【文章內(nèi)容簡(jiǎn)介】 sAuthentication 選項(xiàng)一致。這并不需要口令或公共密鑰，但它使你的系統(tǒng)對(duì)伯克利服務(wù)攻擊和其他迫使你必須使用安全 shell 的安全漏洞開放。隱含值是“ no”，最好就保留這個(gè)值。如果你想使用 Rhosts 認(rèn)證，就讓它和 RHostsPubKey Authentication 中的公共密鑰認(rèn)證結(jié)合起來(lái)使用。 RHostsPubKeyAuthentication 在安全 shell2的最新版本中并沒(méi)有安裝這個(gè)選項(xiàng)。它設(shè)置基于 .rhosts 或 /etc/ 的公共密鑰認(rèn)證，與 sshd1的配置文件 RhostsRSA Authentication 配置選項(xiàng)一致。認(rèn)證不需要口令，但要求在遠(yuǎn)程端有 DSA 或 RSA 密鑰認(rèn)證。它同樣使你的系統(tǒng)暴露于伯克利服務(wù)攻擊，但公共密鑰認(rèn)證使危險(xiǎn)性被最大限度地降低了。如果你讓該選項(xiàng)取值“ yes”（這也是隱含 值），你就有必要為主機(jī)設(shè)置更為嚴(yán)格的登錄要求。再說(shuō)一句，如果你希望保持系統(tǒng)的安全，關(guān)閉任何類型的 rhosts 認(rèn)證。 PubKeyAuthentication 可以使用任意多種類型的認(rèn)證，或正如所見，也可以單獨(dú)使用一種類型的認(rèn)證。比如說(shuō)你就可以僅允許公共密鑰認(rèn)證工作。這和 sshd1的RSAAuthentication 選項(xiàng)一致。它并不需要 rhosts 或口令來(lái)協(xié)助認(rèn)證。隱含值為“ yes”，你最好將選項(xiàng)保持在該狀態(tài)。 3．服務(wù)器選項(xiàng) 河北司法警官職業(yè)學(xué)院 11 這些選項(xiàng)用來(lái)定義安全 shell 守護(hù)的功能，包括 TCP 轉(zhuǎn)寄，對(duì)特殊地址與端口的偵聽 ，發(fā)送存活信息及服務(wù)器密鑰的設(shè)置等。 Ciphers 可以指定準(zhǔn)備用來(lái)加密的算法。目前系統(tǒng)支持的算法有 DES， 3DES， Blowfish, Twofish, IDEA 和 Arcfour。不可以為該選項(xiàng)指定其他的值： any,anystd 和 anycipher,在你調(diào)試和測(cè)試時(shí)，將選項(xiàng)置為 none。 Sshd1Path 如果你準(zhǔn)備與 SSH1兼容，就需要指定 SSH1路徑，尤其是當(dāng)你將 sshd1安裝在一個(gè)非公共目錄下時(shí)。 ForwardAgent 這個(gè)選項(xiàng)確定你是否能將安全 shell 認(rèn)證代理（ sshagent2）轉(zhuǎn)寄到遠(yuǎn)程主機(jī)上。你既可以打開又可以關(guān)閉這個(gè)選項(xiàng)。 KeepAlive 安全 shell 守護(hù)能通過(guò)設(shè)置來(lái)決定是否發(fā)生存活（ Keepalive）信息。存活信息能讓遠(yuǎn)程的服務(wù)器知道連接是否已經(jīng)中斷，并在確定連接中斷的情況下殺掉活動(dòng)進(jìn)程。這和 sshd1的配置文件中選項(xiàng)一致。當(dāng)然，如果程序只是暫時(shí)地掛起，它會(huì)發(fā)出如下的令人沮喪的信息： Connection down： disconnecting 這當(dāng)然是令人厭煩的信息。但如果你不發(fā)送存活信息，會(huì)留下一些能夠消耗掉資源的幽靈一般的程序。如果你要關(guān)閉存活信息發(fā)送選項(xiàng)， 必須同時(shí)修改服務(wù)器端與客戶端的配置文件。 使用方法： KeepAlive Yes ListenAddress 如果你正在運(yùn)行一個(gè)多地址主機(jī)，可以指定你希望服務(wù)器偵聽的地址。這和 sshd1配置文件中的選項(xiàng)一致。如果你沒(méi)有多個(gè)主 IP 接口的話，隱含值是你的主IP接口。 使用方法： ListenAddress Port 可以通過(guò)該選項(xiàng)指定一個(gè)安全 shell 守護(hù)偵聽的端口，隱含值為 22。但在端口22已經(jīng)被使用的情況下你可能會(huì)指定一個(gè)其他的端口。這和 sshd1的配置選項(xiàng)一致，與 p選項(xiàng)也一樣。 使用 方法： 河北司法警官職業(yè)學(xué)院 12 Port 21 StrictModes 可以使服務(wù)器在建立登錄連接之前檢查用戶主目錄的文件模式和屬主。這與 sshd1所擁有的選項(xiàng)一致，這是一個(gè)很好的選項(xiàng)，因?yàn)橛脩艨赡軙?huì)意外地將目錄與文件的選項(xiàng)置為可寫。如果的確是這樣，一定要將它們改正過(guò)來(lái)。隱含設(shè)置為“ yes”。 使用方法： StrictModes yes ForwardX11 這個(gè)選項(xiàng)確定是否允許 X 轉(zhuǎn)寄通過(guò)安全 shell 守護(hù)。這和 sshd1的X11Forwarding 選項(xiàng)一致。與其它的 TCP 傳輸一樣，這個(gè)選項(xiàng)在用戶指定轉(zhuǎn)寄時(shí)會(huì)被覆蓋掉。這取決于 你是否允許 X 傳輸通過(guò)。然而，如果你打算讓 X 傳輸能傳送到遠(yuǎn)端，最好讓它們轉(zhuǎn)寄到安全 shell。隱含設(shè)置為“ yes”。 使用方法： ForwardX11 yes ： 這些選項(xiàng)定義安全 shell 守護(hù)密鑰文件的存放位置。這包括密鑰文件，進(jìn)程標(biāo)識(shí)文件等。 AuthorizationFile 這 個(gè) 選 項(xiàng) 指 定 用 戶 授 權(quán) 文 件 的 名 字 。 隱 含 值 為~/.ssh2/authorization,它提供了一個(gè)安全 shell 服務(wù)器識(shí)別用戶的私有密鑰列表。 使用方法： HostKey $ HOME/.ssh2/ssh2_identity HostKeyFile 這個(gè)選項(xiàng)指定用來(lái)做私有主機(jī)密鑰的文件，與 sshd1的 Host Key 選項(xiàng)一致。如果你不是以超級(jí)用戶的身份運(yùn)行安全 shell 守護(hù)，你必須使用這個(gè)文件。正常情況下，除了對(duì)超級(jí)用戶主機(jī)密鑰文件是不可讀的。隱含值為 /etc/ssh2/hostkey。如果你使用了一個(gè)替代文件，一定要將其屬性設(shè)為 400，這與 h選項(xiàng)一樣。 使用方法： Hostkey /usr/local/etc/ssh2_host_key PublicHostKeyFile 與 HostKeyFile 選項(xiàng)類似，該選 項(xiàng)指定用來(lái)做公有主機(jī)密鑰。 河北司法警官職業(yè)學(xué)院 13 使用方法： HostKey /usr/local/etc/ RandomSeedFile 該選項(xiàng)用來(lái)定義產(chǎn)生服務(wù)器密鑰的隨機(jī)生成文件。它和 sshd1配置選項(xiàng) RandomSeed 一致。隱含的文件位置為： /etc/ssh2/random_seed. 使用方法： RandomSeed /usr/local/etc/ssh2_random_seed 這個(gè)選項(xiàng)定義經(jīng)過(guò)安全 shell 登錄到遠(yuǎn)程帳號(hào)時(shí)，影響帳號(hào)環(huán)境變量的那些設(shè)置。絕大部分設(shè) 置發(fā)生于登錄時(shí)使用的 .profile 或 .cshrc 之類的設(shè)置。但你也可以在安全 shell守護(hù)配置文件中設(shè)置它們并使其發(fā)生作用。 LoginGraceTime 該選項(xiàng)設(shè)置安全 shell 守護(hù)中的“警報(bào)”機(jī)制，與 sshd1的配置選項(xiàng)效果相同。它給安全客戶規(guī)定一個(gè)特定的時(shí)間，每經(jīng)過(guò)該單位時(shí)間，安全客戶將與服務(wù)器認(rèn)證一次。隱含時(shí)間為 600秒。如果安全客戶不進(jìn)行認(rèn)證，服務(wù)進(jìn)程將斷開與 socket 的連接?？梢詫⑦@個(gè)選項(xiàng)設(shè)為零，這將意味著對(duì)認(rèn)證時(shí)間沒(méi)有限制。如果你將安全 shell 置于調(diào)試模式，該選項(xiàng)將被自動(dòng)地置為零，可以 發(fā)現(xiàn)，它的效果與 g選項(xiàng)類似。 使用方法： LoginGraceTime 660 PrintMotd 該選項(xiàng)決定用戶帳號(hào)是否打印出存放于 /etc/id 中的系統(tǒng)每日信息。這與 sshd1中的同名選項(xiàng)類似，僅應(yīng)用于以交互方式登錄時(shí)（不是以 scp 與 ssh 后隨命令的方式）。選項(xiàng)的隱含值為“ yes”。它可以在用戶的環(huán)境初始化文件中設(shè)置。 使用方法： PrintMotd no 6．登錄選項(xiàng) 這些選項(xiàng)能夠影響被送往日志文件的信息。既可以增加這些登錄信息，但這會(huì)損害用戶的隱私權(quán)，當(dāng)然你也可以關(guān)閉它們，其結(jié)果是僅有極 少的錯(cuò)誤信息會(huì)被記錄。 Quiet Mode 該選項(xiàng)設(shè)置啞模式，這意味著將不會(huì)有任何信息被送往系統(tǒng)日志文件。它與 sshd1的同名選項(xiàng)類似。通常情況下被發(fā)送的內(nèi)容是：連接起始標(biāo)志，用戶的認(rèn)證和河北司法警官職業(yè)學(xué)院 14 連接終止標(biāo)志。除非你的日志文件總是很快就被填滿，否則最好不要打開這個(gè)選項(xiàng)。定期審查登錄的蹤跡是一個(gè)好習(xí)慣，這樣可以查看是否有人非法進(jìn)入到你的系統(tǒng)。該選項(xiàng)與“ q”選項(xiàng)類似，隱含值為“ no”。 使用方法： QuietMode no Verbose Mode 在該模式下， sshd2將會(huì)打印出第 2層的調(diào)試信息。記住在打開該 模式的情況下 sshd2守護(hù)程序?qū)⒉粫?huì)復(fù)制產(chǎn)生子進(jìn)程。該選項(xiàng)與“ v”選項(xiàng)類似。 使用方法： VerboseMode no 盡管體現(xiàn)了安全 shell 2的一些新 的特征，安全文件傳輸服務(wù)器并沒(méi)有被很好地用文檔加以說(shuō)明。安全文件傳輸服務(wù)器由安全 shell 2守護(hù)來(lái)運(yùn)行，后者偵聽端口 22。從某種意義上說(shuō)，它的工作機(jī)理和 scp 非常相像。它使用非安全應(yīng)用程序（ rcp 或 ftp）的代碼，連接也通過(guò)端口 22被轉(zhuǎn)寄。因?yàn)楦褚粋€(gè)客戶程序。而非服務(wù)器程序，安全 FTP 將會(huì)在“安全 shell 2客戶 — ssh2, scp2和 sftp2”中加以描述。 . 客戶程序 的使用和配置 . 安 全 shell 客戶程序的 使用 安全 shell 客戶程序， ssh2和 scp2在命令選項(xiàng)上說(shuō)明不同的語(yǔ)法規(guī)則。 ssh2客戶程序具有更多的選項(xiàng)，這是因?yàn)榫哂斜葐渭兛截愇募嗟墓δ堋２⒂捎?scp2使用 ssh2作為運(yùn)輸工具， ssh2客戶程序也需要為 scp 提供一些功能。 為了所有這些意圖和目標(biāo)， ssh2具有很簡(jiǎn)單的語(yǔ)法： $ ssh2 [選項(xiàng) ]主機(jī)名 [命令 ] 注意：不必鍵入 ssh2或 scp2來(lái)運(yùn)行任何一個(gè)安全 shell2客戶程序。在安裝了 ssh2應(yīng)用程序之后， ssh 和 scp 的符號(hào)連接會(huì)分別連接到 ssh2和 scp2。如果安裝有 ssh1和 ssh2客戶程序。你將需要運(yùn)行 ssh1和 scp1來(lái)運(yùn)行 ssh1客戶程序。 ssh2的命令行選項(xiàng)比 ssh1命令行選項(xiàng)更豐富。你將發(fā)現(xiàn) ssh2有一些更多可供使用的功能，這包括允許認(rèn)證代理，不允許壓縮，設(shè)置調(diào)試等級(jí)和允許 X轉(zhuǎn)寄。 注意： ssh2不存在 k Kerberos 標(biāo)簽和 y 遠(yuǎn)程端選項(xiàng)。 河北司法警官職業(yè)學(xué)院 15 a 該選項(xiàng)讓你能夠關(guān)閉對(duì)認(rèn)證代理的轉(zhuǎn)寄。這一點(diǎn)和 ssh1客戶相同。它阻止了加載到內(nèi)存中的口令（ passphrase）被用于安全 Shell 客戶的發(fā)行。如果需要，你可以在每個(gè)主機(jī)的配置文件里指定該功能而不是在全局定義這種功能。 +a 該選項(xiàng)允許認(rèn)證代理進(jìn)行轉(zhuǎn)寄，這是缺省選項(xiàng)。 c cipher 這和在 ssh 中定義的選項(xiàng)相同，這是因?yàn)樗恢苯觽魉徒o ssh。這也和scp1使用的選項(xiàng)相同。你可以選擇你想要的對(duì)稱鑰匙密碼來(lái)加密網(wǎng)絡(luò)傳輸。這不影響使用DSA 或 RSA 公共密鑰的認(rèn)證。所選擇的密碼有 IDEA， DES， 3DES， Blowfish 和 Twofish。你也可以選擇“ none”，但該選擇關(guān)閉加密從而使安全 Shell 客戶變得不安全。該“ none”選項(xiàng)可以只用來(lái)調(diào)試和測(cè)試所要的目標(biāo)，而不在實(shí)際中使用。最好的選擇是使用 3DES， IDEA或 Blowfish。 Blowfish 和 Twofish 是 ssh2支持的最快的算法 。為了獲得最高的安全性，使用 IDEA。如果 IDEA 不同時(shí)被兩臺(tái)安全 shell 服務(wù)器支持，則使用 3DES。 +C 壓縮通過(guò)安全 shell 客戶發(fā)送的所有數(shù)據(jù)，這包括輸入、輸出、錯(cuò)誤信息和轉(zhuǎn)寄的數(shù)據(jù)。這和 ssh 的 c 選項(xiàng)相同。不要把它們混淆。這使用 gzip 算法，并且壓縮級(jí)別可以通過(guò)配置文件的 CompressionLevel 選項(xiàng)定義。這種壓縮對(duì)速度慢的網(wǎng)絡(luò)很有效，例如modem，但在速度已經(jīng)很快的網(wǎng)絡(luò)上幫助不大。使用配置文件也可以允許為基于單個(gè)主機(jī)配置該選項(xiàng)。 C 該選項(xiàng)關(guān)閉壓縮。請(qǐng)注意這和 ssh1的選項(xiàng)作用 是相反的。這也是 ssh2的缺省選項(xiàng)。 d debug_level 這打印出所要的第幾級(jí)的調(diào)試信息。數(shù)字越大，所得到的信息越多。該數(shù)字從 0到 99。記住 v選項(xiàng)打印出第三級(jí)的調(diào)試信息。 e escape_character 這定義轉(zhuǎn)義字符。缺符為“ n”。但可以設(shè)置為任何字符成控制字符。這也和 ssh 的選項(xiàng)相同。 你也可以定義為“ none”，這使用會(huì)話透明，但你可能想在連接懸掛起來(lái)時(shí)讓它作為缺省值。為了能使用轉(zhuǎn)義字符。鍵入轉(zhuǎn)義字符，隨后鍵入字點(diǎn)號(hào)，這就終止連接。如果你鍵入轉(zhuǎn)義字符，隨后鍵入 control+z，則把連接暫時(shí)掛起。 f 把 ssh 連接發(fā)送到后臺(tái)。這和 ssh1的選項(xiàng)相同。在認(rèn)證完成并且 TCP/IP 轉(zhuǎn)寄建立之后發(fā)生。在遠(yuǎn)程主機(jī)上啟動(dòng) X 程序是不簡(jiǎn)單的。用戶被提示輸入口令（假設(shè)認(rèn)證代理沒(méi)有運(yùn)行），接著連接被發(fā)送到后臺(tái)。 F configuration_file 該選項(xiàng)指定使用哪個(gè)用戶配置文件。缺省的配置文件為~/.ssh2/ssh2_config。然而，你可以擁有自己的缺省配置文件和其它的配置文件。首先讀入可選的文件，然后再加入缺省文件選項(xiàng)。 河北司法警官職業(yè)學(xué)院 16 h 打印幫助命令摘要，然后退出。這不運(yùn)行 ssh2客戶 程序。 i identity_file 該選項(xiàng)定義 DSA 私人密鑰，或認(rèn)證所要讀取的身份文件，這和 ssh2里的相同選項(xiàng)功能相似。缺省文件為 $HOME/.ssh2/id_dsa1024_a。可以為不同主機(jī)定義多個(gè)文件。如果你的確定義了不同文件，可能想為每臺(tái)主機(jī)分別命名這些文件（例如，,）。 l login_name 該選項(xiàng)指定你在遠(yuǎn)程主機(jī)上登錄的用戶名。這個(gè)選項(xiàng)和 ssh1的相同。缺省的用戶名和本地主機(jī)的用戶名相同，也可以在 配置文件中