SSH全称(Secure SHell)是一种网络协议,顾名思义就是非常安全的shell,主要用于计算机间加密传输。SSH 是非对称加密算法,通过公钥和秘钥机制来保证主机与服务器通信的安全性。这篇文章将介绍 SSH 的两种应用场景,帮助我们深入理解非对称加密算法。

场景一:用户使用密码通过 ssh 安全机制访问远程主机

SSH最常用的使用方式是代替 telnet 进行远程登陆。不同于 telnet 的密码登陆,SSH还同时支持 Publickey、Keybord Interactive、GSSAPI 等多种登入方式,不像 telnet 那样只有输入系统密码一种途径。目前最常用的登陆方式还是传统的 Password 方式 和 Publickey方式登陆。

  • SSH提供两种方式的登录验证:
  1. 密码(口令)验证:以服务器中本地系统用户的登录名称,密码进行验证。
  2. 密钥对验证:要求提供相匹配的秘钥信息才能通过验证。通常先在客户机中创建一对密钥文件(公钥和私钥),然后将公钥文件放到服务器中的指定位置。
    注意:当密码验证和私钥验证都启用时,服务器将优先使用密钥验证。
  • SSH之所以能够保证安全,原因在于它采用了公钥加密
    整个过程是这样的:
  1. 远程主机收到用户的登录请求,把自己的公钥发给用户。
  2. 用户使用这个公钥,将登录密码加密后,发送回来。
  3. 远程主机用自己的私钥,解密登录密码,如果密码正确,就同意用户登录。
  • 中间人攻击
    这个过程本身是安全的,但是实施的时候存在一个风险:如果有人截获了登录请求,然后冒充远程主机,将伪造的公钥发给用户,那么用户很难辨别真伪。因为不像 https 协议,SSH 协议的公钥是没有证书中心(CA)公证的,也就是说,都是自己签发的。
    可以设想,如果攻击者插在用户与远程主机之间(比如在公共的 wifi 区域),用伪造的公钥,获取用户的登录密码。再用这个密码登录远程主机,那么 SSH 的安全机制就荡然无存了。这种风险就是著名的"中间人攻击"(Man-in-the-middle attack)。
  • SSH协议是如何应对的呢?
    如果你是第一次通过ssh登录远程主机,会出现下面的提示:
# ssh user@host
The authenticity of host 'host (12.18.429.21)' can't be established.
RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.
Are you sure you want to continue connecting (yes/no)?

或者:

ssh的加密算法有哪些类型 ssh使用的加密方式_ssh的加密算法有哪些类型


这段话的意思是,无法确认host主机的真实性,只知道它的公钥指纹,问你还想继续连接吗?

所谓"公钥指纹",是指公钥长度较长(这里采用RSA算法,长达1024位),很难比对,所以对其进行MD5计算,将它变成一个128位的指纹。上例中是98:2e:d7:e0??9f:ac:67:28:c2:42:2d:37:16:58:4d,再进行比较,就容易多了。

很自然的一个问题就是,用户怎么知道远程主机的公钥指纹应该是多少?回答是:没有好的办法,远程主机必须在自己的网站上贴出公钥指纹,以便用户自行核对。

假定经过风险衡量以后,用户决定接受这个远程主机的公钥。

– 系统会出现一句提示,表示host主机已经得到认可。

Warning: Permanently added 'host,12.18.429.21' (RSA) to the list of known hosts.

当远程主机的公钥被接受以后,它就会被保存在用户home目录的 $HOME/.ssh/known_hosts 文件之中。下次再连接这台远程主机,系统就会认出它的公钥已经保存在本地了,从而跳过警告部分,直接提示输入密码。

这样一来就保证了用户通过密码访问主机的安全性。

场景二 使用 SSH 设置免密登录

我们已经清楚 SSH 如何保证连接的安全性了,利用 SSH 提供的公钥(public key)登录,可以省去输入密码的步骤,在 Hadoop 集群中的各主机间相互通信应用非常广泛

  • 基本原理
    所谓"公钥登录",原理很简单,就是用户将自己的公钥储存在远程主机上。登录的时候,远程主机会向用户发送一段随机字符串,用户用自己的私钥加密后,再发回来。远程主机用事先储存的公钥进行解密,如果成功,就证明用户是可信的,直接允许登录shell,不再要求密码。
  • 主要步骤

    • ssh的加密算法有哪些类型 ssh使用的加密方式_Hadoop_02

  • Hadoop 免密登录配置
  1. 生成秘钥对
    ssh-keygen -t dsa -f ~/.ssh/id_dsa -C "test key" 备注:-t (可选)表示秘钥类型,可选为 rsa 和 dsa,-f (可选)表示文件名及路径,-C (可选)表示备注。
  2. 追加公钥
    cat ~/.ssh/id_dsa.pub >> ~/.ssh/authorized_keys
  3. 把本地的ssh公钥文件安装到远程主机对应的账户下:
    ssh-copy-id user@serverssh-copy-id -i ~/.ssh/id_rsa.pub user@server 备注:-i (可选)指明特定的公钥文件
  4. 测试
    在master机器上,从master机器通过ssh登录到slave1,第一次需要密码,退出后以后登录就不需要密码了,其他机器类似操作:
//登陆slave1
ssh slave1

//登陆后退出
exit

//重新登陆
ssh slave1

final:以上两个场景就是 SSH 的主要应用