Dropbear SSH 完全指南 / 01 - Dropbear 概述

第一章：Dropbear 概述

1.1 SSH 协议简史

SSH（Secure Shell）协议诞生于 1995 年，由芬兰开发者 Tatu Ylönen 创建，最初的目的是替代 Telnet、rlogin、rsh 等明文远程登录协议，为网络通信提供加密保护。

SSH 协议版本演进

SSH-2 协议栈

┌─────────────────────────────────────┐
│          应用层 (Session)            │  ← Shell、文件传输、端口转发
├─────────────────────────────────────┤
│        认证层 (Authentication)       │  ← 密码、公钥、证书
├─────────────────────────────────────┤
│        连接层 (Connection)           │  ← 通道复用、会话管理
├─────────────────────────────────────┤
│        传输层 (Transport)            │  ← 加密、完整性、密钥交换
├─────────────────────────────────────┤
│            TCP/IP                    │
└─────────────────────────────────────┘

SSH-2 协议的核心优势：

• 加密传输: 所有数据通过对称加密（AES、ChaCha20 等）传输
• 完整性校验: HMAC 确保数据未被篡改
• 身份验证: 支持多种认证机制
• 通道复用: 单个 TCP 连接上承载多个逻辑通道

1.2 Dropbear 是什么

Dropbear 是 Matt Johnston 于 2003 年开始开发的 SSH-2 协议实现，专门为内存和存储资源受限的嵌入式系统设计。它包含两个核心组件：

辅助工具：

核心特性

• 极小体积: 静态编译后约 110-200 KB
• 低内存占用: 运行时内存占用约 1-2 MB
• 完整的 SSH-2 支持: 包括公钥认证、端口转发、SFTP 子系统
• 可选 libtomcrypt/libtommath: 也可使用系统 OpenSSL
• 活跃维护: 持续更新，跟进安全漏洞修复

技术架构

┌──────────────────────────────────────────┐
│              dropbear 进程                │
│  ┌──────────┐  ┌──────────┐  ┌────────┐ │
│  │ 传输层    │  │ 认证层    │  │ 会话层  │ │
│  │ (加密)   │  │ (验证)    │  │ (Shell) │ │
│  └────┬─────┘  └────┬─────┘  └───┬────┘ │
│       └──────────────┴────────────┘      │
│  ┌──────────────────────────────────┐    │
│  │     libtomcrypt / OpenSSL         │    │
│  └──────────────────────────────────┘    │
│  ┌──────────────────────────────────┐    │
│  │     libtommath / 系统数学库       │    │
│  └──────────────────────────────────┘    │
└──────────────────────────────────────────┘

1.3 Dropbear 与 OpenSSH 对比

这是开发者最常问的问题：什么时候该用 Dropbear，什么时候该用 OpenSSH？

全面对比表

选择决策树

你的设备是嵌入式/IoT 设备，内存 < 64MB？
├── 是 → 使用 Dropbear
│         ├── 需要完整 SFTP？ → 配合外部 sftp-server
│         └── 不需要 → Dropbear 自带 scp 即可
│
└── 否 → 需要 PAM/LDAP/Kerberos/证书认证？
          ├── 是 → 使用 OpenSSH
          └── 否 → 需要最小攻击面？
                    ├── 是 → 考虑 Dropbear
                    └── 否 → 使用 OpenSSH

为什么不直接用 OpenSSH 的轻量配置？

OpenSSH 确实可以通过裁剪来减小体积，但存在根本性差异：

1. 依赖链: OpenSSH 依赖 OpenSSL/libcrypto，仅此一个库就要数 MB
2. 编译复杂度: 裁剪 OpenSSH 需要深入理解其构建系统
3. 维护负担: 裁剪后的 OpenSSH 可能产生非预期行为
4. 设计目标不同: OpenSSH 为通用场景设计，Dropbear 为嵌入式设计

# 对比：典型 OpenSSH 安装大小
$ du -sh /usr/sbin/sshd /usr/bin/ssh /usr/lib/*/libcrypto.so*
1.2M    /usr/sbin/sshd
800K    /usr/bin/ssh
3.5M    /usr/lib/x86_64-linux-gnu/libcrypto.so.3

# 对比：Dropbear 静态编译大小
$ ls -lh dropbear dbclient dropbearkey
-rwxr-xr-x 1 root root 180K dropbear
-rwxr-xr-x 1 root root 140K dbclient
-rwxr-xr-x 1 root root  90K dropbearkey

1.4 嵌入式场景中的 SSH 需求

嵌入式系统对 SSH 有着独特的需求，这些需求直接影响了 Dropbear 的设计决策。

典型嵌入式平台资源对比

SSH 在嵌入式系统中的作用

┌─────────────────────────────────────────────┐
│               嵌入式设备                      │
│  ┌─────────┐  ┌─────────┐  ┌─────────────┐ │
│  │ 应用程序  │  │  Web UI  │  │  SSH 服务    │ │
│  └─────────┘  └─────────┘  └──────┬──────┘ │
│                                    │         │
│  ┌─────────────────────────────────┼──────┐ │
│  │              Linux 内核          │      │ │
│  └─────────────────────────────────┴──────┘ │
└──────────────────────────┬──────────────────┘
                           │
              ┌────────────┼────────────┐
              ▼            ▼            ▼
         远程管理      固件更新      调试诊断
        (CLI Shell)   (SCP/SFTP)   (端口转发)

为什么嵌入式设备必须使用 SSH

安全准则: 在任何生产环境中，远程管理必须通过加密通道进行。Telnet、HTTP 管理界面等明文协议绝不应暴露在网络上。

1. 安全合规: 行业法规（如 IEC 62443）要求加密远程访问
2. 固件更新: 安全地传输固件文件到设备
3. 远程调试: 通过端口转发安全访问设备内部服务
4. 批量管理: 管理成千上万台设备的 SSH 访问
5. 应急响应: 设备异常时快速安全接入

1.5 Dropbear 的适用场景

场景一：OpenWrt 路由器

OpenWrt 是 Dropbear 最知名的使用者。几乎所有 OpenWrt 固件默认使用 Dropbear 作为 SSH 服务器：

# OpenWrt 上的 Dropbear 状态
root@OpenWrt:~# pgrep -a dropbear
1234 /usr/sbin/dropbear -F -P /var/run/dropbear.1.pid -p 22 -K 300

# 查看版本
root@OpenWrt:~# dropbear -V
dropbear_2022.83

# 内存占用
root@OpenWrt:~# cat /proc/$(pgrep dropbear)/status | grep VmRSS
VmRSS:      1248 kB

场景二：Docker 容器管理

在某些场景下（特别是 CI/CD 环境或旧式部署），需要在 Docker 容器中提供 SSH 访问：

# 极简 Docker SSH 镜像
FROM alpine:3.19
RUN apk add --no-cache dropbear && \
    mkdir -p /etc/dropbear /var/run/dropbear
EXPOSE 22
CMD ["dropbear", "-F", "-E", "-R"]

场景三：嵌入式 Linux 构建系统

在 Yocto / Buildroot 等构建系统中集成 Dropbear：

# Buildroot 配置
BR2_PACKAGE_DROPBEAR=y
BR2_PACKAGE_DROPBEAR_CLIENT=y
BR2_PACKAGE_DROPBEAR_LOCALOPTIONS_FILE="board/custom/dropbear_options.h"

场景四：IoT 设备远程管理

# 资源受限的 IoT 设备上运行 Dropbear
# /etc/init.d/S50dropbear
#!/bin/sh
case "$1" in
    start)
        /usr/sbin/dropbear -R -B -p 22 -w -s
        ;;
    stop)
        kill $(cat /var/run/dropbear.pid)
        ;;
esac

场景五：嵌入式设备故障恢复

当主 SSH 服务（如 OpenSSH）崩溃或配置错误时，Dropbear 可以作为轻量级恢复方案：

# 紧急启动 Dropbear 进行故障恢复
# 从 initramfs 或单用户模式启动
/sbin/dropbear -R -F -p 2222 -B &

1.6 Dropbear 的局限性

虽然 Dropbear 在其适用场景中表现出色，但也存在明确的局限性：

功能缺失清单

安全考量

┌────────────────────────────────────────────┐
│           安全特性对比                       │
├─────────────────┬──────────┬───────────────┤
│     特性         │ Dropbear │   OpenSSH     │
├─────────────────┼──────────┼───────────────┤
│ 审计日志         │   基础    │    完善        │
│ 登录限制         │   基础    │    完善        │
│ 失败延迟         │   有      │    有+可配置   │
│ 密码复杂度检查   │   无      │    通过 PAM    │
│ 会话超时         │   有      │    有+可配置   │
│ IP 白名单       │   无      │    Match 块    │
│ 速率限制         │   无      │    Match+Max   │
└─────────────────┴──────────┴───────────────┘

安全建议: 如果你的设备需要满足 PCI DSS、HIPAA 等合规要求，建议评估 Dropbear 是否满足审计和访问控制需求。对于高安全环境，OpenSSH 通常是更稳妥的选择。

1.7 许可与社区

• 许可证: MIT 许可证，对商业使用非常友好
• 维护者: Matt Johnston（matt@ucc.asn.au）
• 源码仓库: https://github.com/mkj/dropbear
• 发布周期: 不定期发布，通常每年 1-3 个版本
• 安全公告: 通过 GitHub Security Advisories 发布

1.8 本章小结

扩展阅读

• Dropbear 官方网站
• Dropbear GitHub 仓库
• SSH-2 协议规范 (RFC 4251)
• OpenSSH 官方文档
• OpenWrt Dropbear 文档
• Buildroot Dropbear 包

下一章：安装与编译 →