SSH原理 and SSH远程登录

Secure Shell(SSH) 是由 IETF(The Internet Engineering Task Force) 制定的建立在应用层基础上的安全网络协议。它是专为远程登录会话(甚至可以用Windows远程登录Linux服务器进行文件互传)和其他网络服务提供安全性的协议，可有效弥补网络中的漏洞。通过SSH，可以把所有传输的数据进行加密，也能够防止DNS欺骗和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。目前已经成为Linux系统的标准配置。

SSH只是一种协议，存在多种实现，既有商业实现，也有开源实现。本文主要介绍OpenSSH免费开源实现在Ubuntu中的应用，如果要在Windows中使用SSH，需要使用另一个软件PuTTY。

SSH之所以能够保证安全，原因在于它采用了非对称加密技术(RSA)加密了所有传输的数据。

传统的网络服务程序，如FTP、Pop和Telnet其本质上都是不安全的；因为它们在网络上用明文传送数据、用户帐号和用户口令，很容易受到中间人（man-in-the-middle）攻击方式的攻击。就是存在另一个人或者一台机器冒充真正的服务器接收用户传给服务器的数据，然后再冒充用户把数据传给真正的服务器。

但并不是说SSH就是绝对安全的，因为它本身提供两种级别的验证方法：

第一种级别（基于口令的安全验证）：只要你知道自己帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密，但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器，也就是受到“中间人攻击”这种方式的攻击。

第二种级别（基于密钥的安全验证）：你必须为自己创建一对密钥，并把公钥放在需要访问的服务器上。如果你要连接到SSH服务器上，客户端软件就会向服务器发出请求，请求用你的密钥进行安全验证。服务器收到请求之后，先在该服务器上你的主目录下寻找你的公钥，然后把它和你发送过来的公钥进行比较。如果两个密钥一致，服务器就用公钥加密“质询”(challenge)并把它发送给客户端软件。客户端软件收到“质询”之后就可以用你的私钥在本地解密再把它发送给服务器完成登录。与第一种级别相比，第二种级别不仅加密所有传输的数据，也不需要在网络上传送口令，因此安全性更高，可以有效防止中间人攻击。

SSH分为客户端 openssh-client 和服务器 openssh-server，可以利用以下命令确认电脑上是否安装了客户端和服务器。

如果只是想远程登陆别的机器只需要安装客户端（Ubuntu默认安装了客户端），如果要开放本机的SSH服务就需要安装服务器。

首先确认ssh-server是否已经启动了

如图，sshd 表示ssh-server已经启动了。如果没有启动，可以使用如下命令启动：

停止和重启ssh服务的命令如下：

接下来就可以进行使用客户机远程登录服务器了~

口令登录非常简单，只需要一条命令，命令格式为： ssh 客户端用户名@服务器ip地址 eg:

如果需要 调用图形界面程序 可以使用 -X 选项

如果客户机的用户名和服务器的 用户名相同 ，登录时 可以省略 用户名。

还要说明的是，SSH服务的 默认端口是22 ，也就是说，如果你不设置端口的话登录请求会自动送到远程主机的22端口。我们可以使用 -p 选项来修改端口号，比如连接到服务器的1234端口：

客户机必须要知道服务器的 ip地址 。可以在服务器端电脑上利用 ifconfig 命令查看该机的ip地址：

如果是第一次登录远程主机，系统会给出下面提示：

意思是，该远程主机的真实性无法确定，其公钥指纹为 SHA256:s8pZiuKQr7k7f+57j22lk/IdWC8143VQKR+EabeP5，确定想要继续连接吗？

输入yes 即可。这时系统会提示远程主机被添加到已知主机列表。

然后会要求我们输入 远程主机的密码 ，输入的密码正确就可以成功登录了。命令提示符会修改为远程主机的提示符，现在开始，终端中输入的命令都将在服务器中执行。

我们可以通过 Ctrl+D 或者 exit 命令 退出远程登录 。

每次登录远程主机都需要输入密码是很不方便的，如果想要省去这一步骤，可以利用密钥对进行连接，还可以提高安全性。

1、在本机生成密钥对

使用ssh-keygen命令生成密钥对：

ssh-keygen -t rsa #-t表示类型选项，这里采用rsa加密算法

然后根据提示一步步的按enter键即可（其中有一个提示是要求设置私钥口令passphrase，不设置则为空，这里看心情吧，如果不放心私钥的安全可以设置一下），执行结束以后会在 /home/当前用户 目录下生成一个 ssh 文件夹,其中包含私钥文件 id_rsa 和公钥文件 id_rsapub。

2、将公钥复制到远程主机中

使用ssh-copy-id命令将公钥复制到远程主机。ssh-copy-id会将公钥写到远程主机的 ~/ ssh/authorized_key 文件中

ssh-copy-id ldz@19216801

经过以上两个步骤，以后再登录这个远程主机就不用再输入密码了。

1）已获取登录实例的管理员帐号及密码（或密钥）。

2）云服务器实例已开通22号端口。

—使用密码登录

Host Name（or IP address） ：服务器的IP地址；

Port ：服务器的端口，必须设置为22；

Connect type ：选择 “SSH”；

Saved Sessions ：填写会话名称，例如 test。 配置 “Host Name” 后，再配置 “Saved Sessions” 并保存，则后续使用时您可直接双击 “Saved Sessions” 下保存的会话名称即可登录服务器；

登录完成后，命令提示符左侧将显示当前登录云服务器的信息。

—使用密钥登录

Ps: 当不存在私钥文件时，可以选择Conversions > Import key 导入公钥(pem)文件来生成私钥文件(ppk)

Host Name (IP address) ：服务器的IP；

Port ：服务器的端口，必须填 22；

Connect type ：选择 “SSH”；

Saved Sessions ：填写会话名称，例如 test。 配置 “Host Name” 后，再配置 “Saved Sessions” 并保存，则后续使用时您可直接双击 “Saved Sessions” 下保存的会话名称即可登录服务器；

登录完成后，命令提示符左侧将显示当前登录服务器的信息。

1 ssh简介以及本例的应用场景

① ssh的简介

SSH是一个用来替代TELNET、FTP以及R命令的工具包，主要是想解决口令在网上明文传输的问题。为了系统安全和用户自身的权益，推广SSH是必要的。 SSH是英文Secure Shell的简写形式。通过使用SSH，你可以把所有传输的数据进行加密，这样"中间人"这种攻击方式就不可能实现了，而且也能够防止DNS欺骗和IP欺骗。

② 本例的应用场景

用户在client(Linux)上通过ssh远程执行server(Windows)上的命令，比如c:\testbat

注：Linux版自带ssh Server且默认启动，具体设置方法请参见google。

2 ssh服务器的安装(Windows)

ssh服务器软件有许多中，我们这里使用的是免费的freeSSHd。

① 首先从官方站点下载软件并安装（http://wwwfreesshdcom/）

② 安装完成后进入配置界面（Server Status），确认SSH server正在运行状态

③ 进入Users界面，设定一个访问的用户账户（比如xut）

这里我们建立一个叫xut的用户，认证有3种方式可以选择。从以后通过ssh运行命令的方便（无需输入密码）考虑，我们选择Public key认证方式。选择Password方式的话，每次访问需要输入密码，此种方式较为繁琐而且安全性不高。然后开放其Shell权限。

④ 进入认证界面，确认Public key认证方式属于激活状态（选择Allowed或Required）

此时ssh服务器端的基本设置已经OK，可进一步进行更加详细的设置（比如访问限定等），此处不再介绍。

注意：服务器端如果有防护墙时应该开发TCP 22号端口最为ssh连接使用。

3 ssh客户端的设置(Linux)

由于我们的客户端采用的是Linux，所以不用安装客户端软件，系统自带的就有。

我们需要在Linux上创建一个共有和私有的密钥对，私有密钥放到客户端（Linux）上，共有密钥放到服务器端（Windows）上。在Linux上通过ssh-keygen命令来创建。

[root@localhost ~]# ssh-keygen -t rsa

Generating public/private rsa key pair

Enter file in which to save the key (/root/ssh/id_rsa): [直接回车]

Enter passphrase (empty for no passphrase): [直接回车]

Enter same passphrase again: [直接回车]

Your identification has been saved in /root/ssh/id_rsa

Your public key has been saved in /root/ssh/id_rsapub

The key fingerprint is:

4d:dd:48:af:76:c2:ba:a8:bc:20:f3:28:1d:6a:28:53

其中，/root/ssh/id_rsa为私有密钥，/root/ssh/id_rsapub为共有的密钥。

此时，需要把共有密钥放到服务器端（Windows）进行保存，以便于服务器端进行安全检查。

我们通过认证界面找到存放共有密钥的地址(Public key folder)。

如上图所示，然后在c:\Program Files\freeSSHd目录下创建以登录用户名为名字的文本文件，此处举例为xut文件。并将/root/ssh/id_rsapub文件中的内容拷贝到c:\Program Files\freeSSHd\xut文件中。

至此，客户端和服务器端的密钥设置已经完成，可以通过如下命令进行远程的命令执行。

ssh xut@17228xxxxx "c:\testbat"

这条命令将执行服务器端的C盘下的testbat文件，并把结果返回,整个操作不需输入密码。

4 ssh客户端的设置(Windows)

由于Windows不附带ssh的客户端和服务器端，我们这里找一个免费的客户端软件PuTTY。

PuttY主页：http://wwwchiarkgreenendorguk/~sgtatham/putty/

各种客户端的比较：http://enwikipediaorg/wiki/Comparison_of_SSH_clients

在Putty主页，我们下载puttyzip（含除了PuTTYtel以外的所有文件），然后解压会发现一个叫plinkexe的文件，这就是我们的ssh客户端命令行软件。

我们首先要成一个共有和私有的密钥对，使用puttyzip中附带的PUTTYGENexe生成。

启动PUTTYGENexe后可以见到下图界面，点击[Generate]即可生成所需密钥对。

注意：由于是采用随机算法生成，需要不停地在对话框上移动鼠标进度条才会增加，否则将保持不变。

鼠标在这里不停移动

密钥生成完毕后，可以把私有密钥进行保存，为了登录简单起见不对私钥进行加密，提示没有passphrase选择忽略即可。假设我们这里把私钥保存为pri_keyppk。

我们把公钥放在freeSSHd端（ssh服务器端）进行保存，具体保存方法参见ssh客户端的设置(Linux)。

在Windows客户端，执行如下命令进行ssh连接，并不需要输入密码即可通过密钥进行自动认证。

plink -i pri_keyppk xut@17228xxxxx c:\testbat

（此时将执行服务器端的c:\testbat脚本。）

注：第一次连接时将出现“The server's host key is not cached in the registry…

SSH 是一种网络协议，用于计算机之间的加密登录。如果一个用户从本地计算机，使用 SSH 协议登录到另一台远程计算机，我们就可以认为，这种登录是安全的，即使被中途截获，密码也不会泄露。

最早的时候，互联网通信都是明文通信，一旦被截获，内容就暴露无疑。1995年，芬兰学者Tatu Ylonen设计了SSH协议，将登录信息全部加密，成为互联网安全的一个基本解决方案，迅速在全世界获得推广，目前已经成为Linux系统的标准配置。

SSH 为Secure Shell的缩写，由 IETF 的网络小组（Network Working Group）所制定；SSH 为建立在应用层基础上的安全协议。

SSH 是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。

SSH最初是UNIX系统上的一个程序，后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。

几乎所有UNIX平台—包括HP-UX、Linux、AIX、Solaris、DigitalUNIX、Irix，以及其他平台，都可运行SSH。

检查服务器通讯

常见简单方法可以通过ping来判断你服务器是否正常

如127001    

电脑运行cmd 

ping 你的IP  -t

如果可以返回数值 可能就是你防火墙或者设置导致无法链接

如返回是超时 可能服务器已经故障了 请联系机房解决

购买百度云服务器后，百度云会给你发送短信告知登陆用户名，但一般不会通过手机短信将密码发给你，所以首先要进入工作台后，鼠标放在vnc远程后，选择实例设置——>重置密码。

之后一般会需要几分钟重启服务器，显示重置密码中。

按照百度云官方操作步骤是这样的

但是呢，按照以上的操作之后，始终连不上，总是提示“用户秘钥未在远程主机注册”。

根据错误提示，判断问题应该是公钥没在服务器上注册。有两种方法可以尝试：

1、通过管理后台的秘钥对管理——创建秘钥对——使用已有的公钥——将上一步创建的公钥内容粘贴进去，然后在绑定服务器实例即可。

但是通过以上操作之后，仍然连不上。

2、尝试第二种方法，直接将ssh公钥都追加到authorized_keys文件。

先通过用户名和密码登陆服务器，

然后编辑ssh/authorized_keys 文件。

进入后，将前面创建的公钥粘贴进去。

再连接，成功！

SSH全称是SecureShell，SSH是创建在应用层和传输层基础上的安全协议，采用端口为22，下面我来讲解一下如何使用putty工具来连接服务器：

工具/原料

putty

开有ssh服务的服务器

连接服务器

1、下载putty软件，网络搜索这个软件有很多下载的，当然也不一定是这款，也可以用其他同类软件连接：

2、打开软件之后，输入你连接服务器的ip地址，勾选ssh，端口22：

3、点击确定后，输入帐号和密码（密码不可见，只需要输入即可）；完成后回车，看看有没有成功连接上；如果可以连接上，就可以执行命令了；如果连接不上，请检查是否密码错误或者服务器配置问题：