『壹』 如何通過反向 SSH 隧道訪問 NAT 後面的 linux 伺服器
除了SSH埠轉發外,另一個辦法就是SSH反向隧道。SSH反向隧道這個概念其實很簡單。為此,你需要在限制性家用網路外面有另一個主機,即所謂的「中繼主機」(relay host),你可以從所在地方通過SSH連接到該主機。你可以使用帶公共IP地址的虛擬專用伺服器(VPS)實例來建立中繼主機。然後要做的就是建立一條持久性SSH隧道,從你家用網路的伺服器通向公共中繼主機。有了這條隧道,你就可以從中繼主機「連回」到家用伺服器(這就是為什麼它叫「反向」隧道)。無論你人在什麼地方,或者你家用網路中的NAT或防火牆限制多嚴格,只要你可以連接到中繼主機,就可以連接到家用伺服器。x0dx0a在Linux上建立SSH反向隧道x0dx0a不妨看看我們如何可以建立並使用一條SSH反向隧道。我們假設下列設置。我們將建立一條從家用伺服器(homeserver)到中繼伺服器(relayserver)的SSH反向隧道,那樣我們就可以從另一台名為clientcomputer的計算機,通過中繼伺服器以SSH的方式連接到家用伺服器。中繼伺服器的公共IP地址是1.1.1.1。x0dx0a在家用伺服器上,打開通向中繼伺服器的SSH連接,如下所示。x0dx0ahomeserver~$ ssh -fN -R 10022:localhost:22 [email protected]這里的埠10022是你可以選擇的任何隨意的埠號。只要確保該埠沒有被中繼伺服器上的其他程序所使用就行。x0dx0a「-R 10022:localhost:22」選項定義了反向隧道。它通過中繼伺服器的埠1022,將流量轉發到家用伺服器的埠22。x0dx0a若使用「-fN」選項,一旦你成功驗證了身份、登錄到SSH伺服器,SSH就會徑直進入後台。如果你不想在遠程SSH伺服器上執行任何命令,只想轉發埠,就像在本文的示例中,這個選項很有用。x0dx0a運行上述命令後,你將直接回到家用伺服器的命令提示符。x0dx0a登錄進入到中繼伺服器,核實127.0.0.1:10022綁定到sshd。如果是這樣,那意味著反向隧道已正確建立起來。x0dx0arelayserver~$ sudo netstat -nap | grep 10022x0dx0atcp 0 0 127.0.0.1:10022 0.0.0.0:* LISTEN 8493/sshdx0dx0a現在可以從其他任何計算機(比如clientcomputer),登錄進入到中繼伺服器。然後訪問家用伺服器,如下所示。x0dx0arelayserver~$ ssh -p 10022 homeserver_user@localhostx0dx0a需要注意的一個地方就是,你為localhost輸入的SSH登錄信息/密碼應該適用於家用伺服器,而不是適用於中繼伺服器,因為你是通過隧道的本地端點登錄進入到家用伺服器。所以別為中繼伺服器輸入登錄信息/密碼。成功登錄後,你就接入到了家用伺服器。x0dx0a通過SSH反向隧道,直接連接到NAT後面的伺服器x0dx0a雖然上述方法讓你可以連接到NAT後面的家用伺服器,但是你需要登錄兩次,先登錄到中繼伺服器,然後登錄到家用伺服器。這是由於中繼伺服器上SSH隧道的端點綁定到回送地址(127.0.0.1)。x0dx0a但實際上,只要單次登錄到中繼伺服器,就可以直接連接到NAT後面的家用伺服器。為此,你需要讓中繼伺服器上的sshd不僅可以從回送地址轉發埠,還可以從外部主機轉發埠。這可以通過在中繼伺服器上運行的sshd裡面指定GatewayPorts選項來實現。x0dx0a打開中繼伺服器的/etc/ssh/sshd_conf,添加下面這一行。x0dx0arelayserver~$ vi /etc/ssh/sshd_confx0dx0aGatewayPorts clientspecifiedx0dx0a重啟sshd。x0dx0a基於Debian的系統:x0dx0arelayserver~$ sudo /etc/init.d/ssh restartx0dx0a基於紅帽的系統:x0dx0arelayserver~$ sudo systemctl restart sshdx0dx0a現在不妨從家用伺服器開始建立SSH反向隧道,如下所示。x0dx0ahomeserver~$ ssh -fN -R 1.1.1.1:10022:localhost:22 [email protected]登錄進入到中繼伺服器,用netstat命令核實SSH反向隧道已成功建立起來。x0dx0arelayserver~$ sudo netstat -nap | grep 10022x0dx0atcp 0 0 1.1.1.1:10022 0.0.0.0:* LISTEN 1538/sshd: devx0dx0a不像之前的情況,隧道的端點現在是1.1.1.1:10022(中繼伺服器的公共IP地址),而不是127.0.0.1:10022。這意味著,可以從外部主機連接到隧道端點。x0dx0a現在可以從其他任何計算機(比如clientcomputer),輸入下列命令,訪問NAT後面的家用伺服器。x0dx0aclientcomputer~$ ssh -p 10022 [email protected]在上述命令中,雖然1.1.1.1是中繼伺服器的公共IP地址,但homeserver_user必須是與家用伺服器關聯的用戶帳戶。這是由於,你實際登錄進入的主機是家用伺服器,而不是中繼伺服器。後者只是將你的SSH流量中繼轉發到家用伺服器而已。x0dx0a在Linux上建立持久性SSH反向隧道x0dx0a想必你已明白了如何建立一條SSH反向隧道,現在不妨讓隧道具有「持久性」,那樣隧道隨時建立並運行起來(無論面對什麼樣的情況:暫時網路擁塞、SSH超時還是中繼主機重啟等)。畢竟,要是隧道沒有始終建立起來,你也就無法可靠地連接到家用伺服器。x0dx0a為了建立持久性隧道,我要使用一款名為autossh的工具。顧名思義,萬一SSH會話由於任何原因而斷開,這個程序讓你可以自動重啟SSH會話。所以,讓SSH反向隧道保持持久連接很有用。x0dx0a第一步,不妨建立無需密碼的SSH登錄機制,從家用伺服器登錄到中繼伺服器。那樣一來,autossh就能重啟斷開的SSH反向隧道,不需要用戶干預。x0dx0a下一步,將autossh安裝到發起隧道的家用伺服器上。x0dx0a從家用伺服器運行帶下列變數的autossh,從而建立一條通向中繼伺服器的持久性SSH隧道。x0dx0ahomeserver~$ autossh -M 10900 -fN -o "PubkeyAuthentication=yes" -o "StrictHostKeyChecking=false" -o "PasswordAuthentication=no" -o "ServerAliveInterval 60" -o "ServerAliveCountMax 3" -R 1.1.1.1:10022:localhost:22 [email protected]「-M 10900」選項指定了中繼伺服器上的一個監控埠,將用來交換測試數據,以監控SSH會話。該埠不應該被中繼伺服器上的任何程序所使用。x0dx0a「-fN」選項傳遞給ssh命令,讓SSH隧道可以在後台運行。x0dx0a「-o XXXX」選項指令ssh執行下列操作:x0dx0a•使用密鑰驗證,而不是密碼驗證。x0dx0a•自動接受(未知的)SSH主機密鑰。x0dx0a•每60秒就交換持久連接(keep-alive)消息。x0dx0a•最多發送3個持久連接消息,而不接受任何響應。x0dx0a與SSH反向隧道有關的其餘選項仍與之前一樣。x0dx0a如果你希望SSH隧道一啟動就自動建立起來,可以在/etc/rc.local中添加上述的autossh命令。
『貳』 SSH隧道協議(AES密鑰對加密法則)
SSH是每一台Linux電腦的標准配置
隨著Linux設備從電腦逐漸擴展到手機、外設和家用電器,SSH的適用范圍也越來越廣。不僅程序員離不開它,很多普通用戶也每天使用;SSH具備多種功能,可以用於很多場合。有些事情,沒有它就是辦不成
簡單說,SSH是一種網路協議,用於計算機之間的加密登錄。
如果一個用戶從本地計算機,使用SSH協議登錄另一台遠程計算機,我們就可以認為,這種登錄是安全的,即使被中途截獲,密碼也不會泄露。
最早的時候,互聯網通信都是明文通信,一旦被截獲,內容就暴露無疑。1995年,芬蘭學者Tatu Ylonen設計了SSH協議,將登錄信息全部加密,成為互聯網安全的一個基本解決方案,迅速在全世界獲得推廣,目前已經成為Linux系統的標准配置。雹和陵
需要指出的是,SSH只是一種協議,存在多種實現,既有商業實現,也有開源實現。
SSH主要用於遠程登錄。假定你要以用戶名user,登錄遠程主機host,只要一條簡單命令就可以了。
如果本地用戶名與遠程用戶名一致,登錄時可以省略用戶名。
SSH的默認埠是22,也就是說,你的登錄請求會送進遠程主機的22埠。使用p參數,可以修改這個埠。
上面這條命令表示,ssh直接連接遠程主機的2222埠。
SSH之所以能夠保證安全,原因在於它採用了公鑰加密。
整個過程是這樣的:(1)遠程主機收到用戶的登錄請求,把自己的公鑰發給用戶。(2)用戶使用這個公鑰,將登錄密碼加密後,發送回來。(3)遠程主機用自己的私鑰,解密登錄密碼,如果密碼正確,就同意用戶登錄。
這個過程本身是安全的,但是實施的時候存在一個風險:如果有人截獲了登錄請求,然後冒充遠程主機,將偽造的公鑰發給用戶,那麼用戶很難辨別真偽。因為不像https協議,SSH協議的公鑰是沒有證書中心棚褲(CA)公證的,也就是說,都是自己簽發的。
可以設想,如果攻擊者插在用戶與遠程主機之間(比如在公共的wifi區域),用偽造的公鑰,獲取用戶的登錄密碼。再用這個密碼登錄遠程主機,那麼SSH的安全機制就盪然無存了。這種風險就是著名的「中間人攻擊」(Man-in-the-middle attack)。
SSH協議是如何應對的呢?
如果你是第一次登錄對方主機,系統會出現下面的提示:
這段話的意思是,無法確認host主機的真實性,只知道它的公鑰指紋,問你還想繼續連接嗎?
所謂」公鑰指紋」,是指公鑰長度較長(這里採用RSA演算法,長達1024位),很難比對,所以對其進行MD5計算,將它變成一個128位的指紋。上例中是98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d,再進行比較,就容易多了。
很自然的一個問題就是,用戶怎麼知道遠程主機的公鑰指紋應該是多少?回答是沒有好辦法,遠程主機必須在自己的網站上貼出公鑰指紋,以便用戶自行核對。
假定經過風險衡量以後,用戶決定接受這個遠程主機的公鑰。
系統會出現一句提示,表示host主機已經得到認可。
然後,會要求輸入密碼。
如果密碼正確,就可以登錄了。
當遠程主機的公鑰被接受以後,它就會被保存在文件 $HOME/.ssh/known_hosts 之中。下次再連接這台主機,系統就會認出它的公鑰已經保存在本地了,從而跳過警告部分,直接提示輸入密碼。
每個SSH用戶都有自己的 known_hosts 文件,此外系統也有一個這樣的文件,通常是 /etc/ssh/ssh_known_hosts ,保存一些對所有用戶都可信賴的遠程主機的公鑰。
使用密碼登錄,每次都必須輸入密碼,非常麻煩。好在SSH還提供了公鑰登錄,可以省去輸入密碼的步驟。
所謂」公鑰登錄」,原理很簡單,就是用戶將自己的公鑰儲存在遠程主機上。登錄的時候,遠程主機會向用戶發送一段隨機字元串,用戶用自己的私鑰加密後,再發回來。遠程主機用事先儲存的公鑰進行解密,如果成功,就證明用戶是可信的,直接允許登錄shell,不再要求密碼。
這種方法要求用戶必須提供自己的公鑰。如果沒有現成的源戚,可以直接用 ssh-keygen 生成一個:
運行上面的命令以後,系統會出現一系列提示,可以一路回車。其中有一個問題是,要不要對私鑰設置口令(passphrase),如果擔心私鑰的安全,這里可以設置一個。
運行結束以後,在$HOME/.ssh/目錄下,會新生成兩個文件: id_rsa.pub 和 id_rsa 。前者是你的公鑰,後者是你的私鑰。
這時再輸入下面的命令,將公鑰傳送到遠程主機host上面:
好了,從此你再登錄,就不需要輸入密碼了。
如果還是不行,就打開遠程主機的 /etc/ssh/sshd_config 這個文件,檢查下面幾行前面」#」注釋是否取掉。
然後,重啟遠程主機的ssh服務。
遠程主機將用戶的公鑰,保存在登錄後的用戶主目錄的 $HOME/.ssh/authorized_keys 文件中。公鑰就是一段字元串,只要把它追加在 authorized_keys 文件的末尾就行了。
這里不使用上面的ssh--id命令,改用下面的命令,解釋公鑰的保存過程:
這條命令由多個語句組成,依次分解開來看:
(1) 」$ ssh user@host」 ,表示登錄遠程主機;
(2)單引號中的 mkdir .ssh && cat >> .ssh/authorized_keys ,表示登錄後在遠程shell上執行的命令:
(3) 」$ mkdir -p .ssh」 的作用是,如果用戶主目錄中的.ssh目錄不存在,就創建一個;
(4) 』cat >> .ssh/authorized_keys』 < ~/.ssh/id_rsa.pub 的作用是,將本地的公鑰文件 ~/.ssh/id_rsa.pub ,重定向追加到遠程文件 authorized_keys 的末尾。
寫入 authorized_keys 文件後,公鑰登錄的設置就完成了。
『叄』 ssh tunnel什麼意思
這個回答是惡搞吧??java的ssh框架是2002年的事情,linux上的ssh協議存在已經好幾十年了。
ssh tunnel是ssh隧道,在兩台計算機之間建立加密通訊通道,從而達到繞過某些限制、安全訪問到某些資源的目的。舉個例子,假設計算機A能訪問到B,不能訪問C,而B能訪問C,那麼在A與B之間建立一個ssh tunnel,就可以讓A訪問到C。