摘 要: 介紹了用SSH配置安全認證、生成密鑰以及實現遠程登錄的具體操作。
關鍵詞: SSH協議 Telnet openSSH
系統程序員和管理員都喜歡遠程登錄自己的服務器,但傳統的網絡服務程序(如telnet、ftp、rlogin和rsh)及相關的服務在本質上都是不安全的,因為它們在網絡上用明文傳送口令和數據,黑客通過數據包截獲工具可以截獲這些口令和數據。這些服務程序的安全驗證方式也存在弱點,易受到中間人(man-in-the-middle)方式的攻擊。中間人攻擊方式中,中間人冒充真正的服務器接收客戶機發送給服務器的數據,并篡改客戶機的信息后發送至真正的服務器。這使得通信過程不再安全,并且失去了傳送數據的私密性。
SSH(secure shell)是一個在應用程序中提供安全通信的協議。通過SSH可以安全地訪問服務器。因為SSH把所有傳輸的數據進行加密,確保數據的完整和不被篡改,從而確保私密性。這樣中間人攻擊方式就不可能實現了,而且也能夠防止DNS和IP欺騙。另外,傳輸的數據是經過壓縮的,所以可以加快傳輸的速度。SSH有很廣泛的用途,它可代替遠程登錄程序Telnet,又可以為ftp、pop、甚至ppp提供安全的通道,從而在不安全的網絡環境下、在客戶/服務器之間提供安全和加密的信息交流。
遠程運行SSH時需要遠程機器正在運行SSHd(SSH守護程序),SSH的標準端口是22。由于大多數防火墻對這個端口都是禁用的,所以需要將SSH守護進程指派給Internet服務的端口上運行,因為即使最嚴密的防火墻也要打開21、8080、25和110中的一個。這樣就可以通過大多數的防火墻來使用SSH進行遠程登錄。
1 SSH提供的安全認證
SSH提供二種級別的安全驗證。一種是基于口令的安全驗證;另一種是基于密鑰的安全驗證。首先生成一對密鑰,將公鑰安裝在需要訪問的服務器中。當客戶端需要連接到SSH服務器時,客戶端軟件就會向服務器發出請求,請求用自己的密鑰進行安全驗證。服務器收到請求之后,先在該服務器中尋找客戶端的公用密鑰,然后把它和客戶端發送過來的公鑰進行比較。如果二個密鑰相同,則SSHd生成隨機數,并用公鑰進行加密,然后SSHd將加密的隨機數發回給正在客戶端運行的SSH。SSH用私鑰解密后,再把它發送回客戶端。這樣就完成了整個驗證過程。
2 SSH的具體實現
(1)確認系統已經安裝了SSH并進行測試
(2)生成管理SSH密鑰
SSH的密匙是用SSH-keygen程序管理的。下面是SSH-keygen密鑰生成的一個實例。
上述過程需要分別在每個用SSH連接的遠程服務器上完成。為了保證他人對于authorized_keys沒有寫的權限并保證SSH工作,chmod是必須的。如果想從不同的計算機登錄到遠程主機,authorized_keys文件也可以有多個公用密匙。這種情況下必須在新的計算機上重新生成一對密匙,然后重復上述過程。需要注意的是,當取消了主機上的賬號之后,必須刪掉這對密匙。
3 SSH配置
(1)配置SSH客戶端
OpenSSH的配置數據可以有三種語法形式,按照優先權從大到小的順序分別是:命令行選項、用戶配置文件(~/.SSH/config)、系統配置文件(/etc/SSH/SSH_config)。所有的命令行選項均能在配置文件中設置。因為任何配置值都是首次設置時有效,所以指定主機的聲明應該位于配置文件的最初,而默認值則放于文件末尾。下面是/etc/SSH/SSH_
config文件的內容,用戶配置文件可以從系統配置文件修改得到。
#/etc/SSH/SSH_config文件
#Host*
# ForwardAgent no
# ForwardX11 no
# RhostsAuthentication yes
# RhostsRSAAuthentication yes
# RSAAuthentication yes
# PasswordAuthentication yes
# FallBackToRsh no
# UseRsh no
# BachMode no
# CheckHostIP yes
# StrictHostKeyChecking ask
# IdentityFile ~/.SSH/identity
# IdentityFile ~/.SSH/id_rsa
# IdentityFile ~/.SSH/id_dsa
# Port 22
# Protocol 2,1
# Cipher 3des
# Ciphers aes128-cbc,3des-cbc,blowfish-cbc,
#cast128-cbc,arcfour,aes192-cbc,aes2
# EscapeChar~
Host*
ForwardX11 yes
ForwardAgent no
FallBackToRsh no
#/etc/SSH/SSH_config文件到此結束
(2)配置SSH服務端
SSH服務器配置文件是/etc/SSH/SSHd_config,對于SSH 1.x和2.x,OpenSSH的配置文件是一樣的。下面是
/etc/SSH/SSHd_config的內容:
#/etc/SSH/SSHd_config文件
#Port 22
#Protocol 2,1
#ListenAddress 0.0.0.0
#ListenAddress ∷
# SSH1的HostKey
#HostKey/etc/SSH/SSH_host_key
#記錄
SyslogFacility AUTHPRIV
LogLevel INFO
#認證:
PermitRootLogin yes
#是否允許超級用戶登錄,與telnet不同,SSH缺省允許超
#級用戶登錄
StrictModes yes
SAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .SSH/authorized_keys
# 禁用rhosts認證
RhostsAuthentication no
# 禁讀用戶的~/.rhosts和~/.shosts文件
IgnoreRhosts yes
# /etc/SSH/SSH_known_hosts中需要host keys
RhostsRSAAuthentication no
IgnoreUserKnownHosts no
# 把這個選項設置為no,只允許用戶用基于密匙而非基于
# 口令方式登錄。這能在很大程度上提高系統的安全性。
PasswordAuthentication yes
PermitEmptyPasswords no
#X11Forwarding no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#KeepAlive yes
#UseLogin no
#MaxStartups 10
# no default banner path
#Banner /some/path
#VerifyReverseMapping no
# override default of no subsystems
Subsystem sftp /usr/libexec/openSSH/sftp-server
# /etc/SSH/SSHd_config文件到此結束
4 SSH實現遠程登錄
最容易受到監聽工具威脅的程序之一是Telnet,Sniffer程序可以輕易地得到用戶的登錄名和密碼。解決的方法就是用SSH替代Telnet。它使傳輸中的所有信息加密,確保了傳輸信息不被竊聽。
下面是第一次登錄的情況:
[gxh@cs cs]$ SSH localhost
The authenticity of host ′localhost(127.0.0.1)′can′t be established.
RSA key fingerprint is 4b:91:0a:85:7a:ab:f6:1a:f5:51:07:
33:4d:ba:ec:e3.
Are you sure you want to continue connecting (yes/no)? yes
Warning:Permanently added ′localhost′(RSA) to the list of
known hosts.
gxh@localhost′s password:
Last login:Wed Oct 2 06:53:42 2002 from 202.206.196.221
[gxh@cs cs]$
以后的登錄情況:
[gxh@cs cs]$ SSH localhost
gxh@localhost′s password:
Last login:Wed Oct 2 09:43:16 2002 from cs
[gxh@cs gxh]$
5 結 論
SSH廣泛使用在Linux中,它的免費軟件openSSH更具的生命力。Linux系統中用SSH就能實現安全的遠程登錄。當然對于其他的服務FTP、POP等,SSH都能安全出色地完成任務,并且SSH在其安全認證中可以采用自己獨特的算法。