【正文】 是否為原始發(fā)送的校驗字?jǐn)嚅_連接. SSH的數(shù)據(jù)完整性SSH包格式驗字節(jié)=摘要函數(shù)（數(shù)據(jù)，順序號，會話密鑰）如果發(fā)送方和接收方校驗字節(jié)相同，說明數(shù)據(jù)未被改動。；，因此二者并不兼容。. 服務(wù)器端SSHD的使用和配置：b bits 可以指定服務(wù)器密鑰的比特數(shù)。d 調(diào)試模式。安全shell守護(hù)被啟動，但它并沒有在后臺運行也沒有產(chǎn)生任何子進(jìn)程。調(diào)試輸出結(jié)果存放于系統(tǒng)的日志文件，而警報機(jī)制則將被關(guān)閉。f configfile 與sshd1一樣，你可以指定一個特定的配置文件。g login_grale_time 與sshd1一樣，它設(shè)置安全shell守護(hù)中的“警報”機(jī)制。隱含的時間為600秒（10分鐘）。你可以將它設(shè)置為0，這意味著對確認(rèn)時間沒有限制。h host_key_file 與sshd1一樣，它指定用于私有主機(jī)密鑰的文件。正常情況下，私有的主機(jī)密鑰文件是不可讀的（超級用戶除外）。同樣，如果你使用了替換文件，確信其權(quán)限已被設(shè)為400。與SSH1類似，你可以選擇是否需要用TCP外包來運行安全shell守護(hù)程序或從inetd運行它。當(dāng)服務(wù)器密鑰重新產(chǎn)生時，客戶程序為了得到一個正常長度或更為強(qiáng)壯的服務(wù)器密鑰而不得不等待過長的時間。o option 你可以指定用在配置文件中的選項，但命令行中的選項不能在這兒被指定。你可以指定服務(wù)器偵聽socket的端口。記住這也是在/etc/services中定義的端口號，除非你已經(jīng)改變了它。q 指定啞模式，這意味著系統(tǒng)日志接受不到任何信息。通常情況下被發(fā)送的內(nèi)容為連接的起始，用戶的認(rèn)證及連接的終止。因為這樣你可以檢查是否有人非法地進(jìn)入系統(tǒng)。這和將選項d2給sshd效果是一樣的。注：sshd2中沒有k key_generation_time選項。要做到這一點，你需要具備SSH1的最新版本（）以及SSH2的一份拷貝。如果沒有這樣做，你就不能發(fā)送或接受安全shell客戶的連接請求。然而，你可以同時使用SSH1的最新版本與SSH2。但你不能連接SSH1客戶與SSH2服務(wù)器，反之亦然。（2）一些例子這些選項并沒有隱含地設(shè)置。隱含情況下，安全shell守護(hù)以如下方式運行： sshd下面的例子與第三章類似。你也可以將這些選項賦上隱含值，這和隱含地執(zhí)行命令有同樣的效果。記住，你并不希望自己的密鑰非常脆弱。（3）從啟動腳本中初始化安全shell運行安全shell的大多數(shù)的系統(tǒng)管理員希望它總是處于運行狀態(tài)，并且也不希望每次都要啟動它，就能使其運行。這和第三章“安全shell守護(hù)程序—sshd”中描述過的SSH1啟動過程十分類似。操作系統(tǒng)啟動程序腳本Slackware Linux/etc/Red Hat Linux/etc/rc*.dSolaris/sbin/rc*.dHPUX/sbin/rc*.dIrix/etc/rc*.dAIXDEC UNIX（4）記錄你的連接安全shell守護(hù)程序在隱含的情況下，記錄初始的連接請求，認(rèn)證及連接終止。這來自Slackware Linux的日志文件/var/adm/message。你同樣可以用D PARANOID選項使用TCP外包程序來記錄每一個socket。記住你的記錄存放位置與操作系統(tǒng)有關(guān)。查閱你的操作系統(tǒng)使用手冊以尋找記錄文件的位置。有一些選項是不能在命令行中被設(shè)置的，但可以在配置文件中設(shè)置它們以使其工作。安全shell的隱含配置文件是/etc/sshd2/sshd_config。在/etc/sshd2/sshd_config文件中，定義這些選項的格式如下：OptionType Argument如果你有多個參數(shù)，用空白行隔開它們。這沒有提供與SSH1一樣多的過濾選項，但有一些還是很有用的，例如忽視rhosts文件和允許或禁止超級用戶登錄的權(quán)力。該選項對系統(tǒng)端的文件/etc/。如果你想使用的話。隱含值是“yes”，但你可以將其關(guān)閉。安全shell提供了不同的認(rèn)證方法：口令、.rhosts和公共密鑰。記住，rhost認(rèn)證是最脆弱的認(rèn)證系統(tǒng)，而和公共密鑰的組合則會成為最強(qiáng)有力的認(rèn)證形式。PasswordGuesses 該選項指定用戶正確地鍵入口令前最多登錄企圖，以進(jìn)行口令認(rèn)證。PasswordAuthentication 可以通過該選項決定是否利用口令以經(jīng)過安全shell進(jìn)入帳戶。隱含值為“yes”，口令被用來保護(hù)公共密鑰而不是帳戶自身。PermitEmptyPasswords 這個選項決定你是否想使用口令來幫助認(rèn)證。可以允許空口令，然而，我們建議你最好不要這樣做。隱含值為“yes”。RHostsAuthentication 。這并不需要口令或公共密鑰，但它使你的系統(tǒng)對伯克利服務(wù)攻擊和其他迫使你必須使用安全shell的安全漏洞開放。如果你想使用Rhosts認(rèn)證，就讓它和RHostsPubKey Authentication中的公共密鑰認(rèn)證結(jié)合起來使用。與sshd1的配置文件RhostsRSA Authentication配置選項一致。它同樣使你的系統(tǒng)暴露于伯克利服務(wù)攻擊，但公共密鑰認(rèn)證使危險性被最大限度地降低了。再說一句，如果你希望保持系統(tǒng)的安全，關(guān)閉任何類型的rhosts認(rèn)證。比如說你就可以僅允許公共密鑰認(rèn)證工作。它并不需要rhosts或口令來協(xié)助認(rèn)證。3．服務(wù)器選項這些選項用來定義安全shell守護(hù)的功能，包括TCP轉(zhuǎn)寄，對特殊地址與端口的偵聽，發(fā)送存活信息及服務(wù)器密鑰的設(shè)置等。目前系統(tǒng)支持的算法有DES，3DES，Blowfish, Twofish, IDEA和Arcfour。Sshd1Path 如果你準(zhǔn)備與SSH1兼容，就需要指定SSH1路徑，尤其是當(dāng)你將sshd1安裝在一個非公共目錄下時。你既可以打開又可以關(guān)閉這個選項。存活信息能讓遠(yuǎn)程的服務(wù)器知道連接是否已經(jīng)中斷，并在確定連接中斷的情況下殺掉活動進(jìn)程。當(dāng)然，如果程序只是暫時地掛起，它會發(fā)出如下的令人沮喪的信息：Connection down：disconnecting這當(dāng)然是令人厭煩的信息。如果你要關(guān)閉存活信息發(fā)送選項，必須同時修改服務(wù)器端與客戶端的配置文件。這和sshd1配置文件中的選項一致。使用方法：ListenAddress Port 可以通過該選項指定一個安全shell守護(hù)偵聽的端口，隱含值為22。這和sshd1的配置選項一致，與p選項也一樣。這與sshd1所擁有的選項一致，這是一個很好的選項，因為用戶可能會意外地將目錄與文件的選項置為可寫。隱含設(shè)置為“yes”。這和sshd1的X11Forwarding選項一致。這取決于你是否允許X傳輸通過。隱含設(shè)置為“yes”。這包括密鑰文件，進(jìn)程標(biāo)識文件等。隱含值為~/.ssh2/authorization,它提供了一個安全shell服務(wù)器識別用戶的私有密鑰列表。如果你不是以超級用戶的身份運行安全shell守護(hù)，你必須使用這個文件。隱含值為/etc/ssh2/hostkey。使用方法：Hostkey /usr/local/etc/ssh2_host_key使用方法：HostKey /usr/local/etc/RandomSeedFile 該選項用來定義產(chǎn)生服務(wù)器密鑰的隨機(jī)生成文件。隱含的文件位置為：/etc/ssh2/random_seed.使用方法：RandomSeed /usr/local/etc/ssh2_random_seed這個選項定義經(jīng)過安全shell登錄到遠(yuǎn)程帳號時，影響帳號環(huán)境變量的那些設(shè)置。LoginGraceTime 該選項設(shè)置安全shell守護(hù)中的“警報”機(jī)制，與sshd1的配置選項效果相同。隱含時間為600秒?？梢詫⑦@個選項設(shè)為零，這將意味著對認(rèn)證時間沒有限制。使用方法：LoginGraceTime 660PrintMotd 該選項決定用戶帳號是否打印出存放于/etc/inetd中的系統(tǒng)每日信息。選項的隱含值為“yes”。使用方法：PrintMotd no6．登錄選項 這些選項能夠影響被送往日志文件的信息。Quiet Mode 該選項設(shè)置啞模式，這意味著將不會有任何信息被送往系統(tǒng)日志文件。通常情況下被發(fā)送的內(nèi)容是：連接起始標(biāo)志，用戶的認(rèn)證和連接終止標(biāo)志。定期審查登錄的蹤跡是一個好習(xí)慣，這樣可以查看是否有人非法進(jìn)入到你的系統(tǒng)。使用方法：QuietMode noVerbose Mode 在該模式下，sshd2將會打印出第2層的調(diào)試信息。該選項與“v”選項類似。安全文件傳輸服務(wù)器由安全shell 2守護(hù)來運行，后者偵聽端口22。它使用非安全應(yīng)用程序（rcp或ftp）的代碼，連接也通過端口22被轉(zhuǎn)寄。而非服務(wù)器程序，安全FTP將會在“安全shell 2客戶—ssh2, scp2和sftp2”中加以描述。ssh2客戶程序具有更多的選項，這是因為具有比單純拷貝文件更多的功能。為了所有這些意圖和目標(biāo)，ssh2具有很簡單的語法：$ ssh2 [選項]主機(jī)名 [命令]注意：不必鍵入ssh2或scp2來運行任何一個安全shell2客戶程序。如果安裝有ssh1和ssh2客戶程序。 ssh2的命令行選項比ssh1命令行選項更豐富。注意：ssh2不存在k Kerberos標(biāo)簽和y遠(yuǎn)程端選項。這一點和ssh1客戶相同。如果需要，你可以在每個主機(jī)的配置文件里指定該功能而不是在全局定義這種功能。c cipher 這和在ssh中定義的選項相同，這是因為它被直接傳送給ssh。你可以選擇你想要的對稱鑰匙密碼來加密網(wǎng)絡(luò)傳輸。所選擇的密碼有IDEA，DES，3DES，Blowfish和Twofish。該“none”選項可以只用來調(diào)試和測試所要的目標(biāo)，而不在實際中使用。Blowfish和Twofish是ssh2支持的最快的算法。如果IDEA不同時被兩臺安全shell服務(wù)器支持，則使用3DES。這和ssh的c選項相同。這使用gzip算法，并且壓縮級別可以通過配置文件的CompressionLevel選項定義。使用配置文件也可以允許為基于單個主機(jī)配置該選項。請注意這和ssh1的選項作用是相反的。d debug_level 這打印出所要的第幾級的調(diào)試信息。該數(shù)字從0到99。e escape_character 這定義轉(zhuǎn)義字符。但可以設(shè)置為任何字符成控制字符。你也可以定義為“none”，這使用會話透明，但你可能想在連接懸掛起來時讓它作為缺省值。鍵入轉(zhuǎn)義字符，隨后鍵入字點號，這就終止連接。f 把ssh連接發(fā)送到后臺。在認(rèn)證完成并且TCP/IP轉(zhuǎn)寄建立之后發(fā)生。用戶被提示輸入口令（假設(shè)認(rèn)證代理沒有運行），接著連接被發(fā)送到后臺。缺省的配置文件為~/.ssh2/ssh2_config。首先讀入可選的文件，然后再加入缺省文件選項。這不運行ssh2客戶程序。缺省文件為$HOME/.ssh2/id_dsa1024_a。如果你的確定義了不同文件，可能想為每臺主機(jī)分別命名這些文件（例如，,）。這個選項和ssh1的相同。這是很有用的選項，因為今天有些人通過不同的帳號使用著不同主機(jī)。這和ssh1中的選項相同，socket監(jiān)聽在本地主機(jī)上端口和何時建立到該端口的連接（例如，POP端口110），連接被轉(zhuǎn)寄到安全通道，然后建立在hostport上的遠(yuǎn)程主機(jī)的連接。對于特權(quán)端口，只有超級用戶可以轉(zhuǎn)寄。這是ssh1具有的相同選項。這通常用于腳本以及發(fā)送正在在遠(yuǎn)程主機(jī)上運行的X傳輸。o option 該選項用于當(dāng)沒有定義命令行選項時，在配置文件中傳送選項。這包括StrictHostKeyCheckingUseRsh，在命令行中沒有這些選項。該選項的格式和配置文件中的格式相同。缺省端口22，是為安全shell保留的端口。這可以在配置文件中以每臺主機(jī)的方式指定端口。這和ssh1的選項相同。然而，這對通過不具有該選項配置的防火墻進(jìn)行的連接很有用。這和ssh1使用的選項一樣，通常適合于警告和診斷信息。R port:host:hostport 這將從指定端口上的遠(yuǎn)程主機(jī)連接轉(zhuǎn)寄到本地主機(jī)上的主機(jī)端口。這和L選項的工作相反。端口的轉(zhuǎn)寄可以在配置中為每個主機(jī)單獨指定。S 這為安全shell客戶指定不需要會話通道。t 該選項使安全shell客戶工作在交互模式下。這可以用在于遠(yuǎn)程主機(jī)上執(zhí)行基于屏幕的程序。它和ssh1中選項的作用相同。使ssh產(chǎn)生打印關(guān)于程序運行的調(diào)試信