亚洲国产中文字幕,九九国产,九九香蕉视频

SSH的英文全稱是Secure SHell。通過使用SSH，你可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，這樣"中間人"這種攻擊方式就不可能實(shí)現(xiàn)了，而且也能夠防止DNS和IP欺騙。還有一個額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的，所以可以加快傳輸?shù)乃俣取SH有很多功能，它既可以代替telnet，又可以為ftp、pop、甚至ppp提供一個安全的"通道"。

統(tǒng)的網(wǎng)絡(luò)服務(wù)程序，如：ftp、pop和telnet在本質(zhì)上都是不安全的，因?yàn)樗鼈冊诰W(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)，別有用心的人非常容易就可以截獲這些口令和數(shù)據(jù)。而且，這些服務(wù)程序的安全驗(yàn)證方式也是有其弱點(diǎn)的，就是很容易受到"中間人"(man-in-the-middle)這種方式的攻擊。所謂"中間人"的攻擊方式，就是"中間人"冒充真正的服務(wù)器接收你的傳給服務(wù)器的數(shù)據(jù)，然后再冒充你把數(shù)據(jù)傳給真正的服務(wù)器。服務(wù)器和你之間的數(shù)據(jù)傳送被 "中間人"一轉(zhuǎn)手做了手腳之后，就會出現(xiàn)很嚴(yán)重的問題。

最初SSH是由芬蘭的一家公司開發(fā)的。但是因?yàn)槭馨鏅?quán)和加密算法的限制，現(xiàn)在很多人都轉(zhuǎn)而使用OpenSSH。OpenSSH是SSH的替代軟件，而且是免費(fèi)的，可以預(yù)計將來會有越來越多的人使用它而不是SSH。

SSH是由客戶端和服務(wù)端的軟件組成的，有兩個不兼容的版本分別是：1.x和2.x。用SSH 2.x的客戶程序是不能連接到SSH 1.x的服務(wù)程序上去的。OpenSSH 2.x同時支持SSH 1.x和2.x。

SSH的安全驗(yàn)證是如何工作的

從客戶端來看，SSH提供兩種級別的安全驗(yàn)證。

第一種級別(基于口令的安全驗(yàn)證)只要你知道自己帳號和口令，就可以登錄到遠(yuǎn)程主機(jī)。所有傳輸?shù)臄?shù)據(jù)都會被加密，但是不能保證你正在連接的服務(wù)器就是你想連接的服務(wù)器。可能會有別的服務(wù)器在冒充真正的服務(wù)器，也就是受到"中間人"這種方式的攻擊。

第二種級別(基于密匙的安全驗(yàn)證)需要依靠密匙，也就是你必須為自己創(chuàng)建一對密匙，并把公用密匙放在需要訪問的服務(wù)器上。如果你要連接到SSH服務(wù)器上，客戶端軟件就會向服務(wù)器發(fā)出請求，請求用你的密匙進(jìn)行安全驗(yàn)證。服務(wù)器收到請求之后，先在你在該服務(wù)器的家目錄下尋找你的公用密匙，然后把它和你發(fā)送過來的公用密匙進(jìn)行比較。如果兩個密匙一致，服務(wù)器就用公用密匙加密"質(zhì)詢"(challenge)并把它發(fā)送給客戶端軟件。客戶端軟件收到"質(zhì)詢"之后就可以用你的私人密匙解密再把它發(fā)送給服務(wù)器。

用這種方式，你必須知道自己密匙的口令。但是，與第一種級別相比，第二種級別不需要在網(wǎng)絡(luò)上傳送口令。

第二種級別不僅加密所有傳送的數(shù)據(jù)，而且"中間人"這種攻擊方式也是不可能的(因?yàn)樗麤]有你的私人密匙)。但是整個登錄的過程可能需要10秒。

安裝并測試OpenSSH

因?yàn)槭艿矫绹傻南拗疲诤芏郘inux的發(fā)行版中都沒有包括OpenSSH。但是，可以從網(wǎng)絡(luò)上下載并安裝OpenSSH(有關(guān)OpenSSH的安裝和配置請參考：http://www.linuxaid.com.cn/engineer/brimmer/html/OpenSSH.htm)。

安裝完OpenSSH之后，用下面命令測試一下：

ssh -l [your accountname on the remote host] [address of the remote host]

如果OpenSSH工作正常，你會看到下面的提示信息：

The authenticity of host [hostname] can't be established.

Key fingerprint is 1024 5f:a0:0b:65:d3:82:df:ab:44:62:6d:98:9c:fe:e9:52.

Are you sure you want to continue connecting (yes/no)?

OpenSSH告訴你它不知道這臺主機(jī)，但是你不用擔(dān)心這個問題，因?yàn)槟闶堑谝淮蔚卿涍@臺主機(jī)。鍵入"yes"。這將把這臺主機(jī)的"識別標(biāo)記"加到"~/.ssh/know_hosts"文件中。第二次訪問這臺主機(jī)的時候就不會再顯示這條提示信息了。

然后，SSH提示你輸入遠(yuǎn)程主機(jī)上你的帳號的口令。輸入完口令之后，就建立了SSH連接，這之后就可以象使用telnet那樣使用SSH了。

SSH的密匙

生成你自己的密匙對

生成并分發(fā)你自己的密匙有兩個好處：

1) 可以防止"中間人"這種攻擊方式

2) 可以只用一個口令就登錄到所有你想登錄的服務(wù)器上

用下面的命令可以生成密匙：

ssh-keygen

如果遠(yuǎn)程主機(jī)使用的是SSH 2.x就要用這個命令：

ssh-keygen -d

在同一臺主機(jī)上同時有SSH1和SSH2的密匙是沒有問題的，因?yàn)槊艹资谴娉刹煌奈募摹?/p>

ssh-keygen命令運(yùn)行之后會顯示下面的信息：

Generating RSA keys: ............................ooooooO......ooooooO

Key generation complete.

Enter file in which to save the key (/home/[user]/.ssh/identity):

[按下ENTER就行了]

Created directory '/home/[user]/.ssh'.

Enter passphrase (empty for no passphrase):

[輸入的口令不會顯示在屏幕上]

Enter same passphrase again:

[重新輸入一遍口令，如果忘記了口令就只能重新生成一次密匙了]

Your identification has been saved in /home/[user]/.ssh/identity.

[這是你的私人密匙]

Your public key has been saved in /home/[user]/.ssh/identity.pub.

The key fingerprint is: 2a:dc:71:2f:27:84:a2:e4:a1:1e:a9:63:e2:fa:a5:89 [user]@[local machine]

"ssh-keygen -d"做的是幾乎同樣的事，但是把一對密匙存為(默認(rèn)情況下)"/home/[user]/.ssh/id_dsa"(私人密匙)和"/home/[user]/.ssh/id_dsa.pub"(公用密匙)。

現(xiàn)在你有一對密匙了：公用密匙要分發(fā)到所有你想用ssh登錄的遠(yuǎn)程主機(jī)上去;私人密匙要好好地保管防止別人知道你的私人密匙。用"ls -l ~/.ssh/identity"或"ls -l ~/.ssh/id_dsa"所顯示的文件的訪問權(quán)限必須是"-rw-------"。

如果你懷疑自己的密匙已經(jīng)被別人知道了，不要遲疑馬上生成一對新的密匙。當(dāng)然，你還要重新分發(fā)一次公用密匙。

分發(fā)公用密匙

在每一個你需要用SSH連接的遠(yuǎn)程服務(wù)器上，你要在自己的家目錄下創(chuàng)建一個".ssh"的子目錄，把你的公用密匙"identity.pub" 拷貝到這個目錄下并把它重命名為"authorized_keys"。然后執(zhí)行：

chmod 644 .ssh/authorized_keys

這一步是必不可少的。如果除了你之外別人對"authorized_keys"文件也有寫的權(quán)限，SSH就不會工作。

如果你想從不同的計算機(jī)登錄到遠(yuǎn)程主機(jī)，"authorized_keys"文件也可以有多個公用密匙。在這種情況下，必須在新的計算機(jī)上重新生成一對密匙，然后把生成的"identify.pub"文件拷貝并粘貼到遠(yuǎn)程主機(jī)的"authorized_keys"文件里。當(dāng)然在新的計算機(jī)上你必須有一個帳號，而且密匙是用口令保護(hù)的。有一點(diǎn)很重要，就是當(dāng)你取消了這個帳號之后，別忘了把這一對密匙刪掉。

配置SSH

配置客戶端的軟件

OpenSSH 有三種配置方式：命令行參數(shù)、用戶配置文件和系統(tǒng)級的配置文件("/etc/ssh/ssh_config")。命令行參數(shù)優(yōu)先于配置文件，用戶配置文件優(yōu)先于系統(tǒng)配置文件。所有的命令行的參數(shù)都能在配置文件中設(shè)置。因?yàn)樵诎惭b的時候沒有默認(rèn)的用戶配置文件，所以要把 "/etc/ssh/ssh_config"拷貝并重新命名為"~/.ssh/config"。

標(biāo)準(zhǔn)的配置文件大概是這樣的：

[lots of explanations and possible options listed]

# Be paranoid by default

Host *

ForwardAgent no

ForwardX11 no

FallBackToRsh no

還有很多選項的設(shè)置可以用"man ssh"查看"CONFIGURATION FILES"這一章。

配置文件是按順序讀取的。先設(shè)置的選項先生效。

假定你在www.foobar.com上有一個名為"bilbo"的帳號。而且你要把"ssh-agent"和"ssh-add"結(jié)合起來使用并且使用數(shù)據(jù)壓縮來加快傳輸速度。因?yàn)橹鳈C(jī)名太長了，你懶得輸入這么長的名字，用"fbc"作為"www.foobar.com"的簡稱。你的配置文件可以是這樣的：

Host *fbc

HostNamewww.foobar.com

User bilbo

ForwardAgent yes

Compression yes

# Be paranoid by default

Host *

ForwardAgent no

ForwardX11 no

FallBackToRsh no

你輸入"ssh fbc"之后，SSH會自動地從配置文件中找到主機(jī)的全名，用你的用戶名登錄并且用"ssh-agent"管理的密匙進(jìn)行安全驗(yàn)證。這樣很方便吧!

用SSH連接到其它遠(yuǎn)程計算機(jī)用的還是"paranoid(偏執(zhí))"默認(rèn)設(shè)置。如果有些選項沒有在配置文件或命令行中設(shè)置，那么還是使用默認(rèn)的"paranoid"設(shè)置。

在我們上面舉的那個例子中，對于到www.foobar.com的SSH連接："ForwardAgent"和"Compression"被設(shè)置為 "Yes";其它的設(shè)置選項(如果沒有用命令行參數(shù))"ForwardX11"和"FallBackToRsh"都被設(shè)置成"No"。

其它還有一些需要仔細(xì)看一看的設(shè)置選項是：

l CheckHostIP yes

這個選項用來進(jìn)行IP地址的檢查以防止DNS欺騙。

l CompressionLevel

壓縮的級別從"1"(最快)到"9"(壓縮率最高)。默認(rèn)值為"6"。

l ForwardX11 yes

為了在本地運(yùn)行遠(yuǎn)程的X程序必須設(shè)置這個選項。

l LogLevel DEBUG

當(dāng)SSH出現(xiàn)問題的時候，這選項就很有用了。默認(rèn)值為"INFO"。

配置服務(wù)端的軟件

SSH服務(wù)器的配置使用的是"/etc/ssh/sshd_config"配置文件，這些選項的設(shè)置在配置文件中已經(jīng)有了一些說明而且用"man sshd"也可以查看幫助。請注意OpenSSH對于SSH 1.x和2.x沒有不同的配置文件。

在默認(rèn)的設(shè)置選項中需要注意的有：

l PermitRootLogin yes

最好把這個選項設(shè)置成"PermitRootLogin without-password"，這樣"root"用戶就不能從沒有密匙的計算機(jī)上登錄。把這個選項設(shè)置成"no"將禁止"root"用戶登錄，只能用"su"命令從普通用戶轉(zhuǎn)成"root"。

l X11Forwarding no

把這個選項設(shè)置成"yes"允許用戶運(yùn)行遠(yuǎn)程主機(jī)上的X程序。就算禁止這個選項也不能提高服務(wù)器的安全因?yàn)橛脩艨梢园惭b他們自己的轉(zhuǎn)發(fā)器(forwarder)，請參看"man sshd"。

l PasswordAuthentication yes

把這個選項設(shè)置為"no"只允許用戶用基于密匙的方式登錄。這當(dāng)然會給那些經(jīng)常需要從不同主機(jī)登錄的用戶帶來麻煩，但是這能夠在很大程度上提高系統(tǒng)的安全性。基于口令的登錄方式有很大的弱點(diǎn)。

l # Subsystem /usr/local/sbin/sftpd

把最前面的#號去掉并且把路徑名設(shè)置成"/usr/bin/sftpserv"，用戶就能使用"sftp"(安全的FTP)了(sftpserv在sftp 軟件包中)。因?yàn)楹芏嘤脩魧TP比較熟悉而且"scp"用起來也有一些麻煩，所以"sftp"還是很有用的。而且2.0.7版本以后的圖形化的ftp工具"gftp"也支持"sftp"。

拷貝文件

用"scp"拷貝文件

SSH提供了一些命令和shell用來登錄遠(yuǎn)程服務(wù)器。在默認(rèn)情況下它不允許你拷貝文件，但是還是提供了一個"scp"命令。

假定你想把本地計算機(jī)當(dāng)前目錄下的一個名為"dumb"的文件拷貝到遠(yuǎn)程服務(wù)器www.foobar.com上你的家目錄下。而且你在遠(yuǎn)程服務(wù)器上的帳號名為"bilbo"。可以用這個命令：

scp dumbbilbo@www.foobar.com:.

把文件拷貝回來用這個命令：

scpbilbo@www.foobar.com:dumb.

"scp"調(diào)用SSH進(jìn)行登錄，然后拷貝文件，最后調(diào)用SSH關(guān)閉這個連接。

如果在你的"~/.ssh/config"文件中已經(jīng)為www.foobar.com做了這樣的配置：

Host *fbc

HostNamewww.foobar.com

User bilbo

ForwardAgent yes

那么你就可以用"fbc"來代替"bilbo@www.foobar.com"，命令就簡化為"scp dumb fbc:."。

"scp"假定你在遠(yuǎn)程主機(jī)上的家目錄為你的工作目錄。如果你使用相對目錄就要相對于家目錄。

用"scp"命令的"-r"參數(shù)允許遞歸地拷貝目錄。"scp"也可以在兩個不同的遠(yuǎn)程主機(jī)之間拷貝文件。

有時候你可能會試圖作這樣的事：用SSH登錄到www.foobar.com上之后，輸入命令"scp [local machine]:dumb ."想用它把本地的"dumb"文件拷貝到你當(dāng)前登錄的遠(yuǎn)程服務(wù)器上。這時候你會看到下面的出錯信息：

ssh: secure connection to [local machine] refused

之所以會出現(xiàn)這樣的出錯信息是因?yàn)槟氵\(yùn)行的是遠(yuǎn)程的"scp"命令，它試圖登錄到在你本地計算機(jī)上運(yùn)行的SSH服務(wù)程序……所以最好在本地運(yùn)行"scp"除非你的本地計算機(jī)也運(yùn)行SSH服務(wù)程序。

用"sftp"拷貝文件

如果你習(xí)慣使用ftp的方式拷貝文件，可以試著用"sftp"。"sftp"建立用SSH加密的安全的FTP連接通道，允許使用標(biāo)準(zhǔn)的ftp命令。還有一個好處就是"sftp"允許你通過"exec"命令運(yùn)行遠(yuǎn)程的程序。從2.0.7版以后，圖形化的ftp客戶軟件"gftp"就支持"sftp"。

如果遠(yuǎn)程的服務(wù)器沒有安裝sftp服務(wù)器軟件"sftpserv"，可以把"sftpserv"的可執(zhí)行文件拷貝到你的遠(yuǎn)程的家目錄中(或者在遠(yuǎn)程計算機(jī)的 $PATH環(huán)境變量中設(shè)置的路徑)。"sftp"會自動激活這個服務(wù)軟件，你沒有必要在遠(yuǎn)程服務(wù)器上有什么特殊的權(quán)限。

用"rsync"拷貝文件

"rsync" 是用來拷貝、更新和移動遠(yuǎn)程和本地文件的一個有用的工具，很容易就可以用"-e ssh"參數(shù)和SSH結(jié)合起來使用。"rsync"的一個優(yōu)點(diǎn)就是，不會拷貝全部的文件，只會拷貝本地目錄和遠(yuǎn)程目錄中有區(qū)別的文件。而且它還使用很高效的壓縮算法，這樣拷貝的速度就很快。

用"加密通道"的ftp拷貝文件

如果你堅持要用傳統(tǒng)的FTP客戶軟件。SSH可以為幾乎所有的協(xié)議提供"安全通道"。FTP是一個有一點(diǎn)奇怪的協(xié)議(例如需要兩個端口)而且不同的服務(wù)程序和服務(wù)程序之間、客戶程序和客戶程序之間還有一些差別。

實(shí)現(xiàn)"加密通道"的方法是使用"端口轉(zhuǎn)發(fā)"。你可以把一個沒有用到的本地端口(通常大于1000)設(shè)置成轉(zhuǎn)發(fā)到一個遠(yuǎn)程服務(wù)器上，然后只要連接本地計算機(jī)上的這個端口就行了。有一點(diǎn)復(fù)雜是嗎?

其實(shí)一個基本的想法就是，轉(zhuǎn)發(fā)一個端口，讓SSH在后臺運(yùn)行，用下面的命令：

ssh [user@remote host] -f -L 1234:[remote host]:21 tail -f /etc/motd

接著運(yùn)行FTP客戶，把它設(shè)置到指定的端口：

lftp -u [username] -p 1234 localhost

當(dāng)然，用這種方法很麻煩而且很容易出錯。所以最好使用前三種方法。

用SSH設(shè)置"加密通道"

"加密通道"的基礎(chǔ)知識

SSH 的"加密通道"是通過"端口轉(zhuǎn)發(fā)"來實(shí)現(xiàn)的。你可以在本地端口(沒有用到的)和在遠(yuǎn)程服務(wù)器上運(yùn)行的某個服務(wù)的端口之間建立"加密通道"。然后只要連接到本地端口。所有對本地端口的請求都被SSH加密并且轉(zhuǎn)發(fā)到遠(yuǎn)程服務(wù)器的端口。當(dāng)然只有遠(yuǎn)程服務(wù)器上運(yùn)行SSH服務(wù)器軟件的時候"加密通道"才能工作。可以用下面命令檢查一些遠(yuǎn)程服務(wù)器是否運(yùn)行SSH服務(wù)：

telnet [full name of remote host] 22

如果收到這樣的出錯信息：

telnet: Unable to connect to remote host: Connection refused

就說明遠(yuǎn)程服務(wù)器上沒有運(yùn)行SSH服務(wù)軟件。

端口轉(zhuǎn)發(fā)使用這樣的命令語法：

ssh -f [username@remote host] -L [local port]:[full name of remote host]:[remote port] [some command]

你不僅可以轉(zhuǎn)發(fā)多個端口而且可以在"~/.ssh/config"文件中用"LocalForward"設(shè)置經(jīng)常使用的一些轉(zhuǎn)發(fā)端口。

為POP加上"加密通道"

你可以用POP協(xié)議從服務(wù)器上取email。為POP加上"加密通道"可以防止POP的密碼被網(wǎng)絡(luò)監(jiān)聽器(sniffer)監(jiān)聽到。還有一個好處就是SSH的壓縮方式可以讓郵件傳輸?shù)酶臁?/p>

假定你在pop.foobar.com上有一個POP帳號，你的用戶名是"bilbo"你的POP口令是"topsecret"。用來建立SSH"加密通道"的命令是：

ssh -f -Cbilbo@pop.foobar.com-L 1234:pop.foobar.com:110 sleep 5

(如果要測試，可以把"sleep"的值加到500)。運(yùn)行這個命令之后會提示你輸入POP口令：

bilbo@pop.foobar.com'spassword:

輸入口令之后就可以用"telnet"連接到本地的轉(zhuǎn)發(fā)端口了。

telnet localhost 1234

你會收到遠(yuǎn)程mail服務(wù)器的"READY"消息。

當(dāng)然，這個方法要求你手工輸入所有的POP命令，這是很不方便的。可以用Fetchmail(參考how to configure Fetchmail)。Secure POP via SSH mini-HOWTO、man fetchmail和在"/usr/doc/fetchmail-[…]"目錄下的Fetchmail的FAQ都提供了一些具體的例子。

請注意IMAP協(xié)議使用的是不同的端口：IMAP v2的端口號為143而IMAP v3的端口號為220。

為X加上"加密通道"

如果你打算在本地計算機(jī)上運(yùn)行遠(yuǎn)程SSH服務(wù)器上的X程序，那么登錄到遠(yuǎn)程的計算機(jī)上，創(chuàng)建一個名為"~/.ssh/environment"的文件并加上這一行：

XAUTHORITY=/home/[remote user name]/.Xauthority

(如果在遠(yuǎn)程主機(jī)上你的家目錄下不存在".Xauthority"這個文件，那么當(dāng)用SSH登錄的時候就會自動創(chuàng)建)。

比如啟動一個X程序(xterm)可以這個命令：

ssh -f -X -l [remote user name] [remote machine] xterm

這將在遠(yuǎn)程運(yùn)行xterm這個程序。其它的X程序也是用相同的方法。

為linuxconf加上"加密通道"

Linuxconf(http://www.solucorp.qc.ca/linuxconf/)是Linux的配置工具，它支持遠(yuǎn)程管理。Linuxconf的FAQ重說明了如何通過SSH使用linuxconf：

其命令為：

remadmin --exec [link_command] linuxconf --guiproto