【正文】 為小于 q的隨機(jī)數(shù)。 v=(()mod p)mod q。 . SSH 的認(rèn)證和加密方式： . SSH 的體系結(jié)構(gòu)： 連接層 用戶認(rèn)證層 傳輸層 傳輸層 :完成加密算法的協(xié)商 ,保證傳輸數(shù)據(jù)的致密性和完整性 ,在傳送對(duì)稱密鑰的同時(shí)完成客戶端對(duì)服務(wù)器端的認(rèn)證。 . SSH 的工作模型 (Client/Server)： 用對(duì)稱密鑰（會(huì)話密鑰）加密傳輸數(shù)據(jù) 所以在選擇版本時(shí)，要注意，你所連接或想要連接你的系統(tǒng)有什么版本你就應(yīng)當(dāng)選什么版本 。這和 sshd1一樣。該模式僅能被用于服務(wù)器的調(diào)試，而不是為了增加日志文件的長(zhǎng)度。它給客戶程序一個(gè)確定的時(shí)間，每到相應(yīng)的時(shí)間間隔，客戶將和服務(wù)器確認(rèn)一次。如果你將安全守護(hù)設(shè)為調(diào)試模式，該選項(xiàng)將自動(dòng)地設(shè)為零。但如果你以普通的用戶身份運(yùn)行安全 shell 守護(hù)，河北司法警官職業(yè)學(xué)院 7 情況就不一樣了。從 id 運(yùn)行安全 shell 會(huì)帶來(lái)一些問(wèn)題，因?yàn)榘踩?shell 守護(hù)需要產(chǎn)生服務(wù)器客戶，然后響應(yīng)客戶，而這將會(huì)產(chǎn)生潛在的問(wèn)題。 p port 與 sshd1類似。如果端口 22已經(jīng)被其他的應(yīng)用程序使用或以非超級(jí)用戶身份啟動(dòng)安全 shell 你可能希望定義一個(gè)替代的端口。除非你的系統(tǒng)日志總是很快就被填滿 ，你最好不要打開這種模式。這同樣意味著你不可能真正使 sshd2的詳盡模式運(yùn)行，因?yàn)闆](méi)有產(chǎn)生任何子進(jìn)程。必須同時(shí)運(yùn)行兩種守護(hù)程序從而能接受和發(fā)送這兩種版本的安全 shell 客戶的連接請(qǐng)求。如果連接請(qǐng)求來(lái)自 SSH1客戶， SSH2守護(hù)將會(huì)把連接轉(zhuǎn)寄到 SSH1守護(hù)。安全 shell 守護(hù)的隱含設(shè)置是使用 768bit 的服務(wù)器密鑰，它每小時(shí)重新產(chǎn)生一次，認(rèn)證超時(shí)限度則為 10分鐘，在端口 22上偵聽連接，在 /etc/ssh2目錄下尋找配置文件等。 sshd – b 768 – f /etc/ssh2/sshd_config – g 600 – h /etc/ssh2/ssh_host_key – p 22 你可以將安全 shell 的端口設(shè)置成高于 1024： sshd – p 2022為不同的端口建不同的配置文件？沒(méi)問(wèn)題 sshd – p 2022 – f /etc/sshd_config_weird_port 如果想通過(guò) id 運(yùn)行安全 shell，你也可以做到這一點(diǎn)，不過(guò)別忘了將服務(wù)器密鑰縮小一點(diǎn)。解決這個(gè)問(wèn)題的一個(gè)簡(jiǎn)單的辦法就是將其置于一個(gè)啟動(dòng)程序腳本中。既然代碼是自由的，你會(huì)被歡迎來(lái)編輯并記錄更多的信息。這有可能會(huì)復(fù)制安全 shell 守護(hù)程序的一些工作，也可以通過(guò)配置，使其能提供更為詳盡的信息。 （ 5）配置安全 Shell 安全 shell 有一個(gè)你可以定義選項(xiàng)的配置文件。 下面列出了你可以在 sshd_config 配置文件中為安全 shell 設(shè)置的選項(xiàng)。 IgnoreRhosts 這是一個(gè)與 sshd1同樣的配置選項(xiàng)。如果你想使用的話，用 .shosts 來(lái)代替 .rhosts 從而提高安全性能。 安全 shell 提供了不同的認(rèn)證方法：口令、 .rhosts 和公共密鑰。 PasswordGuesses 該選項(xiàng)指定用戶正確地鍵入口令前最多登錄企圖，以進(jìn)行口令認(rèn)證。隱含值為“ yes”，口令被用來(lái)保護(hù)公共密鑰而不是帳戶自身?？梢栽试S空口令，然而，我們建議你最 好不要這樣做。 RHostsAuthentication 該選項(xiàng)設(shè)置基于 .rhosts 或 /etc/ 的權(quán)限。如果你想使用 Rhosts 認(rèn)證，就讓它和 RHostsPubKey Authentication 中的公共密鑰認(rèn)證結(jié)合起來(lái)使用。它同樣使你的系統(tǒng)暴露于伯克利服務(wù)攻擊，但公共密鑰認(rèn)證使危險(xiǎn)性被最大限度地降低了。比如說(shuō)你就可以僅允許公共密鑰認(rèn)證工作。 3．服務(wù)器選項(xiàng) 河北司法警官職業(yè)學(xué)院 11 這些選項(xiàng)用來(lái)定義安全 shell 守護(hù)的功能，包括 TCP 轉(zhuǎn)寄，對(duì)特殊地址與端口的偵聽 ，發(fā)送存活信息及服務(wù)器密鑰的設(shè)置等。 Sshd1Path 如果你準(zhǔn)備與 SSH1兼容，就需要指定 SSH1路徑，尤其是當(dāng)你將 sshd1安裝在一個(gè)非公共目錄下時(shí)。存活信息能讓遠(yuǎn)程的服務(wù)器知道連接是否已經(jīng)中斷，并在確定連接中斷的情況下殺掉活動(dòng)進(jìn)程。如果你要關(guān)閉存活信息發(fā)送選項(xiàng)， 必須同時(shí)修改服務(wù)器端與客戶端的配置文件。 使用方法： ListenAddress Port 可以通過(guò)該選項(xiàng)指定一個(gè)安全 shell 守護(hù)偵聽的端口，隱含值為 22。這與 sshd1所擁有的選項(xiàng)一致，這是一個(gè)很好的選項(xiàng)，因?yàn)橛脩艨赡軙?huì)意外地將目錄與文件的選項(xiàng)置為可寫。這和 sshd1的X11Forwarding 選項(xiàng)一致。隱含設(shè)置為“ yes”。 隱 含 值 為~/.ssh2/authorization,它提供了一個(gè)安全 shell 服務(wù)器識(shí)別用戶的私有密鑰列表。隱含值為 /etc/ssh2/hostkey。 河北司法警官職業(yè)學(xué)院 13 使用方法： HostKey /usr/local/etc/ RandomSeedFile 該選項(xiàng)用來(lái)定義產(chǎn)生服務(wù)器密鑰的隨機(jī)生成文件。但你也可以在安全 shell守護(hù)配置文件中設(shè)置它們并使其發(fā)生作用。如果安全客戶不進(jìn)行認(rèn)證，服務(wù)進(jìn)程將斷開與 socket 的連接。這與 sshd1中的同名選項(xiàng)類似，僅應(yīng)用于以交互方式登錄時(shí)（不是以 scp 與 ssh 后隨命令的方式）。既可以增加這些登錄信息，但這會(huì)損害用戶的隱私權(quán)，當(dāng)然你也可以關(guān)閉它們，其結(jié)果是僅有極 少的錯(cuò)誤信息會(huì)被記錄。除非你的日志文件總是很快就被填滿，否則最好不要打開這個(gè)選項(xiàng)。記住在打開該 模式的情況下 sshd2守護(hù)程序?qū)⒉粫?huì)復(fù)制產(chǎn)生子進(jìn)程。從某種意義上說(shuō)，它的工作機(jī)理和 scp 非常相像。 . 客戶程序 的使用和配置 . 安 全 shell 客戶程序的 使用 安全 shell 客戶程序， ssh2和 scp2在命令選項(xiàng)上說(shuō)明不同的語(yǔ)法規(guī)則。在安裝了 ssh2應(yīng)用程序之后， ssh 和 scp 的符號(hào)連接會(huì)分別連接到 ssh2和 scp2。你將發(fā)現(xiàn) ssh2有一些更多可供使用的功能，這包括允許認(rèn)證代理，不允許壓縮，設(shè)置調(diào)試等級(jí)和允許 X轉(zhuǎn)寄。它阻止了加載到內(nèi)存中的口令（ passphrase）被用于安全 Shell 客戶的發(fā)行。這也和scp1使用的選項(xiàng)相同。你也可以選擇“ none”，但該選擇關(guān)閉加密從而使安全 Shell 客戶變得不安全。為了獲得最高的安全性，使用 IDEA。不要把它們混淆。 C 該選項(xiàng)關(guān)閉壓縮。數(shù)字越大，所得到的信息越多。缺符為“ n”。為了能使用轉(zhuǎn)義字符。這和 ssh1的選項(xiàng)相同。 F configuration_file 該選項(xiàng)指定使用哪個(gè)用戶配置文件。 河北司法警官職業(yè)學(xué)院 16 h 打印幫助命令摘要，然后退出?？梢詾椴煌鳈C(jī)定義多個(gè)文件。缺省的用戶名和本地主機(jī)的用戶名相同，也可以在 配置文件中按每臺(tái)主機(jī)定義。端口轉(zhuǎn)寄也可能以通過(guò)配置文件按每個(gè)主機(jī)定義。標(biāo)準(zhǔn)輸入被 /dev/null 重定向，在安全 shell 客戶程序被發(fā)到后臺(tái)時(shí)必須使用該選項(xiàng)。這和 ssh1中的選項(xiàng)相同。 p port 可以指定客戶連接到服務(wù)器的哪個(gè)端口，這和 ssh1的選項(xiàng)相同。 p 指定使用大于 1023的端口，這是一個(gè)非特權(quán)端口。 q 這是一個(gè)靜態(tài)方式，指它不顯示任何信息。這和 ssh1的選項(xiàng)相同。如果你使用了特權(quán)端口，只有在以超級(jí)用戶在遠(yuǎn)程主河北司法警官職業(yè)學(xué)院 17 機(jī)上登錄時(shí)才進(jìn)行轉(zhuǎn)寄。這和 ssh1中使用的選項(xiàng)相同，它強(qiáng)制產(chǎn)生虛擬 tty，即使給出了命令。 v 冗余模式。它和 ssh1中的選項(xiàng)完成相同的事情。 +x 如果你想允許 X 傳輸被轉(zhuǎn)寄，使用該選項(xiàng)。 l 使 scp2運(yùn)行 scp1。這也和 scp1使用的選項(xiàng)相同。你也可以選擇“ none”，但 是這不允許任何的加密從而使得安全 Shell 客戶變得不安全。如果不被對(duì)方的安全 Shell 服務(wù)器支持，使用 3DES。 D debug_level_spel 該選項(xiàng)指定你接收的調(diào)試的數(shù)量。 n 預(yù)覽 scp2所做的事，但是它不能拷貝任何文件，這是一種在進(jìn)行正式拷貝之前確定你把正確文件拷貝到正確位置的很好方法。如果你工作在文件備份并想保證文件的完整性，你會(huì)發(fā)現(xiàn)該選項(xiàng)很有用。記住除非另外指定該端口用于服務(wù)器的定義在 /etc/services 文件中。這和scp1使用的選項(xiàng)相同，該選項(xiàng)直到版本 。 u 該選項(xiàng)使用 scp2更象使用安全的 mv功能。產(chǎn)生 scp2打印有關(guān) scp2進(jìn)程的調(diào)試信息。 （ 1）命令行選項(xiàng) 如果需要在設(shè)置密碼，定義端口和設(shè)置 ssh2路徑之間切換，這些選項(xiàng)將會(huì)有用。此外，這和 scp1使用的選項(xiàng)相同。該“ none”選項(xiàng)應(yīng)該用于調(diào)試和測(cè)試目的，而不用于實(shí)際使用。為要獲得最佳的安全特性，使用 IDEA。注意 scp2使用 D，而 sftp2使用 d。這可以在配置文件中接每臺(tái)主機(jī)單獨(dú)指定端口。如果你把 ssh 安裝在一個(gè)非標(biāo)準(zhǔn)目錄中時(shí)要使用該選項(xiàng)。 （ 1）主機(jī)名選項(xiàng) 可以通過(guò)一 些配置選項(xiàng)來(lái)定義影響你連接到的遠(yuǎn)程主機(jī)的一些選項(xiàng)。 Host 它定義哪些主機(jī)受配置文件中配置選項(xiàng)的影響。它可以用來(lái)配置客戶是否把主機(jī)密鑰自動(dòng)加到$HOME/.ssh2/know_hosts 文件中還是提出主機(jī)密鑰請(qǐng)求?！?ask”選項(xiàng)當(dāng)你想往 known_hosts 文件中添加一臺(tái)主機(jī)時(shí)產(chǎn)生提示。 缺省選項(xiàng)是“ no”， 你可選擇“ yes”和“ no”。缺省為“ yes”，從更通常的意義上來(lái)說(shuō)口令字所要做的是保護(hù)私人密鑰，而不是帳號(hào)本身。 PasswordPrompt：這指定口令字提示中是否包括遠(yuǎn)程主機(jī)名和用戶名。 使用方法： PasswordPrompt″ %u password″ 如果你果真想使用遠(yuǎn)程主機(jī)認(rèn)證，則與 RHostsPubkeyAuthentication 中的公共密鑰認(rèn)證捆綁在一起使用。 RHostsPubKeyAuthentication：該選項(xiàng)設(shè)置你的認(rèn)證是基于帶公共密鑰對(duì)的 .rhosts河北司法警官職業(yè)學(xué)院 21 或 /etc/。這把你的系統(tǒng)暴露在 Berkeley服務(wù)的攻擊之下，但是由于需要公共密鑰對(duì)這種攻擊威脅是最小的。 使用方法： RhostsPubKeyAuthentication no 缺省為“ yes”，并且還是設(shè)為缺省值好。 注意： CompressionLevel， ClearAllForwardings,ConnectionAttempts 和ProxyCommand 不再被安全 Shell2的選項(xiàng)支持。你也可以選擇“ none”，但是除非你正在進(jìn)行調(diào)試，否則不要這樣作。這是 gzip 應(yīng)用程序使用的相同算法。缺省轉(zhuǎn)義字符是代字符（ ~）。在運(yùn)行 rsh 之前，你將得到不安全的警告。 河北司法警官職業(yè)學(xué)院 23 使用方法： ForcePTTYAllocation No GoBackground 這強(qiáng)制使 ssh2在認(rèn)證之后作為后臺(tái)進(jìn)程（需要在后臺(tái)運(yùn)行時(shí)有用，但用戶需要輸入口令）。然而，如果路由暫時(shí)失敗，則將受挫并看到如下的信息： Connection down。如果你想不允許保持活動(dòng)信息，將不得不允許服務(wù)器和客戶配置文件。這和 sshl 的選項(xiàng)相同。如果該主機(jī)不支持 SSH 協(xié)議，則 rsh 或 rlogin 被自動(dòng)省略。 注意不再有 GlobalKnownHostsFile 和 UserKnownHostsFile 選項(xiàng)。缺省為 $HOME/.ssh2/random_seed。也可以為所要連接到的每臺(tái)主機(jī)定義一個(gè)身份文件。 GatewayPorts 不再在 ssh2中實(shí)現(xiàn)。這和 sshl 客戶機(jī)的 L 選項(xiàng)相同。 使用方法： Port 21 RemoteForward 這把從遠(yuǎn)程主機(jī) (在指定端口上 )的任何連接轉(zhuǎn)寄到本地主機(jī)的主機(jī)端口。如果使用特權(quán)端口，只有 在遠(yuǎn)程主機(jī)上以超級(jí)用戶登錄才能轉(zhuǎn)寄該端口的連接。然而，這對(duì)連接通過(guò)沒(méi)有端口配置的防火墻很有用。它們包括：轉(zhuǎn)寄認(rèn)證代理到遠(yuǎn)程主機(jī)以及轉(zhuǎn)寄 X11信息量。 使用方法： ForwardAgent yes 河北司法警官職業(yè)學(xué)院 26 ForwardXll 該選項(xiàng)定義 X 轉(zhuǎn)寄是否通過(guò) shell 通道自動(dòng)發(fā)送以及設(shè)置 DISPLAY 環(huán)境變量。然而，如果你打算讓 X信息量遠(yuǎn)程通過(guò)，你會(huì)希望通過(guò)安全 shell 轉(zhuǎn)寄它。 Ssh1AgentCompatibility 該選項(xiàng)定義安全 Shell 2認(rèn)證代理是否應(yīng)該和安全 shell 1兼容。 使用方法： SshlAgentCompatibility ssh2 SshlCompatibility 如果你想同時(shí)支持 SSH1和 SSH2，就要把它設(shè)置成 “yes” 。這是一旦連接到只支持安全 shell 1的的服務(wù)器守護(hù)程序就會(huì)運(yùn)行的應(yīng)用程序。這意味著除非你在查找故障或是測(cè)試，你不要以這種模式運(yùn)行。如果你確切知道發(fā)生了什么，你可以使用該模式。SSH 加密技術(shù)研究及實(shí)現(xiàn) 注釋 [1] 柳西玲 :《 Java 語(yǔ)言應(yīng)用開發(fā)基礎(chǔ)》， 北京， 清華大學(xué)出版社 200 [2] 朱喜福：《 Java 程序設(shè)計(jì)》， 北京， 20xx 版