帮助中心 >  技术知识库 >  云服务器 >  服务器教程 >  云服务器 Linux SSH 连接交互过程简介

云服务器 Linux SSH 连接交互过程简介

2016-08-01 14:53:33 8044

交互示意图 所示:


    服务端准备阶段

    服务端在每次启动 SSH 服务时,都会自动检查 /etc/ssh/ 目录下相关密钥文件的有效性。如果相关文件检查发现异常,则会导致服务启动失败,并抛出相应错误信息。 如果文?相关不存在,则会自动重新创建。

    默认创建的相关文件及用途说明如下:

    ll /etc/ssh/ -rw-------. 1 root root 125811 Aug 13  2015 moduli → 用于 DH-GEX 算法 -rw-r--r--. 1 root root   2047 Aug 13  2015 ssh_config → SSH 客户端配置文件 -rw-------. 1 root root   3879 Aug 13  2015 sshd_config → SSH 服务配置文件 -rw-------. 1 root root    672 May 20 14:22 ssh_host_dsa_key → DSA 算法私钥 -rw-r--r--. 1 root root    590 May 20 14:22 ssh_host_dsa_key.pub         → DSA 算法公钥 -rw-------. 1 root root    963 May 20 14:22 ssh_host_key → SSH V1 版RSA 算法私钥 -rw-r--r--. 1 root root    627 May 20 14:22 ssh_host_key.pub → SSH V1 版 RSA 算法公钥 -rw-------. 1 root root   1675 May 20 14:22 ssh_host_rsa_key → SSH V2 版 RSA 算法私钥 -rw-r--r--. 1 root root    382 May 20 14:22 ssh_host_rsa_key.pub         → SSH V2 版 RSA 算法公钥

    非对称加密协商

    服务端 SSH 服务正常运行后,客户端连接时,进行如下交互:

    1. 客户端向服务端发送连接请求。
      客户端通过 SSH 工具连接服务端。相关信息通过明文发送。

    2. 服务端返回公钥信息:
      根据客户端所使用的服务协议版本及算法设置,返回相应公钥信息。比如,默认情况下,客户端通过 SSH V2 协议,基于 RSA 算法建立连接,则服务端将 ssh_host_rsa_key.pub 文件中的内容返回客户端。相关信息通过明文发送。

    3. 客户端对服务端公钥信息进行比对和确认:
      客户端接收到服务端公钥信息后,会进行如下比对,并让用户对相关信息进行确认。

      • 如果用户输入 yes,则会将相应的公钥信息,保存到当前用户家目录下 .ssh 目录内的 known_hosts 文件中。 比如:

        cat ~/.ssh/known_hosts IP 明文显示: 192.168.0.1 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA3sdlboGEgY9buZpkPuygPw0NxAvmxYd0mc3fo2MgP+JqgFC9/9ZXOgDXKJrjE2HKBieJZSPKGncIh+zLxTvmykeJQBXv7i1GiUjW+H3VY69Ge3AdGfCd+XF+Cvi1e+j18zhHnjSzvIBoNpT5cBWWNbw7mNHCwTb0sHAVUkWR4Ck/LM5/rQ09A+m6BLfZJL8CRNGxKTbyINi6o812S+Cy64WqDs1nTpIXp2Bkcpjclb36bFSs9Z/tWNuJl7A//7HNtxMgFGBnE07Ykvvy8s06DUmkyFy8GcXGBpnfdg9utLodfQLFQnKflCQZ110BpQaCWlWPjU9dc4w3XLJ/XQOP4w== IP 做了加密处理: |1|3efXAZ4sNHcUcHamBy4gDriblc8=|8idBhLq9aLl2sfh4KswMsk4sPFI= ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAwS4DE3hok8RCkxYlTxsexNrNa62e05UGSkoP7ie26DDWjG1Aoc74cCsE4is9p7lEfFUYYlAzeYhPqE/yGf5YxRZUOU2IeFI4cEqo8YZr7edVYpgAq2f2J0zMwk1syenD12lmUPkYA4mMB6it3jxXR5k+H0HZh9YA7mRXkiTjlkAMWirBcnUvtKYRv9LRIr3ikUiPy2gfZO291Ae9zuTsWwEtHQxIpiBgk3vwF2gCUFlX9y//IsMjdQq5prk7x3BjXhUorqgJO1gt1VHW8Xxx9Oe50YF1hi9DuE6VXwyh4xfHTmauRQybwsYafdA3HxrA2od6x9l19D9EH7xHAjDa5w==
      • 如果是首次连接服务端,客户端会收到类似如下信息,让用户确认公钥指纹的有效性:

        The authenticity of host '192.168.0.1 (192.168.0.1)' can't be established. RSA key fingerprint is c2:49:d9:43:74:d5:ed:bc:28:9b:d2:7b:63:94:cf:bc. Are you sure you want to continue connecting (yes/no)?

         


      • 如果之前已经成功连接,而且公钥指纹对比一致,则会继续下一步操作。 

      1. 如果用户输入 no ,则连接中断并报错(Host key verification failed)。

    4. 客户端生成临时密钥对:
      服务端公钥校验及确认后,客户端会生成一对临时密钥用于客户端加密。该密钥对不会存储到文件,而是记录在内存中。每次连接都会重新生成临时密钥对。

    5. 客户端发送公钥信息:
      客户端向服务端,发送前述生成的临时密钥对中的公钥信息。相关信息通过明文发送。

    至此,服务端及客户端都拥有对方的公钥和自身的私钥,所以称为非对称加密。

    后续数据交互过程

    后续登录校验及正常的数据传输,都会通过双向加密方式进行。相关交互说明如下:

    • 如果服务端需要发送数据给客户端:

      • 服务端使用所持有的客户端公钥,对需要传输的数据进行加密,再发送给客户端。

      • 客户端收到信息后,使用所持有的自身私钥解密后获取数据。

    • 反之,如果客户端需要发送数据给服务端,也是类似的流程:

      • 客户端使用所持有的服务端公钥,对需要传输的数据进行加密,再发送给服务端。

      • 服务端收到信息后,使用所持有的自身私钥解密后获取数据。

     


    提交成功!非常感谢您的反馈,我们会继续努力做到更好!

    这条文档是否有帮助解决问题?

    非常抱歉未能帮助到您。为了给您提供更好的服务,我们很需要您进一步的反馈信息:

    在文档使用中是否遇到以下问题: