了解SSH协议提高安全性

我使用ssh也不是一天两天了,几年前我第一次使用ssh连接到服务器开始,就被告知服务器类似11:11:11…的一个数字串很重要,第一次连接会告知是否接受这个数字串,点击yes之后除非服务器重装否则不应该再看到这个提示,否则就是存在中间人攻击。那么这个东西是什么?它如何避免中间人攻击?我过去一直认为这东西是对服务器整个进行扫描生成的对服务器唯一的标识码,每台服务器都应该不同。那么这种说法是否正确?要说明白这件事,首先要从ssh协议的原理说起。

讨论ssh原理的文章很多,可以随便到网上找。我大致说明一下:ssh协议,以及https常用的ssl等等,很多现代加密协议,都基于“非对称金钥加密系统”。这个系统是什么?总的来说,就是通过随机算法,一次生成一对钥匙,一把称为公钥,一把称为私钥。公钥是可以告诉任何人的,私钥必须保密。这2把钥匙,都是长长的一串字母和数字。

1.通过一把钥匙加密的数据,只能通过另一把解密。
2.通过一把钥匙,无法反推去计算出另一把钥匙。

这2点是金钥系统的基础,至于为啥,这得去问该死的数学家,咱不懂。客户端发起ssh连接时,向服务器发送一个要开始连接的明文信号,服务器把公钥明文发送给客户端。客户端把自己的公钥,用服务器的公钥加密,再发送回去,服务器收到后,用自己的私钥解密,验证用户身份后建立连接。

你就明白了。在整个过程中,被传输的只有公钥,私钥是不传输的,中间即使有任何人拦截了数据包,因为他不知道私钥,所以无法对数据解密。那么ssh的中间人攻击又是怎么回事呢?假设有某个该死的如什么强想嗅探你的数据,夹在你和服务器之间,第一步,你向服务器发起连接,,服务器给你公钥,某强拦截了这个包,然后把自己的公钥冒充服务器的发给你,你用这个假的公钥加密后发出去,某强拦到包,就可以用自己的私钥解密。

所以就明白了。第一次连接到服务器问你对不对的那货,就是公钥。而不是什么服务器唯一标识,说到底这玩意儿根本不存在。公钥一点不神秘,他就是/etc/ssh下的一个文件,由ssh-keygen命令随机生成。所谓只有重装等等才会变更是不对的。正确的说法是,他是sshd用于验证身份的文件,如果删除它,重启sshd,就会生成新的公钥。重装会变更是因为重装删除了所有文件。

中间人攻击为何必须换自己的公钥发给你呢,因为他无法反推计算出解密用的私钥。如果用原公钥的话,整个过程他是无法解密的。所以就明白额,公钥的重要性。可以说整个ssh协议,或者网银用的ssl协议,都基于公钥的正确性。一般的建议做法是通过其他渠道,电话,甚至当面传递公钥。而网银或者说https则是在浏览器预先内置数字证书,确保公钥万无一失。当然,如果你或者服务器其中之一被攻陷,私钥泄露的话,那么任何协议都无安全可言。

那么如何查看公钥呢?

如果管理员公开了他的公钥,那自然好说。否则,/etc/ssh/sshd_host-ras_key.pub,类似文件,有三个,分别代表三种算法。这个文件,cat是长长一串字母数字,有2048位,可以认为是很难读的。ssh-keygen -lf file可以读出他的fingerprint,就是链接时让你确认那个。

连接过的服务器的公钥存放在~/.ssh/known_host类似一个名字下。如果echo ” > known_host 那么所有服务器连接时都会重新问

OpenSSH Logo

OpenSSH密钥管理初步:生成密钥对,配置github,密码短句

github需要ssh密钥来建立push时的安全连接,虽然以前在用gitorious时也接触过,但已经不记得了,还是找了几篇教程来边看边做,笔记如下:

OpenSSH Logo

生成密钥对

sudo pacman -S openssh # ssh-keygen在openssh包里
ssh-keygen -t rsa

一路默认回车即可。你也可以在出现如下提示时为你的私钥添加密码短句进行加密

Enter passphrase (empty for no passphrase):
Enter same passphrase again:

配置github

默认会在~/.ssh目录下生成私钥id_rsa和公钥id_rsa.pub,将公钥文件内容添加到github.com:账户设置-SSH Keys

根据github官方文档,一些教程里提到的GitHub token不再会有支持。你可以测试一下

ssh -T git@github.com

如果出现You’ve successfully authenticated字样,说明一切正常

安全但麻烦的passphrase(密码短句)

如果你在生成密钥对时设置了密码短句,则每次提交连接github都会询问你密码短句来解密私钥,我虽然平时除了github,很少用到ssh,但也颇感麻烦,一个简单解决办法是使用ssh-agent

sudo pacman -S kde-agent # ssh-agent随kde启动
ssh-add ~/.ssh/id_rsa # 会询问你密码短句

每次启动kde会话后,都要手动添加私钥到ssh-agent,你只需在此输入一次密码短句,此后只要ssh-agent进程不重启,你都不再需要输入密码短句。

参考资源

通用线程: OpenSSH 密钥管理: IBM网站上2001年的一篇教程,是由gentoo创始人写的,共有两部分,这是第一部分介绍基础知识,第二部分介绍ssh-agent和keychain
Gentoo Linux Keychain指南: Gentoo的一篇教程
SSH Keys: Archlinux的wiki文档

Java

由iteye上女程序员:会SSH框架是低薪的代名词的文章而谈

上次在iteye(以前叫javaeye,上面的大牛很多,竟然被烂的csdn收购了,想不通)上看了一篇女Java软件工程师写的文章,说的是会SSH框架是低薪的代名词,呵呵,我不太赞成这个观点的。

文章分析现在随便在街上逮个JAVA软件开发者,都说精通SSH三大框架,不管是应届生还是老鸟的个人简历上都写着精通SSH框架,MVC思想。貌似会个框架整合就牛逼哄哄的,且不论这些框架使用和理解怎么样,Java基础怎么样呢,面向对象思想到不到家呢。听说仅仅精通Javascript的在IBM的年薪是25w,这是我们JavaEE开发的都看不上眼的技术吧,可见只要对一项技术精通就了不得了,什么框架,什么平台,真正会多少才是最重要的。

说实话吧,SSH框架也没这么简单,要在项目中整合使用,不见得什么都得用上,还得根据项目来定。三个框架整合加上数据库效率是很低的,只有大项目或需要易扩展升级的项目才考虑用,而且超大的项目都用分布式EJB了,基于组件开发。

SSH框架其实不仅仅是要学会怎么使用,这个不难,只要花时间,都学的会,而是要真正理解人家的思路和解决方案,最好看看框架的源代码,这对你的编程是有很大帮助的。就拿Struts的MVC来说吧,为什么要用MVC呢,人家Google(姑且说是)的android中用的就是MVC嘛,比Swing编程的代码乱、长、难维护好多了。Spring中的AOP不就是用动态代理(Dynamic Proxy)嘛,这些框架还是用Java的反射技术什么的。JavaEE的模式也不仅仅是MVC一个,框架技术多了去,一辈子也学不完啊。基础不错的话,自己开发框架也不是没有可能。

我的框架技术是不咋的,而且没用过Struts框架,学的和用的都是Struts2,我把它叫为Webwork好些吧。其实我觉得Struts是MVC的体现,看了点别人使用,而且我对Struts2不是很支持的,所以打算在项目中使用的是Struts + Spring2.5 +JPA1.0(Hibernate实现),结果就出问题了,没有出现任何错误,就是运行没有任何的结果,一直找不出问题的原因,现在才知道要用Spring框架读Struts的注解,还需要在struts-config.xml中加配置的。所以说不要盲目的使用一些技术,别人用什么也跟着用什么,这是我用SSH框架的一个笑话吧。

JavaEE开发除了要会SSH框架,其他的也是很重要的,比如Jsp、Servlet、Javascript及web层框架,我就比较坑爹了。还有其他的一些技术像JNDI、EJB、WebService、JavaMail、RMI、JMS…JavaWeb只是一小部分罢了。做项目还要考虑很多东西的,想性能啊,这个就很重要了,一个网站操作响应超过5秒,谁受得了,就算你给我钱我肯定还是跑了。为了性能我们可能在项目中用缓存,ORM框架中和第三方都有缓存,而且数据库用本来也有缓存。除此之外我们还可以用模版技术像Fremarker、Volicity,还有shtml静态网页技术SSI等等。大型的项目可能就要考虑负载均衡和集群了,我弄了几个小时,按照网上的资料配置Apache和Tomcat的负载均衡,实现倒是实现了,不过集群中Session共享我始终没弄好。所以做JavaWeb不只是写JSP和数据库CURD,还有解决问题和思想的体现。

如果你想做项目的设计架构,像UML设计,数据库设计、工作流等能力也是必不可少的。做系统的性能测试,方法啊工具啊也得知道个一二三吧。

我感觉Java最难的不是这些框架(SSH只是部分),更难的是Java设计模式,JavaEE设计模式,Java面向对象。大家都认为Java面向对象简单,我不这么认为,Java的优点和精髓就是面向对象了。看看Jdon网站上的东西,就发现这么多人都在讨论这个,他们的思想比我们先进多了,我们已经落后一大截了。什么DDD(Domain Driver Design),什么贫血模型啊、失血模型啊、充血模型啊、涨血模型,不像我们只考虑实现,就会操作数据库,不考虑架构,不考虑业务,更不会考虑领域(Domian)了。如果说这些人都是大牛,我们惹不起,但是我们是需要不断成长,需要吸收更多的技术和思想,我们要成为大牛。

好久没有写文章了,每周最好写点技术文章,保持自己的状态,不至于遗忘了落后了。最近比较忙,项目快结束了,加班特多。做饭的时间的没有,房间好久都没收拾了,厨房又脏,一切都乱死了。上周末连续加班通宵,其实我也就打酱油,听听音乐玩玩facebook睡睡觉,昨晚还是2:00以后睡的,敲几行代码。放了假,天气又热,还是呆在家了,做点吃的,休息休息,听听音乐,写点文章,敲点代码。

不知不觉都快12:30了,就写这么多了,烧饭去咯,人品不错哦,上周买的菜,还没坏,好久没做饭了,不要太难吃了哈。(文/linmei.dong)转载务必注明出处http://mtoou.info/ssh-dixin/