SSH代理教程 – SSH代理，SSH账号

longhtml | SSH基础 | 2011/07/20

Secure Shell

Definition

SSH uses public-key cryptography to authenticate the remote computer and allow the remote computer to authenticate the user, if necessary. Anyone can produce a matching pair of different keys (public and private). The public key is placed on all computers that must allow access to the owner of the matching private key (the owner keeps the private key in secret). While authentication is based on the private key, the key itself is never transferred through the network during authentication.

SSH only verifies if the same person offering the public key also owns the matching private key. Hence in all versions of SSH, it is important to verify unknown public keys before accepting them as valid. Accepting an attacker’s public key without validation would simply authorize an unauthorized attacker as a valid user.

Key management

On Unix-like systems, the list of authorized keys is stored in the home folder of the user that is allowed to log in remotely, in the file ~/.ssh/authorized_keys. This file is only respected by ssh if it is not writable by anything apart from the owner. When the public key is present on one side and the matching private key is present on another side, typing in the password is no longer required (some software like MPI stack may need this passwordless access to run properly). However for additional security the private key itself can be locked with a passphrase.

The private key can also be looked for in standard places but the full path to it can also be specified as a command line setting (the switch -i for ssh). The ssh-keygen utility produces the public and private key, always in pairs.

SSH also supports password based authentication that is still encrypted by automatically generated keys. In this case the attacker could imitate the legitimate side, ask for the password and obtain it (man-in-the-middle attack). However this is only possible if the two sides have never authenticated before as SSH remembers the key that the remote side once used. Password authentication can be disabled.

 Usage

SSH is typically used to log into a remote machine and execute commands, but it also supports tunneling, forwarding TCP ports and X11 connections; it can transfer files using the associated SFTP or SCP protocols.SSH uses the client-server model.

The standard TCP port 22 has been assigned for contacting SSH servers, though administrators frequently change it to a non-standard port as an additional security measure.

An SSH client program is typically used for establishing connections to an SSH daemon accepting remote connections. Both are commonly present on most modern operating systems, including Mac OS X, most distributions of GNU/Linux, OpenBSD, FreeBSD, Solaris and OpenVMS. Proprietary, freeware and open source versions of various levels of complexity and completeness exist.

 SSH代理教程 – SSH代理，SSH账号

longhtml | SSH基础 |

SSH基础知识

　　谈到网络安全访问，相信大家首先想到的就是安全Shell，也就是Secure Shell，通常简写为SSH。这是因为SSH安装容易、使用简单，而且比较常见，一般的Unix系统、Linux系统、FreeBSD系统都附带有支持SSH的应用程序包。
谈到网络安全访问，相信大家首先想到的就是安全Shell，也就是Secure Shell，通常简写为SSH。这是因为SSH安装容易、使用简单，而且比较常见，一般的Unix系统、Linux系统、FreeBSD系统都附带有支持SSH的应用程序包。
　　
　　1、什么是SSH ？
　　
　　传统的网络服务程序，如FTP、Pop和Telnet在传输机制和实现原理上是没有考虑安全机制的，其本质上都是不安全的；因为它们在网络上用明文传送数据、用户帐号和用户口令，别有用心的人通过窃听等网络攻击手段非常容易地就可以截获这些数据、用户帐号和用户口令。而且，这些网络服务程序的简单安全验证方式也有其弱点，那就是很容易受到”中间人”（man-in-the-middle）这种攻击方式的攻击。所谓”中间人”的攻击方式，就是”中间人”冒充真正的服务器接收你的传给服务器的数据，然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被”中间人”一转手做了手脚之后，就会出现很严重的问题。
　　SSH是英文Secure Shell的简写形式。通过使用SSH，你可以把所有传输的数据进行加密，这样”中间人”这种攻击方式就不可能实现了，而且也能够防止DNS欺骗和IP欺骗。使用SSH，还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替Telnet，又可以为FTP、Pop、甚至为PPP提供一个安全的”通道”。
　　最初的SSH是由芬兰的一家公司开发的。但是因为受版权和加密算法的限制，现在很多人都转而使用OpenSSH。OpenSSH是SSH的替代软件包，而且是免费的，可以预计将来会有越来越多的人使用它而不是SSH。
　　最后，SSH在运行方式上也很有特色。不像其他的TCP/IP应用，SSH被设计为工作于自己的基础之上，而不是利用包装（wrappers）或通过Internet守护进程inetd。但是许多人想通过TCP包装来运行SSH守护进程。虽然你可以通过tcpd（从inetd上运行启动）来运行SSH进程，但这完全没有必要。
　　
　　
　　
　　2、SSH协议的内容
　　
　　　　SSH协议是建立在应用层和传输层基础上的安全协议，它主要由以下三部分组成，共同实现SSH的安全保密机制。
　　　　传输层协议，它提供诸如认证、信任和完整性检验等安全措施，此外它还可以任意地提供数据压缩功能。通常情况下，这些传输层协议都建立在面向连接的TCP数据流之上。
　　　　用户认证协议层，用来实现服务器的跟客户端用户之间的身份认证，它运行在传输层协议之上。
　　　　连接协议层，分配多个加密通道至一些逻辑通道上，它运行在用户认证层协议之上。
　　　　
　　　　当安全的传输层连接建立之后，客户端将发送一个服务请求。当用户认证层连接建立之后将发送第二个服务请求。这就允许新定义的协议可以和以前的协议共存。连接协议提供可用作多种目的通道，为设置安全交互Shell会话和传输任意的TCP/IP端口和X11连接提供标准方法。
　　
　　
　　
　　3、SSH的安全验证
　　
　　　　从客户端来看，SSH提供两种级别的安全验证。
　　　　
　　　　第一种级别（基于口令的安全验证），只要你知道自己的帐号和口令，就可以登录到远程主机，并且所有传输的数据都会被加密。但是，这种验证方式不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器，也就是受到”中间人”这种攻击方式的攻击。
　　　　
　　　　第二种级别（基于密匙的安全验证），需要依靠密匙，也就是你必须为自己创建一对密匙，并把公有密匙放在需要访问的服务器上。如果你要连接到SSH服务器上，客户端软件就会向服务器发出请求，请求用你的密匙进行安全验证。服务器收到请求之后，先在你在该服务器的用户根目录下寻找你的公有密匙，然后把它和你发送过来的公有密匙进行比较。如果两个密匙一致，服务器就用公有密匙加密”质询”（challenge）并把它发送给客户端软件。客户端软件收到”质询”之后就可以用你的私人密匙解密再把它发送给服务器。
　　　　与第一种级别相比，第二种级别不需要在网络上传送用户口令。另外，第二种级别不仅加密所有传送的数据，而”中间人”这种攻击方式也是不可能的（因为他没有你的私人密匙）。但是整个登录的过程可能慢一些。
　　
　　
　　
　　4、SSH的应用
　　
　　　首先，SSH最常见的应用就是，用它来取代传统的Telnet、FTP等网络应用程序，通过SSH登录到远方机器执行你想进行的工作与命令。在不安全的网路通讯环境中，它提供了很强的验证（authentication）机制与非常安全的通讯环境。实际上，SSH开发者的原意是设计它来取代原UNIX系统上的rcp、rlogin、rsh等指令程序的；但经过适当包装后，发现它在功能上完全可以取代传统的Telnet、FTP等应用程序。
　　　传统 BSD 风格的 r 系列指令（如 rcp，rsh，rlogin）往往都被视为不安全的，很容易就被各种网络攻击手段所破解，几乎所有找得到有关UNIX安全的书或文件，都会一而再、再而三地警告系统管理者，留心r系列指令的设定，甚至要求系统管理者将r系列指令通通关闭。
　　　　而用来替代r系列指令的SSH，则在安全方面做了极大的强化，不但对通讯内容可以进行极为安全的加密保护，同时也强化了对身份验证的安全机制，它应用了在密码学（Cryptography）中已发展出来的数种安全加密机制，如 Symmetric Key Cryptography，Asymmetric Key Cryptography， One-way Hash Function，Random-number Generation等，来加强对于身份验证与通讯内容的安全保护。通讯时资料的加密有IDEA，three-key triple DES，DES，RC4-128，TSS，Blowfish 等数种多种安全加密算法可供选择，加密的key则是通过 RSA 进行交换的。资料的加密可以对抗IP spoofing，RSA这种非对称性的加密机制则可用来对抗DNS spoofing与IP routing spoofing，同时RSA也可以进行对主机身份的验证。
　　　　其次，通过使用用SSH可以在本地主机和远程服务器之间设置”加密通道”，并且这样设置的”加密通道”可以跟常见的Pop应用程序、X应用程序、Linuxconf应用程序相结合，提供安全保障。
　　　　SSH的”加密通道”是通过”端口转发”来实现的。你可以在本地端口（没有用到的）和在远程服务器上运行的某个服务的端口之间建立”加密通道”。然后只要连接到本地端口。所有对本地端口的请求都被SSH加密并且转发到远程服务器的端口。当然只有远程服务器上运行SSH服务器软件的时候”加密通道”才能工作。
本文引用通告地址： http://blog.csdn.net/gordenfl/services/trackbacks/479158.aspx

SSH代理教程 – SSH代理，SSH账号

longhtml | SSH基础 | 2011/07/19

SSH账号常见问答

VPN与SSH有什么区别啊？

简单的说，VPN是全局的代理，就是把你整个网络都变成VPN服务器的ip地址，你上浏览网页，上QQ，玩网络游戏，下载，反正所有网络都会受到影响；使用SSH代理仅仅对于浏览器，或者其他程序，如果你主要浏览国外网站，那么ssh代理只对于你浏览器使用代理，其他都不会受到影响。

你们的SSH代理的速度如何？

本站提供的SSH代理位于美国加州，对于中国内地的速度已经是最快之一了，但每个地区的网络不同，速度也有所不同。

SSH服务器、ssh账号、密码在哪查看？

注意网站账号不是SSH账号，网站账号是用来管理查看ssh账号信息的。注册好网站账号后，在里面可以进行购买ssh账号，成功支付购买后，ssh服务器、ssh账号、密码等信息都在网站账号里面。

我是使用苹果电脑mac系统的，为什么我SSH帐号密码等信息都正确的，第一次登录成功，但为什么下次又登录不了呢？

出现这个的情况，你可以在桌面按shift+苹果键+G，前往~/.ssh/文件夹，删除里面的known_hosts文件，连接时会自动生成新的。

longhtml | SSH基础 |

SSH 登录失败的几种常见问题

问题1:
SSH 登录失败：Host key verification failed
———————————————————————–
这种问题是由于公钥不一样了，所以无法登录，提示信息是 KEY 验证失败。
解决方法是：
在 /root/.ssh/known_hosts 文件里面将原来的公钥信息删除即可。

具体原因分析：SSH 报 “Host key verification failed.”。一般来说，出现该错误有这么几种可能:
1. .ssh/known_hosts 裡面记录的目标主机 key 值不正确。这是最普遍的情况，只要删除对应的主机记录就能恢复正常。
2. .ssh 目录或者 .ssh/known_hosts 对当前用户的权限设置不正确。这种情况比较少，一般正确设置读写权限以后也能恢复正常。
3. /dev/tty 对 other 用户没有放开读写权限。这种情况极为罕见。出现的现象是，只有 root 用户能够使用 ssh client，而所有其他的普通用户都会出现错误。
我今天遇到的就是第三种情况，修改 /dev/tty 的权限后，一切正常。为了避免以后忘记解决方法，记录在这里。

问题2:
ssh_exchange_identification: Connection closed by remote host
——————————————————————————-
解决办法：
修改/etc/hosts.allow文件，加入 sshd:ALL。

符相关配制说明: vi　/etc/ssh/ssh_config
————————————————-
下面逐行说明上面的选项设置：
Host　*　：选项“Host”只对能够匹配后面字串的计算机有效。“*”表示所有的计算机。　
ForwardAgent　no ：“ForwardAgent”设置连接是否经过验证代理（如果存在）转发给远程计算机。　
ForwardX11　no　：“ForwardX11”设置X11连接是否被自动重定向到安全的通道和显示集（DISPLAY　set）。　
RhostsAuthentication　no ：“RhostsAuthentication”设置是否使用基于rhosts的安全验证。　
RhostsRSAAuthentication　no ：“RhostsRSAAuthentication”设置是否使用用RSA算法的基于rhosts的安全验证。　
RSAAuthentication　yes　：RSAAuthentication”设置是否使用RSA算法进行安全验证。　
PasswordAuthentication　yes ：“PasswordAuthentication”设置是否使用口令验证。　
FallBackToRsh　no：“FallBackToRsh”设置如果用ssh连接出现错误是否自动使用rsh。　
UseRsh　no　：“UseRsh”设置是否在这台计算机上使用“rlogin/rsh”。　
BatchMode　no　：“BatchMode”如果设为“yes”，passphrase/password（交互式输入口令）的提示将被禁止。当不能交互式输入口令的时候，这个选项对脚本文件和批处理任务十分有用。　
CheckHostIP　yes　：“CheckHostIP”设置ssh是否查看连接到服务器的主机的IP地址以防止DNS欺骗。建议设置为“yes”。　
StrictHostKeyChecking　no　：“StrictHostKeyChecking”如果设置成“yes”，ssh就不会自动把计算机的密匙加入“$HOME/.ssh/known_hosts”文件，并且一旦计算机的密匙发生了变化，就拒绝连接。　
IdentityFile　~/.ssh/identity ：“IdentityFile”设置从哪个文件读取用户的RSA安全验证标识。　
Port　22　：“Port”设置连接到远程主机的端口。　
Cipher　blowfish ：“Cipher”设置加密用的密码。　
EscapeChar　~　：“EscapeChar”设置escape字符。

longhtml | SSH基础 |

ssh服务连接时常见问题

问题一
ssh登录的时候链接端口失败提示（1）：
# ssh 172.16.81.221
ssh: connect to host 172.16.81.221 port 22: No route to host
这由于server端没有开机或是网络不通（这个原因很多，最简单的是网线没有插。还有就是可能会是网卡down了等）
提示（2）：
# ssh work@172.16.81.221
ssh: connect to host 172.16.81.221 port 22: Connection refused
这是由于对方server的ssh服务没有开。这个server端开启服务即可。
问题二
ssh到server上的时候密码是对的但是报如下信息：
# ssh 172.16.81.221
root@172.16.81.221′s password:
Permission denied, please try again.
这个是由于如果不输入用户名的时候默认的是root用户，但是安全期间ssh服务默认没有开root用户的ssh权限
解决方法：
要修改root的ssh权限，即修改 /etc/ssh/sshd_config文件中
PermitRootLogin no  改为 PermitRootLogin yes
问题三
登录是出现如下提示：
ssh root@172.16.81.221
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
76:fb:b3:70:14:48:19:d6:29:f9:ba:42:46:be:fb:77.
Please contact your system administrator.
Add correct host key in /home/fante/.ssh/known_hosts to get rid of this
message.
Offending key in /home/fante/.ssh/known_hosts:68
RSA host key for 172.16.81.221 has changed and you have requested strict checking.
Host key verification failed.
server端密码或是其他发生改变的时候。解决方法一般就需要删除~/.ssh/known_hosts的对应行，然后再登录即可。