https://arolstar52-zhtest.hf.space/index.php?action=history&feed=atom&title=Secure_Shell
Secure Shell - 版本历史
2026-06-26T16:40:32Z
在这个wiki上该页的修订历史
MediaWiki 1.43.8
https://arolstar52-zhtest.hf.space/index.php?title=Secure_Shell&diff=89953&oldid=prev
imported>Peterxy:维基化
2026-04-19T11:40:23Z
<p>维基化</p>
<p><b>新页面</b></p><div>{{NoteTA<br />
|G1=IT<br />
|1=zh-cn:连接;zh-tw:連線;<br />
|2=zh-cn:安全外壳协议;zh-hk:安全外殼協定;zh-tw:安全殼層協定;<br />
|3=zh-cn:外壳; zh-hk:外殼; zh-tw:殼層;<br />
}}<br />
{{about|一種網路傳輸協定|简称为“SSH”的Web开发框架|struts|和|Spring Framework|和|Hibernate||SSH}}<br />
<br />
{{网络协议}}<br />
'''安全外壳协议'''(Secure Shell Protocol,简称'''SSH''')是一种加密的[[网络传输协议]],可在不安全的网络中为网络服务提供安全的传输环境<ref name="rfc4251">{{cite web<br />
| title = The Secure Shell (SSH) Protocol Architecture<br />
| url = https://www.ietf.org/rfc/rfc4251.txt<br />
| date = 2006-01<br />
| publisher = [[IETF]] Network Working Group<br />
| work = RFC 4251<br />
| accessdate = 2017-12-02<br />
| archive-date = 2018-10-10<br />
| archive-url = https://web.archive.org/web/20181010155018/http://www.ietf.org/rfc/rfc4251.txt<br />
| dead-url = no<br />
}}</ref>。SSH通过在网络中建立{{tsl|en|secure channel|安全隧道}}来实现SSH客户端与服务器之间的连接<ref name="rfc4252">{{cite web<br />
| title = The Secure Shell (SSH) Authentication Protocol<br />
| url = https://www.ietf.org/rfc/rfc4252.txt<br />
| date = 2006-01<br />
| publisher = [[IETF]] Network Working Group<br />
| work = RFC 4252<br />
| accessdate = 2017-12-02<br />
| archive-date = 2017-11-19<br />
| archive-url = https://web.archive.org/web/20171119153624/http://www.ietf.org/rfc/rfc4252.txt<br />
| dead-url = no<br />
}}</ref>。<br />
<br />
SSH最常见的用途是远程登录系统,人们通常利用SSH来传输[[命令行界面]]和远程执行命令。虽然SSH最初在[[类Unix系统]]中普及,但随着[[微软]]在[[Windows 10]]内部版本1809和[[Windows Server 2019]]及后续版本中原生集成[[OpenSSH]],[[Microsoft Windows|Windows]]现已全面支持SSH的客户端与服务端功能。<ref>{{Cite web |title=OpenSSH for Windows 概述 |url=https://learn.microsoft.com/zh-cn/windows-server/administration/openssh/openssh-overview |website=learn.microsoft.com |language=zh-cn |last=robinharwood |access-date=2026-02-15}}</ref>2015年,微软宣布将在未来的操作系统中提供原生SSH协议支持<ref>{{cite web<br />
| url = https://arstechnica.com/information-technology/2015/06/microsoft-bringing-ssh-to-windows-and-powershell/<br />
| title = Microsoft bringing SSH to Windows and PowerShell<br />
| author = Peter Bright<br />
| date = 2015-06-02<br />
| publisher = [[Ars Technica]]<br />
| accessdate = 2017-12-02<br />
| archive-date = 2017-06-09<br />
| archive-url = https://web.archive.org/web/20170609131256/https://arstechnica.com/information-technology/2015/06/microsoft-bringing-ssh-to-windows-and-powershell/<br />
| dead-url = no<br />
}}</ref>,Windows 10 1803版本已提供[[OpenSSH]]工具<ref>{{Cite web|url=https://docs.microsoft.com/en-us/windows-server/administration/openssh/openssh_overview|title=OpenSSH in Windows|accessdate=2019-05-11|last=maertendMSFT|work=docs.microsoft.com|language=en-us|archive-date=2019-05-11|archive-url=https://web.archive.org/web/20190511095440/https://docs.microsoft.com/en-us/windows-server/administration/openssh/openssh_overview|dead-url=no}}</ref>。<br />
<br />
在设计上,SSH是[[Telnet]]和非安全[[Unix shell|shell]]的替代品。Telnet和Berkeley {{tsl|en|rlogin|rlogin}}、[[远程外壳|rsh]]、{{tsl|en|Remote Process Execution|rexec}}等协议采用[[明文]]传输,使用不可靠的密码,容易遭到监听、[[數據包分析器|嗅探]]和[[中间人攻击]]<ref>[http://www.serverwatch.com/news/print.php/3551081 SSH Hardens the Secure Shell] {{Wayback|url=http://www.serverwatch.com/news/print.php/3551081 |date=20180207232405 }}, Serverwatch.com</ref>。SSH旨在保证非安全网络环境(例如[[互联网]])中信息加密完整可靠。<br />
<br />
不过,SSH也被指出有被嗅探甚至解密的漏洞。早在2011年,[[中華人民共和國網絡審查|中國的網際網路審查機構]]已經有能力針對SSH連線的刺探及干擾。<ref>{{cite web|title=中国刺探加密连接测试新屏蔽方式|url=https://www.solidot.org/story?sid=27059|website=www.solidot.org|accessdate=2021-10-24|date=2011-11-21|archive-date=2020-07-07|archive-url=https://web.archive.org/web/20200707082252/https://www.solidot.org/story?sid=27059|dead-url=yes}}</ref><ref>{{cite web|last1=Greenberg|first1=Andy|title=China's Great Firewall Tests Mysterious Scans On Encrypted Connections|url=https://www.forbes.com/sites/andygreenberg/2011/11/17/chinas-great-firewall-tests-mysterious-scans-on-encrypted-connections|website=Forbes|language=en|accessdate=2018-02-18|archive-date=2018-02-18|archive-url=https://web.archive.org/web/20180218150902/https://www.forbes.com/sites/andygreenberg/2011/11/17/chinas-great-firewall-tests-mysterious-scans-on-encrypted-connections|dead-url=no}}</ref>而後[[爱德华·斯诺登]]泄露的文件也指出,[[美国国家安全局]]有时能够把SSH协议传输的信息解密出来,从而读出SSH会话的传输内容<ref name=Spiegel2014>{{cite web|url=http://www.spiegel.de/international/germany/inside-the-nsa-s-war-on-internet-security-a-1010361.html|title=Prying Eyes: Inside the NSA's War on Internet Security|date=2014-12-28|publisher=[[Spiegel Online]]|accessdate=2017-12-02|archive-date=2015-01-24|archive-url=https://web.archive.org/web/20150124202809/http://www.spiegel.de/international/germany/inside-the-nsa-s-war-on-internet-security-a-1010361.html|dead-url=no}}</ref>。2017年7月6日,非营利组织[[維基解密]]确认[[美国中央情报局]]已经开发出能够在[[Microsoft Windows|Windows]]或[[Linux]]操作系统中窃取SSH会话的工具。<ref>{{cite web <br />
| url = https://www.wikileaks.org/vault7/#BothanSpy <br />
| title = BothanSpy <br />
| date = 2017-07-06 <br />
| accessdate = 2017-09-25 <br />
| publisher = wikileaks.org <br />
| archive-date = 2017-07-08 <br />
| archive-url = https://web.archive.org/web/20170708232957/https://wikileaks.org/vault7/#BothanSpy <br />
| dead-url = yes <br />
}}</ref><br />
<br />
== 概述 ==<br />
SSH以[[非对称加密]]实现[[身份验证]]<ref name="rfc4252" />。身份验证有多种途径,例如其中一种方法是使用自动生成的公钥-私钥对来简单地加密网络连接,随后使用密码认证进行登录;另一种方法是人工生成一对公钥和私钥,通过生成的密钥进行认证,这样就可以在不输入密码的情况下登录。任何人都可以自行生成密钥。公钥需要放在待访问的电脑之中,而对应的私钥需要由用户自行保管。认证过程基于生成出来的私钥,但整个认证过程中私钥本身不会传输到网络中。<br />
<br />
SSH协议有两个主要版本,分别是SSH-1和SSH-2。无论是哪个版本,核实未知密钥来源都是重要的事情,因为SSH只验证提供用户是否拥有与公钥相匹配的私钥,只要接受公钥而且密钥匹配服务器就会授予许可。这样的话,一旦接受了恶意攻击者的公钥,那么系统也会把攻击者视为合法用户。<br />
<br />
== 密钥管理 ==<br />
在[[类Unix系统]]中,已许可登录的公钥通常保存在用户/home目录的~/.ssh/authorized_keys文件中<ref>{{Cite web |url=http://wiki.qnap.com/wiki/How_To_Set_Up_Authorized_Keys |title=SSH setup manual |accessdate=2017-12-02 |archive-date=2017-07-11 |archive-url=https://web.archive.org/web/20170711015540/https://wiki.qnap.com/wiki/How_To_Set_Up_Authorized_Keys |dead-url=yes }}</ref>,该文件只由SSH使用。当远程机器持有公钥,而本地持有对应私钥时,登录过程不再需要手动输入密码。另外为了额外的安全性,私钥本身也能用密码保护。<br />
<br />
私钥会保存在固定位置,也可以通过命令行参数指定(例如ssh命令的“-i”选项)。[[ssh-keygen]]是生成密钥的工具之一。<br />
<br />
SSH也支持基于密码的身份验证,此时密钥是自动生成的。若客户端和服务端从未进行过身份验证,SSH未记录服务器端所使用的密钥,那么攻击者可以模仿服务器端请求并获取密码,即[[中间人攻击]]。但是密码认证可以禁用,而且SSH客户端在发现新密钥或未知服务器时会向用户发出警告。<br />
<br />
== 应用 ==<br />
SSH的经典用途是[[登入]]到远程电脑中执行命令。除此之外,SSH也支持[[隧道协议]]、[[端口映射]]和[[X Window系統|X11]]连接。借助[[SSH文件传输协议|SFTP]]或[[安全复制|SCP]]协议,SSH还可以传输文件<ref name="rfc4252" />。<br />
<br />
SSH使用[[主從式架構|客户端-服务器]]模型,[[TCP/UDP端口列表|标准端口]]为22<ref>{{cite web|title=Service Name and Transport Protocol Port Number Registry|url=http://www.iana.org/assignments/port-numbers|website=iana.org|accessdate=2017-12-02|archive-date=2001-06-04|archive-url=https://web.archive.org/web/20010604223215/http://www.iana.org/assignments/port-numbers|dead-url=no}}</ref>。服务器端需要开启SSH[[守护进程]]以便接受远端的连接,而用户需要使用SSH客户端与其建立连接。<br />
<br />
大多数现代操作系统(包括[[macOS]]、大部分[[Linux]]、[[OpenBSD]]、[[FreeBSD]]、[[Solaris]]等系统)都提供了SSH,包括Windows系统也提供SSH程序(在Windows 10 1809版本之后)。在软件层次,许多关于SSH的[[专有软件]]、[[免費軟體]]和[[开源软件]]被研发出来,如:<br />
<br />
* 文件管理软件(同步、复制、删除等)。如:[[PuTTY]]和Windows下的[[WinSCP]]、类Unix系统下的Konqueror等。<br />
* [[SSH客户端比较|SSH客户端]]。<br />
<br />
从[[云计算]]的角度上讲,SSH能够阻止一些因直接暴露在互联网而产生的安全问题,在解决连接问题上发挥了重要作用。SSH隧道可以在互联网、[[防火墙]]和[[虚拟机]]之间提供一个安全的通道<ref>{{cite web|title=Networking on the cloud|url=http://www.ibm.com/developerworks/cloud/library/cl-networkingtools/index.html|year=2012|last1=Amies|first1=A|last2=Wu|first2=C F|last3=Wang|first3=G C|last4=Criveti|first4=M|website=IBM developerWorks|accessdate=2017-12-02|archive-date=2013-06-14|archive-url=https://web.archive.org/web/20130614123106/http://www.ibm.com/developerworks/cloud/library/cl-networkingtools/index.html|dead-url=no}}</ref>。<br />
<br />
== 历史 ==<br />
<br />
=== 1.x版本 ===<br />
芬兰[[赫尔辛基理工大学]]的[[塔图·于勒宁]]发现自己学校存在嗅探密码的网络攻击,便于1995年编写了一套保护信息传输的程序,并称其为“secure shell”,简称SSH<ref>{{cite web<br />
| url = https://www.scmagazineuk.com/the-new-skeleton-key-changing-the-locks-in-your-network-environment/article/545848/<br />
| title = The new skeleton key: changing the locks in your network environment<br />
| author = Tatu Ylönen<br />
| authorlink = 塔图·于勒宁<br />
| date = 2013-04-02<br />
| access-date = 2017-12-02<br />
| archive-url = https://web.archive.org/web/20170820162632/https://www.scmagazineuk.com/the-new-skeleton-key-changing-the-locks-in-your-network-environment/article/545848/<br />
| archive-date = 2017-08-20<br />
| dead-url = yes<br />
}}</ref>,设计目标是取代先前的{{tsl|en|rlogin|rlogin}}、[[Telnet]]、[[FTP]]<ref>{{cite web|url=https://www.ssh.com/ssh/port|title=SSH Port|author=Tatu Ylönen|authorlink=塔图·于勒宁|accessdate=2017-12-02|archive-date=2017-08-03|archive-url=https://web.archive.org/web/20170803235736/https://www.ssh.com/ssh/port|dead-url=no}}</ref>和[[远程外壳|rsh]]等安全性不足的协议。1995年7月,于勒宁以[[免費軟體]]的形式将其发布。程序很快流行起来,截至1995年底,SSH的用户数已经达到两万,遍布五十个国家。<br />
<br />
1995年12月,于勒宁创立了SSH通信安全公司来继续开发和销售SSH。SSH的早期版本用到了很多[[自由软件]],例如[[GNU多重精度运算库|GNU libgmp]],但后来由SSH公司发布的版本逐渐变成了[[专有软件]]。<br />
<br />
截至2000年,已经有两百万用户使用SSH。<ref name="Nicholas Rosasco and David Larochelle">{{cite web<br />
| author = Nicholas Rosasco and David Larochelle<br />
| title = How and Why More Secure Technologies Succeed in Legacy Markets: Lessons from the Success of SSH<br />
| publisher = Dept. of Computer Science, Univ. of Virginia<br />
| work = Quoting {{tsl|en|Daniel J. Barrett||Barrett}} and Silverman, ''SSH, the Secure Shell: The Definitive Guide,'' O'Reilly & Associates (2001)<br />
| url = http://www.cs.virginia.edu/~drl7x/sshVsTelnetWeb3.pdf<br />
| accessdate = 2006-05-19<br />
| archive-date = 2006-06-25<br />
| archive-url = https://web.archive.org/web/20060625065258/http://www.cs.virginia.edu/~drl7x/sshVsTelnetWeb3.pdf<br />
| dead-url = no<br />
}}</ref><br />
<br />
=== OpenSSH和OSSH ===<br />
1999年,开发者们希望使用自由版本的SSH,于是重新使用较旧的1.2.12版本,这也是最后一个采用[[开放源代码]]许可的版本。随后瑞典程序员Björn Grönvall基于这个版本开发了OSSH。不久之后,[[OpenBSD]]的开发者又在Grönvall版本的基础上进行了大量修改,形成了[[OpenSSH]],并于OpenBSD 2.6一起发行。从该版本开始,OpenSSH又逐渐移植到了其他操作系统上面。<ref>{{cite web |url=http://www.openssh.com/history.html |title=OpenSSH: Project History and Credits |date=2004-12-22 |accessdate=2014-04-27 |publisher=openssh.com |archive-date=2013-12-24 |archive-url=https://web.archive.org/web/20131224105341/http://openssh.com/history.html |dead-url=yes }}</ref><br />
<br />
截至2005年,OpenSSH是唯一一种最流行的SSH实现,而且成为了大量操作系统的默认组件,而OSSH已经过时<ref>{{Cite web |url=https://www.kb.cert.org/vuls/id/MIMG-6L4LBL# |title=OSSH Information for VU#419241<!-- Bot generated title --> |access-date=2017-12-02 |archive-url=https://web.archive.org/web/20070927231942/https://www.kb.cert.org/vuls/id/MIMG-6L4LBL |archive-date=2007-09-27 |dead-url=yes }}</ref>。OpenSSH仍在维护,而且已经支持SSH-2协议。从7.6版开始,OpenSSH不再支持SSH-1协议。<br />
<br />
=== 2.x版本 ===<br />
2006年,SSH-2协议成为了新的标准。与SSH-1相比,SSH-2进行了一系列功能改进并增强了安全性,例如基于[[迪菲-赫爾曼密鑰交換]]的加密和基于[[訊息鑑別碼]]的完整性检查。SSH-2还支持通过单个SSH连接任意数量的shell会话。SSH-2协议与SSH-1不兼容,由于更加流行,一些实现(例如[[lsh]]和[[Dropbear]])只支持SSH-2协议。<br />
<br />
=== 1.99版 ===<br />
RFC 4253<nowiki/>规定支持2.0及以前版本SSH的SSH服务器应将其原始版本标为“1.99”<ref>{{cite web<br />
| url = http://tools.ietf.org/html/rfc4253#section-5.1<br />
| title = RFC 4253, section 5. Compatibility With Old SSH Versions<br />
| date = 2006-01<br />
| publisher = [[IETF]] Network Working Group<br />
| work = RFC 4253<br />
| accessdate = 2017-12-02<br />
| archive-date = 2018-03-01<br />
| archive-url = https://web.archive.org/web/20180301045430/https://tools.ietf.org/html/rfc4253#section-5.1<br />
| dead-url = no<br />
}}</ref>。“1.99”并不是实际的软件版本号,而是为了表示[[向下兼容]]。<br />
<br />
=== 名詞釋義 ===<br />
* SSH:泛指'''SSH'''協定或實現'''SSH'''之軟體。<br />
* SSH-1:'''SSH'''協定版本第1版,以資與SSH-2區分。其中1.3與1.5版最常使用,提及時採SSH-1.3與SSH-1.5。<br />
* SSH-2:'''SSH'''協定版本第2版,以資與SSH-2區分,為現行最新版本。<br />
* SSH1:專指[[塔图·于勒宁]]所開發“secure shell”第1版,實作SSH-1協定。<br />
* SSH2:專指[[塔图·于勒宁]]所開發“secure shell”第2版,實作SSH-2協定,現屬於SSH Communications Security該公司所有。<br />
* [[OpenSSH]](OpenBSD Secure Shell):專指基於secure shell 1.2.12版分支所開發之軟體,現行版本已停止支援SSH-1協定。<br />
* OpenSSH /1:OpenSSH於執行SSH-1協定行為代稱。<br />
* OpenSSH /2:OpenSSH於執行SSH-2協定行為代稱。<br />
<br />
== 基本架構 == <br />
SSH协议框架中最主要的部分是三个协议:<br />
# '''传输层协议'''(The Transport Layer Protocol):传输层协议提供[[服务器]]认证,数据机密性,信息完整性等的支持。<br />
# '''用户认证协议'''(The User Authentication Protocol):用户认证协议为服务器提供客户端的身份鉴别。<br />
# '''连接协议'''(The Connection Protocol):连接协议将加密的信息隧道复用成若干个逻辑通道,提供给更高层的应用协议使用。<br />
同时还有为许多高层的网络安全应用协议提供扩展的支持。<br />
<br />
各种高层应用协议可以相对地独立于'''SSH'''基本体系之外,并依靠这个基本框架,通过连接协议使用'''SSH'''的安全机制。<br />
<br />
== SSH的安全验证 ==<br />
在客户端来看,SSH提供两种级别的安全验证。<br />
* 第一种级别(基于密碼的安全验证),知道帐号和密碼,就可以登录到远程主机,并且所有传输的数据都会被SSH传输层协议加密。但是,可能会有别的服务器在冒充真正的服务器,但只要客户端校验主机公钥,在服务器私钥不泄露的前提下就能避免被「中间人」攻击。<br />
* 第二种级别(基于[[公开密钥加密|密钥]]的安全验证),需要依靠密钥,也就是你必须为自己创建一对密钥,并把公钥放在需要访问的服务器上。客户端软件会向服务器发出请求,请求用你的私钥进行安全验证并发送使用私钥对会话ID等信息的签名。服务器收到请求之后,先在你在该服务器的用户根目录下寻找你的公钥,然后把它和你发送过来的公钥进行比较,并用公钥检验签名是否正确。如果两个密钥一致,且签名正确,服务器就认为用户登录成功。<br />
在服务器端来看,SSH也提供安全验证。<br />
* 服务器将自己的公钥分发给相关的客戶端,并将密钥交换过程中的公开信息与协商密钥的哈希值的签名发送给客戶端,客户端将获取的服务器公钥计算指纹并与其他安全信道获得的公钥指纹相比对并验证主机签名。<br />
* 存在一个密钥认证中心,所有提供服务的主机都将自己的公钥提交给认证中心,公钥认证中心给服务端颁发证书,而任何作为客戶端的主机则-{只}-要保存一份认证中心的公钥就可以了。在这种模式下,服务器会发送认证中心提供给主机的证书与主机对密钥交换过程中公开信息的签名。客户端只需要验证证书的有效性并验证签名。<br />
<br />
== SSH协议的可扩展性 == <br />
SSH协议框架中设计了大量可扩展项,比如用户自定义算法、客户自定义密钥规则、高层扩展功能性应用协议。这些扩展大多遵循[[IANA]]的有关规定,特别是在重要的部分,像命名规则和消息编码方面。<br />
<br />
==参考文献==<br />
{{reflist}}<br />
<br />
== 外部連結 ==<br />
* [https://web.archive.org/web/20200601023827/https://www.ssh.com/ SSH Communications Security Corporation的网站]<br />
* [http://www.openssh.org OpenSSH组织的网站]{{Wayback|url=http://www.openssh.org/ |date=20140201195746 }}<br />
* [https://web.archive.org/web/20170920185613/http://www.iana.org/ IANA的标准及组织]<br />
* [ftp://ftp.rfc-editor.org/in-notes/rfc4251.txt RFC4251:The Secure Shell (SSH) Protocol Architecture]<br />
<br />
{{TLS和SSL}}<br />
{{突破网络封锁技术}}<br />
<br />
{{Authority control}}<br />
[[Category:Secure Shell| ]]<br />
[[Category:应用层协议]]</div>
imported>Peterxy