关闭

OpenSSH的安装和使用

标签: openssh
610人阅读 评论(0) 收藏 举报
分类:
由于许多网络服务(包括telnet、ftp、http、rsh、rlogin以及其他服务)都可以被电子窃听,我们必须采用安全的方式进行文件移动、权限设置、shell脚本的运行等等。
        为了防止攻击者窃取每天的网络数据,我们可以安装使用Secure Shell(ssh)。这里就向大家具体介绍如何安装和使用ssh服务器和客户端程序。这里说的openssh是一个网上的免费软件
Open Secure Shell(openssh)是一个安全的登录系统,可以用来替代telnet、rlogin、rcp等。简单的讲,ssh 是一个通过网络登录进入另一台计算机的程序。
我们这里的openssh主要支持的算法是RSA--RSA算法指的是Rivest-Shamir-Adelman算法。该算法广泛应用于公钥/私钥加密系统。如果要详细了解这方面的内容,可以查找站点:<http://www.rsa.com>
在本文中主要讨论openssh服务器的安装、配置和客户端的配置、使用
一、openssh服务器端的安装及配置
1.服务器端的安装

安装方式主要是三种:
o安装操作系统时候选中要安装“安全服务器”(只有部分操作系统带有此软件包,如红旗linux 2.0服务器版)
o rpm包方式安装。
o 源代码方式安装;

a) 安装操作系统时安装
在安装操作系统的时候,在选择软件包的时候,选上“安全服务器”,就会在你的服务器上自动安装好openssh服务器。同时在启动的时候会自动启动sshd的进程。服务器端的配置文件在/etc/ssh/sshd-config中,但是此时你不需要对它进行修改。你要做的仅是在客户机上安装客户端程序。

b) 用rpm包方式安装
在红旗Linux 2.0中需要的rpm包可以从/mnt/cdrom/RedFlag/RPMS(系统安装盘)中获得,它们是:
openssh-2.1.1p4-1.i386.rpm
openssh-clients-2.1.1p4-1.i386.rpm
openssh-askpass-2.1.1p4-1.i386.rpm
openssh-askpass-gnome-2.1.1p4-1.i386.rpm
openssh-server-2.1.1p4-1.i386.rpm
安装用如下命令
#rpm -i openssh-2.1.1p4-1.i386.rpm
用同样的方法安装其他的四个rpm包,在和a)相同的路径中存放着你所关心的配置文件,当然sshd的主程序在/usr/sbin下。

c) 源代码方式安装
openssh的安装首先要求在系统中已经安装了zlib和Openssl。所以我们需要的以下的安装包:(这里的版本最好采用最新的)
        zlib.tar.gz
openssl-0.9.6a.tar.gz
openssh-2.5.2p2.tar.gz
安装步骤如下:
在/home目录下建立source目录,把以上三个源代码包复制到/home/source目录下,分别对各个包解压缩,再进行相应的configure、make和makeinstall。具体命令如下:
# mkdir /home/source
# cp zlib.tar.gz openssl-0.9.6a.tar.gz openssh-2.5.2p2
.tar.gz /home/source         (接上一行)
# cd /home/source
# tar zxvf zlib.tar.gz
# tar zxvf openssl-0.9.6a.tar.gz
# tar zxvf openssh-2.5.2p2.tar.gz

(注:一般安装linux操作系统的时候都安装了zlib库,故这步不是必须的)
# cd /home/source/zlib-1.1.3
# ./configure -s
# make
# make test
# make install prefix=/usr

# cd /home/source/openssl-0.9.6a
# ./configure -prefix=/home/openssl
# make
# make test
# make install

# cd /home/source/openssh-2.5.2p2
# ./configure --with-ssl-dir=/home/openssl --prefix
=/home/openssh                            (接上一行)
# make
# make install

这样openssh的服务器端就安装完毕,进入/home/openssh的目录,下面的目录结构是这样的:
bin/  etc/  libexec/  man/  sbin/

bin/下面存放的是命令集
scp  sftp  slogin  ssh  ssh-add  ssh-agent  ssh-keygen  ssh-keyscan

etc/下面存放的是配置文件
libexec/下面存放的是ftp的主程序
man/下面是手册
sbin/下面是ssh的主程序sshd。

2. 配置openssh服务器
在安装完ssh后,下一步就是验证(或是修改,如果是必须的)ssh配置文件中的参数。这些配置文件是:
        。/home/openssh/etc/sshd_config (ssh服务器端的配置文件)
        。/home/openssh/etc/ssh_config  (ssh客户端的配置文件)

sshd_config 是服务器端的配置文件,默认情况下,其内容应该如下:

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:
/sbin:/home3/ssh/bin

# This is the sshd server system-wide configuration file.  See sshd(8)
# for more information.

Port 22
#Protocol 2,1
#ListenAddress 0.0.0.0
#ListenAddress ::
HostKey /home3/ssh/etc/ssh_host_key
HostKey /home3/ssh/etc/ssh_host_rsa_key
HostKey /home3/ssh/etc/ssh_host_dsa_key
ServerKeyBits 768
LoginGraceTime 600
KeyRegenerationInterval 3600
PermitRootLogin yes
#
# Don't read ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes
StrictModes yes
X11Forwarding no
X11DisplayOffset 10
PrintMotd yes
KeepAlive yes

# Logging
SyslogFacility AUTH
LogLevel INFO
#obsoletes QuietMode and FascistLogging

RhostsAuthentication no
#
# For this to work you will also need host keys in /home3/ssh/etc/ssh_known_hosts
RhostsRSAAuthentication no
#
RSAAuthentication yes

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes
PermitEmptyPasswords no

# Comment to enable s/key passwords or PAM interactive authentication
# NB. Neither of these are compiled in by default. Please read the
# notes in the sshd(8) manpage before enabling this on a PAM system.
ChallengeResponseAuthentication no

# To change Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#AFSTokenPassing no
#KerberosTicketCleanup no

# Kerberos TGT Passing does only work with the AFS kaserver
#KerberosTgtPassing yes

#CheckMail yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net
#ReverseMappingCheck yes

Subsystem       sftp    /home/openssh/libexec/sftp-server

我们根据自己的需要修改这个配置,但是一般不需要做修改。
        
3. 公钥/私钥的产生
  客户机要连接使用SSH协议的主机,除了要有个用户外,还需要针对这个用户的一对密钥,一个是公钥,一个是私钥。产生它们用如下命令:
下面的粗体字是你要输入的。
$./ssh-keygen                (假设当前目录是ssh-keygen所在的目录)
Generating public/private rsa1 key pair.
Enter file in which to save the key (/home/lusan/.ssh
/identity): Return(回车)
Created directory '/home/lusan/.ssh'.
Enter passphrase (empty for no passphrase): hello world
Enter same passphrase again: hello world
Your identification has been saved in /home/lusan/.ssh/identity.
Your public key has been saved in /home/lusan/.ssh/identity.pub.
The key fingerprint is:
eb:62:ac:35:54:07:86:74:28:74:cf:89:18:f7:ae:a9 lusan@linux-128 <mailto:lusan@linux-128>

使用如下命令可以修改公钥/私钥
$ ./ssh-keygen -p
Enter file in which the key is (/home/lusan/.ssh/identity): Return(回车)
Enter old passphrase: hello world
Key has comment 'lusan@linux-128'
Enter new passphrase (empty for no passphrase): hello
Enter same passphrase again: hello
Your identification has been saved with the new passphrase.

接下来要做的就是把公钥复制到服务器端你的$home/.ssl下面,改名为authorized_keys.
$ cd ~/.ssh/
$ mv identity.pub authorized_keys

然后把私钥准备给客户端用,如果你要从windows上登陆,则应把这个文件下载到windows中存放。

4. 启动sshd
在设置好相应的配置参数后,以root身份启动sshd了
# /home/openssh/sbin/sshd
此外,sshd是一个守护进程在后台运行,因此,不必须明确地指明它应该在后台运行(sshd&)。

二、客户端的使用

这里客户端的使用有两种情况:在linux下和windows下
1. 在linux下
在你自己的linux机器上,按照一、的快速安装的方法安装好openssh的程序,当然可以选定你自己想要安装的目录。不需要修改ssh_config这个配置文件。你要做的就是把服务器端生成的私钥identity文件复制到$(HOME)/.ssh/下。设置这个文件的权限为只允许自己访问。
$cp identity $(HOME)/.ssh/
$chmod go-rwx $(HOME)/.ssh/identity

然后你就可以这样登录了:
$ ./ssh -l lusan 192.168.43.128
(这时候使用的私钥默认是$(HOME)/.ssh/identity)。你可以在你的客户端的配置文件中指明多个私钥的名称(为了连接多个站点),如:
IdentityFile ~/.ssh/identity.tjyd
IdentityFile ~/.ssh/identity.xydx
等,或者也可以使用:
$ ./ssh -l lusan -i~/.ssh/identity.tjyd xxx.xxx.xxx.xxx
指定一个私钥文件。
可以看用ssh -h 看ssh的更多具体使用方法
Enter passphrase for RSA key 'lusan@linux-128': hello
Last login: Thu Apr 12 14:44:05 2001 from lujf
显示信息表示你登录成功。
粗体字是你要输入的。

2. 在windows下
这里介绍两种软件。

1)SecureCRT
SecureCRT是一种支持SSH协议的远程登陆工具,最新版本可到Van Dyke公司的主页(<http://www.vandyke.com>)上去下载。运行目录下的可执行程序SecureCRT.EXE即可启动,从菜单File/New中可以建立一个新的session,需要填写的相关内容是:
Name:为这个会话起个名称
Protocol:有telnet,rlogin,ssh1等等,连接到使用ssh1协议的主机时要选择ssh1
Hostname:IP地址或主机名
Port:使用ssh1协议时一般是缺省的22
Username:用来登陆的用户名
Cipher:口令加密方法,选3DES
Authentication:要选择RSA,注意缺省的是Password
然后点“Advanced”按钮,Identity filename选择“Use session-specified”,并通过浏览按钮选中前面对应的私钥文件(需要先把它下载到本地硬盘来)
设置好后连接主机时,输入对应于该用户的密码(Cipher)即可。

2)Tera Term Pro + TTSSH for Windows
两个软件包是:ttermp23.zip,ttssh154.zip
分别对他们解压缩。进入ttermp23的目录。运行setup程序进行安装。然后把ttssh154目录下的所有文件拷贝到ttermp23的安装目录里面。然后运行ttermp23安装目录中的ttssh.exe,选择登录主机ip和ssh登录方式,按确定后,要输入的是: 
username :lusan(username)
passphrase: hello
然后选择use RSA key to login in: 这里选择你的私钥文件(即在linux服务器上生成的$(HOME)/.ssh/identity文件。 这样你就完成登录过程了。
如果你是第一次登录:会提示:
Host key not found from the list of know hosts.
Are you sure you want to continue connecting(yes/no)?
选择yes。
三、通过Zmodem协议传输文件
需要在远程主机上有两个程序lrz和lsz,前者用于上传,后者用于下载,软件可以到网上搜索得到;这里只介绍配合SecureCRT的用法:

1.上传文件
    比如要将D:\temp\up.tar.gz上传到远程主机的/tmp下面,需要使用SecureCRT登陆到该主机然后执行命令:
        $ cd /tmp
        $ /home/tools/lrz        (假设lrz放在/home/tools下)
这时SecureCRT自动弹出对话框,选择D:\temp\up.tar.gz,然后按“Add”按钮加到待传输的文件列表中,关闭该窗口后文件就开始上传到当前目录/tmp下了。可以一次选择多个文件批量上传。
2.下载文件
        比如要下载远程主机的文件/tmp/down.tar.gz,用SecureCRT登陆到该主机然后执行:
        $ cd /tmp
        $ /home/tools/lsz -b down.tar.gz
(假设lsz在/home/tools下)
参数-b指定传输二进制文件,更详细的用法可以用命令lsz --help察看,命令发出后SecureCRT即开始下载,并把文件存放到SecureCRT所在目录的子目录download中,这个缺省的存放目录可以从菜单Option/Session options/File Transfer中更改。
四、sftp的使用
这里我们再简单介绍一下sftp (secure ftp)的安装和使用。前面在介绍sshd(ssh服务器端)的配置文件的时候,在sshd-config的最后一行有:
subsystem  sftp /home3/ssh/libexec/sftp-server
这个语句。是说把sftp作为sshd的一个子系统来运行的。

1.        在linux环境下
安装上述步骤安装好ssh客户端之后,就可以进行secure ftp:
$<clientside-path-to-ssh>/bin/sftp -1v user@host <mailto:user@host> -s <serverside-path-to-ssh>/libexec/sftp-server
这里的几个参数说明:
-1(数字1):是指明协议的类型
-v(verbose): 显示状态信息
user: 用户名
host: 主机
-s : 发送到服务器端启动sftp-server

输入passphrase后,就进入sftp>的提示符,就下来的用法就和ftp一样了。可以通过help命令查看各种用法。

在linux下还可以用scp进行文件传输,scp就是Secure Copy( 远程文件安全拷贝程序),scp 利用透明的认证和加密方式在主机间(当然也可以在本机上)进行文件拷贝。只要条件允许,请使用scp来移动文件。
scp 的语法为:scp usr@host1: filename usr@host2:filename 如:
$./scp lusan@192.168.43.128:/home/lusan/.bash_profile .

这里给初学者提供一个比较好的站点:
<http://www.tac.nyc.ny.us/~kim/ssh/#public-key-crypto>

2.在windows下
使用Tera Term中的kermit协议的receive方式和send方式进行接收和发送。这时候必须在ssh的服务器端提供kermit服务。
这里先介绍kermit服务端的安装使用(源代码方式):
得到kermit的安装包:kermit-7.0-1.src.rpm
解开rpm包,得到kermit的源代码:
#rpm  - i  kermit-7.0-1.src.rpm
然后你可以在/usr/src/redflag/SOURCES下有如下两个文件:cku196.tar.Z和dummy.xpm
编译执行码:
#mkdir /home/kermit
#cp /usr/src/redflag/SOURCES/cku196.tar.Z /home/kermit
#cp /usr/src/redflag/SOURCES/dummy.xpm /home/kermit
#cd /home/kermit
#tar Zxvf cku196.tar.Z
#make
在/home/kermit下生成有wermit这个可执行程序。可以通过wermit -h看它的使用方法。
o 从服务端发送一个文件给客户端接收:
首先用Tera Term通过ssh协议连接服务器,然后用wermit程序发送要发送的文件:
$<path-to-kermit>/wermit -s file
在Tera Term的终端上出现:KERMIT READY TO SEND …的信息,然后在Tera Term终端的file菜单中选“change directory”选项,选定你要存放接收到文件的目录。最后选择file菜单中的Transfer中的Kermit中Receive选项,就出现接收状态。完毕之后就可以在你选定的目录中看到你要接收的文件。

o 从客户端发送一个文件到服务器端:
用ssh连接服务器,然后运行
$<path-to-kermit>/wermit -r 
然后在选file菜单中的Transfer中的Kermit中的send,出现一个选择要发送文件的对话框。选定之后出现传输进度状态,完毕后就可以在你执行 wermit的目录中找到你刚才发送的文件。

以上这些功能就完成了sftp的功能。

3.在dos环境下的sftp
首先 在服务器端要装一个sftp的服务程序
        得到sftp-0.9.6.tar.gz软件包,解压缩,编译。
$cp sftp-0.9.6.tar.gz /home/
$cd /home
$tar zxvf sftp-0.9.6.tar.gz
$cd sftp-0.9.6
$./configure -prefix=/home/sftp
$make
在/home/sftp目录下生成sftp,rsftp和sftpserv几个可执行程序即可。

然后,得到客户程序软件包:sftp-0.9.6-01032001.zip。解压缩到到某个目录。在这个目录中就有sftp.exe的文件。你可以使用sftp -h 看它的使用帮助。但是有一点,这是一个仿linux的程序。在运行sftp等程序之前,必须在你的pc机上设置一个home目录,然后在home目录下建立一个.ssh目录,再把针对某个服务器的identity文件拷贝到该.ssh目录下(私钥文件名称必须为identity)。
比如:
                c:\>md linux-128
                c:\>md linux-128\.ssh
                c:\>copy identity linux-128\.ssh
(注意这里的私钥必须命名为identity, 是服务器端生成的私钥, 先下载到本地)
                c:\>set home=c:\linux-128
(环境变量可以在autoexec.bat中设置, 以便启动就生效)这样就为连接linux-128建立了一个home环境

在完成以上步骤后就可以进行sftp的连接:
进入客户程序解压缩的目录,然后执行:
prompt>sftp -v -P /home/sftp usr@host <mailto:usr@host>
参数说明:
-v : 生成调试信息
-P: 指定服务器端的sftp服务器程序的路径
usr: 用户名
host: 服务器ip或主机名
接下来你就可以按提示做了。
0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:34971次
    • 积分:491
    • 等级:
    • 排名:千里之外
    • 原创:8篇
    • 转载:34篇
    • 译文:0篇
    • 评论:1条
    文章分类
    最新评论