SSH协议基本工作原理介绍（ssh协议是在哪个层）

SSH是Secure Shell Protocol的简写，由IETF网络工作小组制定，在进行数据传输之前，SSH先对联机数据包通过加密技术进行加密处理，加密后再进行数据传输。SSH是专为远程登录会话和其他网络服务提供的安全性协议，利用SSH协议可以有效的防止远程管理过程中的信息泄露问题，比telnet协议安全。

通俗的讲SSH协议可以为我们带来哪些方便呢？你想我们要对一台物理服务器进行操作时，我们想是需要接入键盘、鼠标以及显示器来进行控制，但是服务器一般都是放置在机房的，有些可能都是放置在异地的IDC数据中心，当我们安装完操作系统后如果还是这样的操作方式显然是不合理的。所以得提供一种远程接入访问到服务器的方式。SSH就是能够使用加密的网络来连接到服务器，并允许用户远程向服务器发送操作命令执行，就好像服务器在旁边一样。它是Telnet的一个改进，因为telnet是以明文的形式传输的，本质上telnet做的是同样的事情，但没有使用加密连接，所以大多已被摒弃了。

最常见的场景是我们可以通过Putty、SecureCRT、Xshell等这些常用的SSH应用程序软件远程连接到

Linux服务器。大部分的服务器安装完Linux操作系统后都会安装SSH服务的，并且运行SSH服务等待远程主机的连接。

# rpm -qa openssh openssl                        #与SSH服务相关的两个软件

openssl-1.0.2k-12.el7.x86_64                    #提供加密服务

openssh-6.6.1p1-22.el7.x86_64                 #提供远程连接服务

# cat /etc/ssh/ssh_config                            #查看SSH配置文件

# systemctl status sshd                              #查看ssh服务的运行状态

# ps -ef |grep sshd                                      #查看进程

# lsof -i tcp:22                                            #对外侦听的端口是tcp:22

SSH联机过程如下：

1. 服务端SSH服务启动后，会产生一个768位的公钥。
2. 客户端主动发起请求连接服务端。
3. 服务端会将这个公钥发给客户端，同时客户端会判断这个公钥的正确性，其标准为~/.ssh/known_hosts文件的内容。
4. 客户端收到这个公钥后自己也会随机产生一个256位的私钥，并将两者整合成密钥对，再发送给服务端。
5. 之后，客户与服务端就利用这独一无二的1024位密钥对进行数据的传输。

客户端第一次连接服务端。没有服务端的公钥，则会在终端上显示一段警告信息，由用户来决定是否继续连接。

在客户端查看服务端的公钥。只要客户端连接过服务端，就会生成~.ssh/known_hosts文件，里面就是服务端公钥。

客户端再次连接服务端。因为已经有了服务端公钥现在只需要输入密码就可以登录了。

SSH服务认证类型

1.基于口令的安全认证

基于口令的安全验证的方式就是一般在用的，只要知道服务器的SSH连接的账号和口令（当然也要知道对应服务器的IP及开放的SSH端口，默认为22），就可以通过ssh客户端登录到这台远程主机。

2.基于密钥的安全验证

基于密钥的安全验证方式是指，需要依靠密钥，也就是必须事先建立一对密钥对，把公用密钥（Public key）放在需要访问的目标服务器上，另外，还需要把私有密钥（Private key）放到客户端上。此时，客户端向服务器发出请求，请求用联机的用户密钥进行安全验证。服务端收到请求后，会先在该用户的家目录下寻找对应用户的公用密钥，然后把它和连接的客户端发送过来的公用密钥进行比较。如果两个密钥一致，服务端就用公用密钥加密“质询”并把它发送给客户端。客户端收到“质询”之后就可以用自己的私钥进行解密，再把它发送给服务端。服务端比较用户用私钥解密后的“质询”字符串，如果相同，就表示认证通过。网络中的两台服务器需要经常进行通信，而频繁的输入账号和密码既繁琐又不安全，所以可以使用基于密钥的认证，这种使用在服务器集群配置中非常的常用。

1.需要连接到远程服务器的管理主机上创建密钥。

2.将管理主机生成的公钥分发到目标服务器上。

3.测试登录远程服务器，不提示密码可直接登录成功。

简单来说，就是将客户端的公钥放到目标服务器上，那么客户端就可以免密码登录服务器了，客户端的公钥默认放置在服务端的.ssh/authorized_keys 文件中。与第一种基于口令验证的方式相比，第二种方式不需要在网络上传送口令密码，所以安全性就更高了！