CA证书颁发以及SSH的用法

1、创建私有CA并进行证书申请。

2、总结ssh常用参数、用法

SSH（全称 Secure Shell)是一种加密的网络协议。使用该协议的数据将被加密，如果在传输中间数据泄漏，也可以确保没有人能读取出有用信息。要使用 SSH，目标机器应该安装 SSH 服务端应用程序，因为 SSH 是基于客户-服务模式的。 当你想安全的远程连接到主机，可中间的网络（比如因特网）并不安全，通常这种情况下就会使用 SSH。默认的centos7中自带sshd服务。

客户端ssh命令

格式：

常见选项：

scp命令

用于服务之间文件的互传

选项

rsync 命令

rsync工具可以基于ssh和rsync协议实现高效率的远程系统之间复制文件，使用安全的shell连接做为传
输方式，比scp更快，基于增量数据同步，即只复制两方不同的文件，此工具来自于rsync包

3、总结sshd服务常用参数。

sshd（secure shell）服务使用ssh协议远程开启其他主机shell的服务。首先需要打开sshd 服务

sshd服务状态调整

查看配置文件

linuxssh指定秘钥交换算法如下：
客户端向目标服务器发送登录请求。在SSH服务启用了证书验证登录方式后，会优先通过证书验证方式进行登录验证。目标服务器根据SSH服务配置，在用户对应目录及文件中读取到有效的公钥信息。目标服务器生成一串随机数，然后使用相应的公钥对其加密。目标服务器将加密后的密文发回客户端。客户端使用默认目录或-i参数指定的私钥尝试解密。如果解密失败，则会继续尝试密码验证等其它方式进行登录校验。如果解密成功，则将解密后的原文信息重新发送给目标服务器。意思类似于：“看，这是这段话的原文。我能读懂发过来的密文，我拥有服务器的控制权，请让我登录。目标服务器对客户端返回的信息进行比对。如果比对成功，则表示认证成功，客户端可以登录。如果对比失败，则表示认证失败，则会继续尝试密码验证等其它方式进行登录校验。

1 使用 SSH 访问远程命令行
11 OpenSSH 简介
12 SSH 认证方式
13 openSSH 的工作模式
14 Secure Shell 示例
15 SSH 主机密钥
2 配置基于 SSH 密钥的身份验证
3 自定义 SSH 服务配置
4 SSH 安全注意事项
作业
1 使用 SSH 访问远程命令行
11 OpenSSH 简介
OpenSSH这一术语指系统中使用的Secure Shell软件的软件实施。用于在远程系统上安全运行shell。如果您在可提供ssh服务的远程Linux系统中拥有用户帐户，则ssh是通常用来远程登录到该系统的命令。ssh命令也可用于在远程系统中运行命令。
常见的远程登录工具有：
telnet
ssh
dropbear
telnet //远程登录协议，23/TCP
认证明文
数据传输明文
ssh //Secure SHell，应用层协议，22/TCP
通信过程及认证过程是加密的，主机认证
用户认证过程加密
数据传输过程加密
dropbear //嵌入式系统专用的SSH服务器端和客户端工具
12 SSH 认证方式
openssh有两种认证方式，分别是：
基于口令认证
基于密钥认证
13 openSSH 的工作模式
openSSH是基于C/S架构工作的。
服务器端 //sshd，配置文件在/etc/ssh/sshd_config
客户端 //ssh，配置文件在/etc/ssh/ssh_config
ssh-keygen //密钥生成器
ssh-copy-id //将公钥传输至远程服务器
scp //跨主机安全复制工具
14 Secure Shell 示例
//以当前用户身份创建远程交互式shell，然后在结束时使用exit命令返回到之前的shell
[root@localhost ~]# ssh 1721612138
root@1721612138's password:
Last login: Tue Jul 10 07:34:03 2018 from 1721612136
[root@localhost ~]# exit
logout
Connection to 1721612138 closed
//以其他用户身份（remoteuser）在选定主机（remotehost）上连接到远程`shell`
[root@localhost ~]# ssh user1@1721612138
user1@1721612138's password:
[user1@localhost ~]$ exit
logout
Connection to 1721612138 closed
//以远程用户身份（remoteuser）在远程主机（remotehost）上通过将输出返回到本地显示器的方式来执行单一命令
[root@localhost ~]# ip a s ens332: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:0c:29:0e:70:22 brd ff:ff:ff:ff:ff:ff
inet 1721612136/24 brd 1721612255 scope global dynamic ens33
valid_lft 1422sec preferred_lft 1422sec
inet6 fe80::20c:29ff:fe0e:7022/64 scope link
valid_lft forever preferred_lft forever
[root@localhost ~]# ssh user1@1721612138 '/usr/sbin/ip a s ens33'
user1@1721612138's password:
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:0c:29:f4:5b:87 brd ff:ff:ff:ff:ff:ff
inet 1721612138/24 brd 1721612255 scope global dynamic ens33
valid_lft 1666sec preferred_lft 1666sec
inet6 fe80::20c:29ff:fef4:5b87/64 scope link
valid_lft forever preferred_lft forever
//w命令可以显示当前登录到计算机的用户列表。这对于显示哪些用户使用ssh从哪些远程位置进行了登录以及执行了何种 *** 作等内容特别有用
[root@localhost ~]# w
07:49:18 up 18 min, 2 users, load average: 002, 002, 005
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 17216121 07:31 600s 002s 000s w
user1 pts/1 1721612136 07:49 500s 000s 000s -bash
15 SSH 主机密钥
ssh通过公钥加密的方式保持通信安全。当某一ssh客户端连接到ssh服务器时，在该客户端登录之前，服务器会向其发送公钥副本。这可用于为通信渠道设置安全加密，并可验证客户端的服务器。
当用户第一次使用ssh连接到特定服务器时，ssh命令可在用户的~/ssh/known_hosts文件中存储该服务器的公钥。在此之后每当用户进行连接时，客户端都会通过对比~/ssh/known_hosts文件中的服务器条目和服务器发送的公钥，确保从服务器获得相同的公钥。如果公钥不匹配，客户端会假定网络通信已遭劫持或服务器已被入侵，并且中断连接。
这意味着，如果服务器的公钥发生更改（由于硬盘出现故障导致公钥丢失，或者出于某些正当理由替换公钥），用户则需要更新其~/ssh/known_hosts文件并删除旧的条目才能够进行登录。
//主机ID存储在本地客户端系统上的 ~/ssh/known_hosts 中
[root@localhost ~]# cat ~/ssh/known_hosts1721612138 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBHpBYg+C0GDiBU9mHsy8S3ju31OdfTq6cr6oprIsE/MM8yZdTrRh4gum8IXiVFchUelPD5R9IuTjsy8Eqy8l+Lc=
//主机密钥存储在SSH服务器上的 /etc/ssh/ssh_host_key 中
[root@localhost ~]# ls /etc/ssh/key
/etc/ssh/ssh_host_ecdsa_key /etc/ssh/ssh_host_ed25519_keypub
/etc/ssh/ssh_host_ecdsa_keypub /etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_ed25519_key /etc/ssh/ssh_host_rsa_keypub
2 配置基于 SSH 密钥的身份验证
用户可通过使用公钥身份验证进行ssh登录身份验证。ssh允许用户使用私钥-公钥方案进行身份验证。这意味着将生成私钥和公钥这两个密钥。私钥文件用作身份验证凭据，像密码一样，必须妥善保管。公钥复制到用户希望登录的系统，用于验证私钥。公钥并不需要保密。拥有公钥的ssh服务器可以发布仅持有您私钥的系统才可解答的问题。因此，可以根据所持有的密钥进行验证。如此一来，就不必在每次访问系统时键入密码，但安全性仍能得到保证。
使用ssh-keygen命令生成密码。将会生成私钥~/ssh/id_rsa和公钥~/ssh/id_rsapub。
注意：
生成密钥时，系统将提供指定密码的选项，在访问私钥时必须提供该密码。如果私钥被偷，除颁发者之外的其他任何人很难使用该私钥，因为已使用密码对其进行保护。这样，在攻击者破解并使用私钥前，会有足够的时间生成新的密钥对并删除所有涉及旧密钥的内容。
生成ssh密钥后，密钥将默认存储在家目录下的ssh/目录中。私钥和公钥的权限就分别为600和644。ssh目录权限必须是700。
在可以使用基于密钥的身份验证前，需要将公钥复制到目标系统上。可以使用ssh-copy-id完成这一 *** 作
[root@localhost ~]# ssh-copy-id remoteuser@remotehost
通过ssh-copy-id将密钥复制到另一系统时，它默认复制~/ssh/id_rsapub文件
//SSH密钥演示//使用 ssh-keygen 创建公钥-私钥对
[root@localhost ~]# ssh-keygen -t rsa
Generating public/private rsa key pair
Enter file in which to save the key (/root/ssh/id_rsa):
Created directory '/root/ssh'
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/ssh/id_rsa
Your public key has been saved in /root/ssh/id_rsapub
The key fingerprint is:
SHA256:8VyY3c3UEQvk1Pn95tYIF7sx9enlwG78hDjlX0entN0 root@localhostlocaldomain
The key's randomart image is:
+---[RSA 2048]----+
| +o|
| +oo|
| o o=|
| + +|
| S o o+|
| =BBB|
| o=XE|
| +B|
| oo|
+----[SHA256]-----+
//使用 ssh-copy-id 将公钥复制到远程系统上的正确位置
[root@localhost ~]# ls ssh/
id_rsa id_rsapub
[root@localhost ~]# ssh-copy-id -i ~/ssh/id_rsapub root@1721612138
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/ssh/id_rsapub"
The authenticity of host '1721612138 (1721612138)' can't be established
ECDSA key fingerprint is SHA256:JK5WwrX8hynl3dyWO43e6+lcs6zn9oZn74z1H5X8F90
ECDSA key fingerprint is MD5:01:4f:4f:4b:0e:45:a9:10:bb:d0:c0:dd:19:9a:9f:96
Are you sure you want to continue connecting (yes/no) yes
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@1721612138's password:
Number of key(s) added: 1
Now try logging into the machine, with: "ssh 'root@1721612138'"and check to make sure that only the key(s) you wanted were added
//使用 ssh 命令无命令登录远程主机
[root@localhost ~]# ssh root@1721612138
Last login: Tue Jul 10 18:37:51 2018 from 17216121
[root@localhost ~]# ip a s ens332: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:0c:29:f4:5b:87 brd ff:ff:ff:ff:ff:ff
inet 1721612138/24 brd 1721612255 scope global dynamic ens33
valid_lft 1377sec preferred_lft 1377sec
inet6 fe80::20c:29ff:fef4:5b87/64 scope link
valid_lft forever preferred_lft forever
//使用 scp 命令传送文件到远程主机
[root@localhost ~]# scp testsh root@1721612138:/tmp
root@1721612138's password:
testsh 100% 45 298KB/s 00:00
//使用 scp 命令从远程主机上下载文件到本地
[root@localhost ~]# ls
a anaconda-kscfg b nginx-1122 nginx-1122targz nohupout outfile testsh
[root@localhost ~]# rm -f testsh
[root@localhost ~]# ls
a anaconda-kscfg b nginx-1122 nginx-1122targz nohupout outfile
[root@localhost ~]# scp root@1721612138:/tmp/testsh
root@1721612138's password:
testsh 100% 45 391KB/s 00:00
[root@localhost ~]# ls
a anaconda-kscfg b nginx-1122 nginx-1122targz nohupout outfile testsh
//scp命令常用选项
-r //递归复制
-p //保持权限
-P //端口
-q //静默模式
-a //全部复制
3 自定义 SSH 服务配置
虽然OpenSSH服务器通常无需修改，但会提供其他安全措施，可以在配置文件/etc/ssh/sshd_config中修改OpenSSH服务器的各个方面。
PermitRootLogin {yes|no} //是否允许root用户远程登录系统
PermitRootLogin without-password //仅允许root用户基于密钥方式远程登录
PasswordAuthentication {yes|no} //是否启用密码身份验证，默认开启
4 SSH 安全注意事项
密码应该经常换且足够复杂
[root@localhost ~]# tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30 |xargs //生成30位的密码
LYH9cbirdT6E_hbColMFjZNf9Kd6If
[root@localhost ~]# openssl rand 20 -base64
Di9ry+dyV40xVvBHirsc3XpBOzg= //生成20位随机密码
使用非默认端口
限制登录客户端地址
仅监听特定的IP地址
禁止管理员直接登录
仅允许有限制用户登录
AllowUsers
AllowGroups
使用基于密钥的认证
禁止使用空密码
禁止使用SSHv1版本
设定空闲会话超时时长
利用防火墙设置ssh访问策略
限制ssh的访问频度和并发在线数
做好日志的备份，经常分析（集中于某台服务器）

一、SSL：全称是Secure Sockets Layer，是介于TCP层协议和>

SSL协议与>

二、SSH 即Secure Shell，它主要由三部分组成：

第一部分：连接协议 [SSH-CONNECT]

将多个加密隧道分成逻辑通道。它运行在用户认证协议上。它提供了交互式登录话路、远程命令执行、转发 TCP/IP 连接和转发 X11 连接。

第二部分：用户认证协议 [SSH-USERAUTH]

用于向服务器提供客户端用户鉴别功能。它运行在传输层协议 SSH-TRANS 上面。当SSH-USERAUTH 开始后，它从低层协议那里接收会话标识符（从第一次密钥交换中的交换哈希H ）。会话标识符唯一标识此会话并且适用于标记以证明私钥的所有权。 SSH-USERAUTH 也需要知道低层协议是否提供保密性保护。

第三部分：传输层协议 [SSH-TRANS]

注意这里的传输层跟OSI的传输层其实关系不大，只不过他们是应用层中最靠近传输层协议的部分。提供了服务器认证，保密性及完整性。此外它有时还提供压缩功能。 SSH-TRANS 通常运行在TCP/IP连接上，也可能用于其它可靠数据流上。 SSH-TRANS 提供了强力的加密技术、密码主机认证及完整性保护。该协议中的认证基于主机，并且该协议不执行用户认证。更高层的用户认证协议可以设计为在此协议之上。

三、SSL和SSH的区别

相同点：如果按五层协议来划分的话，那SSH与SSL都可以算是应用层协议，他们都使用了非对称加密，将应用层进行了加密，另外，他们其实都是比较基础的应用层协议，即它们上面还可以再放其它应用层协议，如FTP协议等。

不同点：SSH不需要证书，即不需要公证机构，SSH实现了主机用户名和密码的认证，这是SSH的SSH-TRANS部分完成的，而SSL没有这个功能。

SSH：安全外壳协议 \x0d\一、SSH介绍 \x0d\ 什么是SSH？ \x0d\ 传统的网络服务程序，如：ftp、pop和telnet在本质上都是不安全的，因为它们在网络上用明文传送口令和数据， 别有用心的人非常容易就可以截 获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的， 就是很容易受到“中间人”（man-in-the-middle）这种方式的攻 击。所谓“中间人”的攻击方式， 就是“中间人”冒充真正的服务器接收你的传给服务器的数据，然后再冒充你把数据传给真正的服务器。 服务器和你之间的数 据传送被“中间人”一转手做了手脚之后，就会出现很严重的问题。 \x0d\ SSH的英文全称是Secure Shell。通过使用SSH，你可以把所有传输的数据进行加密，这样“中间人”这种攻击方式就不可能实现了， 而且也能够防止DNS和IP欺骗。还有一个 额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。 SSH有很多功能，它既可以代替telnet，又可以为ftp、pop、甚至ppp提 供一个安全的“通道”。 \x0d\ 最初SSH是由芬兰的一家公司开发的。但是因为受版权和加密算法的限制，现在很多人都转而使用OpenSSH。 OpenSSH是SSH的替代软件，而且是免费的，可以预计将来会有越 来越多的人使用它而不是SSH。 \x0d\ SSH是由客户端和服务端的软件组成的，有两个不兼容的版本分别是：1x和2x。 用SSH 2x的客户程序是不能连接到SSH 1x的服务程序上去的。OpenSSH 2x同时支持SSH 1x和2x。 \x0d\ SSH的安全验证是如何工作的 \x0d\ 从客户端来看，SSH提供两种级别的安全验证。 \x0d\ 第一种级别（基于口令的安全验证）只要你知道自己帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密， 但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器， 也就是受到“中间人”这种方式的攻击。 \x0d\ 第二种级别（基于密匙的安全验证）需要依靠密匙，也就是你必须为自己创建一对密匙，并把公用密匙放在需要访问的服务器上。 如果你要连接到SSH服务器 上，客户端软件就会向服务器发出请求，请求用你的密匙进行安全验证。服务器收到请求之后， 先在你在该服务器的家目录下寻找你的公用密匙，然后把它和你发 送过来的公用密匙进行比较。如果两个密匙一致， 服务器就用公用密匙加密“质询”（challenge）并把它发送给客户端软件。 客户端软件收到“质 询”之后就可以用你的私人密匙解密再把它发送给服务器。 \x0d\ 用这种方式，你必须知道自己密匙的口令。但是，与第一种级别相比，第二种级别不需要在网络上传送口令。 \x0d\ 第二种级别不仅加密所有传送的数据，而且“中间人”这种攻击方式也是不可能的（因为他没有你的私人密匙）。 但是整个登录的过程可能需要10秒。\x0d\二、SSL介绍（Secure socket Layer & Security Socket Layer） \x0d\ 一个应用程序的安全需求在很大程度上依赖于将如何使用该应用程序和该应用程序将要保护什么。不过，用现有技术实现强大的、 一般用途的安全通常是可能的。认证就是一个很好的示例。 \x0d\ 当顾客想从 Web 站点购买某个产品时，顾客和 Web 站点都要进行认证。顾客通常是以提供名字和密码的方式来认证他自己。 另一方面，Web 站 点通过交换一块签名数据和一个有效的 X509 证书（作为 SSL 握手的一部分）来认证它自己。 顾客的浏览器验证该证书并用所附的公用密钥验证签 名数据。一旦双方都认证了，则交易就可以开始了。 \x0d\ SSL 能用相同的机制处理服务器认证（就如在上面的示例中）和客户机认证。 Web 站点典型地对客户机认证不依赖 SSL — 要求用户提供密码是较容易的。而 SSL 客户机和服务器认证对于透明认证是完美的， 对等机 — 如 p2p 应用程序中的对等机之间一定会发生透明认证。 \x0d\ 安全套接字层（Secure Sockets Layer （SSL）） ，SSL 是一种安全协议，它为网络（例如因特网）的通信提供私密性。SSL 使应用程序在通信时不用担心被窃听和篡改。 SSL 实际上 是共同工作的两个协议：“SSL 记录协议”（SSL Record Protocol）和“SSL 握手协议” （SSL Handshake Protocol）。“SSL 记录协议”是两个协议中较低级别的协议，它为较高级别的协议， 例如 SSL 握手协议对 数据的变长的记录进行加密和解密。SSL 握手协议处理应用程序凭证的交换和验证。 \x0d\ 当一个应用程序（客户机）想和另一个应用程 序（服务器）通信时，客户机打开一个与服务器相连接的套接字连接。然后， 客户机和服务器对安全连接进行协商。作为协商的一部分，服务器向客户机作自我认 证。客户机可以选择向服务器作或不作自我认证。 一旦完成了认证并且建立了安全连接，则两个应用程序就可以安全地进行通信。按照惯例，我将把发起该通信的 对等机看作客户机， 另一个对等机则看作服务器，不管连接之后它们充当什么角色。 \x0d\ 名为 A 和 B 的两台对等机想安全地进行通 信。在我们简单的 p2p 应用程序的环境中，对等机 A 想查询对等机 B 上的一个资源。 每个对等机都有包含其专用密钥的一个数据库（名为 keystore）和包含其公用密钥的证书。密码保护数据库的内容。 该数据库还包含一个或多个来自被信任的对等机的自签名证书。 对等机 A 发起这 项事务，每台对等机相互认证，两台对等机协商采用的密码及其长度并建立一个安全通道。完成这些 *** 作之后， 每个对等机都知道它正在跟谁交谈并且知道通道是 安全的。 SSL (Secure socket Layer)安全套接层协议主要是使用公开密钥体制和X509数字证书技术保护信息传输的机密性和完 整性， 它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输，常用Web Server方式。 \x0d\ 安全套接层协议（SSL，Security Socket Layer）是网景（Netscape）公司提出的基于WEB应用的安全协议，它包括：服务器认证、 客户认证（可选）、SSL链路上的数据 \x0d\ 完整性和SSL链路上的数据保密性。对于电子商务应用来说，使用SSL可保证信息的真实性、 完整性和保密性。但由于SSL不对应用层的消息进行数字签 名，因此不能提供交易的不可否认性，这是SSL在电子商务中使用的最大不足。 有鉴于此，网景公司在从Communicator 404版开始的所有浏 览器中引入了一种被称作“表单签名（Form Signing）”的功能， 在电子商务中，可利用这一功能来对包含购买者的订购信息和付款指令的表单进行 数字签名，从而保证交易信息的不可否认性。综上所述， 在电子商务中采用单一的SSL协议来保证交易的安全是不够的，但采用"SSL+表单签名"模式能够 为电子商务提供较好的安全性保证。 \x0d\------------------------------------------------------------------------------------------------\x0d\\x0d\（SSH: Secure Shell Protocol） \x0d\\x0d\安全外壳协议（SSH）是一种在不安全网络上提供安全远程登录及其它安全网络服务的协议。Secure Shell，又可记为S S H，最初是U N I X系统上的一个程序，后来又迅速扩展到其他 *** 作平台。S S H是一个好的应用程序，在正确使用时，它可以弥补网络中的漏洞。除此以外， S S H之所以酷，还有以下原因：S S H客户端适用于多种平台。几乎所有的U N I X平台—包括H P - U X、L i n u x、A I X、S o l a r i s、Digital UNIX、I r i x、S C O，以及其他平台—都可以运行S S H。而且，已经有一些客户端(其中有些为测试版)可以运行于U N I X *** 作平台以外，包括O S / 2、V M S、B e O S、J a v a、Wi n d o w s 9 5 / 9 8和Windows NT。这样，你就可以在几乎所有的平台上运行S S H客户端程序了。对非商业用途它是免费的。许多S S H版本可以获得源代码，并且只要不用于商业目的，都可以免费得到。而且，U N I X版本也提供了源代码，这就意味着任何人都可以对它进行修改。但是，如果你选择它用于商业目的，那么无论使用何种版本的S S H，你都得确认已经注册并获得了相应权限。绝大多数S S H的客户端和守护进程都有一些注册限制。惟一的S S H通用公共注册(General Public License，G P L )版本是l s h，它目前还是测试版。通过I n t e r n e t传送密码安全可靠。这是S S H被认可的优点之一。如果你考察一下接入ISP(Internet Service Provider，I n t e r n e t服务供应商)或大学的方法，一般都是采用Te l n e t或P O P邮件客户进程。因此，每当要进入自己的账号时，你输入的密码将会以明码方式发送(即没有保护，直接可读)，这就给攻击者一个盗用你账号的机会—最终你将为他的行为负责。对应用的支持。由于S S H的源代码是公开的，所以在U N I X世界里它获得了广泛的认可。L i n u x，其源代码也是公开的，大众可以免费获得，并同时获得了类似的认可。这就使得所有开发者(或任何人)都可以通过补丁程序或b u g修补来提高其性能，甚至还可以增加功能。这也第一部分获得并安装S S H意味着其性能可以不断得到提高而无须得到来自原始创作者的直接技术支持。S S H替代了不安全的远程应用程序。S S H是设计用来替代伯克利版本的r命令集的；它同时继承了类似的语法。其结果是，使用者注意不到使用S S H和r命令集的区别。利用它，你还可以干一些很酷的事。通过使用S S H，你在不安全的网络中发送信息时不必担心会被监听。你也可以使用P O P通道和Te l n e t方式，通过S S H可以利用P P P通道创建一个虚拟个人网络( Virtual Private Network, V P N )。S S H也支持一些其他的身份认证方法，如K e r b e r o s和安全I D卡等。\x0d\\x0d\但是因为受版权和加密算法的限制，现在很多人都转而使用OpenSSH。 OpenSSH是SSH的替代软件，而且是免费的，可以预计将来会有越 来越多的人使用它而不是SSH。 \x0d\\x0d\SSH是由客户端和服务端的软件组成的，有两个不兼容的版本分别是：1x和2x。 用SSH 2x的客户程序是不能连接到SSH 1x的服务程序上去的。OpenSSH 2x同时支持SSH 1x和2x。\x0d\\x0d\SSH 主要有三部分组成：\x0d\\x0d\传输层协议 [SSH-TRANS] 提供了服务器认证，保密性及完整性。此外它有时还提供压缩功能。 SSH-TRANS 通常运行在 TCP/IP连接上，也可能用于其它可靠数据流上。 SSH-TRANS 提供了强力的加密技术、密码主机认证及完整性保护。该协议中的认证基于主机，并且该协议不执行用户认证。更高层的用户认证协议可以设计为在此协议之上。\x0d\\x0d\用户认证协议 [SSH-USERAUTH] 用于向服务器提供客户端用户鉴别功能。它运行在传输层协议 SSH-TRANS 上面。当 SSH-USERAUTH 开始后，它从低层协议那里接收会话标识符（从第一次密钥交换中的交换哈希 H ）。会话标识符唯一标识此会话并且适用于标记以证明私钥的所有权。 SSH-USERAUTH 也需要知道低层协议是否提供保密性保护。\x0d\\x0d\连接协议 [SSH-CONNECT] 将多个加密隧道分成逻辑通道。它运行在用户认证协议上。它提供了交互式登录话路、远程命令执行、转发 TCP/IP 连接和转发 X11 连接。\x0d\\x0d\一旦建立一个安全传输层连接，客户机就发送一个服务请求。当用户认证完成之后，会发送第二个服务请求。这样就允许新定义的协议可以与上述协议共存。连接协议提供了用途广泛的各种通道，有标准的方法用于建立安全交互式会话外壳和转发（“隧道技术”）专有 TCP/IP 端口和 X11 连接。\x0d\\x0d\通过使用SSH，你可以把所有传输的数据进行加密，这样"中间人"这种攻击方式就不可能实现了，而且也能够防止DNS欺骗和IP欺骗。使用SSH，还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替Telnet，又可以为FTP、PoP、甚至为PPP提供一个安全的"通道"。\x0d\\x0d\SSH分为两部分：客户端部分和服务端部分。\x0d\\x0d\服务端是一个守护进程(demon)，他在后台运行并响应来自客户端的连接请求。服务端一般是sshd进程，提供了对远程连接的处理，一般包括公共密钥认证、密钥交换、对称密钥加密和非安全连接。\x0d\\x0d\客户端包含ssh程序以及像scp（远程拷贝）、slogin（远程登陆）、sftp（安全文件传输）等其他的应用程序。\x0d\\x0d\他们的工作机制大致是本地的客户端发送一个连接请求到远程的服务端，服务端检查申请的包和IP地址再发送密钥给SSH的客户端，本地再将密钥发回给服务端，自此连接建立。刚才所讲的只是SSH连接的大致过程，SSH 1x和SSH 2x在连接协议上还有着一些差异。\x0d\\x0d\SSH被设计成为工作于自己的基础之上而不利用超级服务器(inetd)，虽然可以通过inetd上的tcpd来运行SSH进程，但是这完全没有必要。启动SSH服务器后，sshd运行起来并在默认的22端口进行监听（你可以用 # ps -waux | grep sshd 来查看sshd是否已经被正确的运行了）如果不是通过inetd启动的SSH，那么SSH就将一直等待连接请求。当请求到来的时候SSH守护进程会产生一个子进程，该子进程进行这次的连接处理。 \x0d\\x0d\SSH:新的MVC软件开发模式， SSH（Struts，Spring，Hibernate） Struts进行流程控制，Spring进行业务流转，Hibernate进行数据库 *** 作的封装，这种新的开发模式让我们的开发更加方便、快捷、思路清晰！

---