（整理）SSH简介及配置应用

1.什么是SSH

51Testing软件测试网kv0X j$zU(R'n3L

传统的网络服务程序，如：ftp、POP和telnet在本质上都是不安全的，因为它们在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的，就是很容易受到“中间人”（man-in-the-middle）这种方式的攻击。所谓“中间人”的攻击方式，就是“中间人”冒充真正的服务器接收你传给服务器的数据，然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”一转手做了手脚之后，就会出现很严重的问题。

U~,pg$I1AI7B0

+O'e:D:Qc#G&h.`0从前，一个名为Tatu Ylnen的芬兰程序员开发了一种网络协议和服务软件，称为SSH（Secure SHell的缩写）。 通过使用SSH，你可以把所有传输的数据进行加密，这样“中间人”这种攻击方式就不可能实现了，而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，虽然许多人把Secure Shell仅当作Telnet的替代物，但你可以使用它来保护你的网络连接的安全。你可以通过本地或远程系统上的Secure Shell转发其他网络通信，如POP、X、PPP和FTP。你还可以转发其他类型的网络通信，包括CVS和任意其他的TCP通信。另外，你可以使用带TCP包装的Secure Shell，以加强连接的安全性。除此之外，Secure Shell还有一些其他的方便的功能，可用于诸如Oracle之类的应用，也可以将它用于远程备份和像SecurID卡一样的附加认证。51Testing软件测试网4]$G
P.Ob
~5cG}E

51Testing软件测试网X~[O%i8W

2.SSH的工作机制

51Testing软件测试网L1x"^5x s9Er

51Testing软件测试网 hr
Mw ^!b

-TlKnFoF:L0SSH分为两部分：客户端部分和服务端部分。

xq-M'mmvqx051Testing软件测试网5q#h Q:x1m:Z

服务端是一个守护进程(demon)，他在后台运行并响应来自客户端的连接请求。服务端一般是sshd进程，提供了对远程连接的处理，一般包括公共密钥认证、密钥交换、对称密钥加密和非安全连接。51Testing软件测试网.s,ANL'O_g

51Testing软件测试网;U+[)\~)?)K5\_?

客户端包含ssh程序以及像scp（远程拷贝）、slogin（远程登陆）、sftp（安全文件传输）等其他的应用程序。

b7zLC;G3@r051Testing软件测试网MA5RD6R^3W
mK U&N

他们的工作机制大致是本地的客户端发送一个连接请求到远程的服务端，服务端检查申请的包和IP地址再发送密钥给SSH的客户端，本地再将密钥发回给服务端，自此连接建立。刚才所讲的只是SSH连接的大致过程，SSH 1.x和SSH 2.x在连接协议上还有着一些差异。

7O5z;u#J2O}n0

-`;fL%M*yJ8}0SSH被设计成为工作于自己的基础之上而不利用超级服务器(inetd)，虽然可以通过inetd上的tcpd来运行SSH进程，但是这完全没有必要。启动SSH服务器后，sshd运行起来并在默认的22端口进行监听（你可以用# ps -waux | grep sshd来查看sshd是否已经被正确的运行了）如果不是通过inetd启动的SSH，那么SSH就将一直等待连接请求。当请求到来的时候SSH守护进程会产生一个子进程，该子进程进行这次的连接处理。

~6yKZY6M9^0

uo!M_^ r;LKt ]5]0但是因为受版权和加密算法的限制，现在很多人都转而使用OpenSSH。OpenSSH是SSH的替代软件，而且是免费的，

't)c~TMR Y)s3lm0

\tC5qBjen WW0SSH是由客户端和服务端的软件组成的，有两个不兼容的版本分别是：1.x和2.x。用SSH 2.x的客户程序是不能连接到SSH 1.x的服务程序上去的。OpenSSH 2.x同时支持SSH 1.x和2.x。51Testing软件测试网6y;q'@x9U8FXt\

51Testing软件测试网Si8uq.Sx%^4ds ^

S2rwG!E w0

K.tYg:p6QL0

3.安装使用OpenSSH

51Testing软件测试网(@&F!ZLo r H

;DOk!QC6[
Hq{r0

/LzBB0lv,eN!h7}C0这里主要讲的是基于FreeBSD的OpenSSH的配置,其它Unix及派生系统使用OpenSSH的方法大致相同FreeBSD中集成了OpenSSH，在很多Linux的发行版中都没有包括OpenSSH。但是，可以从网络上下载并安装OpenSSH，他是完全免费的。（可以访问OpenSSH的主页http://www.openssh.org）

Vej3HA j*c0e-|0

*V"?5nP9h/?g }0生成密钥对

x+t)JXp,r XJC0

Ch2d%S Aks0使用ssh-keygen来生成密钥对，比如要用DSA加密算法生成一个4096Bit的密钥对可以输入如下命令(具体参数请参阅man ssh-keygen)：51Testing软件测试网.sDhc1K0yt;B:C(~

:U*ZWt)cKzlW0#ssh-keygen -b 4096 -t dsa -k&Z g RL0 T }/~1V\ W+i!]V2K1o5Q0

51Testing软件测试网F8Q~pr0w4] %ssh-keygen -b 4096 -t dsa51Testing软件测试网K5O"k~%i8h 51Testing软件测试网\-B_(aEVZ{

Generating public/private dsa key pair.51Testing软件测试网D1e,xRT3Y7q Enter file in which to save the key (/home/fdy84/.ssh/id_dsa): C y SKD0m&K0

(密钥对将要存的路径,括号内为默认)51Testing软件测试网C/Q+h6[7Bn;XHi Created directory '/home/fdy84/.ssh'. t+D0nZ2JhN/o0Enter passphrase (empty for no passphrase): $D.Tvb0[\$LH5oxR9t0(输入口令) s5l+}T:gL)mP/`E!z0Enter same passphrase again:51Testing软件测试网&L)yg&O7_ (再次输入口令,千万不要忘记否则就只有从新生成密钥了)51Testing软件测试网;NzKk:VG.t!Sx \ Your identification has been saved in /home/fdy84/.ssh/id_dsa.51Testing软件测试网 w\:W'\2k.` (你的私钥) jI9Y?c/t#Mc0Sq0Your public key has been saved in /home/fdy84/.ssh/id_dsa.pub. r^)CPnN*Pu0(你的公钥)51Testing软件测试网$U%V-y;P;z qv The key fingerprint is:51Testing软件测试网-\OQ9nnQ+q bb:1b:f5:1c:77:62:90:21:59:7e:c6:65:e5:24:c6:e5 fdy84@freebsd51Testing软件测试网8Sp(M.mx *@/\%vX6J0

51Testing软件测试网a/B)ln}%Hh~3S

密钥分发

%o.lkY9KLF051Testing软件测试网:bv1kW4u*pY
u4n

刚才生成了一对密钥，把私钥放在自己的机器上的~/.ssh/目录下并保证访问权限是“-rw-------”(即600)。再把生成的公钥放在要连接的远程主机的~/.ssh/目录下并改名为authorized_keys,并且保证文件除了属主外没有被人修改的权限。51Testing软件测试网%Q6I*W0O$DI

51Testing软件测试网&KV8C#^9J

4.配置使用SSH

r dd tfC:dsT8z1_ ~0

f7j(d!uT4D;G.J0

9BJc}\@)r0Th}0配置服务端

8e|;ui"O+N(d[0启动SSH服务端很简单只需要运行51Testing软件测试网9r5j7}M[b^e

# sshd

_g1h j i@.vMgY0Q0就可以了。或者在/etc/rc.conf中加入
~(l8U2ZT$Xi
?;Jg0sshd_enable="YES"51Testing软件测试网8i#Y"rID~-j$Py
就可以在每次启动时自动运行SSH服务端了。51Testing软件测试网mCr+}SG
SSH服务端的配置使用的配置文件是“/etc/ssh/sshd_config”，并且OpenSSH1.x和2.x的服务器配置文件均为此文件。51Testing软件测试网 f+^Fy9]
51Testing软件测试网1z j h6J)g@
D4qvc

配置客户端51Testing软件测试网 vD5Un_0E}

51Testing软件测试网:DXR}0Y-I}

客户端想连接远程服务器只需要输入
j!o+v
Np7c4X7G$q~z\0#ssh 域名（或ip）51Testing软件测试网*e4F`5g%c%K
就可以了

G'C'Cm?[0比如想以fdy84用户连接IP地址为192.168.0.6的一台远程服务器 需要键入

# ssh 192.168.0.6 -l fdy84

只要配置正确就可以连上远端的服务器了51Testing软件测试网;m0S*j${8z7_{a3a5Pq

5.使用Windows下的SecureCRT进行SSH连接

51Testing软件测试网1Gv{,]L i d!kd

6en%Ao
M%Z7\051Testing软件测试网L.M/^:\/|h7V

如果在Windows下想要通过SSH远程管理服务器怎么办？其实Windows有很多远程管理软件，我们在这主要介绍一下SecureCRT中SSH连接的使用。（以Version 4.1.1为准介绍）51Testing软件测试网pjfz8XL

2o4i}doS'|7zw)n0Create Public Key...
JTx8WcK0SecureCRT也可以生成密钥对，不过SecureCRT最大只支持2048Bit的密钥，点选Tools－>Create Public Key...,选择密钥算法和密钥长度,输入完口令后再使劲晃鼠标以给它生成密钥的足够的随机量之后就等待计算机生成密钥对，如图

8H/?U$K3g&|,az051Testing软件测试网b"s+TK*qhz

51Testing软件测试网)V;O)d0d
o

51Testing软件测试网M'oSN~

点选左上角的Connect按钮,开启Connect对话框

vr Q~ M\ZOH7m051Testing软件测试网a7P`t~

51Testing软件测试网^-fAuGk5I

^#w6y0U a9I4?0再点击红圈所示的New Session按钮进入Session Options对话框

y.~
e x`051Testing软件测试网.S%z}:n#Fe

51Testing软件测试网7|'Ds}f*~@/f

6`~.y(A jG$Nw&U0在这里我们选择SSH连接,并填入要连接的主机名称(或者ip地址),用户名,再选择基于公钥方式的认证,点击Properties...进入密钥配置对话框

,kD2}(uB6N/pBK0

~0^0DR;p R051Testing软件测试网R[.X9NBP

}u!^/wi(c0在红色圈所示的位置填入你的私钥文件。

5S e)@&JU ~uY0

] E n {5@u0现在点击刚才建立的那个连接进行SSH连接，根据提示点击几个对话框之后就连接上远程的服务器了，如图

,v7[Em:^051Testing软件测试网8l{j!D!BD[

'dUE.v*eG051Testing软件测试网E JoWH2Zf,X4Gj

特别要注意的是由SecureCRT生成的密钥对和用OpenSSH生成的密钥对在格式上不一样，而且二者都只能认识自己的密钥的格式，所以在用SecureCRT同OpenSSH连接时分别都要用它们自己的密钥格式，可以用任何一个方法生成然后使用ssh-keygen -i 把SecureCRT生成的的密钥转换成OpenSSH的密钥格式,或者用ssh-keygen -e把OpenSSH的密钥格式转换成SecureCRT能够识别的IETF SECSH格式。51Testing软件测试网DK8~z:q

51Testing软件测试网UeBlJ b,~^8h q

虽然SSH提供基于密码的登陆,不过基于安全考虑笔者并不推荐使用这种登陆,鉴于现在机器的速度普遍已经很快,推荐使用4096位的密钥以加强安全性。51Testing软件测试网/{Ds/q(W@M!iTB:e

51Testing软件测试网];z:Prd)HP

目前远程登录工具非常多，建议大家还是用开源的ssh工具。51Testing软件测试网 sv6x|Z;P^