Linux中用SSH配置安全遠(yuǎn)程登錄的實(shí)踐_第1頁
Linux中用SSH配置安全遠(yuǎn)程登錄的實(shí)踐_第2頁
Linux中用SSH配置安全遠(yuǎn)程登錄的實(shí)踐_第3頁
Linux中用SSH配置安全遠(yuǎn)程登錄的實(shí)踐_第4頁
Linux中用SSH配置安全遠(yuǎn)程登錄的實(shí)踐_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

本文格式為Word版,下載可任意編輯——Linux中用SSH配置安全遠(yuǎn)程登錄的實(shí)踐Linux中用SSH配置安全遠(yuǎn)程登錄的實(shí)踐

摘要:介紹了用SSH配置安全認(rèn)證、生成密鑰以及實(shí)現(xiàn)遠(yuǎn)程登錄的具體操作。關(guān)鍵詞:SSH協(xié)議TelnetopenSSH

系統(tǒng)程序員和管理員都喜歡遠(yuǎn)程登錄自己的服務(wù)器,但傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序(如telnet、ftp、rlogin和rsh)及相關(guān)的服務(wù)在本質(zhì)上都是擔(dān)憂全的,由于它們?cè)诰W(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù),黑客通過數(shù)據(jù)包截獲工具可以截獲這些口令和數(shù)據(jù)。這些服務(wù)程序的安全驗(yàn)證方式也存在弱點(diǎn),易受到中間人(man-in-the-middle)方式的攻擊。中間人攻擊方式中,中間人冒充真正的服務(wù)器接收客戶機(jī)發(fā)送給服務(wù)器的數(shù)據(jù),并篡改客戶機(jī)的信息后發(fā)送至真正的服務(wù)器。這使得通信過程不再安全,并且失去了傳送數(shù)據(jù)的私密性。SSH(secureshell)是一個(gè)在應(yīng)用程序中提供安全通信的協(xié)議。通過SSH可以安全地訪問服務(wù)器。由于SSH把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密,確保數(shù)據(jù)的完整和不被篡改,從而確保私密性。這樣中間人攻擊方式就不可能實(shí)現(xiàn)了,而且也能夠防止DNS和IP欺騙。另外,傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的,所以可以加快傳輸?shù)乃俣?。SSH有很廣泛的用途,它可代替遠(yuǎn)程登錄程序Telnet,又可以為ftp、pop、甚至ppp提供安全的通道,從而在擔(dān)憂全的網(wǎng)絡(luò)環(huán)境下、在客戶/服務(wù)器之間提供安全和加密的信息交流。

遠(yuǎn)程運(yùn)行SSH時(shí)需要遠(yuǎn)程機(jī)器正在運(yùn)行SSHd(SSH守護(hù)程序),SSH的標(biāo)準(zhǔn)端口是22。由于大多數(shù)防火墻對(duì)這個(gè)端口都是禁用的,所以需要將SSH守護(hù)進(jìn)程指派給Internet服務(wù)的端口上運(yùn)行,由于即使最嚴(yán)密的防火墻也要開啟21、8080、25和110中的一個(gè)。這樣就可以通過大多數(shù)的防火墻來使用SSH進(jìn)行遠(yuǎn)程登錄。1SSH提供的安全認(rèn)證

SSH提供二種級(jí)別的安全驗(yàn)證。一種是基于口令的安全驗(yàn)證;另一種是基于密鑰的安全驗(yàn)證。首先生成一對(duì)密鑰,將公鑰安裝在需要訪問的服務(wù)器中。當(dāng)客戶端需要連接到SSH服務(wù)器時(shí),客戶端軟件就會(huì)向服務(wù)器發(fā)出請(qǐng)求,請(qǐng)求用自己的密鑰進(jìn)行安全驗(yàn)證。服務(wù)器收到請(qǐng)求之后,先在該服務(wù)器中尋覓客戶端的公用密鑰,然后把它和客戶端發(fā)送過來的公鑰進(jìn)行比較。假使二個(gè)密鑰一致,則SSHd生成隨機(jī)數(shù),并用公鑰進(jìn)行加密,然后SSHd將加密的隨機(jī)數(shù)發(fā)回給正在客戶端運(yùn)行的SSH。SSH用私鑰解密后,再把它發(fā)送回客戶端。這樣就完成了整個(gè)驗(yàn)證過程。2SSH的具體實(shí)現(xiàn)

(1)確認(rèn)系統(tǒng)已經(jīng)安裝了SSH并進(jìn)行測試

(2)生成管理SSH密鑰

SSH的密匙是用SSH-keygen程序管理的。下面是SSH-keygen密鑰生成的一個(gè)實(shí)例。

上述過程需要分別在每個(gè)用SSH連接的遠(yuǎn)程服務(wù)器上完成。為了保證他人對(duì)于authorized_keys沒有寫的權(quán)限并保證SSH工作,chmod是必需的。假使想從不同的計(jì)算機(jī)登錄到遠(yuǎn)程主機(jī),authorized_keys文件也可以有多個(gè)公用密匙。這種狀況下必需在新的計(jì)算機(jī)上重新生成一對(duì)密匙,然后重復(fù)上述過程。需要注意的是,當(dāng)取消了主機(jī)上的賬號(hào)之后,必需刪掉這對(duì)密匙。3SSH配置

(1)配置SSH客戶端

OpenSSH的配置數(shù)據(jù)可以有三種語法形式,依照優(yōu)先權(quán)從大到小的順序分別是:命令行選項(xiàng)、用戶配置文件(~/.SSH/config)、系統(tǒng)配置文件(/etc/SSH/SSH_config)。所有的命令行選項(xiàng)均能在配置文件中設(shè)置。由于任何配置值都是首次設(shè)置時(shí)有效,所以指定主機(jī)的聲明應(yīng)當(dāng)

位于配置文件的最初,而默認(rèn)值則放于文件末尾。下面是/etc/SSH/SSH_config文件的內(nèi)容,用戶配置文件可以從系統(tǒng)配置文件修改得到。#/etc/SSH/SSH_config文件#Host*

#ForwardAgentno#ForwardX11no

#RhostsAuthenticationyes#RhostsRSAAuthenticationyes#RSAAuthenticationyes

#PasswordAuthenticationyes#FallBackToRshno#UseRshno#BachModeno#CheckHostIPyes

#StrictHostKeyCheckingask#IdentityFile~/.SSH/identity#IdentityFile~/.SSH/id_rsa#IdentityFile~/.SSH/id_dsa#Port22

#Protocol2,1#Cipher3des

#Ciphersaes128-cbc,3des-cbc,blowfish-cbc,#cast128-cbc,arcfour,aes192-cbc,aes2#EscapeChar~Host*

ForwardX11yesForwardAgentnoFallBackToRshno

#/etc/SSH/SSH_config文件到此終止(2)配置SSH服務(wù)端

SSH服務(wù)器配置文件是/etc/SSH/SSHd_config,對(duì)于SSH1.x和2.x,OpenSSH的配置文件是一樣的。下面是

/etc/SSH/SSHd_config的內(nèi)容:#/etc/SSH/SSHd_config文件#Port22

#Protocol2,1

#ListenAddress#ListenAddress∷#SSH1的HostKey

#HostKey/etc/SSH/SSH_host_key#記錄

SyslogFacilityAUTHPRIVLogLevelINFO#認(rèn)證:

PermitRootLoginyes

#是否允許超級(jí)用戶登錄,與telnet不同,SSH缺省允許超#級(jí)用戶登錄StrictModesyes

SAAuthenticationyesPubkeyAuthenticationyes

AuthorizedKeysFile.SSH/authorized_keys#禁用rhosts認(rèn)證

RhostsAuthenticationno

#禁讀用戶的~/.rhosts和~/.shosts文件IgnoreRhostsyes

#/etc/SSH/SSH_known_hosts中需要hostkeysRhostsRSAAuthenticationnoIgnoreUserKnownHostsno

#把這個(gè)選項(xiàng)設(shè)置為no,只允許用戶用基于密匙而非基于#口令方式登錄。這能在很大程度上提高系統(tǒng)的安全性。PasswordAuthenticationyesPermitEmptyPasswordsno#X11ForwardingnoX11Forwardingyes#X11DisplayOffset10#X11UseLocalhostyes#PrintMotdyes#PrintLastLogyes#KeepAliveyes#UseLoginno#MaxStartups10

#nodefaultbannerpath#Banner/some/path

#VerifyReverseMappingno

#overridedefaultofnosubsystems

Subsystemsftp/usr/libexec/openSSH/sftp-server#/etc/SSH/SSHd_config文件到此終止4SSH實(shí)現(xiàn)遠(yuǎn)程登錄

最簡單受到監(jiān)聽工具要挾的程序之一是Telnet,Sniffer程序可以輕易地得到用戶的登錄名和密碼。解決的方法就是用SSH替代Telnet。它使傳輸中的所有信息加密,確保了傳輸信息不被竊聽。

下面是第一次登錄的狀況:[gxh@cscs]$SSHlocalhost

Theauthenticityofhostlocalhost()cantbeestablished.

RSAkeyfingerprintis4b:91:0a:85:7a:ab:f6:1a:f5:51:07:33:4d:ba:ec:e3.

Areyousureyouwanttocontinueconnecting(yes/no)?yes

Warning:Permanentlyaddedlocalhost(RSA)tothelistofknownhosts.

gxh@localhostspassword:

Lastlogin:WedOct206:53:422023from21[gxh@cscs]$以后的登錄狀況:

[gxh@cscs]$SSHlocalhostgxh@localhostspas

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論