【正文】 1（ H（ m） +xr）） mod q 。 連接層：位于傳輸層和用戶認(rèn)證層之上，它負(fù)責(zé)連接通道的分配和管理。 3. SSH 的安裝和使用 . SSH 的安裝： SSH1和 SSH2基于不同的協(xié)議。調(diào)試級(jí)別越高，你接受到的信息也越多。如果客戶程序不確認(rèn)，服務(wù)器進(jìn)程將斷開 socket 連接。 i 你可以指定是否從 id 運(yùn)行安全 shell。隱含值為端口 22，它為安全 shell 所保留。 v 將安全 shell 守護(hù)置于詳盡模式。 至于真正的兼容性， SSH1與 SSH2之間并不存在。你可以發(fā)現(xiàn)，在使用方法上它們僅有很小的差別。下圖顯示了不同的操作系統(tǒng)中啟動(dòng)安全 shell 守護(hù)的位置。 Linux 將信息存放于系統(tǒng)日志中，一般位于/var/adm/syslog， HPUX或 AIX 則有可能將信息存放于完全不同的地方。這種格式對(duì)下面列出的選項(xiàng)都通用 可以通過安全 shell2過濾用戶名與主機(jī)名。隱含值是“ yes”，但你可以 將其關(guān)閉。 PasswordAuthentication 可以通過該選項(xiàng)決定是否利用口令以經(jīng)過安全 shell 進(jìn)入帳戶。隱含值為“ yes”。它設(shè)置基于 .rhosts 或 /etc/ 的公共密鑰認(rèn)證，與 sshd1的配置文件 RhostsRSA Authentication 配置選項(xiàng)一致。它并不需要 rhosts 或口令來協(xié)助認(rèn)證。你既可以打開又可以關(guān)閉這個(gè)選項(xiàng)。這和 sshd1配置文件中的選項(xiàng)一致。隱含設(shè)置為“ yes”。這包括密鑰文件，進(jìn)程標(biāo)識(shí)文件等。 使用方法： Hostkey /usr/local/etc/ssh2_host_key 它給安全客戶規(guī)定一個(gè)特定的時(shí)間，每經(jīng)過該單位時(shí)間，安全客戶將與服務(wù)器認(rèn)證一次。它可以在用戶的環(huán)境初始化文件中設(shè)置。該選項(xiàng)與“ q”選項(xiàng)類似，隱含值為“ no”。因?yàn)楦褚粋€(gè)客戶程序。你將需要運(yùn)行 ssh1和 scp1來運(yùn)行 ssh1客戶程序。 +a 該選項(xiàng)允許認(rèn)證代理進(jìn)行轉(zhuǎn)寄，這是缺省選項(xiàng)。最好的選擇是使用 3DES， IDEA或 Blowfish。這種壓縮對(duì)速度慢的網(wǎng)絡(luò)很有效，例如modem，但在速度已經(jīng)很快的網(wǎng)絡(luò)上幫助不大。記住 v選項(xiàng)打印出第三級(jí)的調(diào)試信息。如果你鍵入轉(zhuǎn)義字符，隨后鍵入 control+z，則把連接暫時(shí)掛起。然而，你可以擁有自己的缺省配置文件和其它的配置文件。 l login_name 該選項(xiàng)指定你在遠(yuǎn)程主機(jī)上登錄的用戶名。 n 該選項(xiàng)和 f選項(xiàng)的工作類似； 然而，如果你需要鍵入口令時(shí)它將不起作用。這些選項(xiàng)和其它選項(xiàng)在后面的章節(jié)中闡述。你不能使用它來進(jìn)行遠(yuǎn)程主機(jī) (rhost)認(rèn)證（無論是和公共密鑰一起或它自身）。 socket 監(jiān)聽遠(yuǎn)程主機(jī)的端口，無論何時(shí)連到該端口的連接一旦建立，它將被轉(zhuǎn)寄到本地主機(jī)和該主機(jī)端口。 V 該選項(xiàng)打印客戶機(jī)版本并退出。這和 ssh1中使 用的選項(xiàng)相同。這就與 ssh1服務(wù)器好兼容，因此如果你打算運(yùn)行該選項(xiàng)，可以和這個(gè)選項(xiàng)一起使用 t和 f 選項(xiàng)，更多的關(guān)于 scp1的信息請(qǐng)參見第四章“安全客戶程序 SSH 和 SCP”。 Blowfish 和 Twofish 在支持 ssh2的算法中最快的。 河北司法警官職業(yè)學(xué)院 18 h 打印命令使用的總結(jié)，然后退出。這與 scp1的命令行選項(xiàng)相同。這和 scp1中用到的選項(xiàng)相類似。這在調(diào)試連接，驗(yàn)證和配置問題時(shí)很有用。可選擇的密碼有 IDEA， DES， 3DES， Blowfish， Arcfour和 Twofish。 d debug_level_spec 該選項(xiàng)定義你接收的調(diào)試信息的數(shù)量。 S path_to_ssh2 該選項(xiàng)指定到 ssh2的路徑。和 ssh1不同，是沒有 ssh2的 HostName 配置選項(xiàng)。如果你正在設(shè)置運(yùn)行于主機(jī)不會(huì)改變的開發(fā)環(huán)境上的安全 Shell，你可能會(huì)把該選項(xiàng)設(shè)置為“ no”。如果你正使用安全 Shell 腳本或運(yùn)行克龍或批處理作業(yè)，這是很好的。這和安全 Shell 監(jiān)控程序的passwordAuthentication 相似。這不需要 口令字或公共密鑰對(duì)。遺憾的是，在發(fā)行的安全 Shell 。如果你想定義只接受公共密鑰的認(rèn)證，你可以做到這一 點(diǎn)。你可以使用 IDEA， 3DES， Blowfish，DES 和 Arcfour。記住如果你想運(yùn)行在一個(gè)高速網(wǎng)絡(luò)上，請(qǐng)勿打開壓縮選項(xiàng)，因?yàn)樗鼘?shí)際上是在減慢運(yùn)行而不是加速它們。如下所示： tigerlair:/home/ahc:ssh Secure connection to refused reverting to insecure method. Using :Connection will not be encrypted. 使用方法： FallBackToRsh no ForcePTTYAllocation 該選項(xiàng)強(qiáng)制產(chǎn)生一個(gè) tty，即使是給出了命令，用于菜單命令界面等場(chǎng)合。但是如果你不發(fā)送保持活動(dòng)的信息，你可能把它掛起保留幽靈進(jìn)程并吃掉你服務(wù)器上的資源。 通過這種方法，你不必經(jīng)常在命令行下鍵入 l選項(xiàng)。 AuthorizationFile 該選項(xiàng)指定用戶認(rèn)證文件名。 使用方法： IdentityFile~/.ssh2/ （ 5）端口 使用安全 shell,可以用端口作很多事情。缺省端口為 22；然而，為了應(yīng)用上的目的或當(dāng)端口 22被使用時(shí)，你可能想定義其它端口。 使用方法 : RemoteForward 110:remotehost:1025 UseNonPrivilegedPort 使用高于 1023的端口，一個(gè)非特權(quán)端口。這是使用在sshl 中的相同選項(xiàng)。 使用方法： ForwardXll yes （ 7） SSHl 兼容性 這些選項(xiàng)指定 SSH2和 SSH1的兼容性。 使用方法： SshlCompatibility yes SshlPath 這個(gè)選項(xiàng)指定 sshl 客戶程序的位置。 使用方法 erboseMode no QuietMode 該選項(xiàng)和 VerboseMode 相反。 [4] 徐明華：《 JavaWeb 整合開發(fā)與項(xiàng)目實(shí)戰(zhàn)： JSP， Ajax， Struts， Hibernate， Spring》，北京 人民郵電出版社， ， 234333 頁(yè)。 SSH 加密技術(shù)研究及實(shí)現(xiàn) 總 結(jié) 本文綜合軟件工程、數(shù)據(jù)庫(kù)原理、計(jì)算機(jī)網(wǎng)絡(luò)、面向?qū)ο蟪绦蛟O(shè)計(jì)運(yùn)用了在學(xué)校學(xué)校學(xué)到的課程知識(shí)，將課程的理論知 識(shí)都融于本次論文中，使理論與實(shí)踐相結(jié)合。有兩種模式： VerboseMode，該模式給你很多信息， QuietMode,該模式只給很少的信息。如果你正以在 Sshl Compatibility 中定義的 SSH1兼容模式使用安全 Shell2認(rèn)證代理，你只能使用 “ssh2”值。和其它 TCP 傳 輸一樣，這可以被用戶定義的轉(zhuǎn)寄者覆蓋。這和 P 選項(xiàng)相同。這以與 L 選項(xiàng)相反的方式工作。 socket 監(jiān)聽本地主機(jī)的端口，并且無論何時(shí)到這個(gè)端口 (例如，假設(shè)的 POP 端口 110)的連接被建立，連接就會(huì)轉(zhuǎn)寄到主端口的遠(yuǎn)程主機(jī)上。缺省為$HOME/.ssh2/id_dsa1024_a。 使用方法： 河北司法警官職業(yè)學(xué)院 24 UseRsh no （ 4）文件位置 這些選項(xiàng)定義安全 shell 客戶文件的放置地方。這和安全 Shell 服務(wù)器守護(hù)程序配置設(shè)置 keepAlive 相類似。這和 ssh1使用的格式一樣。它的參量應(yīng)該是一個(gè)單一字符，用單一字符后隨克拉字符（ ^）表示一個(gè)控制字符，或者“ none”來指示不允許的轉(zhuǎn)義字符（使得連接更為透明）。因?yàn)?IDEA 所有的河北司法警官職業(yè)學(xué)院 22 服務(wù)器都不支持，如果選擇了 IDEA 而它不被支持，它將失敗而自動(dòng)使用 3DES。 使用方法： PubKeyAuthentication yes （ 3）客戶端選項(xiàng) 這些選項(xiàng)說明了安全 Shell 客戶如何運(yùn)行的總括。另外，如果你想支持更強(qiáng)的安全性，關(guān)閉任何類型的遠(yuǎn)程主機(jī)認(rèn)證。然而，它并沒有具有與服務(wù)器端配置對(duì)安全影響相當(dāng)?shù)闹匾浴Ｗ兞?%U 和 %H分別代表用戶名和主機(jī)名。 PasswordAuthentication：可以定義是否要運(yùn)用口令字來通過安全 Shell 訪問帳號(hào)。你可以僅使用一個(gè)或使用它們的任意組合來通過安全 Shell 訪問帳號(hào)。可以使用通配符（多字符“ *”，單字符“？”，和在命令行中給出的主機(jī)名相同。這類似所為安全 Shell2的客戶，它導(dǎo)致 sftp2打印關(guān)于過程的調(diào)試信息。缺省為 22號(hào)端口，該端口是為安全 Shell 保留的。你最好是使用 3DES， IDEA 或 Blowfish。由于 sftp2是安全 Shell 的一個(gè)新的 應(yīng)用程序，所以現(xiàn)在并沒有很多的選項(xiàng)。要小心使用該選項(xiàng)。 r 遞歸拷貝全部目錄和其中的文件。這包括文件的更改時(shí)間，讀取時(shí)間和從原始文件過來的模式。如果拷貝目的不是一個(gè)目錄（也就是說例如它是一個(gè)文件 0。這不影響使用DSA 或 RSA 公共密鑰的認(rèn)證。 如果你需要在設(shè)置密碼、定義身份文件、保留文件屬性、設(shè)置端口、允許壓縮、設(shè)置批處理方式以定義 ssh2選項(xiàng)（因?yàn)?scp2用 ssh2作的傳輸載體）之間切換，有一些在 scp1中沒有出現(xiàn)的新選項(xiàng)。這在調(diào)試連接，認(rèn)證和配置時(shí)是很有用。這用在端口轉(zhuǎn)寄請(qǐng)求和在 tty 不需要被設(shè)置使用（非交互模式）時(shí)。如果使用該選項(xiàng)，在運(yùn)行碰到認(rèn)證或連接問題時(shí)，你將關(guān)閉該選項(xiàng)。記住除非另外指定在文件 /etc/services 中定義的端口是給服務(wù)器的。和認(rèn)證代理一起時(shí)使用該選項(xiàng)是很好的。 L port:host:hostport 該選項(xiàng)把指定 port 上的任意到本地主機(jī)的連接轉(zhuǎn)寄到遠(yuǎn)程主機(jī)的 hostport 上。 i identity_file 該選項(xiàng)定義 DSA 私人密鑰，或認(rèn)證所要讀取的身份文件，這和 ssh2里的相同選項(xiàng)功能相似。在遠(yuǎn)程主機(jī)上啟動(dòng) X 程序是不簡(jiǎn)單的。這也和 ssh 的選項(xiàng)相同。這也是 ssh2的缺省選項(xiàng)。 +C 壓縮通過安全 shell 客戶發(fā)送的所有數(shù)據(jù)，這包括輸入、輸出、錯(cuò)誤信息和轉(zhuǎn)寄的數(shù)據(jù)。這不影響使用DSA 或 RSA 公共密鑰的認(rèn)證。 河北司法警官職業(yè)學(xué)院 15 a 該選項(xiàng)讓你能夠關(guān)閉對(duì)認(rèn)證代理的轉(zhuǎn)寄。并由于 scp2使用 ssh2作為運(yùn)輸工具， ssh2客戶程序也需要為 scp 提供一些功能。 使用方法： VerboseMode no 盡管體現(xiàn)了安全 shell 2的一些新 的特征，安全文件傳輸服務(wù)器并沒有被很好地用文檔加以說明。它與 sshd1的同名選項(xiàng)類似。如果你將安全 shell 置于調(diào)試模式，該選項(xiàng)將被自動(dòng)地置為零，可以 發(fā)現(xiàn)，它的效果與 g選項(xiàng)類似。隱含的文件位置為： /etc/ssh2/random_seed. 使用方法： RandomSeed /usr/local/etc/ssh2_random_seed 這個(gè)選項(xiàng)定義經(jīng)過安全 shell 登錄到遠(yuǎn)程帳號(hào)時(shí)，影響帳號(hào)環(huán)境變量的那些設(shè)置。如果你不是以超級(jí)用戶的身份運(yùn)行安全 shell 守護(hù)，你必須使用這個(gè)文件。這取決于 你是否允許 X 傳輸通過。這和 sshd1的配置選項(xiàng)一致，與 p選項(xiàng)也一樣。當(dāng)然，如果程序只是暫時(shí)地掛起，它會(huì)發(fā)出如下的令人沮喪的信息： Connection down： disconnecting 這當(dāng)然是令人厭煩的信息。目前系統(tǒng)支持的算法有 DES， 3DES， Blowfish, Twofish, IDEA 和 Arcfour。再說一句，如果你希望保持系統(tǒng)的安全，關(guān)閉任何類型的 rhosts 認(rèn)證。這并不需要口令或公共密鑰，但它使你的系統(tǒng)對(duì)伯克利服務(wù)攻擊和其他迫使你必須使用安全 shell 的安全漏洞開放。 PermitEmptyPasswords 這個(gè)選項(xiàng)決定你是否想使用口令來幫助認(rèn)證。記住， rhost 認(rèn)證是最脆弱的認(rèn)證系統(tǒng)，而和公共密鑰的組合則會(huì)成為最強(qiáng)有力的認(rèn)證形式。該選項(xiàng)對(duì)系統(tǒng)端的文件 /etc/ 和 /etc/ 沒有影響。與大多數(shù)配置 文件和 shell 程序腳本一樣，空行和以“ ” 開 頭 的行 不 會(huì) 被 系統(tǒng) 讀 入 。當(dāng)連接被建立以后，你的日志文件看上去像下面的內(nèi)容： 你也可以打開詳盡日志或使用項(xiàng)關(guān)閉記錄。同樣，你也可能希望不是從命令行來完成該命令，而是在一個(gè)程序腳本上實(shí)現(xiàn)這一點(diǎn)： sshd – i – b 512 注： 你應(yīng)當(dāng)編輯文件 /etc/，然后從中運(yùn)行 sshd。 同樣，如果你發(fā)現(xiàn)一個(gè)聲稱包長(zhǎng)度有誤的信息，檢查一下，看看是否運(yùn)行了一個(gè) SSH1的早期版本，要是這樣，你就需要升級(jí)了。服務(wù)器密鑰每小時(shí)重新產(chǎn)生一次 （ 1）在同一臺(tái)主機(jī)上運(yùn)行 SSH1和 SSH2守護(hù)程序 出于兼容性的考慮，你可能想讓系統(tǒng)與 SSH1兼容。這同樣與 sshd1類似。然而，你也可以使用一個(gè)小一點(diǎn)的服務(wù)器密鑰以提高性能，不過要記住：密鑰越小，系統(tǒng)越容易受到攻擊。如果你不是以超級(jí)用戶的身份運(yùn)行安全 shell 守護(hù)，你就必須使用該選項(xiàng)。隱含值為/etc/ssh2/sshdlonfig，但如果你不是以超級(jí)用戶的權(quán)限來運(yùn)行安全 shell，你就需要在其他地方定義這個(gè)文件。隱含值為 768bit，然而可以使它變得更大或更小，這取決于你是否從 id 啟動(dòng)守護(hù)或是否需要更強(qiáng)的安全性。