linux 之七 ssh、ssl、openssh、openssl、libressl -凯发k8官方网
在上一篇博文 linux 之四 ubuntu 20.04 wifi 无法使用、设置无法显示、远程桌面、ssh、git、ppa 等各问题记录 中,曾试图使用远程桌面功能来连接使用我的 ubuntu 20.04,但实际情况是远程桌面卡的是惨不忍睹,无奈还是得用 ssh 远程登录。
在网上找了很多 ssh 相关的文章,好记性不如烂笔头,这里整理一下,做个备忘录!
ssh 为 secure shell 的缩写(虽然名字中有个 shell,但他实际并不是 shell),由互联网工程任务组(internet engineering task force,ietf)的网络小组(network working group)所制定一个网络协议。ssh 是一种建立在应用层基础上的加密的网络协议。但是,就和 ssl 类似,它有不是仅仅工作在应用层(映射到 tcp/ip 模型)!如下图是 osi 参考模型与 tcp/ip 模型对比:
ssh 的经典用途是登录到远程电脑中执行命令。除此之外,ssh 也支持隧道协议、端口映射和 x11 连接。借助 sftp 或 scp 协议,ssh 还可以传输文件。
ssh 协议有两个主要版本,分别是 ssh-1 和 ssh-2,两者不兼容。2006 年,ssh-2 协议成为了新的标准,而且目前我们使用的 ssh 大多数都是 ssh-2 版本的 ssh,其标准主要有 :
- rfc 4250 – the secure shell (ssh) protocol assigned numbers
- rfc 4251 – the secure shell (ssh) protocol architecture
- rfc 4252 – the secure shell (ssh) authentication protocol
- rfc 4253 – the secure shell (ssh) transport layer protocol
- rfc 4254 – the secure shell (ssh) connection protocol
- rfc 4255 – using dns to securely publish secure shell (ssh) key fingerprints
- rfc 4256 – generic message exchange authentication for the secure shell protocol (ssh)
- rfc 4335 – the secure shell (ssh) session channel break extension
- rfc 4344 – the secure shell (ssh) transport layer encryption modes
- rfc 4345 – improved arcfour modes for the secure shell (ssh) transport layer protocol
关于 rfc:
此外,关于 ssh 的几个专有名词也需要区分一下:
- ssh: 通用术语,指 ssh 协议 或 基于 ssh 协议的软件产品
- ssh-1: ssh 协议版本 1。ssh 协议有多个修订版,其中最为大家熟知的是 1.3 和 1.5
- ssh-2: ssh 协议版本 2。这是由 ietf 的 secsh 工作组的若干标准文件中定义名称
- ssh1: 通常代指 tatu ylönen 实现的 ssh 协议版本 1 的软件名字
- ssh2: ssh communications security, inc. (http://www.ssh.com) 实现的 ssh 协议版本 2 的软件名字,这是一个ssh 协议版本 2 的商业版软件实现
- ssh: 全部小写的 ssh 是 openssh 中实现的 ssh 客户端的软件名字,这也是如今我们使用最多的 ssh 软件。
历史
架构
ssh 的软件架构采用了服务器-客户端模式(server - client),默认的端口为 22。ssh 通过在网络中创建安全隧道来实现 ssh 客户端与服务器之间的连接。整体架构如下图所示:
ssh 协议有两个主要版本,分别是 ssh-1 和 ssh-2,这两个版本的协议是不兼容的!与 ssh-1 相比,ssh-2 进行了一系列功能改进并增强了安全性,还支持通过单个ssh 连接任意数量的 shell 会话。两者架构对比如下所示:
ssh-1 被设计为一个整体,在这个单个协议中定义了多个不同的功能,而 ssh-2 则被设计为分成不同的模块层,共由三种协议组成:
- transport layer protocol: 该协议兼容服务器身份验证、私密性和完整性,具有完美的前向私密性。这一层可以提供可选的压缩,并通过tcp/ip 连接运行,但也可以在任何其他可靠的数据流之上使用。
- user authentication protocol: 该协议向服务器验证客户端,并在传输层上运行。
- connection protocol: 该协议通过用户认证协议将加密通道多路复用到多个逻辑通道。
ssh 只是一种协议,存在多种实现,既有商业实现,也有开源实现。目前,openssh 是最流行的 ssh 实现,而且成为了大量操作系统的默认组件。openssh 仍在积极维护中,而且已经支持 ssh-2 协议。从 7.6 版开始,openssh 不再支持 ssh-1 协议。凯发k8官方网官网:https://www.openssh.com/ 。openssh 主要包含以下工具:
- 客户端工具 ssh、scp、sftp
- ssh:ssh 客户端,是一个用于登录到远程计算机并在远程计算机上执行命令的程序。
- scp:用于在网络上的主机之间复制文件
- sftp:一个文件传输程序,类似于 ftp,它通过加密的 ssh 传输执行所有操作。
- 密钥管理工具 ssh-add、ssh-keysign、ssh-keyscan、ssh-keygen
- ssh-add:用于将私钥标识添加到身份验证代理(ssh-agent)。在没有参数的情况下运行时,它会添加文件 〜/.ssh/id_rsa,〜/.ssh/id_dsa,〜/ .ssh/id_ecdsa,〜/.ssh/id_ecdsa_sk,〜/.ssh/id_ed25519 和 〜/.ssh /id_ed25519_sk。加载私钥后,ssh-add 将尝试从以-cert.pub 结尾的文件中加载相应的证书信息。
- ssh-keysign:ssh 使用 ssh-keysign 访问本地主机密钥并生成基于主机身份验证所需的数字签名。默认情况下,该功能是被禁用的,且该程序一般不需要用户调用,而是由 ssh 程序自动调用。
- ssh-keyscan:用于收集其他主机的公共 ssh 主机键的实用程序。它旨在帮助构建和验证 ssh_knokn_hosts 文件。
- ssh-keygen:openssh 身份验证密钥实用程序
- 服务端工具 sshd、sftp-server、ssh-agent
- sshd:即 openssh daemon,是 ssh 的守护程序,也即 ssh 的服务端程序。它通过不安全的网络在两个不受信任的主机之间提供安全的加密通信。
- ssh-agent:用来保存用于公钥身份验证的私钥。通过使用环境变量,它可以在使用 ssh 登陆其他计算机时,定位并自动处理身份验证。
- sftp-server:sftp 服务端程序,用来接收并处理来自 sftp 的连接。改程序通常也不需要由用户调用,而是由 ssh 来调用
详细的介绍及使用方法,可以参考 openssh 官方文档:https://www.openssh.com/manual.html。
在这个架构中,ssh 软件分成两个部分:向服务器发出请求的部分,称为客户端(client),openssh 的实现为 ssh;接收客户端发出的请求的部分,称为服务器(server),openssh 的实现为 sshd。
目前,ssh 已经成为了类 unix 系统的标配组件,直接在 ubuntu 终端中输入 ssh -v 就可以查看 ubuntu 自带了 ssh 客户端的版本,我这里的版本号是 openssh_8.2p1。
然而 ubuntu 默认并没有安装 ssh server,因此需要自己安装:sudo apt-get install openssh-server,安装之后,查看一下:
第一个查看安装了 ssh 相关的包,第二个查看 ssh 服务器有没有运行(ssh-agent 表示 ssh-client 启动,sshd 表示 ssh-server 启动)!
注意,第一次安装之后,ssh 服务端会被默认启动,但是重启电脑之后,ssh 服务端默认不会自动启动。手动启动的命令为:sudo service ssh start。当然,我们可以选择将 ssh 服务端配置为开机自启动。
在早期的 linux 中,rc.local 是在系统初始化级别脚本运行之后再执行的,可以安全地在里面添加想在系统启动之后执行的脚本。然而,在比较新的 linux 发行版已经没有 rc.local 文件了,因为已经将其服务化了。直接使用命令:sudo systemctl enable ssh 表示开机自启动 ssh 服务端。下面是一些常用命令:
根据网友介绍,目前也可以手动添加 rc.local,在 exit 0 语句前加入:/etc/init.d/ssh start ,这样使 ssh 服务端开启自动启动。具体方法参考:https://cloud.tencent.com/developer/article/1721972
同样,从 windows 10 1803 版本开始,微软也提供 openssh 工具。直接在 windows terminal 中(cmd)输入 ssh 就可以查看当前系统中的 ssh 版本,与 ubuntu 不同的是,windows 同时提供了 ssh 客户端和服务端:
windows 下如果要使用服务端需要进行一些配置。
配置
ssh 的运行需要各种配置文件。ssh 客户端的全局配置文件是 ssh_config,服务端的配置文件是 sshd_config,他们都位于 /etc/ssh 目录下。这里需要注意,在 windows 系统中,稍微有些不同。
windows 系统中的 openssh 默认没有这两个配置文件。例如,默认没有服务端的配置文件 sshd_config,如果要运行服务端,会提示如下错误(windows 上正确启用 ssh 服务端需要从 设置 → 应用 →可选功能 中添加服务端,然后使用命令:net start sshd):
如果我们正常添加了 ssh 服务端,那么在 c:\programdata\ssh 下就会找到各种配置文件,如下图所示:
此外,在 windows 下,在用户个人的配置文件在 用户名/.ssh/config,优先级高于全局配置文件。
基本用法
ssh 最常见的用途就是登录服务器,这要求服务器安装并正在运行 ssh 服务器软件。以上面介绍的 openssh 工具,来简单介绍一下使用方法,从 windows 远程登录 ubuntu。首先,ubuntu 必须要先启动 ssh 服务器,方法如上面说的。否则将收到如下错误:
最简单的 ssh 登录服务器的命令是:ssh hostname,hostname 可以是 ip 地址,也可以是域名。同时,我们还可以指定登录远程服务器的用户名,命令为:ssh username@hostname。用户名也可以使用 ssh 的 -l 参数指定,这样的话,用户名和主机名就不用写在一起了:ssh -l username hostname。此外,ssh 默认的端口为 22,如果不使用默认的端口,则需要 -p 参数可以指定其他端口:ssh -p 6666 hostname。
如果是第一次连接某一台服务器,命令行会显示一段文字(如上图),表示不认识这台机器,提醒用户确认是否需要连接。其中的 ecdsa key fingerprint is sha256:nhie5f7qtvygv7inll5k0wyj4vc p22d9d5yypusldm. 就是服务器的公钥的哈希值。一旦用户确认连接之后,ssh 会将本机连接过的所有服务器公钥的指纹,都储存在本机的 ~/.ssh/known_hosts 文件中。每次连接服务器时,通过该文件判断是否为陌生主机(陌生公钥)。
安全套接字层(secure socket layer ,ssl)协议是一种认证和加密技术,通过伯克利套接字样式 api 向 tcp 客户提供安全服务。 最初是由 netscape communications corporation(网景)公司开发,用于给客户端和服务器通信的 http 协议加密,以保证安全。
虽然 ssh 在网络通信安全中很流行,但是它并不是唯一的保证网络通信安全的方案。身份验证、加密和网络安全早在 ssh 之前就已经出现了,ssl/tls 就是其中的一个非常流行安全凯发k8官方网的解决方案。
1999 年,互联网标准化组织 isoc 接替 netscape 公司,发布了 ssl 的升级版 transport layer security(tls)1.0 版的标准文档 rfc2246,并在后续修订了多个版本。如下表是 ssl/tls 不同版本的发布情况:
协议发布日期状态ssl1.0 | 1994 | 网景公司制定,但并未对外发布 |
ssl2.0 | 1995 | 很快发现有严重漏洞,网景公司开始设计3.0。 2011 在 rfc6176 中被标记为废弃 |
ssl3.0 | 1996 | 2015 在 rfc7568 中被标记为废弃 |
tls1.0 | 1999 | 2020 在 rfc8996 中被标记为废弃 |
tls1.1 | 2006 | 2020 在 rfc8996 中被标记为废弃 |
tls1.2 | 2008 | |
tls1.3 | 2018 |
tls 和 ssl 就是一个东西,tls 是 ssl 的改进升级。当前使用最多的是 tls1.2 和 tls1.3。在实际使用中,仍然有很多文献使用 ssl 这个名字,或者使用 ssl/tls。实际情况是,ssl3.0 发布至今没有更新过,且被发现了很多漏洞,现在还少使用 ssl3.0 了。
架构
ssl/tls 协议采用主从式架构模型,基本思路是采用公钥加密法,即:客户端先向服务器端索要公钥,然后用公钥加密信息,服务器收到密文后,用自己的私钥解密。主要由 ssl record protocol、handshake protocol、change-cipher spec protocol、alert protocol 组成。
- ssl record protocol: ssl record 为 ssl 连接提供了加密(加密方法由 handshake protocol 确定)和消息完整性校验这两个功能。在 ssl 记录协议中,应用程序数据被分成片段。片段可选择被压缩,然后附加由 sha(安全散列协议)和 md5(消息摘要)生成的算法生成的加密 mac(消息认证码)。之后,完成数据的加密,并且在最后加上一个 ssl 报头,最终形成一条完整的报文。
- handshake protocol: 握手协议用于建立会话。该协议允许客户端和服务器通过向对方发送一系列消息来彼此进行身份验证。握手协议使用四个阶段来完成其循环。
- change-cipher protocol: 该协议使用 ssl record protocol。除非完成握手协议,否则 ssl记录输出将处于挂起状态。握手协议完成后,挂起状态转换为当前状态。该 协议由单个消息组成,该消息长度为 1 字节,并且只能具有一个值。该协议的目的是使待定状态复制到当前状态。
- alert protocol: 该协议用于将 ssl 相关的警报传达给对等实体。此协议中的每个消息包含 2 个字节。该层被进一步分成告警(不影响双方连接)和致命错误(需要中断双方连接)两部分。
关于 ssl/tls 协议 每部分中详细的定义,可以参见 https://en.wikipedia.org/wiki/transport_layer_security#protocol_details。
ssl/tls 协议的具体实现,在不同的操作系统中有多种存在。openssl 就是 ssl/tls 协议的一个开源实现。下图是维基百科整理的各种 ssl/tls 协议 实现对于 ssl/tls 协议 版本的支持情况:
从上上一节的图中可以看到,ubuntu 中的 openssh 使用是 openssl 1.1.1f 提供的加密算法库。 微软在 win10 中集成的 openssh 使用的就是 libressl 加密算法库。openssl 开源加密库之前发现的漏洞影响遍及整个互联网。openbsd 的开发者为此而创建了 openssl的 分支 libressl,用户编译时可选择链接到 libressl 库。许多大型公司出于安全,效率等考虑,会将 openssh 集成到自己系统之后,用自己实现的算法替换这个算法库。
heartbleed 漏洞的披露让人们意识到 openssl 就是这样一个组件。这促使 linux 基金会发起了 core infrastructure initiative 倡议,资助关键基础组件的开发和维护。就目前来看,openssl 的维护要比 libressl 要积极一些。而且 linux 对于 libressl 的支持明显不如 openssl。具体见 github:
- openssl: https://www.openssl.org/;官方 github 库: https://github.com/openssl/openssl
- libressl: http://www.libressl.org/;官方 github 库: https://github.com/libressl-portable/
10.https://en.wikipedia.org/wiki/transport_layer_security
总结
以上是凯发k8官方网为你收集整理的linux 之七 ssh、ssl、openssh、openssl、libressl的全部内容,希望文章能够帮你解决所遇到的问题。
- 上一篇:
- 下一篇: