【正文】 許空口令，然而，我們建議你最好不要這樣做。比如說你就可以僅允許公共密鑰認(rèn)證工作。如果你要關(guān)閉存活信息發(fā)送選項(xiàng)，必須同時(shí)修改服務(wù)器端與客戶端的配置文件。隱含設(shè)置為“ yes”。但你也可以在安全 shell守護(hù)配置文件中設(shè)置它們并使其發(fā)生作用。除非你的日志文件總是很快就被填滿，否則最好不要打開這個(gè)選項(xiàng)。在安裝了 ssh2應(yīng)用程序之后， ssh 和 scp 的符號(hào)連接會(huì)分別連接到 ssh2和 scp2。你也可以選擇“ none”，但該選擇關(guān)閉加密從而使安全 Shell 客戶變得不安全。數(shù)字越大，所得到的信息越多。 F configuration_file 該選項(xiàng)指定使用哪個(gè)用戶配置文件。端口轉(zhuǎn)寄也可能以通過配置文件按每個(gè)主機(jī)定義。 p 指定使用大于 1023的端口，這是一個(gè)非特權(quán)端口。這和 ssh1中使用的選項(xiàng)相同，它強(qiáng)制產(chǎn)生虛擬 tty，即使給出了命令。 l 使 scp2運(yùn)行 scp1。 D debug_level_spel 該選項(xiàng)指定你接收的調(diào)試的數(shù)量。這和scp1使用的選項(xiàng)相同，該選項(xiàng)直到版本 。此外，這和 scp1使用的選項(xiàng)相同。這可以在配置文件中接每臺(tái)主機(jī)單獨(dú)指定端口。它可以用來配置客戶是否把主機(jī)密鑰自動(dòng)加到$HOME/.ssh2/know_hosts 文件中還是提出主機(jī)密鑰請(qǐng)求。缺省為“ yes”，從更通常的意義上來說口令字所要做的是保護(hù)私人密鑰，而不是帳號(hào)本身。 RHostsPubKeyAuthentication：該選項(xiàng)設(shè)置你的認(rèn)證是基于帶公共密鑰對(duì)的 .rhosts河北司法警官職業(yè)學(xué)院 21 或 /etc/。 注意： CompressionLevel， ClearAllForwardings,ConnectionAttempts 和ProxyCommand 不再被安全 Shell2的選項(xiàng)支持。在運(yùn)行 rsh 之前，你將得到不安全的警告。這和 sshl 的選項(xiàng)相同。也可以為所要連接到的每臺(tái)主機(jī)定義一個(gè)身份文件。如果使用特權(quán)端口，只有 在遠(yuǎn)程主機(jī)上以超級(jí)用戶登錄才能轉(zhuǎn)寄該端口的連接。然而，如果你打算讓 X信息量遠(yuǎn)程通過，你會(huì)希望通過安全 shell 轉(zhuǎn)寄它。這意味著除非你在查找故障或是測(cè)試，你不要以這種模式運(yùn)行。 [7] 王珊 ,薩師煊：《數(shù)據(jù)庫系統(tǒng)概論 (第四版 )》北京：高等教育出版社 版， 78118 頁。這是一旦連接到只支持安全 shell 1的的服務(wù)器守護(hù)程序就會(huì)運(yùn)行的應(yīng)用程序。 使用方法： ForwardAgent yes 河北司法警官職業(yè)學(xué)院 26 ForwardXll 該選項(xiàng)定義 X 轉(zhuǎn)寄是否通過 shell 通道自動(dòng)發(fā)送以及設(shè)置 DISPLAY 環(huán)境變量。 使用方法： Port 21 RemoteForward 這把從遠(yuǎn)程主機(jī) (在指定端口上 )的任何連接轉(zhuǎn)寄到本地主機(jī)的主機(jī)端口。缺省為 $HOME/.ssh2/random_seed。如果你想不允許保持活動(dòng)信息，將不得不允許服務(wù)器和客戶配置文件。缺省轉(zhuǎn)義字符是代字符（ ~）。缺省為“ yes”，并且還是設(shè)為缺省值好。如果你果真想使用遠(yuǎn)程主機(jī)認(rèn)證，則與 RHostsPubkeyAuthentication 中的公共密鑰認(rèn)證捆綁在一起使用。缺省選項(xiàng)是“ no”， 你可選擇“ yes”和“ no”。 Host 它定義哪些主機(jī)受配置文件中配置選項(xiàng)的影響。注意 scp2使用 D，而 sftp2使用 d。 （ 1）命令行選項(xiàng) 如果需要在設(shè)置密碼，定義端口和設(shè)置 ssh2路徑之間切換，這些選項(xiàng)將會(huì)有用。記住除非另外指定該端口用于服務(wù)器的定義在 /etc/services 文件中。如果不被對(duì)方的安全 Shell 服務(wù)器支持，使用 3DES。 +x 如果你想允許 X 傳輸被轉(zhuǎn)寄，使用該選項(xiàng)。如果你使用了特權(quán)端口，只有在以超級(jí)用戶在遠(yuǎn)程主河北司法警官職業(yè)學(xué)院 17 機(jī)上登錄時(shí)才進(jìn)行轉(zhuǎn)寄。 p port 可以指定客戶連接到服務(wù)器的哪個(gè)端口，這和 ssh1的選項(xiàng)相同。缺省的用戶名和本地主機(jī)的用戶名相同，也可以在 配置文件中按每臺(tái)主機(jī)定義。這和 ssh1的選項(xiàng)相同。 C 該選項(xiàng)關(guān)閉壓縮。這也和scp1使用的選項(xiàng)相同。 . 客戶程序 的使用和配置 . 安 全 shell 客戶程序的 使用 安全 shell 客戶程序， ssh2和 scp2在命令選項(xiàng)上說明不同的語法規(guī)則。既可以增加這些登錄信息，但這會(huì)損害用戶的隱私權(quán)，當(dāng)然你也可以關(guān)閉它們，其結(jié)果是僅有極少的錯(cuò)誤信息會(huì)被記錄。 河北司法警官職業(yè)學(xué)院 13 使用方法： HostKey /usr/local/etc/ RandomSeedFile 該選 項(xiàng)用來定義產(chǎn)生服務(wù)器密鑰的隨機(jī)生成文件。這和 sshd1的X11Forwarding 選項(xiàng)一致。存活信息 能讓遠(yuǎn)程的服務(wù)器知道連接是否已經(jīng)中斷，并在確定連接中斷的情況下殺掉活動(dòng)進(jìn)程。它同樣使你的系統(tǒng)暴露于伯克利服務(wù)攻擊，但公共密鑰認(rèn)證使危險(xiǎn)性被最大限度地降低了。隱含值為“ yes”，口令被用來保護(hù)公共密鑰而不是帳戶自身。 IgnoreRhosts 這是一個(gè)與 sshd1同樣的配置選項(xiàng)。既然代碼是自由的，你會(huì)被歡迎來編輯并記錄更多的信息。如果連接請(qǐng)求來自 SSH1客戶， SSH2守護(hù)將會(huì)把連接轉(zhuǎn)寄到 SSH1守護(hù)。如果端口 22已經(jīng)被其他的應(yīng)用程序使用或以非超級(jí)用戶身份啟動(dòng)安全 shell 你可能希望定義一個(gè)替代的端口。如果你將安全守護(hù)設(shè)為調(diào)試模式，該選項(xiàng) 將自動(dòng)地設(shè)為零。所以在選擇版本時(shí)，要注意，你所連接或想要連接你的系統(tǒng)有什么版本你就應(yīng)當(dāng)選 什么版本 。 v=(()mod p)mod q。 由于此過程之中私鑰的保密性和對(duì)于大整數(shù) z 的因式分解是困難的，這就保證了罅隙傳遞過程中的安全性。因此， 非對(duì)稱密鑰密碼體制又可稱為公開密鑰密碼體制。而且，這些網(wǎng)絡(luò)服務(wù)程序的簡(jiǎn)單安全驗(yàn)證方式也有其弱點(diǎn)，那就是很容易受到別人的攻擊。 研究目標(biāo) 1 主要內(nèi)容 1 . 對(duì)稱 密鑰密碼體質(zhì)： 2 . 非對(duì)稱密鑰密碼體制 2 . RSA 算法 2 . DSA 算法 3 2. 安全 SSH 的工作原理 4 . SSH 的應(yīng)用范圍 錯(cuò)誤 !未定義書簽。并對(duì) SSH 協(xié)議中采用的算法，諸如： RSA、 DSA、 DES3 等進(jìn)行介紹 河北司法警官職業(yè)學(xué)院 2 . 對(duì)稱密鑰密碼體質(zhì)： 對(duì)稱密鑰密碼體質(zhì)是一種比較傳統(tǒng)的加密方式。這也就在說經(jīng)由RSA 公鑰加密的消息，要通過已 知公鑰來破解私鑰獲得明文，一般情況下再消息的有效時(shí)間內(nèi)是很難成功的，畢竟對(duì)于研究條件具備各種技術(shù)情況下，破解 512 位的的公鑰都需要7 個(gè)月時(shí)間，更何況 RSA 的公鑰通常都是 1024 位，如果消息的保密性還高的話可以使用2048 位，或者更多，這樣 RSA 就利用了一個(gè)難以解決的數(shù)學(xué)問題。 密鑰長(zhǎng)度是 512~1024 位。 建立連接 河北司法警官職業(yè)學(xué)院 5 . 服務(wù)器端認(rèn)證用戶 認(rèn)證的過程如上圖所示：客戶端用自己的私鑰將一段明文加密，并將自己的公鑰附在密文后面?zhèn)鹘o服務(wù)器，服務(wù)器端用公鑰解密，如果成功，再將公鑰送往公鑰數(shù)據(jù)庫或認(rèn)證中心進(jìn)行身份認(rèn)證。 f configfile 與 sshd1一樣， 你可以指定一個(gè)特定的配置文件。當(dāng)服務(wù)器密鑰重新產(chǎn)生時(shí)，客戶程序?yàn)榱说玫揭粋€(gè)正常長(zhǎng)度或更為強(qiáng)壯的服務(wù)器密鑰而不得不等待過長(zhǎng)的時(shí)間。 注： sshd2中沒有 k key_generation_time 選項(xiàng)。記住，你并不希望自己的密鑰非常脆弱。有一些選項(xiàng)是不能在命令行中被設(shè)置的，但可以在配置文件中設(shè)置它們以使其工作。你既可以使用其中一種，也可以使用它們的組合以通過安全 shell 進(jìn)入帳戶。它與sshd1配置文件中的選項(xiàng) RhostsAuthentication 選項(xiàng)一致。 Ciphers 可以指定準(zhǔn)備用來加密的算法。但在端口22已經(jīng)被使用的情況下你可能會(huì)指定一個(gè)其他的端口。 使用方法： HostKey $ HOME/.ssh2/ssh2_identity HostKeyFile 這個(gè)選項(xiàng)指定用來做私有主機(jī)密鑰的文件，與 sshd1的 Host Key 選項(xiàng)一致?？梢詫⑦@個(gè)選項(xiàng)設(shè)為零，這將意味著對(duì)認(rèn)證時(shí)間沒有限制。該選項(xiàng)與“ v”選項(xiàng)類似。 注意： ssh2不存在 k Kerberos 標(biāo)簽和 y 遠(yuǎn)程端選項(xiàng)。如果 IDEA 不同時(shí)被兩臺(tái)安全 shell 服務(wù)器支持，則使用 3DES。但可以設(shè)置為任何字符成控制字符。這不運(yùn)行 ssh2客戶 程序。這通常用于腳本以及發(fā)送正在在遠(yuǎn)程主機(jī)上運(yùn)行的 X 傳輸。這和 ssh1使用的選項(xiàng)一樣，通常適合于警告和診斷信息。使 ssh 產(chǎn)生打印關(guān)于程序運(yùn)行的調(diào)試信息。可以選擇你要用的對(duì)稱鑰匙密碼來加密網(wǎng)絡(luò)傳輸。 p 保留從源主機(jī)拷貝過來文件的屬性。在把源文件（和目錄）拷貝到目的后，該選項(xiàng)將刪除這些原文件（和目錄）而不是保留住它們。 DES 和 Arcfour 是已知的兩種 不安全的密碼，因此不要使用它們。 v 冗余模式。 （ 2）認(rèn)證 安全 Shell 提供不同的認(rèn)證方法：口令字，遠(yuǎn)程主機(jī)（ rhost），公共密鑰和 TIS 認(rèn)證機(jī)制。該選項(xiàng)把 ssh1 中的 PasswordPromptHostname 和 PasswordPromptLogin 的兩個(gè)選項(xiàng)合并成一個(gè)選項(xiàng)。如果你保持該選項(xiàng)為“ yes”（缺省值 ）可能想設(shè)置一些更嚴(yán)格的主機(jī)登錄請(qǐng)求。你 最好是選擇 IDEA、 3DES 或選擇 Blowfish。 使用方法： GoBackground Yes KeepAlive 安全 Shell 守護(hù)程序可以設(shè)置成發(fā)送保持活動(dòng)狀態(tài)或不發(fā)送該信息。因此，除了繼承 rsh 的安全問題外，你可能不想使用這個(gè)特殊選項(xiàng)。 LocalForward 這把任何到指定端口的本地主機(jī)的端口連接轉(zhuǎn)寄到遠(yuǎn)程主機(jī)的連接端口，這是使用在 sshl 的相同選項(xiàng)。盡管這在 ，它和 sshl 的UsePrivilegedPort 選項(xiàng)相同?？梢允褂?的選項(xiàng)是 “none”,“ traditional” 和 “ssh2” 。多數(shù)人保留該選項(xiàng)為 “no” 。這次通過學(xué)習(xí) SSH 這個(gè)流行的加密技術(shù)更深入的了解到了加密技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中的重要性，本文主要介紹了 SSH 協(xié)議以及是怎樣產(chǎn)生密鑰的。否則， none” 將不會(huì)轉(zhuǎn)寄任何 SSH1代理， “traditional” 將象運(yùn)行 SSH1一樣轉(zhuǎn)寄。 使用方法： UsePrivilegedPort yes （ 6）轉(zhuǎn)寄選項(xiàng) 這些選項(xiàng)用來定義 ssh2的轉(zhuǎn)寄。對(duì)于特權(quán)端口，只有超級(jí)用戶可以轉(zhuǎn)寄它們。這包括系統(tǒng)和用戶的用戶身份文件和已知主機(jī)文件。保持活動(dòng)信息使得遠(yuǎn)程服務(wù)器知道連接是否已經(jīng)終止；其結(jié)果是殺掉活動(dòng)進(jìn)程。 使用方法： Cipher idea Compression 定義你是否使用壓縮，這是 ssh1中的相同選項(xiàng)。這和安全 Shell 服務(wù)器守護(hù)程序配置選項(xiàng)RHostsPubkey Authentication 類似。這僅對(duì)用戶所見有影響，而不影響程序的實(shí)際運(yùn)行。然而，得留河北司法警官職業(yè)學(xué)院 20 心，遠(yuǎn)程主機(jī)認(rèn)證是最脆弱的，任何與公共密鑰對(duì)的組合都將是最強(qiáng)的認(rèn)證形式。它打印出調(diào)試級(jí)為 2的信息這對(duì)調(diào)試連接、認(rèn)證和配置問題時(shí)有幫助，和用在 scp1中的相同選項(xiàng)類似。Blowfish 和 Twofish 是支持 ssh2最快的算法。 v 冗余模式。該選項(xiàng)直接從 rcp 移植過來并和 scp1中使用的選項(xiàng)相同。你所要選擇的密碼有 IDEA， DES， 3DES， Blowfish， Arcfour和 Twofish。這相當(dāng)于在調(diào)試模式下以 2級(jí)運(yùn)行。 R port:host:hostport 這將從指定端口上的遠(yuǎn)程主機(jī)連接轉(zhuǎn)寄到本地主機(jī)上的主機(jī)端口。 o option 該選項(xiàng)用于當(dāng)沒有定義命令行選項(xiàng)時(shí)，在配置文件中傳送選項(xiàng)。缺省文件為 $HOME/.ssh2/id_dsa1024_a。 你也可以定義為“ none”，這使用會(huì)話透明，但你可能想在連接懸掛起來時(shí)讓它作為缺省值。這和 ssh 的 c 選項(xiàng)相同。這一點(diǎn)和 ssh1客戶相同。安全文件傳輸服務(wù)器由安全 shell 2守護(hù)來運(yùn)行，后者偵聽端口 22。 使用方法： LoginGraceTime 660 PrintMotd 該選項(xiàng)決定用戶帳號(hào)是否打印出存放于 /etc/id 中的系統(tǒng)每日信息。正常情況下，除了