【正文】 SSH 在端到端建立起一條安全會話的通道 ，包括使用公有密鑰加密法進(jìn)行用戶和主機認(rèn)證，和使用對稱密鑰進(jìn)行數(shù)據(jù)加密。 . SSH 的認(rèn)證和加密方式： . SSH 的體系結(jié)構(gòu)： 連接層 用戶認(rèn)證層 傳輸層 傳輸層 :完成加密算法的協(xié)商 ,保證傳輸數(shù)據(jù)的致密性和完整性 ,在傳送對稱密鑰的同時完成客戶端對服務(wù)器端的認(rèn)證。 連接層：位于傳輸層和用戶認(rèn)證層之上，它負(fù)責(zé)連接通道的分配和管理。 . SSH 的工作模型 (Client/Server)： 用對稱密鑰（會話密鑰）加密傳輸數(shù)據(jù) 3. SSH 的安裝和使用 . SSH 的安裝： SSH1和 SSH2基于不同的協(xié)議。所以在選擇版本時，要注意，你所連接或想要連接你的系統(tǒng)有什么版本你就應(yīng)當(dāng)選什么版本 。隱含值為 768bit，然而可以使它變得更大或更小，這取決于你是否從 id 啟動守護(hù)或是否需要更強的安全性。這和 sshd1一樣。調(diào)試級別越高，你接受到的信息也越多。該模式僅能被用于服務(wù)器的調(diào)試，而不是為了增加日志文件的長度。隱含值為/etc/ssh2/sshdlonfig，但如果你不是以超級用戶的權(quán)限來運行安全 shell，你就需要在其他地方定義這個文件。它給客戶程序一個確定的時間，每到相應(yīng)的時間間隔，客戶將和服務(wù)器確認(rèn)一次。如果客戶程序不確認(rèn)，服務(wù)器進(jìn)程將斷開 socket 連接。如果你將安全守護(hù)設(shè)為調(diào)試模式，該選項將自動地設(shè)為零。如果你不是以超級用戶的身份運行安全 shell 守護(hù)，你就必須使用該選項。但如果你以普通的用戶身份運行安全 shell 守護(hù)，河北司法警官職業(yè)學(xué)院 7 情況就不一樣了。 i 你可以指定是否從 id 運行安全 shell。從 id 運行安全 shell 會帶來一些問題，因為安全 shell 守護(hù)需要產(chǎn)生服務(wù)器客戶，然后響應(yīng)客戶，而這將會產(chǎn)生潛在的問題。然而，你也可以使用一個小一點的服務(wù)器密鑰以提高性能，不過要記?。好荑€越小，系統(tǒng)越容易受到攻擊。 p port 與 sshd1類似。隱含值為端口 22，它為安全 shell 所保留。如果端口 22已經(jīng)被其他的應(yīng)用程序使用或以非超級用戶身份啟動安全 shell 你可能希望定義一個替代的端口。這同樣與 sshd1類似。除非你的系統(tǒng)日志總是很快就被填滿 ，你最好不要打開這種模式。 v 將安全 shell 守護(hù)置于詳盡模式。這同樣意味著你不可能真正使 sshd2的詳盡模式運行，因為沒有產(chǎn)生任何子進(jìn)程。服務(wù)器密鑰每小時重新產(chǎn)生一次 （ 1）在同一臺主機上運行 SSH1和 SSH2守護(hù)程序 出于兼容性的考慮，你可能想讓系統(tǒng)與 SSH1兼容。必須同時運行兩種守護(hù)程序從而能接受和發(fā)送這兩種版本的安全 shell 客戶的連接請求。 至于真正的兼容性， SSH1與 SSH2之間并不存在。如果連接請求來自 SSH1客戶， SSH2守護(hù)將會把連接轉(zhuǎn)寄到 SSH1守護(hù)。 同樣，如果你發(fā)現(xiàn)一個聲稱包長度有誤的信息，檢查一下，看看是否運行了一個 SSH1的早期版本，要是這樣，你就需要升級了。安全 shell 守護(hù)的隱含設(shè)置是使用 768bit 的服務(wù)器密鑰，它每小時重新產(chǎn)生一次，認(rèn)證超時限度則為 10分鐘，在端口 22上偵聽連接，在 /etc/ssh2目錄下尋找配置文件等。你可以發(fā)現(xiàn)，在使用方法上它們僅有很小的差別。 sshd – b 768 – f /etc/ssh2/sshd_config – g 600 – h /etc/ssh2/ssh_host_key – p 22 你可以將安全 shell 的端口設(shè)置成高于 1024： sshd – p 2022為不同的端口建不同的配置文件？沒問題 sshd – p 2022 – f /etc/sshd_config_weird_port 如果想通過 id 運行安全 shell，你也可以做到這一點，不過別忘了將服務(wù)器密鑰縮小一點。同樣，你也可能希望不是從命令行來完成該命令，而是在一個程序腳本上實現(xiàn)這一點： sshd – i – b 512 注： 你應(yīng)當(dāng)編輯文件 /etc/，然后從中運行 sshd。解決這個問題的一個簡單的辦法就是將其置于一個啟動程序腳本中。下圖顯示了不同的操作系統(tǒng)中啟動安全 shell 守護(hù)的位置。既然代碼是自由的，你會被歡迎來編輯并記錄更多的信息。當(dāng)連接被建立以后，你的日志文件看上去像下面的內(nèi)容： 你也可以打開詳盡日志或使用項關(guān)閉記錄。這有可能會復(fù)制安全 shell 守護(hù)程序的一些工作，也可以通過配置，使其能提供更為詳盡的信息。 Linux 將信息存放于系統(tǒng)日志中，一般位于/var/adm/syslog， HPUX或 AIX 則有可能將信息存放于完全不同的地方。 （ 5）配置安全 Shell 安全 shell 有一個你可以定義選項的配置文件。與大多數(shù)配置 文件和 shell 程序腳本一樣，空行和以“ ” 開 頭 的行 不 會 被 系統(tǒng) 讀 入 。 下面列出了你可以在 sshd_config 配置文件中為安全 shell 設(shè)置的選項。這種格式對下面列出的選項都通用 可以通過安全 shell2過濾用戶名與主機名。 IgnoreRhosts 這是一個與 sshd1同樣的配置選項。該選項對系統(tǒng)端的文件 /etc/ 和 /etc/ 沒有影響。如果你想使用的話，用 .shosts 來代替 .rhosts 從而提高安全性能。隱含值是“ yes”，但你可以 將其關(guān)閉。 安全 shell 提供了不同的認(rèn)證方法：口令、 .rhosts 和公共密鑰。記住， rhost 認(rèn)證是最脆弱的認(rèn)證系統(tǒng)，而和公共密鑰的組合則會成為最強有力的認(rèn)證形式。 PasswordGuesses 該選項指定用戶正確地鍵入口令前最多登錄企圖，以進(jìn)行口令認(rèn)證。 PasswordAuthentication 可以通過該選項決定是否利用口令以經(jīng)過安全 shell 進(jìn)入帳戶。隱含值為“ yes”，口令被用來保護(hù)公共密鑰而不是帳戶自身。 PermitEmptyPasswords 這個選項決定你是否想使用口令來幫助認(rèn)證。可以允許空口令，然而，我們建議你最 好不要這樣做。隱含值為“ yes”。 RHostsAuthentication 該選項設(shè)置基于 .rhosts 或 /etc/ 的權(quán)限。這并不需要口令或公共密鑰，但它使你的系統(tǒng)對伯克利服務(wù)攻擊和其他迫使你必須使用安全 shell 的安全漏洞開放。如果你想使用 Rhosts 認(rèn)證，就讓它和 RHostsPubKey Authentication 中的公共密鑰認(rèn)證結(jié)合起來使用。它設(shè)置基于 .rhosts 或 /etc/ 的公共密鑰認(rèn)證，與 sshd1的配置文件 RhostsRSA Authentication 配置選項一致。它同樣使你的系統(tǒng)暴露于伯克利服務(wù)攻擊，但公共密鑰認(rèn)證使危險性被最大限度地降低了。再說一句，如果你希望保持系統(tǒng)的安全，關(guān)閉任何類型的 rhosts 認(rèn)證。比如說你就可以僅允許公共密鑰認(rèn)證工作。它并不需要 rhosts 或口令來協(xié)助認(rèn)證。 3．服務(wù)器選項 河北司法警官職業(yè)學(xué)院 11 這些選項用來定義安全 shell 守護(hù)的功能，包括 TCP 轉(zhuǎn)寄，對特殊地址與端口的偵聽 ，發(fā)送存活信息及服務(wù)器密鑰的設(shè)置等。目前系統(tǒng)支持的算法有 DES， 3DES， Blowfish, Twofish, IDEA 和 Arcfour。 Sshd1Path 如果你準(zhǔn)備與 SSH1兼容，就需要指定 SSH1路徑，尤其是當(dāng)你將 sshd1安裝在一個非公共目錄下時。你既可以打開又可以關(guān)閉這個選項。存活信息能讓遠(yuǎn)程的服務(wù)器知道連接是否已經(jīng)中斷，并在確定連接中斷的情況下殺掉活動進(jìn)程。當(dāng)然，如果程序只是暫時地掛起，它會發(fā)出如下的令人沮喪的信息： Connection down： disconnecting 這當(dāng)然是令人厭煩的信息。如果你要關(guān)閉存活信息發(fā)送選項， 必須同時修改服務(wù)器端與客戶端的配置文件。這和 sshd1配置文件中的選項一致。 使用方法： ListenAddress Port 可以通過該選項指定一個安全 shell 守護(hù)偵聽的端口，隱含值為 22。這和 sshd1的配置選項一致，與 p選項也一樣。這與 sshd1所擁有的選項一致，這是一個很好的選項，因為用戶可能會意外地將目錄與文件的選項置為可寫。隱含設(shè)置為“ yes”。這和 sshd1的X11Forwarding 選項一致。這取決于 你是否允許 X 傳輸通過。隱含設(shè)置為“ yes”。這包括密鑰文件，進(jìn)程標(biāo)識文件等。 隱 含 值 為~/.ssh2/authorization,它提供了一個安全 shell 服務(wù)器識別用戶的私有密鑰列表。如果你不是以超級用戶的身份運行安全 shell 守護(hù)，你必須使用這個文件。隱含值為 /etc/ssh2/hostkey。 使用方法： Hostkey /usr/local/etc/ssh2_host_key 河北司法警官職業(yè)學(xué)院 13 使用方法： HostKey /usr/local/etc/ RandomSeedFile 該選項用來定義產(chǎn)生服務(wù)器密鑰的隨機生成文件。隱含的文件位置為： /etc/ssh2/random_seed. 使用方法： RandomSeed /usr/local/etc/ssh2_random_seed 這個選項定義經(jīng)過安全 shell 登錄到遠(yuǎn)程帳號時，影響帳號環(huán)境變量的那些設(shè)置。但你也可以在安全 shell守護(hù)配置文件中設(shè)置它們并使其發(fā)生作用。它給安全客戶規(guī)定一個特定的時間，每經(jīng)過該單位時間，安全客戶將與服務(wù)器認(rèn)證一次。如果安全客戶不進(jìn)行認(rèn)證，服務(wù)進(jìn)程將斷開與 socket 的連接。如果你將安全 shell 置于調(diào)試模式，該選項將被自動地置為零，可以 發(fā)現(xiàn)，它的效果與 g選項類似。這與 sshd1中的同名選項類似，僅應(yīng)用于以交互方式登錄時（不是以 scp 與 ssh 后隨命令的方式）。它可以在用戶的環(huán)境初始化文件中設(shè)置。既可以增加這些登錄信息，但這會損害用戶的隱私權(quán)，當(dāng)然你也可以關(guān)閉它們，其結(jié)果是僅有極 少的錯誤信息會被記錄。它與 sshd1的同名選項類似。除非你的日志文件總是很快就被填滿，否則最好不要打開這個選項。該選項與“ q”選項類似，隱含值為“ no”。記住在打開該 模式的情況下 sshd2守護(hù)程序?qū)⒉粫?fù)制產(chǎn)生子進(jìn)程。 使用方法： VerboseMode no 盡管體現(xiàn)了安全 shell 2的一些新 的特征，安全文件傳輸服務(wù)器并沒有被很好地用文檔加以說明。從某種意義上說，它的工作機理和 scp 非常相像。因為更像一個客戶程序。 . 客戶程序 的使用和配置 . 安 全 shell 客戶程序的 使用 安全 shell 客戶程序， ssh2和 scp2在命令選項上說明不同的語法規(guī)則。并由于 scp2使用 ssh2作為運輸工具， ssh2客戶程序也需要為 scp 提供一些功能。在安裝了 ssh2應(yīng)用程序之后， ssh 和 scp 的符號連接會分別連接到 ssh2和 scp2。你將需要運行 ssh1和 scp1來運行 ssh1客戶程序。你將發(fā)現(xiàn) ssh2有一些更多可供使用的功能，這包括允許認(rèn)證代理，不允許壓縮，設(shè)置調(diào)試等級和允許 X轉(zhuǎn)寄。 河北司法警官職業(yè)學(xué)院 15 a 該選項讓你能夠關(guān)閉對認(rèn)證代理的轉(zhuǎn)寄。它阻止了加載到內(nèi)存中的口令（ passphrase）被用于安全 Shell 客戶的發(fā)行。 +a 該選項允許認(rèn)證代理進(jìn)行轉(zhuǎn)寄，這是缺省選項。這也和scp1使用的選項相同。這不影響使用DSA 或 RSA 公共密鑰的認(rèn)證。你也可以選擇“ none”，但該選擇關(guān)閉加密從而使安全 Shell 客戶變得不安全。最好的選擇是使用 3DES， IDEA或 Blowfish。為了獲得最高的安全性，使用 IDEA。 +C 壓縮通過安全 shell 客戶發(fā)送的所有數(shù)據(jù)，這包括輸入、輸出、錯誤信息和轉(zhuǎn)寄的數(shù)據(jù)。不要把它們混淆。這種壓縮對速度慢的網(wǎng)絡(luò)很有效，例如modem，但在速度已經(jīng)很快的網(wǎng)絡(luò)上幫助不大。 C 該選項關(guān)閉壓縮。這也是 ssh2的缺省選項。數(shù)字越大，所得到的信息越多。記住 v選項打印出第三級的調(diào)試信息。缺符為“ n”。這也和 ssh 的選項相同。為了能使用轉(zhuǎn)義字符。如果你鍵入轉(zhuǎn)義字符，隨后鍵入 control+z，則把連接暫時掛起。這和 ssh1的選項相同。在遠(yuǎn)程主機上啟動 X 程序是不簡單的。 F configuration_file 該選項指定使用哪個用戶配置文件。然而，你可以擁有自己的缺省配置文件和其它的配置文件。 河北司法警官職業(yè)學(xué)院 16 h 打印幫助命令摘要，然后退出。 i identity_file 該選項定義 DSA 私人密鑰，或認(rèn)證所要讀取的身份文件，這和 ssh2里的相同選項功能相似。可以為不同主機定義多個文件。 l login_name 該選項指定你在遠(yuǎn)程主機上登錄的用戶名。缺省的用戶名和本地主機的用戶名相同，也可以在 配置文件中按每臺主機定義。 L port:host:hostport 該選項把指定 port 上的任意到本地主機的連接轉(zhuǎn)寄到遠(yuǎn)程主機的 hostport 上。端口轉(zhuǎn)寄也可能以通過配置文件按每個主機定義。 n 該選項和 f選項的工作類似； 然而，如果你需要鍵入口令時它將不起作