淺淡ssh登陸遠端主機

ssh是一種網絡協議，用於計算機之間的加密登陸，被普遍應用於本地遠程登陸服務器包括互相傳送文件等。

ssh是一種安全的互聯網協議。

基本用法

ssh user@host
等待鏈接後，輸入密碼，登陸到遠程主機上

ssh user@host -p 端口號 默認端口爲22

如何保證安全

ssh登陸的過程以下：

1. 用戶發起登陸請求
2. server端收到登陸請求後把本身的公鑰發送給用戶
3. 用戶使用公鑰對密碼加密後發送給server
4. server用本身的私鑰解密登陸密碼並驗證登陸密碼是否正確

這個過程自己是安全的，可是實施的時候存在一個風險：若是有人截獲了登陸請求，而後冒充遠程主機，將僞造的公鑰發給用戶，那麼用戶很難辨別真僞。由於不像https協議，SSH協議的公鑰是沒有證書中心（CA）公證的，也就是說，都是本身簽發的。

能夠設想，若是攻擊者插在用戶與遠程主機之間（好比在公共的wifi區域），用僞造的公鑰，獲取用戶的登陸密碼。再用這個密碼登陸遠程主機，那麼SSH的安全機制就蕩然無存了。這種風險就是著名的"中間人攻擊"（Man-in-the-middle attack）。

SSH協議是如何應對的呢？

口令登陸

若是你是第一次登陸對方主機，系統會出現下面的提示：

ssh user@host

　　The authenticity of host 'host (12.18.429.21)' can't be established.
　　RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.
　　Are you sure you want to continue connecting (yes/no)?

這段話的意思是，沒法確認host主機的真實性，只知道它的公鑰指紋，問你還想繼續鏈接嗎？

所謂"公鑰指紋"，是指公鑰長度較長（這裏採用RSA算法，長達1024位），很難比對，因此對其進行MD5計算，將它變成一個128位的指紋。上例中是98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d，再進行比較，就容易多了。

很天然的一個問題就是，用戶怎麼知道遠程主機的公鑰指紋應該是多少？回答是沒有好辦法，遠程主機必須在本身的網站上貼出公鑰指紋，以便用戶自行覈對。

假定通過風險衡量之後，用戶決定接受這個遠程主機的公鑰。

公鑰登陸

使用密碼登陸，每次都必須輸入密碼，很是麻煩。好在SSH還提供了公鑰登陸，能夠省去輸入密碼的步驟。

所謂"公鑰登陸"，原理很簡單，就是用戶將本身的公鑰儲存在遠程主機上。登陸的時候，遠程主機會向用戶發送一段隨機字符串，用戶用本身的私鑰加密後，再發回來。遠程主機用事先儲存的公鑰進行解密，若是成功，就證實用戶是可信的，直接容許登陸shell，再也不要求密碼。

如何配置公鑰登陸？

1. 先在本地生成一對密鑰，執行以下命令後，在$HOME/.ssh/目錄下，會新生成兩個文件：id_rsa.pub和id_rsa。前者是你的公鑰，後者是你的私鑰。

   ssh-keygen -t rsa

2. 將公鑰上傳到遠程服務器，執行以下命令後，本地公鑰會追加寫入遠端host的user對應home目錄下 .ssh/authorized_keys文件中

   ssh-copy-id user@host

ok，執行上面的步驟後，你就可使用ssh user@host 免密登陸了。若是不行的話，可能須要注意下遠程ssh目錄的權限問題。

設置別名遠程登陸
當咱們完成了公鑰登陸的配置後，每次登陸依然是 ssh user@host！這樣輸入起來依然是不太方便，你要記ip地址，當你本地要登陸的遠端機器比較多的時候就更加頭大了。

那，有一個更好的方法就是用ssh config在本地配置別名來簡化登陸命令。如 ssh xxx。

在~/.ssh/ 下建立 config文件，並以以下格式編輯配置文件：

Host Test
    HostName 111.222.331.2
    User user
    IdentityFile ~/.ssh/id_rsa

1. Host：是咱們在輸入命令的時候的名字 好比我這裏是lab 那麼我使用ssh命令的時候須要使用：ssh Test
2. HostName: 是遠端host，一般是遠端主機的IP
3. User: 是登陸的用戶名
4. IdentifyFile：指定的私鑰地址

配置完成後，保存就能夠愉快的使用ssh Test登陸遠端主機。