Win7下用SSH客戶端工具連接CentOS5.4的SSH證書配置方法

1、win7 用 ssh 客戶端工具連接虛擬機(jī)centos5.4的ssh 證書配置方法1.什么是 ssh 傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序，如：ftp、pop和 telnet 在本質(zhì)上都是不安全的，因?yàn)樗鼈冊诰W(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)，別有用心的人非常容易就可以截獲這些口令和數(shù)據(jù)。而且， 這些服務(wù)程序的安全驗(yàn)證方式也是有其弱點(diǎn)的，就是很容易受到“中間人”（man-in- the-middle ）這種方式的攻擊。所謂“中間人”的攻擊方式，就是“中間人”冒充真正的服務(wù)器接收你傳給服務(wù)器的數(shù)據(jù)，然后再冒充你把數(shù)據(jù)傳給真正的服務(wù)器。服務(wù)器和你之間的數(shù)據(jù)傳送被“中間人” 一轉(zhuǎn)手做了手腳之后，就會出現(xiàn)很嚴(yán)重的問題。從前，一

2、個名為tatu ylonen 的芬蘭程序員開發(fā)了一種網(wǎng)絡(luò)協(xié)議和服務(wù)軟件，稱為 ssh（secure shell的縮寫）。通過使用ssh ，你可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，這樣“中間人”這種攻擊方式就不可能實(shí)現(xiàn)了，而且也能夠防止dns和 ip 欺騙。還有一個額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的，所以可以加快傳輸?shù)乃俣?。ssh有很多功能，雖然許多人把secure shell 僅當(dāng)作 telnet 的替代物，但你可以使用它來保護(hù)你的網(wǎng)絡(luò)連接的安全。你可以通過本地或遠(yuǎn)程系統(tǒng)上的secure shell 轉(zhuǎn)發(fā)其他網(wǎng)絡(luò)通信，如pop、x、ppp和 ftp 。你還可以轉(zhuǎn)發(fā)其他類型的網(wǎng)絡(luò)通信，包括cvs和任意

3、其他的tcp通信。另外，你可以使用帶tcp包裝的 secure shell，以加強(qiáng)連接的安全性。除此之外， secure shell 還有一些其他的方便的功能，可用于諸如oracle 之類的應(yīng)用，也可以將它用于遠(yuǎn)程備份和像securid 卡一樣的附加認(rèn)證。2.ssh 的工作機(jī)制ssh分為兩部分：客戶端部分和服務(wù)端部分。服務(wù)端是一個守護(hù)進(jìn)程(demon) ， 他在后臺運(yùn)行并響應(yīng)來自客戶端的連接請求。服務(wù)端一般是sshd進(jìn)程，提供了對遠(yuǎn)程連接的處理，一般包括公共密鑰認(rèn)證、密鑰交換、 對稱密鑰加密和非安全連接?？蛻舳税瑂sh 程序以及像scp（遠(yuǎn)程拷貝） 、slogin（遠(yuǎn)程登陸） 、 sftp（

4、安全文件傳輸）等其他的應(yīng)用程序。他們的工作機(jī)制大致是本地的客戶端發(fā)送一個連接請求到遠(yuǎn)程的服務(wù)端，服務(wù)端檢查申請的包和ip地址再發(fā)送密鑰給ssh的客戶端，本地再將密鑰發(fā)回給服務(wù)端，自此連接建立。ssh被設(shè)計成為工作于自己的基礎(chǔ)之上而不利用超級服務(wù)器(inetd) ， 雖然可以通過inetd 上的 tcpd來運(yùn)行 ssh進(jìn)程，但是這完全沒有必要。啟動ssh服務(wù)器后， sshd 運(yùn)行起來并在默認(rèn)的22 端口進(jìn)行監(jiān)聽（你可以用# ps -waux | grep sshd來查看 sshd 是否已經(jīng)被正確的運(yùn)行了）如果不是通過 inetd 啟動的 ssh ，那么 ssh就將一直等待連接請求。當(dāng)請求到來的時

5、候ssh守護(hù)進(jìn)程會產(chǎn)生一個子進(jìn)程，該子進(jìn)程進(jìn)行這次的連接處理。但是因?yàn)槭馨鏅?quán)和加密算法的限制，現(xiàn)在很多人都轉(zhuǎn)而使用openssh 。openssh 是 ssh的替代軟件，而且是免費(fèi)的，3.安裝使用openssh centos5.4中已經(jīng)包括了openssh ， 也可以從網(wǎng)絡(luò)上下載并安裝openssh ， 它是完全免費(fèi)的。在 virtualbox 中的 centos 虛擬機(jī)上登錄，圖形方式則打開一個terminal 命令終端（命令行方式則直接敲命令） 。# cd /.ssh 執(zhí)行以下命令生成密鑰對：# ssh-keygen -t rsagenerating public/private rsa

6、key pair. enter file in which to save the key (/home/yu/.ssh/id_rsa): / 密鑰將要保存的目錄enter passphrase (empty for no passphrase): / 輸入遠(yuǎn)程登錄的口令enter same passphrase again: your identification has been saved in /home/yu/.ssh/id_rsa. / 生成的私鑰your public key has been saved in /home/yu/.ssh/id_rsa.pub. / 生成的公鑰t

7、he key fingerprint is: 51:3e:d7:77:a4:22:d8:bb:f2:d2:2e:e6:5c:e3:33:ed 其中公共密鑰保存在/.ssh/id_rsa.pub ，私有密鑰保存在/.ssh/id_rsa 在輸入口令后可能會提示open /home/yu/.ssh/id_rsa failed: no such file or directory. 是因?yàn)橄鄳?yīng)的目錄和文件不存在，去這個目錄下檢查一下，如果沒有，先創(chuàng)建。我是直接在xwindow 模式下創(chuàng)建相應(yīng)目錄和一個id_rsa.pub 空文件。#echo id_rsa.pub authorized_keys /

8、重命名生成的公鑰，以備securecrt下載使用#rm -rf id_rsa.pub / 刪除原始公鑰文件#chmod 700 /home/yu/.ssh / 修改目錄屬性#chmod 600 authorized_keys / 修改公鑰文件屬性，只允許root 修改在用 ssh secure shell client登陸的時候走了一點(diǎn)彎路，所以回頭在centos里面 ping 了一下 ip：注意：這里的ip是 30 而進(jìn)入 win7 下面的虛擬ip 則是 密鑰在服務(wù)端已經(jīng)生成了，此時回到securecrt ，用 password 方式登錄到服

9、務(wù)器上，進(jìn)入/.ssh目錄用 ssh secure shell client登陸如下：注意：第一次登陸，用password 方式，要用centos里面 ping 出來的 ip 即 30 。用 securecrt登陸進(jìn)去后執(zhí)行如下命令：#sz id_rsa / 發(fā)送文件， securecrt中有默認(rèn)的下載目錄#sz authorized_keys 將公私鑰發(fā)送到客戶端，此時在securecrt 的 download目錄下重命名authorized_keys為id_rsa.pub, 只要保證兩個文件名一致就行。/ 這里我們是在使用本機(jī)的虛擬機(jī)作為server 端，/ 在 x

10、p系統(tǒng)下使用crt登錄虛擬主機(jī)中的server，所以才有此步驟詳細(xì)的細(xì)節(jié)可以參見鳥哥的私房菜，chapter13，遠(yuǎn)程聯(lián)機(jī)服務(wù)器篇設(shè)置好 ip 地址，端口號，此時就可以順利在securecrt中使用 publickey 方式遠(yuǎn)程登陸上centos服務(wù)器了。居然提示命令沒找到！算了，還是用ssh secure shell client吧。選 擇 菜 單 中 “edit ”- “setting ”， 在 打 開 的 窗 口 左 側(cè) 依 次 選 擇 “global settings ”-“user authentication”-“ keys ”;點(diǎn)擊 “generate new ”，在打開的窗口中

11、點(diǎn)擊“next”,選擇“rsa ”和 “2048”，然后點(diǎn)擊 “next”，稍等一會，會計算一個密鑰?？吹饺缦聢D， 參照圖片中的內(nèi)容進(jìn)行填寫，比如在 passphrase 中填寫一個密碼，這個是保護(hù)本地私有密鑰的密碼，也就是說，即使有人盜用了你的計算機(jī)，沒有這個密碼，也仍然不能使用你的密鑰。注意，這個不是服務(wù)器上用戶密碼。填寫完畢后，點(diǎn)擊“下一步”，密鑰就生成完了，點(diǎn)擊完成。選擇剛才生成的密鑰，點(diǎn)擊“upload”，會彈出如下窗口：參考窗口中的內(nèi)容填寫，注意名稱是自動出現(xiàn)的，不用管。第二項(xiàng)需要修改為.ssh ，第三項(xiàng)不用管。然后點(diǎn)“upload”，如下圖所示：如果沒有提示錯誤，那么公鑰就自動被

12、上傳到服務(wù)器上去了。接著要做一些手工的操作，在命令行界面里，輸入如下命令：(左腳注意前面的$符號不是命令，只是個提示符) #cd .ssh/ # ls -l 會至少看到你剛才生成的.pub 公鑰文件和一個authorization 認(rèn)證配置文件。如果沒有你剛才起的名子的文件，那就有問題，檢查上面的過程。接著做下面的命令，假設(shè)我生成的是mkey.pub # ssh-keygen -i -f mkey.pub authorized_keys (關(guān)鍵就是這句命令) 然后，刪除剛才生成的文件：# rm -rf mkey.pub #rm -rf authorization #chmod 400 * #

13、cd . #chmod 700 .ssh 退出 ssh 工具。重新發(fā)起一次鏈接，參照下圖進(jìn)行選擇：注意最后一項(xiàng)“p lic key”點(diǎn)擊鏈接，然后會看到下面的提示：這個提示就是要你輸入剛才設(shè)置的“passphrase”密碼，輸入正確后，就會登錄到系統(tǒng)中了?？蛻舳伺渲米詈笠徊?，也最重要：本地會保存你生成的私鑰和公鑰，剛才所上傳上去的就是公鑰。每次登錄， 軟件都會自動拿本地的私鑰和遠(yuǎn)端的公鑰做加密運(yùn)算，然后才能登錄。所以，我們必須保護(hù)我們本地的密鑰文件，這個就象招商銀行網(wǎng)上銀行專業(yè)版的數(shù)字證書一樣，丟了就不能再次登錄了。密鑰文件存放在本地目錄：（如果是 winxp 系統(tǒng)，可能是這樣的目錄）c:documents and settingsuplinuxapplication datasshuserkeys （如果是 win7 系統(tǒng)，我找了半天沒找到，只好用笨方法找了，如下圖）把這個目錄里的文件備份出來，壓縮成帶密