SSH的安裝及使用詳解
SSH簡介
傳統的網絡服務程序,如:ftp、POP和telnet在本質上都是不安全的,因爲它們在網絡上用明文傳送口令和數據,別有用心的人非常容易就可以截獲這些口令和數據。而且,這些服務程序的安全驗證方式也是有其弱點的,就是很容易受到“中間人”(man-in-the-middle)這種方式的攻擊。所謂“中間人”的攻擊方式,就是“中間人”冒充真正的服務器接收你傳給服務器的數據,然後再冒充你把數據傳給真正的服務器。服務器和你之間的數據傳送被“中間人”一轉手做了手腳之後,就會出現很嚴重的問題。
從前,一個名爲Tatu Yl?nen的芬蘭程序員開發了一種網絡協議和服務軟件,稱爲SSH(Secure SHell的縮寫)。通過使用SSH,你可以把所有傳輸的數據進行加密,這樣“中間人”這種攻擊方式就不可能實現了,而且也能夠防止DNS和IP欺騙。還有一個額外的好處就是傳輸的數據是經過壓縮的,所以可以加快傳輸的速度。SSH有很多功能,雖然許多人把Secure Shell僅當作Telnet的替代物,但你可以使用它來保護你的網絡連接的安全。你可以通過本地或遠程系統上的Secure Shell轉發其他網絡通信,如POP、X、PPP和FTP。你還可以轉發其他類型的網絡通信,包括CVS和任意其他的TCP通信。另外,你可以使用帶 TCP包裝的Secure Shell,以加強連接的安全性。除此之外,Secure Shell還有一些其他的方便的功能,可用於諸如Oracle之類的應用,也可以將它用於遠程備份和像SecurID卡一樣的附加認證。
SSH的工作機制
SSH分爲兩部分:客戶端部分和服務端部分。
服務端是一個守護進程(demon),他在後臺運行並響應來自客戶端的連接請求。服務端一般是sshd進程,提供了對遠程連接的處理,一般包括公共密鑰認證、密鑰交換、對稱密鑰加密和非安全連接。
客戶端包含ssh程序以及像scp(遠程拷貝)、slogin(遠程登陸)、sftp(安全文件傳輸)等其他的應用程序。
他們的工作機制大致是本地的客戶端發送一個連接請求到遠程的服務端,服務端檢查申請的包和IP地址再發送密鑰給SSH的客戶端,本地再將密鑰發回給服務端,自此連接建立。剛纔所講的只是SSH連接的大致過程,SSH 1.x和SSH 2.x在連接協議上還有着一些差異。
SSH被設計成爲工作於自己的基礎之上而不利用超級服務器(inetd),雖然可以通過inetd上的tcpd來運行SSH進程,但是這完全沒有必要。啓動SSH服務器後,sshd運行起來並在默認的22端口進行監聽(你可以用 # ps -waux | grep sshd 來查看sshd是否已經被正確的運行了)如果不是通過inetd啓動的SSH,那麼SSH就將一直等待連接請求。當請求到來的時候SSH守護進程會產生一個子進程,該子進程進行這次的連接處理。
但是因爲受版權和加密算法的限制,現在很多人都轉而使用OpenSSH。OpenSSH是SSH的替代軟件,而且是免費的,
SSH是由客戶端和服務端的軟件組成的,有兩個不兼容的版本分別是:1.x和2.x。用SSH 2.x的客戶程序是不能連接到SSH 1.x的服務程序上去的。OpenSSH 2.x同時支持SSH 1.x和2.x。
SSH分客戶端openssh-client和openssh-server
如果你只是想登陸別的機器的SSH只需要安裝openssh-client(ubuntu有默認安裝,如果沒有則sudoapt-get install openssh-client),如果要使本機開放SSH服務就需要安裝openssh-server。
一、安裝客戶端
Ubuntu缺省已經安裝了ssh client。
sudo apt-get install ssh 或者 sudo apt-get installopenssh-client
ssh-keygen
按缺省生成id_rsa和id_rsa.pub文件,分別是私鑰和公鑰。
說明:如果sudo apt-get insall ssh出錯,無法安裝可使用sudo apt-get install openssh-client進行安裝。
假定服務器ip爲192.168.1.1,ssh服務的端口號爲22,服務器上有個用戶爲root;
用ssh登錄服務器的命令爲:
>ssh –p 22 [email protected]
>輸入root用戶的密碼
二、安裝服務端
Ubuntu缺省沒有安裝SSH Server,使用以下命令安裝:
sudo apt-get install openssh-server
然後確認sshserver是否啓動了:(或用“netstat -tlp”命令)
ps -e|grep ssh
如果只有ssh-agent那ssh-server還沒有啓動,需要/etc/init.d/ssh start,如果看到sshd那說明ssh-server已經啓動了。
如果沒有則可以這樣啓動:
sudo/etc/init.d/ssh start
事實上如果沒什麼特別需求,到這裏 OpenSSH Server 就算安裝好了。但是進一步設置一下,可以讓 OpenSSH 登錄時間更短,並且更加安全。這一切都是通過修改 openssh 的配置文件 sshd_config 實現的。
三、SSH配置
ssh-server配置文件位於/etc/ssh/sshd_config,在這裏可以定義SSH的服務端口,默認端口是22,你可以自己定義成其他端口號,如222。然後重啓SSH服務:
sudo /etc/init.d/sshresart
通過修改配置文件/etc/ssh/sshd_config,可以改ssh登錄端口和禁止root登錄。改端口可以防止被端口掃描。
sudo cp/etc/ssh/sshd_config /etc/ssh/sshd_config.original
sudochmod a-w /etc/ssh/sshd_config.original
編輯配置文件:
gedit /etc/ssh/sshd_config
找到#Port 22,去掉註釋,修改成一個五位的端口:Port 22333
找到#PermitRootLogin yes,去掉註釋,修改爲:PermitRootLogin no
配置完成後重起:
sudo/etc/init.d/ssh restart
四、SSH服務命令
停止服務:sudo /etc/init.d/ssh stop
啓動服務:sudo /etc/init.d/ssh start
重啓服務:sudo /etc/init.d/sshresart
斷開連接:exit
登錄:[email protected]
root爲192.168.0.100機器上的用戶,需要輸入密碼。
五、SSH登錄命令
常用格式:ssh [-llogin_name] [-p port] [user@]hostname
更詳細的可以用ssh -h查看。
舉例
不指定用戶:ssh 192.168.0.1
指定用戶:
ssh -l root 192.168.0.1
ssh [email protected]
如果修改過ssh登錄端口的可以:
ssh -p 22333 192.168.0.111
ssh -l root -p 22333 216.230.230.105
ssh -p 22333 [email protected]
六、提高登錄速度
在遠程登錄的時候可能會發現,在輸入完用戶名後需要等很長一段時間纔會提示輸入密碼。其實這是由於 sshd 需要反查客戶端的 dns 信息導致的。可以通過禁用這個特性來大幅提高登錄的速度。首先,打開 sshd_config 文件:
sudo nano /etc/ssh/sshd_config
找到 GSSAPI options 這一節,將下面兩行註釋掉:
#GSSAPIAuthentication yes #GSSAPIDelegateCredentials no然後重新啓動 ssh 服務即可:
sudo /etc/init.d/ssh restart
再登錄試試,應該非常快了吧
七、利用 PuTTy 通過證書認證登錄服務器
SSH 服務中,所有的內容都是加密傳輸的,安全性基本有保證。但是如果能使用證書認證的話,安全性將會更上一層樓,而且經過一定的設置,還能實現證書認證自動登錄的效果。
首先修改 sshd_config 文件,開啓證書認證選項:
RSAAuthentication yes PubkeyAuthentication yesAuthorizedKeysFile %h/.ssh/authorized_keys修改完成後重新啓動 ssh 服務。
下一步我們需要爲 SSH 用戶建立私鑰和公鑰。首先要登錄到需要建立密鑰的賬戶下,這裏注意退出 root 用戶,需要的話用 su 命令切換到其它用戶下。然後運行:
ssh-keygen
這裏,我們將生成的 key 存放在默認目錄下即可。建立的過程中會提示輸入 passphrase,這相當於給證書加個密碼,也是提高安全性的措施,這樣即使證書不小心被人拷走也不怕了。當然如果這個留空的話,後面即可實現 PuTTy 通過證書認證的自動登錄。
ssh-keygen 命令會生成兩個密鑰,首先我們需要將公鑰改名留在服務器上:
cd ~/.ssh mv id_rsa.pub authorized_keys
然後將私鑰 id_rsa 從服務器上覆製出來,並刪除掉服務器上的 id_rsa 文件。
服務器上的設置就做完了,下面的步驟需要在客戶端電腦上來做。首先,我們需要將 id_rsa 文件轉化爲 PuTTy 支持的格式。這裏我們需要利用 PuTTyGEN 這個工具:
點擊 PuTTyGen 界面中的 Load 按鈕,選擇 id_rsa 文件,輸入 passphrase(如果有的話),然後再點擊 Save PrivateKey 按鈕,這樣 PuTTy 接受的私鑰就做好了。
打開 PuTTy,在 Session 中輸入服務器的 IP 地址,在 Connection->SSH->Auth 下點擊 Browse 按鈕,選擇剛纔生成好的私鑰。然後回到 Connection 選項,在 Auto-login username 中輸入證書所屬的用戶名。回到 Session 選項卡,輸入個名字點 Save 保存下這個 Session。點擊底部的 Open 應該就可以通過證書認證登錄到服務器了。如果有 passphrase 的話,登錄過程中會要求輸入 passphrase,否則將會直接登錄到服務器上,非常的方便。