ssh那些事儿

　　第一次使用ssh是上学期搭建hadoop集群的时候，当时照着各种配置文档费了九牛二虎之力终于把环境搭建成功，现在想想当时还真是不容易呢。好了废话不扯了，进入正题。       

　　计算机发展早期能实现两台机器之间的通信已属不易，所以当时并没有什么加密的措施，Telnet所有的认证和数据传输都是明文的，很不安全，随着时间的发展加密的的需求越来越迫切，后来就出现了ssh。

　　加密方式主要分为三种：

　　1、对称加密：有加密算法和解密算法，算法可以不同，但加密和解密使用同一密钥。对称加密的优势计算速度快，但是安全性几乎完全依赖于密钥。

　　2、非对称加密：每个密码成对出现，分为公钥(public key)和私钥(private key)。公钥加密的只能私钥解密，私钥加密的只能公钥解密，一把钥匙开一把锁。比较典型的公钥加密方式是RSA加密，公钥加密虽然提高了安全性，但是加密速度要比对称加密慢3个数量级，所以一般公钥加密不会用在加密数据上，只能用在身份认证上。

　　3、单向加密：单向加密用于提取数据的指纹信息，常用于数据完整性的校验，它有两个特征：雪崩效应和定长输出。

       ssh有两个版本，v1版本对中间人攻击无能为力，不太安全，建议切换到v2版本，在嵌入式系统中也有一个好用的ssh工具dropbear。ssh实现认证的方式就是使用的非对称加密，而这里ssh认证的过程有基于口令和基于密钥两种。

　　在基于口令的认证过程中，客户端A向服务器B发起连接请求时，服务器B会将自己的公钥发送给客户端A，如果是第一次连接服务器会出现这样一段提示：

$ ssh someone@xxx.xxx.xxx.xxx   -p   xxx 
The authenticity of host '[xxx.xxx.xxx.xxx]:2222 ([xxx.xxx.xxx.xxx]:2222)' can't be established.
2 ECDSA key fingerprint is SHA256:9J/zsFKXzAt++8zxqUTZ1EFMVxcpRSNcvduszmeiNAQ.
3 Are you sure you want to continue connecting (yes/no)? 

　　因为是第一次连接，所以不能确定这就是你要连接的那台主机，被别人用其他主机冒名顶替也不是不可能。因此你需要对自己负责，确定对方发来的公钥的指纹信息没什么问题的话就可以连上去，我觉得这里基本都是直接回答yes，因为单凭这个指纹信息一般人也没什么办法分辨真伪。输入yes后就代表你接受了对方的公钥，此时客户端自己随机生成一对对称密钥，用服务器的公钥加密后再发回给服务器，服务器用私钥解密后就可以得到双方通信的对称密钥，以后发送用户名和密码以及其他数据都会用这对对称密钥加密，但这对对称密钥会不定期更换，在/etc/ssh/sshd_config文件中会有相应的配置选项。

　　第一次连接成功后，以后再连接这台服务器就不会在出现上面的提示了，因为服务器的公钥已经保存在~/.ssh/know_hosts文件中了

$ cat   ~/.ssh/known_hosts
|1|+Ke03ORmqeSdSINJH5oixg48VLo=|OTXwIW8Sie+Qvp2wGyVv7fBjBGI= ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBDDj6+Zo403xXzLFHOloiPTHF/DcUs8fZzdG3x+MLhGgfskyse4BmnvVHYO4RLGkZUPRfWC6jMuAL2WLPXE3+7I=

　　 另一种方式是基于密钥的认证方式，也就是我们常说的ssh免密码登陆。使用这种方式时，客户端需要自己先生成一个非对称密钥对，然后预先将自己的公钥传送到要连接的服务器上，私钥自己保留。发起连接时，客户端用私钥加密一段数据发送给服务器，服务器如果能用对应用户的公钥解密就认证成功，在整个过程中没有传送密码，所以常说成ssh免密码登陆。具体操作步骤如下：

1、ssh-keygen   -t    rsa           ssh-keygen会生成一对非对称密钥对，-t表示使用rsa加密算法，也可以选择dsa

 

此时查看~/.ssh目录会发现多了俩文件，id_rsa和id_rsa.pub，第一个是私钥文件第二个是公钥文件，将id_rsa.pub中的内容复制到远程主机的~/.ssh/authorized_keys文件中再重新加载配置文件即可，如果没有这个文件可以手动建立，这里我用ssh-copy-id工具比较方便。

ssh-copy-id    -i   id_rsa.pub     someone@xxx.xxx.xxx.xxx    -p   2222

这时ssh   someone@xxx.xxx.xxx.xxx就可以直接免密码登陆了。当然也可以手动用scp将公钥的内容拷贝至服务器上的~/.ssh/authorized_keys文件中，但我觉得ssh-copy-id这个工具比较方便。

　　ssh服务端的配置文件在/etc/ssh/sshd_config文件中，可配置的条目有很多，具体可以man  5  sshd_config 。解释一下其中几个字段的意思吧，port 表示监听端口，这里我改成了2222，因为现在网上的坏人太多了，我登陆服务器后用lastb命令查看登陆日志总能发现一堆试图暴力破解服务器的记录，把默认的22号端口改掉可以增加一点安全性。ListenAddress   0.0.0.0  表示监听任意端口，因为一台主机可能同时有ipv4和ipv6地址，还可能有好几个。Protocol  2表示ssh的版本是2，AuthorizedKeysFile    %h/.ssh/authorized_keys表示公钥存放的位置。如果修改配置文件需要重新加载配置文件，可以用service   sshd   reload，查看/etc/init.d/ssh脚本，reload选项其实就是给ssh进程发送SIGHUP信号(1号信号)，1号信号可以让服务在不重启的条件下重新读取配置文件。

　　 基于ssh的还有scp ，sftp命令。我仅介绍一下sftp，之前用得比较少，sftp  -P   port_num   username@hostname，登陆之后就和ftp的使用方式差不多了，具体用法还是去看man手册吧