linux 下 OpenSSH的安装和使用

OpenSSH的安装和使用

由于许多网络服务(包括telnet、ftp、http、rsh、rlogin以及其他服务)都可以被电子窃听，我们必须采用安全的方式进行文件移动、权限设置、shell脚本的运行等等。         为了防止攻击者窃取每天的网络数据，我们可以安装使用Secure Shell(ssh)。这里就向大家具体介绍如何安装和使用ssh服务器和客户端程序。这里说的openssh是一个网上的免费软件。 Open Secure Shell(openssh)是一个安全的登录系统，可以用来替代telnet、rlogin、rcp等。简单的讲，ssh 是一个通过网络登录进入另一台计算机的程序。 我们这里的openssh主要支持的算法是RSA--RSA算法指的是Rivest-Shamir-Adelman算法。该算法广泛应用于公钥/私钥加密系统。如果要详细了解这方面的内容，可以查找站点：<http://www.rsa.com> 在本文中主要讨论openssh服务器的安装、配置和客户端的配置、使用 一、openssh服务器端的安装及配置 1.服务器端的安装 安装方式主要是三种： o安装操作系统时候选中要安装“安全服务器”（只有部分操作系统带有此软件包，如红旗linux 2.0服务器版） o rpm包方式安装。 o 源代码方式安装； a) 安装操作系统时安装 在安装操作系统的时候，在选择软件包的时候，选上“安全服务器”，就会在你的服务器上自动安装好openssh服务器。同时在启动的时候会自动启动sshd的进程。服务器端的配置文件在/etc/ssh/sshd-config中，但是此时你不需要对它进行修改。你要做的仅是在客户机上安装客户端程序。 b) 用rpm包方式安装 在红旗Linux 2.0中需要的rpm包可以从/mnt/cdrom/RedFlag/RPMS（系统安装盘）中获得，它们是： openssh-2.1.1p4-1.i386.rpm openssh-clients-2.1.1p4-1.i386.rpm openssh-askpass-2.1.1p4-1.i386.rpm openssh-askpass-gnome-2.1.1p4-1.i386.rpm openssh-server-2.1.1p4-1.i386.rpm 安装用如下命令： #rpm -i openssh-2.1.1p4-1.i386.rpm 用同样的方法安装其他的四个rpm包，在和a）相同的路径中存放着你所关心的配置文件，当然sshd的主程序在/usr/sbin下。 c) 源代码方式安装 openssh的安装首先要求在系统中已经安装了zlib和Openssl。所以我们需要的以下的安装包：(这里的版本最好采用最新的)         zlib.tar.gz openssl-0.9.6a.tar.gz openssh-2.5.2p2.tar.gz 安装步骤如下： 在/home目录下建立source目录，把以上三个源代码包复制到/home/source目录下，分别对各个包解压缩，再进行相应的configure、make和makeinstall。具体命令如下： # mkdir /home/source # cp zlib.tar.gz openssl-0.9.6a.tar.gz openssh-2.5.2p2 .tar.gz /home/source　　　　　　　　　（接上一行） # cd /home/source # tar zxvf zlib.tar.gz # tar zxvf openssl-0.9.6a.tar.gz # tar zxvf openssh-2.5.2p2.tar.gz (注：一般安装linux操作系统的时候都安装了zlib库，故这步不是必须的) # cd /home/source/zlib-1.1.3 # ./configure -s # make # make test # make install prefix=/usr # cd /home/source/openssl-0.9.6a # ./configure -prefix=/home/openssl # make # make test # make install # cd /home/source/openssh-2.5.2p2 # ./configure --with-ssl-dir=/home/openssl --prefix =/home/openssh                            （接上一行） # make # make install 这样openssh的服务器端就安装完毕，进入/home/openssh的目录，下面的目录结构是这样的： bin/  etc/  libexec/  man/  sbin/ bin/下面存放的是命令集 scp  sftp  slogin  ssh  ssh-add  ssh-agent  ssh-keygen  ssh-keyscan etc/下面存放的是配置文件 libexec/下面存放的是ftp的主程序 man/下面是手册 sbin/下面是ssh的主程序sshd。 2. 配置openssh服务器 在安装完ssh后，下一步就是验证（或是修改，如果是必须的）ssh配置文件中的参数。这些配置文件是：         。/home/openssh/etc/sshd_config (ssh服务器端的配置文件)         。/home/openssh/etc/ssh_config  (ssh客户端的配置文件) sshd_config 是服务器端的配置文件，默认情况下，其内容应该如下： # This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin: /sbin:/home3/ssh/bin # This is the sshd server system-wide configuration file.  See sshd(8) # for more information. Port 22 #Protocol 2,1 #ListenAddress 0.0.0.0 #ListenAddress :: HostKey /home3/ssh/etc/ssh_host_key HostKey /home3/ssh/etc/ssh_host_rsa_key HostKey /home3/ssh/etc/ssh_host_dsa_key ServerKeyBits 768 LoginGraceTime 600 KeyRegenerationInterval 3600 PermitRootLogin yes # # Don't read ~/.rhosts and ~/.shosts files IgnoreRhosts yes # Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication #IgnoreUserKnownHosts yes StrictModes yes X11Forwarding no X11DisplayOffset 10 PrintMotd yes KeepAlive yes # Logging SyslogFacility AUTH LogLevel INFO #obsoletes QuietMode and FascistLogging RhostsAuthentication no # # For this to work you will also need host keys in /home3/ssh/etc/ssh_known_hosts RhostsRSAAuthentication no # RSAAuthentication yes # To disable tunneled clear text passwords, change to no here! PasswordAuthentication yes PermitEmptyPasswords no # Comment to enable s/key passwords or PAM interactive authentication # NB. Neither of these are compiled in by default. Please read the # notes in the sshd(8) manpage before enabling this on a PAM system. ChallengeResponseAuthentication no # To change Kerberos options #KerberosAuthentication no #KerberosOrLocalPasswd yes #AFSTokenPassing no #KerberosTicketCleanup no # Kerberos TGT Passing does only work with the AFS kaserver #KerberosTgtPassing yes #CheckMail yes #UseLogin no #MaxStartups 10:30:60 #Banner /etc/issue.net #ReverseMappingCheck yes Subsystem       sftp    /home/openssh/libexec/sftp-server 我们根据自己的需要修改这个配置，但是一般不需要做修改。          3. 公钥/私钥的产生 　　客户机要连接使用SSH协议的主机，除了要有个用户外，还需要针对这个用户的一对密钥，一个是公钥，一个是私钥。产生它们用如下命令： 下面的粗体字是你要输入的。 $./ssh-keygen                （假设当前目录是ssh-keygen所在的目录） Generating public/private rsa1 key pair. Enter file in which to save the key (/home/lusan/.ssh /identity): Return(回车) Created directory '/home/lusan/.ssh'. Enter passphrase (empty for no passphrase): hello world Enter same passphrase again: hello world Your identification has been saved in /home/lusan/.ssh/identity. Your public key has been saved in /home/lusan/.ssh/identity.pub. The key fingerprint is: eb:62:ac:35:54:07:86:74:28:74:cf:89:18:f7:ae:a9 lusan@linux-128 <mailto:lusan@linux-128> 使用如下命令可以修改公钥/私钥 $ ./ssh-keygen -p Enter file in which the key is (/home/lusan/.ssh/identity): Return(回车) Enter old passphrase: hello world Key has comment 'lusan@linux-128' Enter new passphrase (empty for no passphrase): hello Enter same passphrase again: hello Your identification has been saved with the new passphrase. 接下来要做的就是把公钥复制到服务器端你的$home/.ssl下面，改名为authorized_keys. $ cd ~/.ssh/ $ mv identity.pub authorized_keys 然后把私钥准备给客户端用，如果你要从windows上登陆，则应把这个文件下载到windows中存放。 4. 启动sshd 在设置好相应的配置参数后，以root身份启动sshd了 # /home/openssh/sbin/sshd 此外，sshd是一个守护进程在后台运行，因此，不必须明确地指明它应该在后台运行（sshd&）。 二、客户端的使用 这里客户端的使用有两种情况：在linux下和windows下 1. 在linux下 在你自己的linux机器上，按照一、的快速安装的方法安装好openssh的程序，当然可以选定你自己想要安装的目录。不需要修改ssh_config这个配置文件。你要做的就是把服务器端生成的私钥identity文件复制到$(HOME)/.ssh/下。设置这个文件的权限为只允许自己访问。 $cp identity $(HOME)/.ssh/ $chmod go-rwx $(HOME)/.ssh/identity 然后你就可以这样登录了： $ ./ssh -l lusan 192.168.43.128 （这时候使用的私钥默认是$(HOME)/.ssh/identity）。你可以在你的客户端的配置文件中指明多个私钥的名称(为了连接多个站点)，如： IdentityFile ~/.ssh/identity.tjyd IdentityFile ~/.ssh/identity.xydx 等，或者也可以使用： $ ./ssh -l lusan -i~/.ssh/identity.tjyd xxx.xxx.xxx.xxx 指定一个私钥文件。 可以看用ssh -h 看ssh的更多具体使用方法 Enter passphrase for RSA key 'lusan@linux-128': hello Last login: Thu Apr 12 14:44:05 2001 from lujf 显示信息表示你登录成功。 粗体字是你要输入的。 2. 在windows下 这里介绍两种软件。 1)SecureCRT SecureCRT是一种支持SSH协议的远程登陆工具，最新版本可到Van Dyke公司的主页（<http://www.vandyke.com>）上去下载。运行目录下的可执行程序SecureCRT.EXE即可启动，从菜单File/New中可以建立一个新的session，需要填写的相关内容是： Name：为这个会话起个名称 Protocol：有telnet，rlogin，ssh1等等，连接到使用ssh1协议的主机时要选择ssh1 Hostname：IP地址或主机名 Port：使用ssh1协议时一般是缺省的22 Username：用来登陆的用户名 Cipher：口令加密方法，选3DES Authentication：要选择RSA，注意缺省的是Password 然后点“Advanced”按钮，Identity filename选择“Use session－specified”，并通过浏览按钮选中前面对应的私钥文件（需要先把它下载到本地硬盘来） 设置好后连接主机时，输入对应于该用户的密码（Cipher）即可。 2)Tera Term Pro + TTSSH for Windows 两个软件包是：ttermp23.zip，ttssh154.zip 分别对他们解压缩。进入ttermp23的目录。运行setup程序进行安装。然后把ttssh154目录下的所有文件拷贝到ttermp23的安装目录里面。然后运行ttermp23安装目录中的ttssh.exe，选择登录主机ip和ssh登录方式，按确定后，要输入的是：  username :lusan(username) passphrase: hello 然后选择use RSA key to login in: 这里选择你的私钥文件（即在linux服务器上生成的$(HOME)/.ssh/identity文件。 这样你就完成登录过程了。 如果你是第一次登录：会提示： Host key not found from the list of know hosts. Are you sure you want to continue connecting(yes/no)? 选择yes。 三、通过Zmodem协议传输文件 需要在远程主机上有两个程序lrz和lsz，前者用于上传，后者用于下载，软件可以到网上搜索得到；这里只介绍配合SecureCRT的用法： 1.上传文件     比如要将D:\temp\up.tar.gz上传到远程主机的/tmp下面，需要使用SecureCRT登陆到该主机然后执行命令：         $ cd /tmp         $ /home/tools/lrz        （假设lrz放在/home/tools下） 这时SecureCRT自动弹出对话框，选择D:\temp\up.tar.gz，然后按“Add”按钮加到待传输的文件列表中，关闭该窗口后文件就开始上传到当前目录/tmp下了。可以一次选择多个文件批量上传。 2.下载文件         比如要下载远程主机的文件/tmp/down.tar.gz，用SecureCRT登陆到该主机然后执行：         $ cd /tmp         $ /home/tools/lsz -b down.tar.gz （假设lsz在/home/tools下） 参数-b指定传输二进制文件，更详细的用法可以用命令lsz --help察看，命令发出后SecureCRT即开始下载，并把文件存放到SecureCRT所在目录的子目录download中，这个缺省的存放目录可以从菜单Option/Session options/File Transfer中更改。 四、sftp的使用 这里我们再简单介绍一下sftp (secure ftp)的安装和使用。前面在介绍sshd（ssh服务器端）的配置文件的时候，在sshd-config的最后一行有: subsystem  sftp /home3/ssh/libexec/sftp-server 这个语句。是说把sftp作为sshd的一个子系统来运行的。 1．        在linux环境下 安装上述步骤安装好ssh客户端之后，就可以进行secure ftp： $<clientside-path-to-ssh>/bin/sftp -1v user@host <mailto:user@host> -s <serverside-path-to-ssh>/libexec/sftp-server 这里的几个参数说明： -1（数字1）：是指明协议的类型 -v（verbose）: 显示状态信息 user: 用户名 host: 主机 -s : 发送到服务器端启动sftp-server 输入passphrase后，就进入sftp>的提示符，就下来的用法就和ftp一样了。可以通过help命令查看各种用法。 在linux下还可以用scp进行文件传输，scp就是Secure Copy（ 远程文件安全拷贝程序），scp 利用透明的认证和加密方式在主机间(当然也可以在本机上)进行文件拷贝。只要条件允许，请使用scp来移动文件。 scp 的语法为：scp usr@host1: filename usr@host2:filename 如： $./scp lusan@192.168.43.128:/home/lusan/.bash_profile . 这里给初学者提供一个比较好的站点： <http://www.tac.nyc.ny.us/~kim/ssh/#public-key-crypto> 2．在windows下 使用Tera Term中的kermit协议的receive方式和send方式进行接收和发送。这时候必须在ssh的服务器端提供kermit服务。 这里先介绍kermit服务端的安装使用（源代码方式）： 得到kermit的安装包：kermit-7.0-1.src.rpm 解开rpm包，得到kermit的源代码: #rpm  - i  kermit-7.0-1.src.rpm 然后你可以在/usr/src/redflag/SOURCES下有如下两个文件：cku196.tar.Z和dummy.xpm 编译执行码： #mkdir /home/kermit #cp /usr/src/redflag/SOURCES/cku196.tar.Z /home/kermit #cp /usr/src/redflag/SOURCES/dummy.xpm /home/kermit #cd /home/kermit #tar Zxvf cku196.tar.Z #make 在/home/kermit下生成有wermit这个可执行程序。可以通过wermit -h看它的使用方法。 o 从服务端发送一个文件给客户端接收： 首先用Tera Term通过ssh协议连接服务器，然后用wermit程序发送要发送的文件： $<path-to-kermit>/wermit -s file 在Tera Term的终端上出现:KERMIT READY TO SEND …的信息，然后在Tera Term终端的file菜单中选“change directory”选项，选定你要存放接收到文件的目录。最后选择file菜单中的Transfer中的Kermit中Receive选项，就出现接收状态。完毕之后就可以在你选定的目录中看到你要接收的文件。 o 从客户端发送一个文件到服务器端： 用ssh连接服务器，然后运行 $<path-to-kermit>/wermit -r  然后在选file菜单中的Transfer中的Kermit中的send，出现一个选择要发送文件的对话框。选定之后出现传输进度状态，完毕后就可以在你执行 wermit的目录中找到你刚才发送的文件。 以上这些功能就完成了sftp的功能。 3．在dos环境下的sftp 首先 在服务器端要装一个sftp的服务程序         得到sftp-0.9.6.tar.gz软件包，解压缩，编译。 $cp sftp-0.9.6.tar.gz /home/ $cd /home $tar zxvf sftp-0.9.6.tar.gz $cd sftp-0.9.6 $./configure -prefix=/home/sftp $make 在/home/sftp目录下生成sftp，rsftp和sftpserv几个可执行程序即可。 然后，得到客户程序软件包：sftp-0.9.6-01032001.zip。解压缩到到某个目录。在这个目录中就有sftp.exe的文件。你可以使用sftp -h 看它的使用帮助。但是有一点，这是一个仿linux的程序。在运行sftp等程序之前，必须在你的pc机上设置一个home目录，然后在home目录下建立一个.ssh目录，再把针对某个服务器的identity文件拷贝到该.ssh目录下（私钥文件名称必须为identity）。 比如：                 c:\>md linux-128                 c:\>md linux-128\.ssh                 c:\>copy identity linux-128\.ssh （注意这里的私钥必须命名为identity, 是服务器端生成的私钥, 先下载到本地）                 c:\>set home=c:\linux-128 （环境变量可以在autoexec.bat中设置, 以便启动就生效）这样就为连接linux-128建立了一个home环境 在完成以上步骤后就可以进行sftp的连接： 进入客户程序解压缩的目录，然后执行： prompt>sftp -v -P /home/sftp usr@host <mailto:usr@host> 参数说明： -v : 生成调试信息 -P: 指定服务器端的sftp服务器程序的路径 usr: 用户名 host: 服务器ip或主机名 接下来你就可以按提示做了。