注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

Travel,Discover

Time ends everything~

 
 
 

日志

 
 

SecureCRT5.1连接CentOS5.4的SSH 证书配置方法  

2010-03-16 15:31:32|  分类: 工作日志 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
1.什么是ssh
传统的网络服务程序,如:ftp、POP和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的,就是很容易受到“中间人”(man-in- the-middle)这种方式的攻击。所谓 “中间人”的攻击方式,就是“中间人”冒充真正的服务器接收你传给服务器的数据,然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”一转手做了手脚之后,就会出现很严重的问题。
从前,一个名为Tatu Ylonen的芬兰程序员开发了一种网络协议和服务软件,称为SSH(Secure SHell的缩写)。通过使用SSH,你可以把所有传输的数据进行加密,这样“中间人”这种攻击方式就不可能实现了,而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,虽然许多人把Secure Shell仅当作Telnet的替代物,但你可以使用它来保护你的网络连接的安全。你可以通过本地或远程系统上的Secure Shell转发其他网络通信,如POP、X、PPP和FTP。你还可以转发其他类型的网络通信,包括CVS和任意其他的TCP通信。另外,你可以使用带 TCP包装的Secure Shell,以加强连接的安全性。除此之外,Secure Shell还有一些其他的方便的功能,可用于诸如Oracle之类的应用,也可以将它用于远程备份和像SecurID卡一样的附加认证。

2.ssh的工作机制
SSH分为两部分:客户端部分和服务端部分。
服务端是一个守护进程(demon),他在后台运行并响应来自客户端的连接请求。服务端一般是sshd进程,提供了对远程连接的处理,一般包括公共密钥认证、密钥交换、对称密钥加密和非安全连接。
客户端包含ssh程序以及像scp(远程拷贝)、slogin(远程登陆)、sftp(安全文件传输)等其他的应用程序。
他们的工作机制大致是本地的客户端发送一个连接请求到远程的服务端,服务端检查申请的包和IP地址再发送密钥给SSH的客户端,本地再将密钥发回给服务端,自此连接建立。
SSH被设计成为工作于自己的基础之上而不利用超级服务器(inetd),虽然可以通过inetd上的tcpd来运行SSH进程,但是这完全没有必要。启动SSH服务器后,sshd运行起来并在默认的22端口进行监听(你可以用 # ps -waux | grep sshd来查看sshd是否已经被正确的运行了)如果不是通过inetd启动的SSH,那么SSH就将一直等待连接请求。当请求到来的时候SSH守护进程会产生一个子进程,该子进程进行这次的连接处理。
但是因为受版权和加密算法的限制,现在很多人都转而使用OpenSSH。OpenSSH是SSH的替代软件,而且是免费的,

3.安装使用OpenSSH
CentOS5.4中已经包括了OpenSSH,也可以从网络上下载并安装OpenSSH,它是完全免费的。
在VirtualBox中的CentOS虚拟机上登录,cd ~/.ssh执行以下命令生成密钥对:
$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/yu/.ssh/id_rsa):    //密钥将要保存的目录
Enter passphrase (empty for no passphrase):                    //输入远程登录的口令
Enter same passphrase again:
Your identification has been saved in /home/yu/.ssh/id_rsa.    //生成的私钥
Your public key has been saved in /home/yu/.ssh/id_rsa.pub.    //生成的公钥
The key fingerprint is:
51:3e:d7:77:a4:22:d8:bb:f2:d2:2e:e6:5c:e3:33:ed
其中公共密钥保存在 ~/.ssh/id_rsa.pub,私有密钥保存在 ~/.ssh/id_rsa
#echo   id_rsa.pub >> authorized_keys                         //重命名生成的公钥,以备SecureCRT下载使用
#rm -rf id_rsa.pub                                            //删除原始公钥文件
#chmod  700 /home/yu/.ssh                                     //修改目录属性
#chmod  600 authorized_keys                                   //修改公钥文件属性,只允许root修改

密钥在服务端已经生成了,此时回到SecureCRT,用password方式登录到服务器上,进入~/.ssh目录
#sz id_rsa                                                    //发送文件,SecureCRT中有默认的下载目录
#sz authorized_keys
将公私钥发送到客户端,此时在SecureCRT的download目录下重命名authorized_keys为id_rsa.pub,只要保证两个文件名一致就行。//这里我们是在使用本机的虚拟机作为server端,
         //在XP系统下使用CRT登录虚拟主机中的server,所以才有此步骤
详细的细节可以参见鸟哥的私房菜,chapter13,远程联机服务器篇
设置好ip地址,端口号,此时就可以顺利在SecureCRT中使用PublicKey方式远程登陆上CentOS服务器了。

4.配置使用SSH
启动SSH服务端很简单只需要运行
# sshd
就可以了。或者在/etc/rc.conf中加入sshd_enable="YES",就可以在每次启动时自动运行SSH服务端了。SSH服务端的配置使用的配置文件是“/etc/ssh/sshd_config”。修改端口号,登录方式或者验证方式等,都可以通过修改sshd_config文件来实现,例如:

#vim /etc/ssh/sshd_config
# Example of overriding settings on a per-user basis
#Match User anoncvs
#       X11Forwarding no
#       AllowTcpForwarding no
#       ForceCommand cvs server

Port 2211                                                      //端口号默认为22,
                                                               //修改后可以防止恶意的端口入侵

Protocol 2
PermitRootLogin no
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
PasswordAuthentication no
PermitEmptyPasswords no
PrintMotd no
ChallengeResponseAuthentication no
UseDNS no
DenyUsers oracle

#service sshd start

BTW:修改端口号之后,可能遇上不能登陆的问题,除了SecureCRT中的端口号要更改之外,还要修改防火墙设计,在CentOS5.4中默认的防火墙设置,ssh端口就是22(默认端口),所以还要修改/etc/sysconfig/iptables,在其中添加以下这段:
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 2211 -j ACCEPT
这样才能在修改默认端口后,任然能够正确的连接CentOS服务器。



  评论这张
 
阅读(1523)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018