SSH原理及配置

SSH定义

SSH 为 Secure Shell 的缩写，由 IETF 的网络小组（Network Working Group）所制定；SSH 为建立在应用层基础上的安全协议。SSH 是较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序，后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。几乎所有UNIX平台—包括HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix，以及其他平台，都可运行SSH。

SSH的安全机制

SSH之所以能够保证安全，原因在于它采用了非对称加密技术(RSA)加密了所有传输的数据。

传统的网络服务程序，如FTP、Pop和Telnet其本质上都是不安全的；因为它们在网络上用明文传送数据、用户帐号和用户口令，很容易受到中间人（man-in-the-middle）攻击方式的攻击。就是存在另一个人或者一台机器冒充真正的服务器接收用户传给服务器的数据，然后再冒充用户把数据传给真正的服务器。

但并不是说SSH就是绝对安全的，因为它本身提供两种级别的验证方法：

第一种级别（基于口令的安全验证）：只要你知道自己帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密，但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器，也就是受到“中间人攻击”这种方式的攻击。

第二种级别（基于**的安全验证）：你必须为自己创建一对**，并把公钥放在需要访问的服务器上。如果你要连接到SSH服务器上，客户端软件就会向服务器发出请求，请求用你的**进行安全验证。服务器收到请求之后，先在该服务器上你的主目录下寻找你的公钥，然后把它和你发送过来的公钥进行比较。如果两个**一致，服务器就用公钥加密“质询”(challenge)并把它发送给客户端软件。客户端软件收到“质询”之后就可以用你的私钥在本地解密再把它发送给服务器完成登录。与第一种级别相比，第二种级别不仅加密所有传输的数据，也不需要在网络上传送口令，因此安全性更高，可以有效防止中间人攻击。

Linux中SSH配置

1.关闭防火墙和SELinux

Redhat使用了SELinux来增强安全，关闭的办法为：
a. 永久有效
修改 /etc/selinux/config 文件中的 SELINUX=enforcing 修改为 SELINUX=disabled ，然后重启。
b. 临时生效
setenforce 0
关闭防火墙的方法为：
a. 永久有效
开启：chkconfig iptables on
关闭：chkconfig iptables off
b. 临时生效
开启：service iptables start
关闭：service iptables stop
需要对两台服务器分别进行设置，关闭防火墙和 SELinux 。

2.设置主机名

设置格式：#hostname [主机名] 。
立即生效： #bash
将A服务器的主机名设置为 server1
将B服务器的主机名设置为 server2

3.配置hosts

编辑 /etc/hosts 文件，使用命令：vim /etc/hosts ，在两台服务器的 hosts 文件中分别增加如下配置：

192.168.12.11 server1
192.168.12.12 server2

4.配置sshd

编辑两台服务器的 /etc/ssh/sshd_config 文件，使用命令：vim /etc/ssh/sshd_config 。
去掉以下3行的 “#” 注释：

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

重启 sshd 服务，使用命令：/sbin/service sshd restart 。

5.秘钥设置

1.创建免密码登录账户
在 server2 中创建一个 guest2 账户 。

useradd guest1 //创建新用户
passwd guest1 //设置新用户登录密码

2.生成秘钥
从 root 用户切换到要免密码登录的账户，使用命令：su guest1 。
执行
命令：ssh-****** -t rsa

无需指定口令密码，直接回车，命令执行完毕后会在 guest1 用户的家目录中（/home/guest1/.ssh）生成两个文件：

id_rsa: 私钥
id_rsa.pub:公钥

按照同样的步骤，在 server2 中为 guest2 账户生成好秘钥文件。

3.将公钥导入到认证文件

cat /home/guest1/.ssh/id_rsa.pub >> /home/guest1/.ssh/authorized_keys
ssh [email protected] cat /home/guest2/.ssh/id_rsa.pub >> authorized_keys

使用命令 cat authorized_keys 查看 authorized_keys 文件内容如下：

4.设置文件访问权限

chmod 700 /home/guest1/.ssh
chmod 600 /home/guest1/.ssh/authorized_keys

执行完以上设置之后 server1 就能够免密码登录本机了，使用命令：ssh [email protected] 。

注意：当 known_hosts 文件中缺少主机名称信息时会提示如下信息，输入 yes 即可将主机名称写入 known_hosts 文件并登陆成功。

至此，主机 server1 的 SSH 免密码登录就算配置完成了，接下来配置 server2 。

5.将认证文件复制到其他主机
执行以下命令将生成的 authorized_keys、known_hosts两个文件从 server1 复制到 server2 。

scp /home/guest1/.ssh/authorized_keys [email protected]:/home/guest2/.ssh/authorized_keys
scp /home/guest1/.ssh/known_hosts [email protected]:/home/guest2/.ssh/known_hosts

待复制完成以后，先使用以下命令设置文件访问权限。

chmod 700 /home/guest2/.ssh
chmod 600 /home/guest2/.ssh/authorized_keys

然后，执行 ssh [email protected] 命令就能够使用server2的guest2账户免密码登录server1的guest1账户了。
至此，两台服务器的SSH 免密码登录就全部设置完成，如果出错，请仔细检查以上各个步骤。