Linux网络管理与应用-第12章.ppt

Linux网络管理及应用;一、SSH服务的基本概念;1. 公钥加密体系结构 公钥加密体系结构理论是基于非对称性算法的，非对称性算法使用一对密钥（即公开密钥Public Key和私有密钥Private Key）进行加密和解密。加密密钥和解密密钥是不同的，但它们是互补的，即使用公开密钥加密的信息只有私有密钥才能解密，而使用私有密钥加密的信息只有公开密钥才能解密。 公钥加密体系工作流程;2. SSH协议框架 SSH协议框架中最主要的部分是三个协议：传输层协议、用户认证协议和连接协议。同时SSH协议框架中还为许多高层的网络安全应用协议提供扩展的支持。它们之间的层次关系可以用如下图所示： ;3. 主机密钥机制 由于SSH协议是面向互联网网络中主机之间的互访与信息交换，所以主机密钥成为基本的密钥机制。也就是说，SSH协议要求每一个使用本协议的主机都必须至少有一个自己的主机密钥对，服务方通过对客户方主机密钥的认证之后，才能允许其连接请求。 SSH协议关于主机密钥认证的管理方案有两种。;（1）方案一 在此方案中，主机将自己的公用密钥分发给相关的客户机，客户机在访问主机时则使用该主机的公开密钥来加密数据，主机则使用自己的私有密钥来解密数据，从而实现主机密钥认证，确定客户机的可靠身份。 ;（2）方案二 在此方案中，存在一个密钥认证中心，所有系统中提供服务的主机都将自己的公开密钥提交给认证中心，而任何作为客户机的主机则只要保存一份认证中心的公开密钥就可以了。在这种模式下，客户机在访问服务器主机之前，还必须向密钥认证中心请求认证，认证之后才能够正确地连接到目的主机上。 ;;SSH1版本的协议加密解密过程大致经过如下步骤： SSH daemon (sshd) 激活时，就会产生一个 768位 的公钥(或称为 server key)存放在SSH 服务器中； 客户端端的请求传送来时，服务器就会将这一个公钥传给客户端 ，客户端比对本地的 RSA 加密方式来确认这一个公钥； 在客户端接受这个768位的server key 之后，客户端自己也会随机产生一个 256位的私钥(host key)，并且以加密的方式将 server key 与 host key 整合成一个完整的 Key ，并且将这个 Key 也传送给服务器； ;服务器和客户端在这次连接会话中，就以这一个 1024位的 Key 来进行数据的传输。 因为客户端每次的 256位的 Key 是随机生产的，所以每一次的连接会话中的Key都是不同的。 ;（2）SSH2 与SSH1不同，在SSH2当中将不再产生Server Key 了，所以当客户端启动连接会话到服务器端时，两者将由Diffie-Hellman Key的计算方式来产生一个分享的Key，之后两者将由类似 Blowfish 的计算方式进行同步解密的动作！ 在预设情况下，使用SSH2的连接会话模式。由于我们在信息的传输过程中，经过了Public Key与Private Key的加密、解密动作，所以在中间的传送过程中，数据有比较大安全保障。;二、SSH服务的安装和使用;命令的执行结果如下图所示，表示OpenSSH服务已经安装，版本为openssh-server-4.5pl-6.fc7。 ;1. 启动SSH服务 因为一般Linux平台下都已经默认安装SSH服务并设定开机时启动SSH服务，所以我们可以直接就使用SSH服务了。当然，我们也可以用命令的方式来启动SSH服务。启动SSH服务的命令为： /etc/init.d/sshd start或者service sshd start ;;;2. 配置SSH服务端 SSH服务器的配置使用的是/etc/ssh/sshd_config配置文件，这些选项的设置在配置文件中已经有了一些说明而且用“man sshd”也可以查看帮助。OpenSSH对于SSH 1和SSH2使用相同的配置文件。 在默认的设置选项中常用的有： 设置是否允许root管理员登录 设置是否使用口令认证方式 设置SSH服务监听的端口号 设置使用SSH协议的顺序 设置SSH服务器的IP地址 设置是否允许空密码用户登录 ;3. SSH命令 （1）登录SSH服务器 命令格式： ssh [-l login_name] [hostname | user@hostname] SSH服务的登录过程 ;（2）SSH命令 通过ssh命令在远程主机上执行操作，命令格式如下： ssh [-l login_name] [hostname | user@hostname] [command] [command]是准备在远程主机上执行的命令。;常用的命令行选项;;（2）SFTP常用的命令 ;5. SSH密钥的使用 除了使用常规的口令方式登录SSH服务器，