遠(yuǎn) 程 登 錄Linux從入門(mén)到精通

1、第15章 遠(yuǎn) 程 登 錄服務(wù)器是一些大家伙，需要專(zhuān)門(mén)的機(jī)房來(lái)存放。一些企業(yè)有自己的服務(wù)器機(jī)房，而更多的選擇是把這些方盒子交給服務(wù)器托管商保管。無(wú)論是哪一種情況，沒(méi)有一個(gè)網(wǎng)絡(luò)管理員會(huì)選擇把機(jī)房作為自己的辦公室那里應(yīng)該是機(jī)器們的地盤(pán)。為此，管理員們總是使用“遠(yuǎn)程登錄”的方式管理服務(wù)器。一個(gè)流行的說(shuō)法是，最優(yōu)秀的網(wǎng)絡(luò)管理員應(yīng)該讓公司里的其他人不認(rèn)識(shí)他。坐在自己的PC前，讓遠(yuǎn)隔千里的服務(wù)器永遠(yuǎn)穩(wěn)定地運(yùn)行這是每一個(gè)網(wǎng)絡(luò)管理員的夢(mèng)想和使命。15.1 快速上手：關(guān)于搭建實(shí)驗(yàn)環(huán)境本章主要是介紹如何使用客戶端程序登錄到遠(yuǎn)程服務(wù)器的，不過(guò)這首先需要有一臺(tái)“遠(yuǎn)程服務(wù)器”才行。如果讀者學(xué)習(xí)了本章后不能親自動(dòng)手，那么閱

2、讀本身就只是浪費(fèi)時(shí)間了。因此本章的“快速上手”環(huán)節(jié)會(huì)有點(diǎn)特別首先介紹如何搭建一個(gè)實(shí)驗(yàn)環(huán)境。盡管這意味著現(xiàn)在就要開(kāi)始配置服務(wù)器了，但不必緊張，考慮到讀者的實(shí)際情況，這里的“服務(wù)器配置”不會(huì)比安裝軟件復(fù)雜多少。當(dāng)然，讀者可以選擇先跳過(guò)本節(jié)，等到需要的時(shí)候再回來(lái)。15.1.1 物理網(wǎng)絡(luò)還是虛擬機(jī)如果讀者所在的辦公環(huán)境中就有一臺(tái)現(xiàn)成的Linux服務(wù)器，并且管理員又愿意開(kāi)放相應(yīng)的權(quán)限，那么相信沒(méi)有比這更好的事情了。但是又有多少人會(huì)這樣幸運(yùn)呢？大部分讀者還是要自己搭建實(shí)驗(yàn)環(huán)境。不過(guò)這看起來(lái)并不糟糕，不能總是指望別人幫助自己完成所有的工作，Linux用戶也一樣。如果讀者恰巧有兩臺(tái)（或者更多）聯(lián)網(wǎng)的PC，那么

3、可以將一臺(tái)作為服務(wù)器，另一臺(tái)作為客戶機(jī)。但若是服務(wù)器和客戶機(jī)位于不同的房間里，那么讀者可能會(huì)感覺(jué)總是進(jìn)錯(cuò)了房間。畢竟，判斷究竟是服務(wù)器還是客戶機(jī)出了毛病并不是一件顯而易見(jiàn)的事情。最好的選擇可能還是虛擬機(jī)。讀者可以在PC上安裝Linux，然后在這個(gè)系統(tǒng)上安裝VMware Server（或者其他虛擬機(jī)產(chǎn)品），并在虛擬機(jī)中安裝另一個(gè)Linux；也可以同時(shí)開(kāi)啟兩個(gè)安裝了Linux的虛擬機(jī)。如果是第一種情況，那么可以將網(wǎng)絡(luò)接口設(shè)置為NAT方式（使用宿主機(jī)的網(wǎng)絡(luò)）；而后者則應(yīng)該將網(wǎng)絡(luò)接口設(shè)置為Bridged方式（直接使用物理網(wǎng)絡(luò)），如圖15.1所示。圖15.1 設(shè)置虛擬機(jī)的網(wǎng)絡(luò)接口關(guān)于VMware Ser

4、ver的安裝和啟動(dòng)請(qǐng)參考2.1節(jié)。在虛擬機(jī)中安裝Linux和在真實(shí)的硬件上安裝完全相同。本章所有的示例就是在同一臺(tái)主機(jī)上通過(guò)VMware Server實(shí)現(xiàn)的。15.1.2 安裝OpenSSHOpenSSH是Linux下最常用的SSH服務(wù)器/客戶端軟件，在節(jié)馬上會(huì)用到它。所有的Linux發(fā)行版都附帶了這個(gè)軟件，可以簡(jiǎn)單地通過(guò)發(fā)行版的安裝源（無(wú)論是光盤(pán)還是網(wǎng)絡(luò)服務(wù)器）安裝。Ubuntu用戶可以通過(guò)下面的命令安裝OpenSSH。$ sudo apt-get install ssh#獲取并安裝OpenSSH正在讀取軟件包列表. 完成正在分析軟件包的依賴關(guān)系樹(shù) 讀取狀態(tài)信息. 完成 將會(huì)安裝下列額外的軟

5、件包： openssh-blacklist openssh-server建議安裝的軟件包： molly-guard rssh下列【新】軟件包將被安裝： openssh-blacklist openssh-server ssh共升級(jí)了 0 個(gè)軟件包，新安裝了 3 個(gè)軟件包，要卸載 0 個(gè)軟件包，有 47 個(gè)軟件未被升級(jí)。需要下載 2398kB 的軟件包。操作完成后，會(huì)消耗掉 4948kB 的額外磁盤(pán)空間。您希望繼續(xù)執(zhí)行嗎？Y/n正在設(shè)置 openssh-blacklist (0.1-1ubuntu.1) .正在設(shè)置 openssh-server (1:4.7p1-8ubuntu1.2) .Cre

6、ating SSH2 RSA key; this may take some time .Creating SSH2 DSA key; this may take some time . * Restarting OpenBSD Secure Shell server sshd OK 可以看到，在安裝完成后，系統(tǒng)會(huì)自動(dòng)啟動(dòng)SSH服務(wù)器，同時(shí)設(shè)置為隨系統(tǒng)啟動(dòng)（如果不想讓系統(tǒng)這樣做，請(qǐng)參考22章）。如果發(fā)現(xiàn)服務(wù)器沒(méi)有運(yùn)行，那么可以手工執(zhí)行帶有start參數(shù)的ssh腳本，啟動(dòng)SSH服務(wù)器程序。$ sudo /etc/init.d/ssh start* Starting OpenBSD Secure

7、Shell server sshd OK 15.1.3 安裝vnc4serverVNC用于圖形化的遠(yuǎn)程登錄，將在節(jié)詳細(xì)介紹。絕大部分Linux發(fā)行版都附帶了這個(gè)軟件的服務(wù)器端（包括本書(shū)列舉的Ubuntu和openSUSE）。如果讀者正在使用Ubuntu，那么可以通過(guò)下面的命令安裝這個(gè)軟件（包括vnc4-common和vnc4server兩個(gè)軟件包）。$ sudo apt-get install vnc4-common vnc4server#獲取并安裝VNC的服務(wù)器端程序正在讀取軟件包列表. 完成正在分析軟件包的依賴關(guān)系樹(shù) 讀取狀態(tài)信息. 完成 .下列【新】軟件包將被安裝： vnc4-commo

8、n vnc4server共升級(jí)了 0 個(gè)軟件包，新安裝了 2 個(gè)軟件包，要卸載 0 個(gè)軟件包，有 47 個(gè)軟件未被升級(jí)。需要下載 1148kB 的軟件包。操作完成后，會(huì)消耗掉 2753kB 的額外磁盤(pán)空間。.選中了曾被取消選擇的軟件包 vnc4-common。.正在設(shè)置 vnc4-common (+xorg1.0.2-0ubuntu7) .正在設(shè)置 vnc4server (+xorg1.0.2-0ubuntu7) .完成安裝后需要使用vncserver命令配置并啟動(dòng)VNC服務(wù)器?，F(xiàn)在暫時(shí)不用理會(huì)，將在節(jié)具體討論。 SUSE的防火墻設(shè)置如果讀者正在使用Ubuntu Linux的桌面版本，那么暫時(shí)

9、防火墻不是一件需要考慮的事情，因?yàn)閁buntu Desktop默認(rèn)情況下是關(guān)閉防火墻的。然而openSUSE用戶就要費(fèi)些心思來(lái)設(shè)置防火墻規(guī)則了。這里介紹如何在openSUSE的YAST2管理員工具中開(kāi)啟相應(yīng)的端口，防火墻的命令行工具將在第28章詳細(xì)討論。選擇桌面左下角的“K菜單”|“計(jì)算機(jī)”|“管理員設(shè)置”命令啟動(dòng)YAST2管理工具，為此需要首先提供root口令。YAST2按功能劃分了幾個(gè)模塊，選擇“安全和用戶”圖標(biāo)，如圖15.2所示。（1）單擊“防火墻”圖標(biāo)，打開(kāi)防火墻配置工具，如圖15.3所示?？梢钥吹剑?dāng)前防火墻處于啟用狀態(tài)，默認(rèn)情況下openSUSE配置為拒絕一切服務(wù)請(qǐng)求。（2）選擇“

10、允許的服務(wù)”標(biāo)簽，在“要允許的服務(wù)”下拉列表框中選擇相應(yīng)的服務(wù)（這里選擇安全Shell服務(wù)器和VNC），并單擊“添加”按鈕。完成設(shè)置后如圖15.4所示。（3）單擊“下一步”按鈕，YAST2會(huì)給出當(dāng)前設(shè)置的匯總信息，如圖15.5所示。單擊“完成”按鈕即可使配置生效。 圖15.2 YAST2的“安全和用戶”選項(xiàng)卡 圖15.3 YAST2的防火墻配置 圖15.4 添加允許的服務(wù) 圖15.5 防火墻配置信息匯總15.2 登錄另一臺(tái)Linux服務(wù)器作為一款服務(wù)器操作系統(tǒng)，Linux充分考慮了遠(yuǎn)程登錄的問(wèn)題。無(wú)論是從Linux、Windows還是其他一些操作系統(tǒng)登錄到Linux都是非常方便的。支持多個(gè)用戶

11、同時(shí)登錄對(duì)于服務(wù)器而言非常重要這正是Linux擅長(zhǎng)的。有多種不同的協(xié)議可供選擇，但SSH也許是其中“最好”的。這種協(xié)議提供了安全可靠的遠(yuǎn)程連接方式，SSH將貫穿于本節(jié)的討論中。 安全的Shell：SSHSSH是secure shell的簡(jiǎn)寫(xiě)，意為“安全的shell”。作為rlogin、rcp、telnet這些“古老”的遠(yuǎn)程登錄工具的替代品，SSH會(huì)對(duì)用戶的身份進(jìn)行驗(yàn)證，并加密兩臺(tái)主機(jī)之間的通信。SSH在設(shè)計(jì)時(shí)充分考慮到了各種潛在的攻擊，給出了有效的保護(hù)措施。盡管現(xiàn)在SSH已經(jīng)轉(zhuǎn)變?yōu)橐豢钌虡I(yè)產(chǎn)品SSH2，但開(kāi)放源代碼社區(qū)已經(jīng)發(fā)布了OpenSSH軟件作為回應(yīng)。這款免費(fèi)的開(kāi)源軟件由FreeBSD負(fù)責(zé)

12、維護(hù)，并且實(shí)現(xiàn)了SSH協(xié)議的完整內(nèi)容。要從Linux下通過(guò)SSH登錄另一臺(tái)Linux服務(wù)器非常容易前提是在遠(yuǎn)程服務(wù)器上擁有一個(gè)用戶賬號(hào)。打開(kāi)Shell終端，執(zhí)行ssh -l login_name hostname命令，應(yīng)該把login_name替換成真實(shí)的用戶賬號(hào)，把hostname替換成服務(wù)器主機(jī)名（或者IP地址）。下面這條命令以liu用戶的身份登錄到IP地址為.145的Linux服務(wù)器上。$ ssh -l liu如果是初次登錄，SSH可能會(huì)提示無(wú)法驗(yàn)證密鑰的真實(shí)性，并詢問(wèn)是否繼續(xù)建立連接，回答yes繼續(xù)。用戶口令驗(yàn)證通過(guò)后，SSH會(huì)反饋上次登錄情況并以一句“Have a lot of fu

13、n.”作為問(wèn)候。The authenticity of host 10.71.84.145 (10.71.84.145) cant be established.RSA key fingerprint is c9:58:fd:e4:dc:4b:4a:bb:03:d7:9b:87:a3:bc:6a:b0.Are you sure you want to continue connecting (yes/no)? yesWarning: Permanently added 10.71.84.145 (RSA) to the list of known hosts.Password: Last lo

14、gin: Sun Nov 9 10:38:30 2008 from consoleHave a lot of fun.liulinux-dqw4:注意Shell提示符前的用戶和主機(jī)名改變了，表示當(dāng)前已經(jīng)登錄到這臺(tái)名為linux-dqw4（IP地址）的服務(wù)器上。接下來(lái)的操作讀者應(yīng)該很熟悉了，例如用ls命令查看當(dāng)前目錄中的文件信息。lewislinux-dqw4: lsbin Desktop Documents public_html時(shí)刻記住當(dāng)前做的所有操作都發(fā)生在遠(yuǎn)程服務(wù)器上。當(dāng)連接到幾臺(tái)不同的服務(wù)器時(shí)，管理員常常會(huì)在來(lái)回切換Shell的過(guò)程中搞糊涂。因此，盡量不要同時(shí)開(kāi)啟3個(gè)以上的遠(yuǎn)程Shel

15、l。時(shí)刻注意Shell提示符前的主機(jī)名，并且在執(zhí)行重要操作時(shí)保持警惕，是避免災(zāi)難的重要途徑。%注意：在任何時(shí)候直接使用root賬號(hào)登錄遠(yuǎn)程主機(jī)都不是一個(gè)好習(xí)慣。正確的做法應(yīng)該是使用受限賬號(hào)登錄，然后在需要的時(shí)候通過(guò)su或者sudo 命令臨時(shí)取得root權(quán)限。完成工作后，使用exit命令可以結(jié)束同遠(yuǎn)程主機(jī)的SSH連接，這將把用戶帶回到建立連接前的Shell中。lewislinux-dqw4: exitlogoutConnection to 10.71.84.145 closed.lewislewis-laptop:/shell$SSH服務(wù)默認(rèn)開(kāi)啟在22號(hào)端口，服務(wù)器的守護(hù)進(jìn)程在22號(hào)端口監(jiān)聽(tīng)來(lái)自

16、客戶端的請(qǐng)求。如果服務(wù)器端的SSH服務(wù)沒(méi)有開(kāi)啟在22端口（這通常是為了防范居心不良端口掃描程序），那么可以通過(guò)SSH的-p選項(xiàng)指定要連接到的端口。下面這條命令指導(dǎo)SSH連接到遠(yuǎn)程服務(wù)器的202端口。$ ssh -l liu -p 202 如果用戶需要在遠(yuǎn)程主機(jī)上運(yùn)行X應(yīng)用程序，那么首先應(yīng)該保證對(duì)方服務(wù)器開(kāi)啟了X窗口系統(tǒng)，然后使用帶-X參數(shù)的SSH命令顯式啟動(dòng)X轉(zhuǎn)發(fā)功能。Password: Have a lot of fun.下面這條命令在所登錄到的服務(wù)器上運(yùn)行Firefox瀏覽器，注意服務(wù)器會(huì)反饋一系列信息告訴用戶此刻發(fā)生了什么。liulinux-dqw4: firefoxLaunching

17、a SCIM daemon with Socket FrontEnd.Loading simple Config module .Creating backend .Reading pinyin phrase lib failedLoading socket FrontEnd module .Starting SCIM as daemon .GTK Panel of SCIM .SSH會(huì)把對(duì)方服務(wù)器上的Firefox界面完完整整地傳輸?shù)奖镜兀@樣用戶就可以在當(dāng)前PC上使用遠(yuǎn)程服務(wù)器上的Firefox了。如果兩臺(tái)主機(jī)距離比較長(zhǎng)，或者網(wǎng)絡(luò)狀況不太理想的話，那么傳輸一個(gè)X應(yīng)用程序界面會(huì)比較慢，但最終

18、應(yīng)該能出現(xiàn)在本機(jī)的屏幕上。 登錄X窗口系統(tǒng)：圖形化的VNC讀者已經(jīng)看到，通過(guò)啟用SSH的X轉(zhuǎn)發(fā)功能可以在本地運(yùn)行遠(yuǎn)程主機(jī)上的X應(yīng)用程序，但有些時(shí)候用戶可能希望更進(jìn)一步，直接從X窗口登錄服務(wù)器，就像操作本地的桌面一樣。VNC（Virtual Network Computing，虛擬網(wǎng)絡(luò)計(jì)算）實(shí)現(xiàn)了這一需求。要使用VNC登錄，首先要求服務(wù)器端運(yùn)行有X窗口系統(tǒng)，且開(kāi)啟了相關(guān)服務(wù)和端口。在連接之前，要先在遠(yuǎn)程主機(jī)的用戶目錄下生成VNC的配置文件。使用SSH連接遠(yuǎn)程 主機(jī)。lewislewis-laptop:/shell$ ssh -l liuPassword: Last login: Sun Nov

19、9 14:13:41 2008 from consoleHave a lot of fun.運(yùn)行vncserver腳本生成配置文件，配置過(guò)程中會(huì)要求用戶輸入遠(yuǎn)程訪問(wèn)密碼。liulinux-dqw4:/home/lewis vncserver You will require a password to access your desktops.Password: #設(shè)置遠(yuǎn)程訪問(wèn)密碼Warning: password truncated to the length of 8.Verify:#再次輸入密碼Would you like to enter a view-only password (y

20、/n)? n#是否輸入一個(gè)只能查看的密碼，選擇否New X desktop is linux-dqw4:4#配置文件的存放信息Creating default startup script /home/liu/.vnc/xstartupStarting applications specified in /home/liu/.vnc/xstartupLog file is /home/liu/.vnc/linux-dqw4:4.log服務(wù)器端的用戶配置結(jié)束后，就可以從客戶端登錄了。有很多VNC的客戶端工具可供使用，vncviewer是一款跨平臺(tái)的VNC客戶端工具。在Google中使用關(guān)鍵字vn

21、cviewer download搜索，可以得到大量的下載地址。完成安裝后，就已經(jīng)做好了登錄遠(yuǎn)程主機(jī)的所有準(zhǔn)備。下面在終端里執(zhí)行vncviewer命令，將開(kāi)啟一個(gè)窗口，提示輸入服務(wù)器地址。$ vncviewer輸入IP地址連接指定的服務(wù)器IP，如圖15.6所示。注意這個(gè)IP地址后面跟了一個(gè)“:1”，這個(gè)數(shù)字指定了開(kāi)啟第2個(gè)X窗口會(huì)話（在VNC服務(wù)器上被設(shè)置，這也是默認(rèn)的設(shè)置），單擊OK按鈕建立連接。成功連接后的界面如圖15.7所示。圖15.6 VNC Viewer的連接界面圖15.7 遠(yuǎn)程主機(jī)的登錄界面輸入用戶名和口令后，即可登錄到X窗口并執(zhí)行操作了，如圖15.8所示。圖15.8 通過(guò)VNC V

22、iewer控制遠(yuǎn)程主機(jī) 我想從Windows登錄這臺(tái)Linux管理員常常陷入這樣的尷尬：公司的一些任務(wù)不得不在Windows下完成，而Linux作為一款優(yōu)秀的服務(wù)器操作系統(tǒng)又被部署在機(jī)房中。在這種情況下，要么安裝雙系統(tǒng)，并且為了短暫的應(yīng)用而不停地重啟計(jì)算機(jī)；要么干脆從Windows登錄到Linux服務(wù)器。幸運(yùn)的是，經(jīng)過(guò)開(kāi)放源代碼界的長(zhǎng)期努力，這已經(jīng)不是什么困難的事情了。Windows上有幾種不同的SSH客戶端，其中開(kāi)放源代碼的PuTTY是使用最為廣泛、也是最受好評(píng)的一個(gè)。這是一個(gè)綠色軟件，不需要安裝。下載并運(yùn)行其主程序putty.exe，填寫(xiě)遠(yuǎn)程主機(jī)的主機(jī)名（或者IP地址）和登錄端口，如圖15

23、.9所示。圖15.9 PuTTY客戶端的設(shè)置和登錄界面單擊Open按鈕，即可建立連接。如果是初次登錄，會(huì)出現(xiàn)如圖15.10所示的提示框，單擊“是”按鈕繼續(xù)登錄。PuTTY將打開(kāi)一個(gè)類(lèi)似于Shell終端的命令行窗口，輸入用戶名和口令即可完成登錄，接下來(lái)發(fā)生的事情就跟在Linux中一樣了，如圖15.11所示。 圖15.10 詢問(wèn)是否接受遠(yuǎn)程主機(jī)的密鑰 圖15.11 通過(guò)PuTTY連接到遠(yuǎn)程主機(jī)的Shell如果希望通過(guò)VNC從Windows登錄到Linux，那么老朋友vncviewer同樣有Windows上的版本，讀者可以從上免費(fèi)下載這款軟件。安裝和登錄界面如圖15.12和圖15.13所示，其基本操

24、作和Linux下的vncviewer基本一致。 圖15.12 VNC for Windows的安裝界面 圖15.13 VNC Viewer for Windows的登錄界面15.3 登錄Windows服務(wù)器本節(jié)將要從相反的方向討論遠(yuǎn)程登錄這個(gè)問(wèn)題從Linux登錄到Windows服務(wù)器。通常來(lái)說(shuō)，有兩種比較常用的方法，一種是為Windows裝上一個(gè)名叫VNC Server的軟件，這樣Linux就可以通過(guò)VNC登錄到Windows服務(wù)器了。這是屬于Windows服務(wù)器的配置問(wèn)題，此處就不再贅述了。另一種方法是借助Linux下已有的客戶端軟件，直接通過(guò)RDP協(xié)議連接到Windows服務(wù)器。當(dāng)然，首先

25、要求Windows服務(wù)器開(kāi)啟了遠(yuǎn)程登錄功能，可以通過(guò)右擊“我的電腦”，在彈出的快捷菜單中選擇“屬性”選項(xiàng)打開(kāi)“系統(tǒng)屬性”對(duì)話框，選擇“遠(yuǎn)程”標(biāo)簽進(jìn)入“遠(yuǎn)程”選項(xiàng)卡，在其中選中“允許用戶遠(yuǎn)程連接到此計(jì)算機(jī)”復(fù)選框打鉤開(kāi)啟這一功能。下載命令行登錄工具rdesktop并安裝，開(kāi)啟Shell終端，通過(guò)下面這條命令即可連接到Windows服務(wù)器。rdesktop -u username ip-address例如，這里以用戶liu的身份登錄到一臺(tái)IP地址為10.71.84.129的Windows服務(wù)器上。同Windows服務(wù)器建立連接后，rdesktop會(huì)打開(kāi)一個(gè)窗口，顯示熟悉的Windows登錄界面，如

26、圖15.14所示。通過(guò)用戶密碼驗(yàn)證后，即可登錄到這臺(tái)遠(yuǎn)程Windows服務(wù)器。相信讀者對(duì)于圖15.15的界面應(yīng)該非常熟悉了。 圖15.14 rdesktop中的Windows登錄界面 圖15.15 通過(guò)rdesktop遠(yuǎn)程控制Windows如果Windows服務(wù)器被配置為使用一個(gè)不同的端口，而不是RDP協(xié)議默認(rèn)的3389端口，那么在使用rdesktop連接的時(shí)候應(yīng)該在IP地址后加上冒號(hào)“:”和端口號(hào)，例如上面這條連接命令應(yīng)該寫(xiě)成下面這種形式，其中6666應(yīng)該被改成Windows遠(yuǎn)程桌面實(shí)際使用的端口號(hào)。:666615.4 為什么不使用telnet為什么不使用telnet？答案很簡(jiǎn)單：為了安全。

27、telnet曾經(jīng)是使用最廣泛的遠(yuǎn)程登錄工具，但是TELNET協(xié)議有一個(gè)致命的缺陷：使用明文口令。這意味著用戶口令將以明文的形式在網(wǎng)絡(luò)上傳輸，任何人都有機(jī)會(huì)通過(guò)“網(wǎng)絡(luò)嗅探”工具直接獲取該口令。Linux已經(jīng)不再包含TELNET服務(wù)器程序，并且也不推薦用戶使用。與此類(lèi)似的還有rlogin、rsh等遠(yuǎn)程登錄工具，它們也因?yàn)橥瑯拥陌踩珕?wèn)題成了眾矢之的。15.5 進(jìn)階：使用SSH密鑰讀者已經(jīng)了解到如何使用SSH連接遠(yuǎn)程主機(jī)。SSH利用加密算法來(lái)保證信息傳輸?shù)陌踩?，在已?jīng)接觸到的例子中，用戶必須在遠(yuǎn)程主機(jī)上擁有一個(gè)賬號(hào)，并提供口令。SSH也提供了另外一些驗(yàn)證用戶身份的方式密鑰對(duì)是其中的一種，也可能是最安

28、全的一種。15.5.1 為什么要使用密鑰對(duì)于管理有多臺(tái)服務(wù)器的管理員而言，快速登錄到某幾臺(tái)機(jī)器的Shell上是很重要的。每次都輸入登錄口令費(fèi)時(shí)費(fèi)力（很多口令長(zhǎng)達(dá)15位甚至更多），并且還很容易分神。管理員的思維不得不在“找出問(wèn)題”和“到達(dá)出問(wèn)題的地方”之間來(lái)回切換，這種“思維體操”讓絕大多數(shù)管理員不堪重負(fù)。使用SSH密鑰對(duì)可以有效解決這個(gè)問(wèn)題，而且也足夠安全。這種解決方案基于下面這些想法：q 有一對(duì)互相匹配的密鑰文件（公鑰和私鑰）；q 管理員的PC上保存有私鑰文件的副本；q 與私鑰文件匹配的公鑰文件存放在服務(wù)器上；q 建立SSH連接時(shí)檢查密鑰對(duì)的匹配性。這樣，管理員就不需要手動(dòng)輸入口令了，所有的

29、一切都是自動(dòng)完成的。這聽(tīng)上去很誘人，下面就來(lái)實(shí)踐配置SSH密鑰對(duì)的全過(guò)程。而對(duì)于管理員最關(guān)心的另一個(gè)安全性問(wèn)題，將在本節(jié)的最后討論。15.5.2 生成密鑰對(duì)SSH提供了ssh-keygen工具來(lái)生成密鑰對(duì)，使用-t選項(xiàng)指定密鑰類(lèi)型。通常采用SSH的rsa密鑰。$ ssh-keygen -t rsa#生成SSH密鑰對(duì)Generating public/private rsa key pair.Enter file in which to save the key (/home/lewis/.ssh/id_rsa): Enter passphrase (empty for no passphras

30、e): Enter same passphrase again: Your identification has been saved in /home/lewis/.ssh/id_rsa.Your public key has been saved in /home/lewis/.ssh/id_rsa.pub.The key fingerprint is:d8:f9:24:15:c4:60:a7:3e:7a:2e:1a:64:c3:42:d1:76 lewislewis-laptop該命令會(huì)在用戶主目錄下的.ssh目錄中生成兩個(gè)文件。其中，id_rsa是私鑰文件；對(duì)應(yīng)的id_rsa_pub是

31、公鑰文件：$ ls /home/lewis/.ssh/id_rsa id_rsa.pub known_hosts 復(fù)制公有密鑰至遠(yuǎn)程主機(jī)下面只需將公有密鑰文件復(fù)制到遠(yuǎn)程主機(jī)。假設(shè)遠(yuǎn)程主機(jī)的IP地址是，登錄用戶名為liu，下面建立SSH連接。lewislewis-laptop:/.ssh$ ssh 172.16.25.129 -l liuPassword: Have a lot of fun.在遠(yuǎn)程主機(jī)用戶liu的主目錄下建立.ssh目錄，并解除其他人對(duì)該文件的所有權(quán)限。liulinux-dqw4: mkdir .sshliulinux-dqw4: chmod 700 .ssh/liulinux-dqw4: exitlogoutConnection to 172.16.