SSH原理与运用（一）：远程登录 - 阮一峰的网络日志
SSH原理与运用（一）：远程登录
SSH是每一台Linux电脑的标准配置。
随着Linux设备从电脑逐渐扩展到手机、外设和家用电器，SSH的使用范围也越来越广。不仅程序员离不开它，很多普通用户也每天使用。
SSH具备多种功能，可以用于很多场合。有些事情，没有它就是办不成。本文是我的学习笔记，总结和解释了SSH的常见用法，希望对大家有用。
虽然本文内容只涉及初级应用，较为简单，但是需要读者具备最基本的"Shell知识"和了解"公钥加密"的概念。如果你对它们不熟悉，我推荐先阅读和。
=======================================
SSH原理与运用
作者：阮一峰
一、什么是SSH？
简单说，SSH是一种网络协议，用于计算机之间的加密登录。
如果一个用户从本地计算机，使用SSH协议登录另一台远程计算机，我们就可以认为，这种登录是安全的，即使被中途截获，密码也不会泄露。
最早的时候，互联网通信都是明文通信，一旦被截获，内容就暴露无疑。1995年，芬兰学者Tatu Ylonen设计了SSH协议，将登录信息全部加密，成为互联网安全的一个基本解决方案，迅速在全世界获得推广，目前已经成为Linux系统的标准配置。
需要指出的是，SSH只是一种协议，存在多种实现，既有商业实现，也有开源实现。本文针对的实现是，它是自由软件，应用非常广泛。
此外，本文只讨论SSH在Linux Shell中的用法。如果要在Windows系统中使用SSH，会用到另一种软件，这需要另文介绍。
二、最基本的用法
SSH主要用于远程登录。假定你要以用户名user，登录远程主机host，只要一条简单命令就可以了。
　　$ ssh user@host
如果本地用户名与远程用户名一致，登录时可以省略用户名。
　　$ ssh host
SSH的默认端口是22，也就是说，你的登录请求会送进远程主机的22端口。使用p参数，可以修改这个端口。
　　$ ssh -p 2222 user@host
上面这条命令表示，ssh直接连接远程主机的2222端口。
三、中间人攻击
SSH之所以能够保证安全，原因在于它采用了公钥加密。
整个过程是这样的：（1）远程主机收到用户的登录请求，把自己的公钥发给用户。（2）用户使用这个公钥，将登录密码加密后，发送回来。（3）远程主机用自己的私钥，解密登录密码，如果密码正确，就同意用户登录。
这个过程本身是安全的，但是实施的时候存在一个风险：如果有人截获了登录请求，然后冒充远程主机，将伪造的公钥发给用户，那么用户很难辨别真伪。因为不像https协议，SSH协议的公钥是没有证书中心（CA）公证的，也就是说，都是自己签发的。
可以设想，如果攻击者插在用户与远程主机之间（比如在公共的wifi区域），用伪造的公钥，获取用户的登录密码。再用这个密码登录远程主机，那么SSH的安全机制就荡然无存了。这种风险就是著名的（Man-in-the-middle attack）。
SSH协议是如何应对的呢？
四、口令登录
如果你是第一次登录对方主机，系统会出现下面的提示：
　　$ ssh user@host
　　The authenticity of host 'host (12.18.429.21)' can't be established.
　　RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.
　　Are you sure you want to continue connecting (yes/no)?
这段话的意思是，无法确认host主机的真实性，只知道它的公钥指纹，问你还想继续连接吗？
所谓"公钥指纹"，是指公钥长度较长（这里采用RSA算法，长达1024位），很难比对，所以对其进行MD5计算，将它变成一个128位的指纹。上例中是98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d，再进行比较，就容易多了。
很自然的一个问题就是，用户怎么知道远程主机的公钥指纹应该是多少？回答是没有好办法，远程主机必须在自己的网站上贴出公钥指纹，以便用户自行核对。
假定经过风险衡量以后，用户决定接受这个远程主机的公钥。
　　Are you sure you want to continue connecting (yes/no)? yes
系统会出现一句提示，表示host主机已经得到认可。
　　Warning: Permanently added 'host,12.18.429.21' (RSA) to the list of known hosts.
然后，会要求输入密码。
　　Password: (enter password)
如果密码正确，就可以登录了。
当远程主机的公钥被接受以后，它就会被保存在文件$HOME/.ssh/known_hosts之中。下次再连接这台主机，系统就会认出它的公钥已经保存在本地了，从而跳过警告部分，直接提示输入密码。
每个SSH用户都有自己的known_hosts文件，此外系统也有一个这样的文件，通常是/etc/ssh/ssh_known_hosts，保存一些对所有用户都可信赖的远程主机的公钥。
五、公钥登录
使用密码登录，每次都必须输入密码，非常麻烦。好在SSH还提供了公钥登录，可以省去输入密码的步骤。
所谓"公钥登录"，原理很简单，就是用户将自己的公钥储存在远程主机上。登录的时候，远程主机会向用户发送一段随机字符串，用户用自己的私钥加密后，再发回来。远程主机用事先储存的公钥进行解密，如果成功，就证明用户是可信的，直接允许登录shell，不再要求密码。
这种方法要求用户必须提供自己的公钥。如果没有现成的，可以直接用ssh-keygen生成一个：
　　$ ssh-keygen
运行上面的命令以后，系统会出现一系列提示，可以一路回车。其中有一个问题是，要不要对私钥设置口令（passphrase），如果担心私钥的安全，这里可以设置一个。
运行结束以后，在$HOME/.ssh/目录下，会新生成两个文件：id_rsa.pub和id_rsa。前者是你的公钥，后者是你的私钥。
这时再输入下面的命令，将公钥传送到远程主机host上面：
　　$ ssh-copy-id user@host
好了，从此你再登录，就不需要输入密码了。
如果还是不行，就打开远程主机的/etc/ssh/sshd_config这个文件，检查下面几行前面"#"注释是否取掉。
　　RSAAuthentication yes
　　PubkeyAuthentication yes
　　AuthorizedKeysFile .ssh/authorized_keys
然后，重启远程主机的ssh服务。
　　// ubuntu系统
　　service ssh restart
　　// debian系统
　　/etc/init.d/ssh restart
六、authorized_keys文件
远程主机将用户的公钥，保存在登录后的用户主目录的$HOME/.ssh/authorized_keys文件中。公钥就是一段字符串，只要把它追加在authorized_keys文件的末尾就行了。
这里不使用上面的ssh-copy-id命令，改用下面的命令，解释公钥的保存过程：
　　$ ssh user@host 'mkdir -p .ssh && cat && .ssh/authorized_keys' & ~/.ssh/id_rsa.pub
这条命令由多个语句组成，依次分解开来看：（1）"$ ssh user@host"，表示登录远程主机；（2）单引号中的mkdir .ssh && cat && .ssh/authorized_keys，表示登录后在远程shell上执行的命令：（3）"$ mkdir -p .ssh"的作用是，如果用户主目录中的.ssh目录不存在，就创建一个；（4）'cat && .ssh/authorized_keys' & ~/.ssh/id_rsa.pub的作用是，将本地的公钥文件~/.ssh/id_rsa.pub，重定向追加到远程文件authorized_keys的末尾。
写入authorized_keys文件后，公钥登录的设置就完成了。
==============================================
关于shell远程登录的部分就写到这里，下一次接着介绍。
布尔代数是计算机的基础。没有它，就不会有计算机。
DNS 是互联网核心协议之一。不管是上网浏览，还是编程开发，都需要了解一点它的知识。
《计算机原理》课本说，启动时，主引导记录会存入内存地址0x7C00。
函数式编程有一个重要概念，叫做Monad。我要自学网-国内领先的专业视频教程学习网站
朋友！欢迎您的到来，希望您身边的教育专家---『我要自学网』，能陪伴您一起进步！
体验便捷的学习方式从现在开始！！我的手机是三星gt S5570，预先安装了uc浏览器，但是最初的版本较低，所以卸载了。手机也于去年寒_百度知道
我的手机是三星gt S5570，预先安装了uc浏览器，但是最初的版本较低，所以卸载了。手机也于去年寒
开始时候还能用，请问这是什么原因，所以卸载了。手机也于去年寒假成功root，预先安装了uc浏览器，但是过了两天uc就不能用了我的手机是三星gt S5570，之后再次安装uc，但是最初的版本较低
或下新点的7.3虽然提示屏幕分辨率不同！小屏幕版.9去机锋市场下载
其他类似问题
为您推荐：
其他4条回答
请您详细描述下好吗.com/c/ucbrowser" target="_blank">http！我是百度知道UC浏览器企业平台客服.cn下载最新的版本安装~温馨提示，再重新到官网wap，我是来帮您解决使用UC浏览器过程中遇到的问题的.baidu.baidu。很抱歉造成你不愉快的体验了：<a href="http://zhidao，祝您生活愉快您好，请问你的UC版本是什么呢://zhidao.uc？具体有什么错误提示吗？以便我们更好的解决及跟进哦~同时建议你完全删除UC浏览器后，到内存卡上将UCMobileConfig的文件夹（android）删除，卸载前请对资料进行备份以防丢失哦~ 感谢您的支持！欢迎在百度知道UC浏览器企业平台向我提问的
这个不好说。和手机型号也许无关吧。有时候手机脑子有病就是这样。因为我也遇到过。然后我就卸了。
下载个手机助手
里面N多浏览器
你可以刷机试试，去安卓或者安智看看就好了
uc浏览器的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁我在看凤凰网免费视屏时，出现“对不起，您的浏览器禁用脚本或者您的flash播放器版本较低！请点击这里_百度知道
我在看凤凰网免费视屏时，出现“对不起，您的浏览器禁用脚本或者您的flash播放器版本较低！请点击这里
我在看凤凰网免费视屏时，出现“对不起，您的浏览器禁用脚本或者您的flash播放器版本较低！请点击这里”
//c.hiphotos://a.baidu、浏览器关闭后即可删除文件).hiphotos://g，建议点击本回答上侧的【立即修复】按钮，故未全部列出://g.baidu，再将QQ：方案三./zhidao/pic//zhidao/pic/item/5fdf8db1cb34bf574ead2.jpg" esrc="/zhidao/wh%3D600%2C800/sign=febec1df359b033b2cddf4dc25fe1aeb/8ad4b31c8701a18bad42ce949f2f.baidu://c.baidu.baidu.jpg" target="_blank" title="点击查看大图" class="ikqb_img_alink"><img class="ikqb_img" src="http.dll　　regsvr32 CLBCATQ.hiphotos.jpg" />　　regsvr32 atl.jpg" esrc="http.webclinic.baidu.jpg" esrc="http:\Windows\System32\Macromed\Flash 将名为"Flash32_版本号，按键盘enter(回车)键.baidu，可继续执行第二步骤再进行此步骤)方案二.baidu：安装或升级flash打开【电脑管家】→点击【软件管理】.dll　　regsvr32 jscript9.jpg" target="_blank" title="点击查看大图" class="ikqb_img_alink">方案四://g.com/zhidao/wh%3D450%2C600/sign=e37efccc566//zhidao/wh%3D600%2C800/sign=ed7f00cfb999adadbb6fdcfaa1ff.baidu：2.jpg" />附.jpg" target="_blank" title="点击查看大图" class="ikqb_img_alink"><img class="ikqb_img" src="http。本回答如有不清楚或其他疑问。若问题仍未解决.webclinic://c;ADTAG=pcmgr，自动修复请点击上方的【立即修复】）方案一.hiphotos.hiphotos，请保存设置后再进行操作）打开IE浏览器 → 点击【工具】→【Internet 选项】点击【高级】→点击【重置】→勾选【删除个性化设置】→点击【确定】→【确定】.com/zhidao/wh%3D450%2C600/sign=8db9e33a63d9f2d320442ceb9cdca625//c/guanjia" href="http://a，欢迎您再来<img class="ikqb_img" src="http.html./zhidao/wh%3D450%2C600/sign=cb3afc30ec7f2/32fa828ba61ea8d0a304e241f58af.hiphotos.jpg" esrc="http.dll　　regsvr32 oleaut32.dll　　regsvr32 msxml3?is_index=/zhidao/wh%3D600%2C800/sign=bf0e42f2dbfb4bb9b269/5fdf8db1cb34bf574ead2.dll　　regsvr32 shdocvw：注册IE组件点击【开始】菜单→在搜索框中输入"cmd"→按键盘enter(回车)键.hiphotos.baidu.baidu.jpg" target="_blank" title="点击查看大图" class="ikqb_img_alink"><img class="ikqb_img" src="http://a.hiphotos：<img class="ikqb_img" src="http，再逐一完成以下全部部件注册://g.jpg" esrc="http://a.jpg" esrc="http，请继续追问如果以后还有什么问题.dll　　regsvr32 shell32.baidu.hiphotos://guanjia://g.com/zhidao/wh%3D450%2C600/sign=50efbec03e4a3/5fdf8db1cb34bf574ead2，点击【默认程序设置】→在上网浏览器列表中选择【谷歌浏览器】→点击【确认】.jpg" />注. 打开文件夹C，如此步骤无法成功修复.qq.com/zhidao/pic/item/d972b224adc11e7cd7b899f510afd.1" target="_blank">电脑诊所来一键修复一下<a href="http.baidu.dll　　regsvr32 query://d://c;ADTAG=pcmgr.dll　　regsvr32 mshtmled.dll　　/web_clinic/detail/1_detail.jpg" esrc="http.baidu，再进入后续步骤./zhidao/wh%3D600%2C800/sign=92d04de44afbfbeddc0c3ee/32fa828ba61ea8d0a304e241f58af，网页视频不能看等情况的话你可以使用电脑管家的在弹出的黑色窗口中.dll　　regsvr32 browseui
其他类似问题
为您推荐：
其他2条回答
您的播放器版本过低，请您点此升级，获得最佳观看体验。立即升级
那就更新flash插件啊，百度搜flash player就行了，装上就好了
flash播放器的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁}