“SSH”讓遠程控制更安全

第第頁“SSH”讓遠程控制更安全“SSH”讓遠程控制更安全

發(fā)表于：2023-06-23來源：：點擊數(shù)：標簽：

網(wǎng)絡(luò)被攻擊，很多情況是由于服務(wù)器提供了Te.net服務(wù)引起的。的確，對于UNIX系統(tǒng)，如果要遠程管理它，必定要使用遠程終端，而要使用遠程終端，自然要在服務(wù)器上啟動Telnet服務(wù)。但是Telnet服務(wù)有一個致命的弱點——它以明文的方式傳輸用戶名及口令，所

網(wǎng)絡(luò)被攻擊，很多情況是由于服務(wù)器提供了T服務(wù)引起的。的確，對于UNIX系統(tǒng)，如果要遠程管理它，必定要使用遠程終端，而要使用遠程終端，自然要在服務(wù)器上啟動Telnet服務(wù)。但是Telnet服務(wù)有一個致命的弱點——它以明文的方式傳輸用戶名及口令，所以，很容易被別有用心的人竊取口令。目前，一種有效代替Telnet服務(wù)的有用工具就是SSH服務(wù)。SSH客戶端與服務(wù)器端通訊時，用戶名及口令均進行了加密，有效防止了對口令的竊聽。本文向大家介紹運行在常用操作系統(tǒng)上的SSH服務(wù)器軟件包的使用。

首先，SSH軟件包由兩部分組成，一部分是服務(wù)器端軟件包，另一部分是客戶軟件包。針對UNIX、Linux系統(tǒng)，這兩個軟件包是分開打包在兩個不同的文件中的。在Windows9x/NT/2000中，也分為兩部分，不同之處在于，服務(wù)器軟件包只能運行在WindowsNT及Windows2000Server以上的版本中，而客戶端SSH可以運行在所有的Windows系統(tǒng)中。此外，SSH還分為SSH1及SSH2兩個版本，SSH1是一個完全免費的軟件包，而SSH2在商業(yè)使用時則要付費。由其命名也可知SSH1是第一版，它的功能沒有SSH2強大，但是，由于它是免費的，所以廣泛地使用在很多網(wǎng)站中。SSH2中加入了很多功能，并且兼容SSH1服務(wù)器，可以對SSH1的客戶端提供很好的服務(wù)支持。所以，如果你的系統(tǒng)中安裝了SSH2，那就沒有必要再安裝SSH1軟件包了。

UNIX/Linux下SSH2安裝步驟

1.下載軟件包，下載地址，下載最新軟件包SSH2，最好下載源程序軟件包自己進行自行編譯。

2.解壓及安裝：

#tar-zxvfssh2-2.4.0.tar.gz

#cdssh2-2.4.0

#./configure

#make

#makeinstall

安裝完成。這一過程實際上將服務(wù)器軟件包及客戶端軟件一起安裝了，不必再次安裝客戶端軟件包。

已編譯好的二進制軟件包以rpm格式存放在/pub/ssh/rpm目錄下。它是一個給非商業(yè)用戶使用的軟件包，軟件包名稱為：ssh-2.4.0-1.i386.rpm，其中包含了對XWindow的支持，另一個不支持XWindow的軟件包為ssh-2.4.0-1nox.i386.rpm，下載后可以直接安裝。安裝程序?qū)SH2軟件包安裝在/usr/local/bin及/usr/local/sbin下。

WindowsNT上安裝SSH

在NT及Windows2000Server環(huán)境下，可選擇的服務(wù)器軟件有：Vshell、ssh2-2.4.0.win-server。Vshell是由VanDyke提供的一個可以在WindowsNT/2000環(huán)境下提供SSH2服務(wù)器的軟件包，其下載地址如下：/download/index.html。另一個運行在Windows環(huán)境下的SSH服務(wù)器是SSHWinServer.exe，可以直接從/pub/ssh目錄下下載。

Windows環(huán)境下的安裝十分簡單，本文不再多介紹。

與UNIX不同，在Windows環(huán)境下，需要分別安裝服務(wù)器及客戶端軟件包。運行在Windows環(huán)境下的客戶端軟件，也可以從以上兩個站點下載得到，文件名分別為SecureCRT及SSHWin-2.4.0-pl2。

關(guān)于密鑰的準備工作

A.服務(wù)器端產(chǎn)生用戶的自己的加密密鑰及對外公開使用的公鑰。在UNIX環(huán)境下，產(chǎn)生密鑰的方法如下：

-keygen

要求用戶輸入一個長的認證字串，這個字串的功能同password相當，但是，它更長，一般是在20個字符以內(nèi)。再次輸入相同的字串以確認輸入的正確，之后，系統(tǒng)產(chǎn)生一對密鑰及公鑰。將公鑰復(fù)制到本地，以便客戶端對服務(wù)器發(fā)送的信息進行解密用。當然，如果你不復(fù)制，在第一次登錄時，服務(wù)器會將它的公鑰自動推給客戶機，以便客戶機能對服務(wù)器提供的信息進行解密識別。

B.客戶端產(chǎn)生用戶的加密密鑰及公鑰。客戶端產(chǎn)生自己的密鑰及公鑰的方法與服務(wù)器端相同。而Windows環(huán)境下的一些支持SSH的客戶端軟件都采用自己生成的方法，具體情況各不相同，但是可以肯定的是所有的支持SSH的客戶端都可以而且必須產(chǎn)生。以sshWin2.4為例說明如下：

打開選單：Edit→Settings→Globesettings→Userkeys→GenerateNewkeypairs，按照提示會自動產(chǎn)生新的密鑰及公鑰對。

最后，將客戶機產(chǎn)生的公鑰復(fù)制到服務(wù)端的主機上用戶的目錄中(在UNIX下應(yīng)為/home/usrname/.ssh2目錄中)。不同的版本的SSH對公鑰及密鑰的文件名有特定的要求，具體情況請閱讀軟件包中的安裝說明。

啟動SSH服務(wù)器

在UNIX/Linux環(huán)境下，服務(wù)器程序放置在/usr/local/sbin目錄下，啟動方法如下：

#sshd

#psx

可以看到SSHD已經(jīng)啟動了。如果不希望每次重啟動系統(tǒng)，都要手工運行啟動SSHD，則可以自己寫一個腳本，放置在init.d目錄下，讓系統(tǒng)啟動后，自動執(zhí)行SSHD服務(wù)的啟動工作。或者直接在rc.local中加入一行/usr/local/sbin/sshd也可。

WindowsNT/2000/下啟動SSH2Server，運行程序組中的startSSH2Server即可。

使用SSH

客戶端在UNIX/Linux系統(tǒng)中就是SSH，存放在/usr/local/bin目錄下。其中有SSH1、SSH2、scp等客戶端工具，使用SSH登錄遠程主機方法如下：

host.ip.of.remote

如同使用Telnet一樣，不同之處是要求用戶輸入認證字串，如果認證字串通過了認證，則用戶直接登錄成功；如果不成功，則是要求用戶輸入系統(tǒng)口令?？诹钫J證成功后，用戶也可以成功登錄系統(tǒng)。從使用上看，與Telnet沒有什么不同之處。而且有了SSH客戶端軟件，如果你要上傳文件，不必向以前一樣再開一個FTP窗口，再次認證，然后上傳文件。使用SSH客戶端自帶的scp工具，就可以直接將文件上傳到遠端服務(wù)器上。使用方法如下：

host1:dir/filenamehost2:/home/abc/filename

在Windows系統(tǒng)中，可供使用的SSH客戶端有：SecurCRT，也即CRT的支持SSH的版本(下載地址：/)，這是一個很好的支持SSH的遠程終端，它同時支持SSH1及SSH2。用戶可以根據(jù)服務(wù)器端自由選擇，讓它支持相應(yīng)的標準。

另一個可供選擇的是提供的客戶端，下載地址：/pub/ssh/SSHWin-2.4.0-pl2.exe，這是新版本的SSH2客戶端。

另外，還有支持SSH的FTP客戶端工具，其中sshwin-2.4中就有一個SSHSecureFileTransferClient，它可以用來在兩個主機之間傳輸加密后的文件。也即scp的功能。配合SecureCRT的也有一個相應(yīng)的支持SSH的FTP工具，其名稱為：SecureFX，可以從/下載使用。

由于種種原因，一些支持SSH的GUI客戶端不一定會很好地支持以上各個服務(wù)器，大家可以自行組合以上工具，找到適合自己的工具。一般來說，在UNIX下的客戶端對各種服務(wù)器的支持是最好的。通常在選擇服務(wù)器及客戶端軟件時，最好選擇同一軟件商的產(chǎn)品，這樣不會出現(xiàn)不兼容的問題。

需要補充的是，如果你既想使用SSH2又不想付費，那么一個可供選擇的自由軟件是Openssh，它是一個遵守GPL協(xié)議的軟件包，同時支持SSH1及SSH2標準，是另一個被廣泛使用的SSH軟件包(可以從下載)。Open