SSH協(xié)議支持了網(wǎng)絡(luò)的安全傳輸。在一些協(xié)議中，SSH協(xié)議加入了保護(hù)措施，才讓一些非安全協(xié)議能夠有效工作，提供網(wǎng)絡(luò)的安全環(huán)境。所以，我們今天就來(lái)簡(jiǎn)單介紹一下什么是SSH。傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序，如：ftp、pop和telnet在本質(zhì)上都是不安全的，因?yàn)樗鼈冊(cè)诰W(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)， 別有用心的人非常容易就可以截獲這些口令和數(shù)據(jù)。

而且，這些服務(wù)程序的安全驗(yàn)證方式也是有其弱點(diǎn)的， 就是很容易受到“中間人”(man-in-the-middle)這種方式的攻擊。所謂“中間人”的攻擊方式， 就是“中間人”冒充真正的服務(wù)器接收你的傳給服務(wù)器的數(shù)據(jù)，然后再冒充你把數(shù)據(jù)傳給真正的服務(wù)器。服務(wù)器和你之間的數(shù)據(jù)傳送被“中間人”一轉(zhuǎn)手做了手腳之后，就會(huì)出現(xiàn)很嚴(yán)重的問(wèn)題。

SSH的英文全稱是Secure

SHell：通過(guò)使用SSH，你可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，這樣“中間人”這種攻擊方式就不可能實(shí)現(xiàn)了， 而且也能夠防止DNS和IP欺騙。還有一個(gè)額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過(guò)壓縮的，所以可以加快傳輸?shù)乃俣?。SSH有很多功能，它既可以代替telnet，又可以為ftp、pop甚至ppp提供一個(gè)安全的“通道”。

最初SSH是由芬蘭的一家公司開(kāi)發(fā)的，但是因?yàn)槭馨鏅?quán)和加密算法的限制，現(xiàn)在很多人都轉(zhuǎn)而使用OpenSSH。OpenSSH是SSH協(xié)議的替代軟件，而且是免費(fèi)的，可以預(yù)計(jì)將來(lái)會(huì)有越來(lái)越多的人使用它而不是SSH。

SSH是由客戶端和服務(wù)端的軟件組成的，有兩個(gè)不兼容的版本分別是：1.x和2.x。用SSH 2.x的客戶程序是不能連接到SSH 1.x的服務(wù)程序上去的，OpenSSH 2.x同時(shí)支持SSH 1.x和2.x。

SSH協(xié)議的安全驗(yàn)證是如何工作的

從客戶端來(lái)看，SSH提供兩種級(jí)別的安全驗(yàn)證。

第一種級(jí)別(基于口令的安全驗(yàn)證)只要你知道自己帳號(hào)和口令，就可以登錄到遠(yuǎn)程主機(jī)。

所有傳輸?shù)臄?shù)據(jù)都會(huì)被加密， 但是不能保證你正在連接的服務(wù)器就是你想連接的服務(wù)器?？赡軙?huì)有別的服務(wù)器在冒充真正的服務(wù)器， 也就是受到“中間人”這種方式的攻擊。

第二種級(jí)別(基于密匙的安全驗(yàn)證)需要依靠密匙，也就是你必須為自己創(chuàng)建一對(duì)密匙，并把公用密匙放在需要訪問(wèn)的服務(wù)器上。

如果你要連接到SSH服務(wù)器上，客戶端軟件就會(huì)向服務(wù)器發(fā)出請(qǐng)求，請(qǐng)求用你的密匙進(jìn)行安全驗(yàn)證。服務(wù)器收到請(qǐng)求之后， 先在你在該服務(wù)器的家目錄下尋找你的公用密匙，然后把它和你發(fā)送過(guò)來(lái)的公用密匙進(jìn)行比較。

如果兩個(gè)密匙一致，服務(wù)器就用公用密匙加密“質(zhì)詢"(challenge)并把它發(fā)送給客戶端軟件，客戶端軟件收到“質(zhì)詢”之后就可以用你的私人密匙解密再把它發(fā)送給服務(wù)器。用這種方式，你必須知道自己密匙的口令。但是，與第一種級(jí)別相比，第二種級(jí)別不需要在網(wǎng)絡(luò)上傳送口令。

SSH協(xié)議第二種級(jí)別不僅加密所有傳送的數(shù)據(jù)，而且“中間人”這種攻擊方式也是不可能的(因?yàn)樗麤](méi)有你的私人密匙)，但是整個(gè)登錄的過(guò)程可能需要10秒。

【編輯推薦】

1. 通過(guò)四步防御SSH攻擊
2. 教你幾條捷徑 提高SSH的安全性
3. 用腳本簡(jiǎn)化部署DenyHosts防SSH暴力破解
4. 故障分析：SSH的攻擊導(dǎo)致CPU利用率突發(fā)增高