編輯“SSH”

'''SSH'''，（Secure SHell）通過使用SSH，你可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，這樣“中間人”這種攻擊方式就不可能實現(xiàn)了，而且也能夠防止[[DNS]]和[[IP]]欺騙。還有一個額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的，所以可以加快傳輸?shù)乃俣?。SSH有很多功能，它既可以代替[[telnet]]，又可以為[[ftp]]、[[pop]]、甚至[[ppp]]提供一個安全的“通道”。 

==SSH簡介==
最初SSH是由芬蘭的一家公司開發(fā)的。但是因為受版權(quán)和加密算法的限制，現(xiàn)在很多人都轉(zhuǎn)而使用[[OpenSSH]]。OpenSSH是SSH的替代軟件，而且是免費的，可以預(yù)計將來會有越來越多的人使用它而不是SSH。 

傳統(tǒng)的網(wǎng)絡(luò)服務(wù)[[程序]]，如：ftp、pop和telnet在本質(zhì)上都是不安全的，因為它們在網(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)，別有用心的人非常容易就可以截獲這些口令和數(shù)據(jù)。而且，這些服務(wù)程序的安全驗證方式也是有其弱點的，就是很容易受到“中間人”（man-in-the-middle）這種方式的攻擊。所謂 “中間人”的攻擊方式，就是“中間人”冒充真正的[[服務(wù)器]]接收你的傳給服務(wù)器的數(shù)據(jù)，然后再冒充你把數(shù)據(jù)傳給真正的服務(wù)器。服務(wù)器和你之間的數(shù)據(jù)傳送被“中間人”一轉(zhuǎn)手做了手腳之后，就會出現(xiàn)很嚴(yán)重的問題。 

SSH是由[[客戶端]]和服務(wù)端的[[軟件]]組成的，有兩個不兼容的版本分別是：1.x和2.x。用SSH 2.x的客戶程序是不能連接到SSH 1.x的服務(wù)程序上去的。OpenSSH 2.x同時支持SSH 1.x和2.x。 

==SSH安全驗證的工作原理==
從客戶端來看，SSH提供兩種級別的安全驗證。

* 第一種級別（基于口令的安全驗證）只要你知道自己帳號和口令，就可以登錄到遠(yuǎn)程[[主機(jī)]]。所有傳輸?shù)臄?shù)據(jù)都會被加密，但是不能保證你正在連接的服務(wù)器就是你想連接的服務(wù)器?？赡軙袆e的服務(wù)器在冒充真正的服務(wù)器，也就是受到“中間人”這種方式的攻擊。

* 第二種級別（基于密匙的安全驗證）需要依靠密匙，也就是你必須為自己創(chuàng)建一對密匙，并把公用密匙放在需要訪問的服務(wù)器上。如果你要連接到SSH服務(wù)器上，客戶端軟件就會向服務(wù)器發(fā)出請求，請求用你的密匙進(jìn)行安全驗證。服務(wù)器收到請求之后，先在你在該服務(wù)器的家目錄下尋找你的公用密匙，然后把它和你發(fā)送過來的公用密匙進(jìn)行比較。如果兩個密匙一致，服務(wù)器就用公用密匙加密“質(zhì)詢”（challenge）并把它發(fā)送給客戶端軟件?？蛻舳塑浖盏健百|(zhì)詢” 之后就可以用你的私人密匙解密再把它發(fā)送給服務(wù)器。

用這種方式，你必須知道自己密匙的口令。但是，與第一種級別相比，第二種級別不需要在網(wǎng)絡(luò)上傳送口令。

第二種級別不僅加密所有傳送的數(shù)據(jù)，而且“中間人”這種攻擊方式也是不可能的（因為他沒有你的私人密匙）。但是整個登錄的過程可能需要10秒。

==安裝測試OpenSSH==
因為受到美國法律的限制，在很多[[Linux]]的發(fā)行版中都沒有包括OpenSSH。但是，可以從網(wǎng)絡(luò)上[[下載]]并安裝OpenSSH（有關(guān) OpenSSH的安裝和配置請參考：<nowiki>http://www.linuxaid.com.cn/engineer/brimmer/html /OpenSSH.htm</nowiki>）。

安裝完OpenSSH之后，用下面命令測試一下：
<pre>
ssh -l [your accountname on the remote host] [address of the remote host]
</pre>
如果OpenSSH工作正常，你會看到下面的提示信息：
<pre>
The authenticity of host [hostname] can't be established.
Key fingerprint is 1024 5f:a0:0b:65:d3:82:df:ab:44:62:6d:98:9c:fe:e9:52.
Are you sure you want to continue connecting (yes/no)?
</pre>
OpenSSH告訴你它不知道這臺主機(jī)，但是你不用擔(dān)心這個問題，因為你是第一次登錄這臺主機(jī)。鍵入“yes”。這將把這臺主機(jī)的“識別標(biāo)記”加到“~/.ssh/know_hosts”文件中。第二次訪問這臺主機(jī)的時候就不會再顯示這條提示信息了。

然后，SSH提示你輸入遠(yuǎn)程主機(jī)上你的帳號的口令。輸入完口令之后，就建立了SSH連接，這之后就可以象使用telnet那樣使用SSH了。 


==相關(guān)條目==
*[[HTTP]]
*[[TCP/IP]]

==參考來源==
*[http://www.moon-soft.com/program/bbs/readelite240876.htm 參考來源1]

[[category:網(wǎng)絡(luò)協(xié)議|S]]