和你之間的數(shù)據(jù)傳送被"中間人"一轉(zhuǎn)手做了手腳之后�,就會出現(xiàn)很嚴重的問題。傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序�,如:ftp、pop和telnet在本質(zhì)上都是不安全的�����,因為它們在網(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)���,別有用心的人非常容易就可以截獲這些口令和數(shù)據(jù)�����。而且�,這些服務(wù)程序的安全驗證方式也是有其弱點的,就是很容易受到"中間人"(man-in-the-middle)這種方式的攻擊����。
2,所謂明文:密碼技術(shù)目的就是要偽裝信息�。加密是指將信息經(jīng)過加密函數(shù)及加密密鑰轉(zhuǎn)換,變成無規(guī)則,無意義的密文;而解密則是將此密文經(jīng)過解密函數(shù)、解密密鑰的處理還原成明文�����。密碼技術(shù)是網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)�����。
那么SSH的安全驗證是如何工作的?
從客戶端來看�,SSH提供兩種級別的安全驗證��。
第一種級別(基于口令的安全驗證)只要你知道自己賬號和口令��,就可以登錄到遠程主機。所有傳輸?shù)臄?shù)據(jù)都會被加密�����,但是不能保證你正在連接的服務(wù)器就是你想連接的服務(wù)器���?���?赡軙袆e的服務(wù)器在冒充真正的服務(wù)器��,也就是受到"中間人"這種方式的攻擊�����。
第二種級別(基于密匙的安全驗證)需要依靠密匙�����,也就是你必須為自己創(chuàng)建一對密匙����,并把公用密匙放在需要訪問的服務(wù)器上。如果你要連接到SSH服務(wù)器上,客戶端軟件就會向服務(wù)器發(fā)出請求�����,請求用你的密匙進行安全驗證���。服務(wù)器收到請求之后����,先在你在該服務(wù)器 的家目錄下尋找你的公用密匙��,然后把它和你發(fā)送過來的公用密匙進行比較�����。如果兩個密匙一致��,服務(wù)器就用公用密匙加密"質(zhì)詢"(challenge)并把它發(fā)送給客戶端軟件���。客戶端軟件收到"質(zhì)詢"之后就可以用你的私人密匙解密再把它發(fā)送給服務(wù)器���。
用這種方式�,你必須知道自己密匙的口令。但是�,與第一種級別相比,第二種級別不需要在網(wǎng)絡(luò)上傳送口令�。
第二種級別不僅加密所有傳送的數(shù)據(jù),而且"中間人"這種攻擊方式也是不可能的(因為他沒有你的私人密匙)����。但是整個登錄的過程可能需要10秒。
好了�,就說到這里吧,要想深入地自學這方面的知識�����,還請大家自己自己自學和尋找資料����,用心學習了!
什么是SSH呢��?
什么是SSH呢?
SSH的英文全稱是Secure SHell���。通過使用SSH��,你可以把所有傳輸?shù)臄?shù)據(jù)進行加密��,這樣"中間人"這種攻擊方式就不可能實現(xiàn)了��,而且也能夠防止DNS和IP欺騙����。還有一個額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的,所以可以加快傳輸?shù)乃俣?���。SSH有很多功能,它既可以代替telnet����,又可以為ftp、pop���、甚至ppp提供一個安全的"通道"���。SSH客戶端與服務(wù)器端通訊時,用戶名及口令均進行了加密����,有效防止了對口令的竊聽。最初SSH是由芬蘭的一家公司開發(fā)的��。但是因為受版權(quán)和加密算法的限制����,現(xiàn)在很多人都轉(zhuǎn)而使用OpenSSH。OpenSSH是SSH的替代軟件�����,而且是免費的�����,可以預(yù)計將來會有越來越多的人使用它而不是SSH���。SSH是由客戶端和服務(wù)端的軟件組成的�。SSH安裝容易���、使用簡單��,而且比較常見����,一般的Unix系統(tǒng)�����、Linux系統(tǒng)、FreeBSD系統(tǒng)都附帶有支持SSH的應(yīng)用程序包���。
SSH的安全驗證是如何工作的?
從客戶端來看�����,SSH提供兩種級別的安全驗證�。
第一種級別(基于口令的安全驗證)只要你知道自己賬號和口令����,就可以登錄到遠程主機。所有傳輸?shù)臄?shù)據(jù)都會被加密��,但是不能保證你正在連接的服務(wù)器就是你想連接的服務(wù)器����。可能會有別的服務(wù)器在冒充真正的服務(wù)器��,也就是受到"中間人"這種方式的攻擊���。
第二種級別(基于密匙的安全驗證)需要依靠密匙���,也就是你必須為自己創(chuàng)建一對密匙��,并把公用密匙放在需要訪問的服務(wù)器上。如果你要連接到SSH服務(wù)器上���,客戶端軟件就會向服務(wù)器發(fā)出請求�����,請求用你的密匙進行安全驗證��。服務(wù)器收到請求之后�,先在你在該服務(wù)器 的家目錄下尋找你的公用密匙�����,然后把它和你發(fā)送過來的公用密匙進行比較�。如果兩個密匙一致,服務(wù)器就用公用密匙加密"質(zhì)詢"(challenge)并把它發(fā)送給客戶端軟件�。客戶端軟件收到"質(zhì)詢"之后就可以用你的私人密匙解密再把它發(fā)送給服務(wù)器�����。
用這種方式,你必須知道自己密匙的口令�����。但是�����,與第一種級別相比���,第二種級別不需要在網(wǎng)絡(luò)上傳送口令�����。
第二種級別不僅加密所有傳送的數(shù)據(jù)���,而且"中間人"這種攻擊方式也是不可能的(因為他沒有你的私人密匙)。但是整個登錄的過程可能需要10秒����。
從網(wǎng)絡(luò)管理角度,特別站在一個網(wǎng)絡(luò)管理員來看��,登錄公司的網(wǎng)絡(luò)設(shè)備���,如果使用telnet登錄�,密碼有可能會被公司里一些人員用sniffer等工具看到,而且很多管理員把很多路由器的密碼設(shè)置相同���。所以請網(wǎng)絡(luò)管理員們最好用ssh登錄路由器或交換機��。具體配置如 下:
Hostname xxxxx
Ip domain-name test.com
Crypto key generate rsa然后可以設(shè)置rsa密鑰加密位數(shù)
Sh ip ssh可以查看ssh設(shè)置
Crypto key zeroize rsa刪除ssh服務(wù)
ip ssh authentication-retries 5設(shè)置重試次數(shù)
|
|
