主題:openssh配置說(shuō)明
相關(guān)文件:
openssh-clients-2.9p2-7.rpm
openssh-2.9p-7.rpm
openssh-server-2.9p2-7
內(nèi)容:
SSH的英文全稱是Secure SHell。通過(guò)使用SSH,你可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密,這樣"中間人"這種攻擊方式就不可能實(shí)現(xiàn)了,而且也能夠防止DNS和IP欺騙。還有一個(gè)額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過(guò)壓縮的,所以可以加快傳輸?shù)乃俣取SH有很多功能,它既可以代替telnet,又可以為ftp、pop、甚至ppp提供一個(gè)安全的"通道"。
1.什么是SSH?
傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序,如:ftp、pop和telnet在本質(zhì)上都是不安全的,因?yàn)樗鼈冊(cè)诰W(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù),別有用心的人非常容易就可以截獲這些口令和數(shù)據(jù)。而且,這些服務(wù)程序的安全驗(yàn)證方式也是有其弱點(diǎn)的,就是很容易受到"中間人"(man-in-the-middle)這種方式的攻擊。所謂"中間人"的攻擊方式,就是"中間人"冒充真正的服務(wù)器接收你的傳給服務(wù)器的數(shù)據(jù),然后再冒充你把數(shù)據(jù)傳給真正的服務(wù)器。服務(wù)器和你之間的數(shù)據(jù)傳送被"中間人"一轉(zhuǎn)手做了手腳之后,就會(huì)出現(xiàn)很?chē)?yán)重的問(wèn)題。
SSH的英文全稱是Secure SHell。通過(guò)使用SSH,你可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密,這樣"中間人"這種攻擊方式就不可能實(shí)現(xiàn)了,而且也能夠防止DNS和IP欺騙。還有一個(gè)額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過(guò)壓縮的,所以可以加快傳輸?shù)乃俣取SH有很多功能,它既可以代替telnet,又可以為ftp、pop、甚至ppp提供一個(gè)安全的"通道"。
最初SSH是由芬蘭的一家公司開(kāi)發(fā)的。但是因?yàn)槭馨鏅?quán)和加密算法的限制,現(xiàn)在很多人都轉(zhuǎn)而使用OpenSSH。OpenSSH是SSH的替代軟件,而且是免費(fèi)的,可以預(yù)計(jì)將來(lái)會(huì)有越來(lái)越多的人使用它而不是SSH。
SSH是由客戶端和服務(wù)端的軟件組成的,有兩個(gè)不兼容的版本分別是:1.x和2.x。用SSH 2.x的客戶程序是不能連接到SSH 1.x的服務(wù)程序上去的。OpenSSH 2.x同時(shí)支持SSH 1.x和2.x。
2.SSH的安全驗(yàn)證是如何工作的
從客戶端來(lái)看,SSH提供兩種級(jí)別的安全驗(yàn)證。
第一種級(jí)別(基于口令的安全驗(yàn)證)只要你知道自己帳號(hào)和口令,就可以登錄到遠(yuǎn)程主機(jī)。所有傳輸?shù)臄?shù)據(jù)都會(huì)被加密,但是不能保證你正在連接的服務(wù)器就是你想連接的服務(wù)器。可能會(huì)有別的服務(wù)器在冒充真正的服務(wù)器,也就是受到"中間人"這種方式的攻擊。
第二種級(jí)別(基于密匙的安全驗(yàn)證)需要依靠密匙,也就是你必須為自己創(chuàng)建一對(duì)密匙,并把公用密匙放在需要訪問(wèn)的服務(wù)器上。如果你要連接到SSH服務(wù)器上,客戶端軟件就會(huì)向服務(wù)器發(fā)出請(qǐng)求,請(qǐng)求用你的密匙進(jìn)行安全驗(yàn)證。服務(wù)器收到請(qǐng)求之后,先在你在該服務(wù)器的家目錄下尋找你的公用密匙,然后把它和你發(fā)送過(guò)來(lái)的公用密匙進(jìn)行比較。如果兩個(gè)密匙一致,服務(wù)器就用公用密匙加密"質(zhì)詢"(challenge)并把它發(fā)送給客戶端軟件。客戶端軟件收到"質(zhì)詢"之后就可以用你的私人密匙解密再把它發(fā)送給服務(wù)器。
用這種方式,你必須知道自己密匙的口令。但是,與第一種級(jí)別相比,第二種級(jí)別不需要在網(wǎng)絡(luò)上傳送口令。
第二種級(jí)別不僅加密所有傳送的數(shù)據(jù),而且"中間人"這種攻擊方式也是不可能的(因?yàn)樗麤](méi)有你的私人密匙)。但是整個(gè)登錄的過(guò)程可能需要10秒。
3.安裝并測(cè)試OpenSSH
因?yàn)槭艿矫绹?guó)法律的限制,在很多Linux的發(fā)行版中都沒(méi)有包括OpenSSH。但是,可以從網(wǎng)絡(luò)上下載并安裝OpenSSH
安裝完OpenSSH之后,用下面命令測(cè)試一下:
ssh -l [your accountname on the remote host] [address of the remote host]
如果OpenSSH工作正常,你會(huì)看到下面的提示信息:
The authenticity of host [hostname] can't be established.
Key fingerprint is 1024 5f:a0:0b:65:d3:82:df:ab:44:62:6d:98:9c:fe:e9:52.
Are you sure you want to continue connecting (yes/no)?
OpenSSH告訴你它不知道這臺(tái)主機(jī),但是你不用擔(dān)心這個(gè)問(wèn)題,因?yàn)槟闶堑谝淮蔚卿涍@臺(tái)主機(jī)。鍵入"yes"。這將把這臺(tái)主機(jī)的"識(shí)別標(biāo)記"加到"~/.ssh/know_hosts"文件中。第二次訪問(wèn)這臺(tái)主機(jī)的時(shí)候就不會(huì)再顯示這條提示信息了。
然后,SSH提示你輸入遠(yuǎn)程主機(jī)上你的帳號(hào)的口令。輸入完口令之后,就建立了SSH連接,這之后就可以象使用telnet那樣使用SSH了。
4.SSH的密匙
4.1 生成你自己的密匙對(duì)
生成并分發(fā)你自己的密匙有兩個(gè)好處:
可以防止"中間人"這種攻擊方式
可以只用一個(gè)口令就登錄到所有你想登錄的服務(wù)器上
用下面的命令可以生成密匙:
ssh-keygen如果遠(yuǎn)程主機(jī)使用的是SSH 2.x就要用這個(gè)命令:
ssh-keygen -d在同一臺(tái)主機(jī)上同時(shí)有SSH1和SSH2的密匙是沒(méi)有問(wèn)題的,因?yàn)槊艹资谴娉刹煌奈募摹?/p>
ssh-keygen命令運(yùn)行之后會(huì)顯示下面的信息:
Generating RSA keys: ............................ooooooO......ooooooO
Key generation complete.
Enter file in which to save the key (/home/[user]/.ssh/identity):
[按下ENTER就行了]
Created directory '/home/[user]/.ssh'.
Enter passphrase (empty for no passphrase):
[輸入的口令不會(huì)顯示在屏幕上]
Enter same passphrase again:
[重新輸入一遍口令,如果忘記了口令就只能重新生成一次密匙了]
Your identification has been saved in /home/[user]/.ssh/identity.
[這是你的私人密匙]
Your public key has been saved in /home/[user]/.ssh/identity.pub.
The key fingerprint is: 2a:dc:71:2f:27:84:a2:e4:a1:1e:a9:63:e2:fa:a5:89 [user]@[local machine]
"ssh-keygen -d"做的是幾乎同樣的事,但是把一對(duì)密匙存為(默認(rèn)情況下)"/home/[user]/.ssh/id_dsa"(私人密匙)和"/home/[user]/.ssh/id_dsa.pub"(公用密匙)。
現(xiàn)在你有一對(duì)密匙了:公用密匙要分發(fā)到所有你想用ssh登錄的遠(yuǎn)程主機(jī)上去;私人密匙要好好地保管防止別人知道你的私人密匙。用"ls -l ~/.ssh/identity"或"ls -l ~/.ssh/id_dsa"所顯示的文件的訪問(wèn)權(quán)限必須是"-rw-------"。
如果你懷疑自己的密匙已經(jīng)被別人知道了,不要遲疑馬上生成一對(duì)新的密匙。當(dāng)然,你還要重新分發(fā)一次公用密匙。
4.2 分發(fā)公用密匙
在每一個(gè)你需要用SSH連接的遠(yuǎn)程服務(wù)器上,你要在自己的家目錄下創(chuàng)建一個(gè)".ssh"的子目錄,把你的公用密匙"identity.pub" 拷貝到這個(gè)目錄下并把它重命名為"authorized_keys"。然后執(zhí)行:
chmod 644 .ssh/authorized_keys
這一步是必不可少的。如果除了你之外別人對(duì)"authorized_keys"文件也有寫(xiě)的權(quán)限,SSH就不會(huì)工作。
如果你想從不同的計(jì)算機(jī)登錄到遠(yuǎn)程主機(jī),"authorized_keys"文件也可以有多個(gè)公用密匙。在這種情況下,必須在新的計(jì)算機(jī)上重新生成一對(duì)密匙,然后把生成的"identify.pub"文件拷貝并粘貼到遠(yuǎn)程主機(jī)的"authorized_keys"文件里。當(dāng)然在新的計(jì)算機(jī)上你必須有一個(gè)帳號(hào),而且密匙是用口令保護(hù)的。有一點(diǎn)很重要,就是當(dāng)你取消了這個(gè)帳號(hào)之后,別忘了把這一對(duì)密匙刪掉。
5.配置SSH
5.1 配置客戶端的軟件
OpenSSH有三種配置方式:命令行參數(shù)、用戶配置文件和系統(tǒng)級(jí)的配置文件("/etc/ssh/ssh_config")。命令行參數(shù)優(yōu)先于配置文件,用戶配置文件優(yōu)先于系統(tǒng)配置文件。所有的命令行的參數(shù)都能在配置文件中設(shè)置。因?yàn)樵诎惭b的時(shí)候沒(méi)有默認(rèn)的用戶配置文件,所以要把"/etc/ssh/ssh_config"拷貝并重新命名為"~/.ssh/config"。
標(biāo)準(zhǔn)的配置文件大概是這樣的:
[lots of explanations and possible options listed]
# Be paranoid by default
Host *
ForwardAgent no
ForwardX11 no
FallBackToRsh no
還有很多選項(xiàng)的設(shè)置可以用"man ssh"查看"CONFIGURATION FILES"這一章。
配置文件是按順序讀取的。先設(shè)置的選項(xiàng)先生效。
假定你在Host *fbc
HostName www.foobar.com
User bilbo
ForwardAgent yes
Compression yes
# Be paranoid by default
Host *
ForwardAgent no
ForwardX11 no
FallBackToRsh no
你輸入"ssh fbc"之后,SSH會(huì)自動(dòng)地從配置文件中找到主機(jī)的全名,用你的用戶名登錄并且用"ssh-agent"管理的密匙進(jìn)行安全驗(yàn)證。這樣很方便吧!
用SSH連接到其它遠(yuǎn)程計(jì)算機(jī)用的還是"paranoid(偏執(zhí))"默認(rèn)設(shè)置。如果有些選項(xiàng)沒(méi)有在配置文件或命令行中設(shè)置,那么還是使用默認(rèn)的"paranoid"設(shè)置。
在我們上面舉的那個(gè)例子中,對(duì)于到其它還有一些需要仔細(xì)看一看的設(shè)置選項(xiàng)是:
CheckHostIP yes 這個(gè)選項(xiàng)用來(lái)進(jìn)行IP地址的檢查以防止DNS欺騙。
CompressionLevel 壓縮的級(jí)別從"1"(最快)到"9"(壓縮率最高)。默認(rèn)值為"6"。
ForwardX11 yes 為了在本地運(yùn)行遠(yuǎn)程的X程序必須設(shè)置這個(gè)選項(xiàng)。
LogLevel DEBUG 當(dāng)SSH出現(xiàn)問(wèn)題的時(shí)候,這選項(xiàng)就很有用了。默認(rèn)值為"INFO"。
5.2 配置服務(wù)端的軟件
SSH服務(wù)器的配置使用的是"/etc/ssh/sshd_config"配置文件,這些選項(xiàng)的設(shè)置在配置文件中已經(jīng)有了一些說(shuō)明而且用"man sshd"也可以查看幫助。請(qǐng)注意OpenSSH對(duì)于SSH 1.x和2.x沒(méi)有不同的配置文件。
在默認(rèn)的設(shè)置選項(xiàng)中需要注意的有:
PermitRootLogin yes 最好把這個(gè)選項(xiàng)設(shè)置成"PermitRootLogin without-password",這樣"root"用戶就不能從沒(méi)有密匙的計(jì)算機(jī)上登錄。把這個(gè)選項(xiàng)設(shè)置成"no"將禁止"root"用戶登錄,只能用"su"命令從普通用戶轉(zhuǎn)成"root"。
X11Forwarding no 把這個(gè)選項(xiàng)設(shè)置成"yes"允許用戶運(yùn)行遠(yuǎn)程主機(jī)上的X程序。就算禁止這個(gè)選項(xiàng)也不能提高服務(wù)器的安全因?yàn)橛脩艨梢园惭b他們自己的轉(zhuǎn)發(fā)器(forwarder),請(qǐng)參看"man sshd"。
PasswordAuthentication yes 把這個(gè)選項(xiàng)設(shè)置為"no"只允許用戶用基于密匙的方式登錄。這當(dāng)然會(huì)給那些經(jīng)常需要從不同主機(jī)登錄的用戶帶來(lái)麻煩,但是這能夠在很大程度上提高系統(tǒng)的安全性。基于口令的登錄方式有很大的弱點(diǎn)。
# Subsystem /usr/local/sbin/sftpd 把最前面的#號(hào)去掉并且把路徑名設(shè)置成"/usr/bin/sftpserv",用戶就能使用"sftp"(安全的FTP)了(sftpserv在sftp軟件包中)。因?yàn)楹芏嘤脩魧?duì)FTP比較熟悉而且"scp"用起來(lái)也有一些麻煩,所以"sftp"還是很有用的。而且2.0.7版本以后的圖形化的ftp工具"gftp"也支持"sftp"。
6.拷貝文件
6.1 用"scp"拷貝文件
SSH提供了一些命令和shell用來(lái)登錄遠(yuǎn)程服務(wù)器。在默認(rèn)情況下它不允許你拷貝文件,但是還是提供了一個(gè)"scp"命令。
假定你想把本地計(jì)算機(jī)當(dāng)前目錄下的一個(gè)名為"dumb"的文件拷貝到遠(yuǎn)程服務(wù)器可以用這個(gè)命令:scp dumb bilbo@www.foobar.com:.
把文件拷貝回來(lái)用這個(gè)命令:scp bilbo@www.foobar.com:dumb .
"scp"調(diào)用SSH進(jìn)行登錄,然后拷貝文件,最后調(diào)用SSH關(guān)閉這個(gè)連接。
如果在你的"~/.ssh/config"文件中已經(jīng)為www.foobar.com做了這樣的配置:
Host *fbc
HostName www.foobar.com
User bilbo
ForwardAgent yes
那么你就可以用"fbc"來(lái)代替"bilbo@www.foobar.com",命令就簡(jiǎn)化為"scp dumb fbc:."。
"scp"假定你在遠(yuǎn)程主機(jī)上的家目錄為你的工作目錄。如果你使用相對(duì)目錄就要相對(duì)于家目錄。
用"scp"命令的"-r"參數(shù)允許遞歸地拷貝目錄。"scp"也可以在兩個(gè)不同的遠(yuǎn)程主機(jī)之間拷貝文件。
有時(shí)候你可能會(huì)試圖作這樣的事:用SSH登錄到ssh: secure connection to [local machine] refused
之所以會(huì)出現(xiàn)這樣的出錯(cuò)信息是因?yàn)槟氵\(yùn)行的是遠(yuǎn)程的"scp"命令,它試圖登錄到在你本地計(jì)算機(jī)上運(yùn)行的SSH服務(wù)程序……所以最好在本地運(yùn)行"scp"除非你的本地計(jì)算機(jī)也運(yùn)行SSH服務(wù)程序。
6.2 用"sftp"拷貝文件
如果你習(xí)慣使用ftp的方式拷貝文件,可以試著用"sftp"。"sftp"建立用SSH加密的安全的FTP連接通道,允許使用標(biāo)準(zhǔn)的ftp命令。還有一個(gè)好處就是"sftp"允許你通過(guò)"exec"命令運(yùn)行遠(yuǎn)程的程序。從2.0.7版以后,圖形化的ftp客戶軟件"gftp"就支持"sftp"。
如果遠(yuǎn)程的服務(wù)器沒(méi)有安裝sftp服務(wù)器軟件"sftpserv",可以把"sftpserv"的可執(zhí)行文件拷貝到你的遠(yuǎn)程的家目錄中(或者在遠(yuǎn)程計(jì)算機(jī)的$PATH環(huán)境變量中設(shè)置的路徑)。"sftp"會(huì)自動(dòng)激活這個(gè)服務(wù)軟件,你沒(méi)有必要在遠(yuǎn)程服務(wù)器上有什么特殊的權(quán)限。
6.3 用"rsync"拷貝文件
"rsync"是用來(lái)拷貝、更新和移動(dòng)遠(yuǎn)程和本地文件的一個(gè)有用的工具,很容易就可以用"-e ssh"參數(shù)和SSH結(jié)合起來(lái)使用。"rsync"的一個(gè)優(yōu)點(diǎn)就是,不會(huì)拷貝全部的文件,只會(huì)拷貝本地目錄和遠(yuǎn)程目錄中有區(qū)別的文件。而且它還使用很高效的壓縮算法,這樣拷貝的速度就很快。
6.4 用"加密通道"的ftp拷貝文件
如果你堅(jiān)持要用傳統(tǒng)的FTP客戶軟件。SSH可以為幾乎所有的協(xié)議提供"安全通道"。FTP是一個(gè)有一點(diǎn)奇怪的協(xié)議(例如需要兩個(gè)端口)而且不同的服務(wù)程序和服務(wù)程序之間、客戶程序和客戶程序之間還有一些差別。
實(shí)現(xiàn)"加密通道"的方法是使用"端口轉(zhuǎn)發(fā)"。你可以把一個(gè)沒(méi)有用到的本地端口(通常大于1000)設(shè)置成轉(zhuǎn)發(fā)到一個(gè)遠(yuǎn)程服務(wù)器上,然后只要連接本地計(jì)算機(jī)上的這個(gè)端口就行了。有一點(diǎn)復(fù)雜是嗎?
其實(shí)一個(gè)基本的想法就是,轉(zhuǎn)發(fā)一個(gè)端口,讓SSH在后臺(tái)運(yùn)行,用下面的命令:
ssh [user@remote host] -f -L 1234:[remote host]:21 tail -f /etc/motd
接著運(yùn)行FTP客戶,把它設(shè)置到指定的端口:
lftp -u [username] -p 1234 localhost
當(dāng)然,用這種方法很麻煩而且很容易出錯(cuò)。所以最好使用前三種方法。
7.用SSH設(shè)置"加密通道"
7.1 "加密通道"的基礎(chǔ)知識(shí)
SSH的"加密通道"是通過(guò)"端口轉(zhuǎn)發(fā)"來(lái)實(shí)現(xiàn)的。你可以在本地端口(沒(méi)有用到的)和在遠(yuǎn)程服務(wù)器上運(yùn)行的某個(gè)服務(wù)的端口之間建立"加密通道"。然后只要連接到本地端口。所有對(duì)本地端口的請(qǐng)求都被SSH加密并且轉(zhuǎn)發(fā)到遠(yuǎn)程服務(wù)器的端口。當(dāng)然只有遠(yuǎn)程服務(wù)器上運(yùn)行SSH服務(wù)器軟件的時(shí)候"加密通道"才能工作。可以用下面命令檢查一些遠(yuǎn)程服務(wù)器是否運(yùn)行SSH服務(wù):
telnet [full name of remote host] 22
如果收到這樣的出錯(cuò)信息:telnet: Unable to connect to remote host: Connection refused
就說(shuō)明遠(yuǎn)程服務(wù)器上沒(méi)有運(yùn)行SSH服務(wù)軟件。
端口轉(zhuǎn)發(fā)使用這樣的命令語(yǔ)法:
ssh -f [username@remote host] -L [local port]:[full name of remote host]:[remote port] [some command]
你不僅可以轉(zhuǎn)發(fā)多個(gè)端口而且可以在"~/.ssh/config"文件中用"LocalForward"設(shè)置經(jīng)常使用的一些轉(zhuǎn)發(fā)端口。
7.2 為POP加上"加密通道"
你可以用POP協(xié)議從服務(wù)器上取email。為POP加上"加密通道"可以防止POP的密碼被網(wǎng)絡(luò)監(jiān)聽(tīng)器(sniffer)監(jiān)聽(tīng)到。還有一個(gè)好處就是SSH的壓縮方式可以讓郵件傳輸?shù)酶臁?br>假定你在pop.foobar.com上有一個(gè)POP帳號(hào),你的用戶名是"bilbo"你的POP口令是"topsecret"。用來(lái)建立SSH"加密通道"的命令是:
ssh -f -C bilbo@pop.foobar.com -L 1234:pop.foobar.com:110 sleep 5
(如果要測(cè)試,可以把"sleep"的值加到500)。運(yùn)行這個(gè)命令之后會(huì)提示你輸入POP口令:
bilbo@pop.foobar.com's password:
輸入口令之后就可以用"telnet"連接到本地的轉(zhuǎn)發(fā)端口了。
telnet localhost 1234
你會(huì)收到遠(yuǎn)程mail服務(wù)器的"READY"消息。
當(dāng)然,這個(gè)方法要求你手工輸入所有的POP命令,這是很不方便的。可以用Fetchmail(參考how to configure Fetchmail)。Secure POP via SSH mini-HOWTO、man fetchmail和在"/usr/doc/fetchmail-[…]"目錄下的Fetchmail的FAQ都提供了一些具體的例子。
請(qǐng)注意IMAP協(xié)議使用的是不同的端口:IMAP v2的端口號(hào)為143而IMAP v3的端口號(hào)為220。
7.3 為X加上"加密通道"
如果你打算在本地計(jì)算機(jī)上運(yùn)行遠(yuǎn)程SSH服務(wù)器上的X程序,那么登錄到遠(yuǎn)程的計(jì)算機(jī)上,創(chuàng)建一個(gè)名為"~/.ssh/environment"的文件并加上這一行:
XAUTHORITY=/home/[remote user name]/.Xauthority
(如果在遠(yuǎn)程主機(jī)上你的家目錄下不存在".Xauthority"這個(gè)文件,那么當(dāng)用SSH登錄的時(shí)候就會(huì)自動(dòng)創(chuàng)建)。
比如啟動(dòng)一個(gè)X程序(xterm)可以這個(gè)命令:
ssh -f -X -l [remote user name] [remote machine] xterm
這將在遠(yuǎn)程運(yùn)行xterm這個(gè)程序。其它的X程序也是用相同的方法。
7.4 為linuxconf加上"加密通道"
Linuxconf(http://www.solucorp.qc.ca/linuxconf/)是Linux的配置工具,它支持遠(yuǎn)程管理。Linuxconf的FAQ重說(shuō)明了如何通過(guò)SSH使用linuxconf:
其命令為:remadmin --exec [link_command] linuxconf --guiproto
如果你想在兩臺(tái)計(jì)算機(jī)之間用加密的方式傳送信息,那么最好用ssh。命令是:
remadmin --exec ssh -l [account] linuxconf --guiproto
這是非常有效的而且運(yùn)行用圖形界面管理計(jì)算機(jī)。
這種方法需要在客戶端安裝linuxconf。其它的方法還有直接登錄到服務(wù)器上用"X11Forwarding"或字符界面運(yùn)行l(wèi)inuxconf。
7.5 為Webmin加上"加密通道"
Webmin(ssh -f -l [remote user name] [remote host] -L 1234:[remote host]:10000 tail -f /etc/motd
把瀏覽器指向http://localhost:1234