但行好事
莫论前程❤

Ubuntu:拒绝连接

今天安装Ubuntu操作系统的时候,由于工作需要配置了静态ip.之后用secrueCRT和sftp连接服务器的时候,连接不上一直提示:

Network error: Connection refused.
能联网,能ping通

后来经过谷歌发现:

​ 没有安装openssh.

​ 解决方案:

sudo apt-get install openssh-server openssh-client

虽然解决了,但是对openssh还是不了解,所以在这里系统的学习一下.

SSH

# SSH是指Secure Shell,是一种安全的传输协议,Ubuntu客户端可以通过SSH访问远程服务器 。

# SSH分客户端openssh-client和服务端openssh-server

# 如果你只是想登陆别的机器的SSH只需要安装openssh-client(ubuntu有默认安装,如果没有则

sudo  apt-get install openssh-client

# 如果要使本机开放SSH服务就需要安装openssh-server。

sudo apt-get install openssh-server

SSH服务命令

停止服务:sudo /etc/init.d/ssh stop

启动服务:sudo /etc/init.d/ssh start

重启服务:sudo /etc/init.d/sshresart

断开连接:exit

openSSH

OpenSSH 是 SSH (Secure SHell) 协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送文件。而实现此功能的传统方式,如telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh都是极为不安全的,并且会使用明文传送密码。OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控件和文件传输过程中的数据,并由此来代替原来的类似服务。

为什么要使用OpenSSH

由于传统的telne、rcp ftp等工具是明文传输数据的,对数据安全性存在很大的安全隐患,而OpenSSH可以对传输的数据进行加密从而大大提高了数据的安全性。

OpenSSH程序简介

1、OpenSSH的分为客户端和服务端两部分

​ Clients端的配置文件:/etc/ssh/ssh_config
Server端的配置文件:/etc/ssh/sshd_config
Server端服务脚本:/etc/rc.d/init.d/sshd

openSSL

​ openssl是web安全通信的基石,没有openssl,可以说我们的信息都是在裸奔。要想了解openssl,有几个前置的概念需要先熟悉一下:

SSL

SSL的全名叫做secure socket layer(安全套接字层),最开始是由一家叫网景的互联网公司开发出来,主要是防止信息在互联网上传输的时候不被窃听或者篡改,后来网景公司提交SSL给ISOC组织做标准化,改名为TLS。

img

​ 有些同学可能会好奇,说好好的数据怎么就被窃听以及修改呢?这个其实是很容易的,如果你上网连得的是wifi,那么你的数据一定会经过wifi路由器,通过对路由器做些手脚就可以拿到这些数据。

非对称加密

​ 在数学上有这样一个现象:给两个质数,很容易算出他们的乘积,但是给你一个很大的数,你很难分解出两个质数,让他们的乘积正好等于这个很大的数。

​ 非对称加密就是基于以上的现象产生的,用一个密钥对数据进行加密,然后可以使用另外一个不同的密钥对数据进行解密,这两个密钥就是:公钥和私钥。

​ 公钥和私钥是可以相互推导的,根据私钥,你可以很容易的算出公钥,但是根据公钥,你却很难很难算出私钥,在互联网上,私钥一般由服务器掌握,公钥则由客户端使用。根据公钥,理论上需要花费地球上所有的计算机计算数万年才能算出私钥,所以认为是非常安全的。

数字签名

将报文使用一定的HASH算法算出一个固定位数的摘要信息,然后用私钥将摘要加密,连同原来的报文一起,发送给接收者,接受者通过公钥将摘要解出来,也通过HASH算法算出报文摘要,如果两个摘要一致,说明数据未被篡改,数据是完整的。
因为接收者是使用公钥解出的数据,如果数据完整,证明发送数据的人持有私钥,就能证明发送者的身份,因此数字签名具有证明发送者身份和防篡改的功能。

数字证书

由CA颁发给网站的身份证书,里面包含了该网站的公钥,有效时间,网站的地址,CA的数字签名等。

所谓的CA数字签名,实际上就是使用了CA的私钥将网站的公钥等信息进行了签名,当客户端请求服务器的时候,网站会把证书发给客户端,客户端首先可以通过CA的数字签名校验CA的身份,也能证明证书的真实完整性(之前说了,数字签名拥有证明身份和防篡改的功能)。

客户端有没有可能到一个假冒的CA去校验数字证书呢?不太可能,因为CA的地址是内嵌在浏览器中的,很难被篡改。

SSL如何保护数据

SSL保护数据的原理可以分为三部分
1)认证用户和服务器,确保数据发送到正确的客户端和服务器;
2)加密数据以防止数据中途被窃取;
3)维护数据的完整性,确保数据在传输过程中不被改变。

认证用户和服务器

现在来思考这样的一个问题,当我们访问百度的时候,我们怎么知道自己访问的是真百度还是假百度?是不是有可能有人劫持了我们访问百度的请求,然后路由给了一台他伪造的服务器?

为了确定我们访问的服务器没有被伪造,在SSL的通信流程中做了这样一个规定:一旦我们向服务器发送了请求后,服务器必须返回它的数字证书,当我们拿到数字证书之后,我们可以根据里面的ca数字签名,校验证书的合法性(不是被伪造的)。

此时,我们只能够证明证书确实是属于百度的,但不代表发送给我们证书的服务器就是百度,怎么办呢?

在证书里面会带有百度服务器的公钥,在之后的通信当中,客户端会使用该公钥加密数据给百度服务器,百度服务器必须使用私钥才能够解出里面的数据,假设百度服务器是假冒的,他一定没有正确的私钥,那么之后的通信都无法进行,所以假冒服务器是无法操作的。

由此,SSL就解决了服务器认证的问题。

加密数据以防止数据中途被窃取

客户端第一次给服务器发送请求的时候(拿到证书前的一次),会在请求里面放一个随机数C1,服务器在返回证书的响应里也会带一个随机数F,客户端拿到证书后,会使用公钥加密一个随机数C2送给服务器,这样客户端、服务器都拥有了三个随机数:C1、F、C2,双方使用这些随机数和一个相同的算法生成一个对称密钥,之后所有的通信都使用这个对称密钥来进行。

这个密钥会不会被泄露呢?不会,因为密钥是由3个随机数产生的,对于第一个随机数C1,他可能会被中间人监听到,然后第二个随机数F,也可能会被中间人监听到,但是第三个随机数C2,因为是用公钥加密的,除非中间人有私钥,否则是不可能解出来的。

为什么要生成一个对称密钥来进行数据通信呢?因为非对称加密在解密的时候相当耗费性能,换成对称密钥后,会好很多。

维护数据的完整性

这个主要是针对服务器发送数字证书这一过程来说的,服务器的数字证书中含有ca数字签名,可以很有效的保证证书的真实性和完整性(没有被篡改)

openssl是什么

回过头来,我们来了解一下openssl,上面的SSL只是一个协议,openssl则是SSL的实现版,另外openssl还包含了公钥私钥的生成、摘要生成等各种工具。

openssl有什么使用场景

​ 我们知道,有些时候我们浏览网站的时候会有一些广告,这些广告什么的不一定是原网站挂上去的,也有可能是中间的运营商在中间篡改了内容导致的,可以使用https技术(一般是基于openssl)来对数据进行加密,保证数据不被篡改。

赞(0) 打赏
未经允许不得转载:刘鹏博客 » Ubuntu:拒绝连接
分享到: 更多 (0)

评论 抢沙发

评论前必须登录!

 

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏