当前位置: 王朝网络 >> other >> OPENSSH的安装和配置

OPENSSH的安装和配置

王朝other·作者佚名 2006-11-24

窄屏简体版字體: 小|中|大|超大

OPENSSH的安装和配置

一、概述

传统的远程网络访问服务在本质上都是不安全的，因为它们在网络上用明文传送口令和数据，很容易被截获，其安全验证方式也容受到中间人的攻击。通过使用OPENSSH，你可以把所有传输的数据进行加密。

SSH是由客户端和服务端的软件组成的，有两个不兼容的版本分别是：1.x和2.x。它需要不同的客户端。OPENSSH同时支持SSH1和SSH2。

二、 OPENSSH的安全验证方式

OPENSSH提供两种级别的验证方式：

1、基于口令的安全验证：只要你知道服务器上的帐号和口令，那么你可以登录到远程主机上。口令和数据在传输过程中都会被加密。

2、基于密钥的安全验证：采用此方式验证你必须在远程服务器上为自己创建一对密钥（不对称密钥对），把公有密钥放在远程服务器上自己的宿主目录中。而私有密钥则由自己保存。

三、所需软件

openssl-0.9.5a.tar.gz 下载网址：http://www.openssl.org

openssh-2.5.2p2.tar.gz 下载网址：http://www.openssh.org

四、安装步骤

下面的安装选项根据你自己的情况可适当调整，如果有不明白的地方可以参考README、INSTALL文档。此文环境假定所有源文件都在/var/tmp下：

4． 1安装OPENSSL

[root@mail tmp]tar xzpf openssl-0.9.5a.tar.gz

[root@mail tmp]cd openssl-0.9.5a

[root@mail openssl-0.9.5a]./config –t

[root@mail openssl-0.9.5a]./config --prefix=/usr --openssldir=/etc/ssl

编辑Makefile.ssl文件更改MANDIR=$OPENSSL/man为MANDIR=/usr/man。

[root@mail openssl-0.9.5a]make

[root@mail openssl-0.9.5a]make test

[root@mail openssl-0.9.5a]make install

[root@mail openssl-0.9.5a]cd ..

[root@mail tmp]rm –rf openssl*

4．2 安装OPENSSH

在安装OPENSSL之前确认你的系统中已安装了zlib库，可用下面的命令来检查一下，若没有不要的犹豫，它就在你的系统安装光盘中，马上安装吧！

[root@mail tmp]rpm –qi zlib

[root@mail tmp]tar xzpf openssh-2.5.2p2.tar.gz

[root@mail openssh-2.5.2p2]./configure \

>--prefix=/usr \

>--sysconfdir=/etc/ssh \

>--with-tcp-wrappers \

>--with-ipv4-default \

>--with-ssl-dir=/usr/include/openssl

[root@mail openssh-2.5.2p2]make

[root@mail openssh-2.5.2p2]make install

[root@mail openssh-2.5.2p2]install –m 644 contrib/redhat/sshd.pam \

/etc/pam.d/sshd

[root@mail openssh-2.5.2p2]cd ..

[root@mail tmp]rm –rf openssh*

五、配置OPENSSH

5．1 在inetd服务器中起动SSHD守护程序只需加入下面一行（建议在起动TELNET守护程序这一行更改，以完全代替TELNET）：

ssh stream tcp nowait root /usr/sbin/tcpd sshd –I

5．2 SSH客户端配置文件/etc/ssh/ssh_config，一般情况下我们在多使用WINDOWS平台的客户端，此配置文件只有客户端不指定任何参数的情况下才使用，其内容如下：

# $OpenBSD: ssh_config,v 1.9 2001/03/10 12:53:51 deraadt Exp $

Host *

ForwardAgent no

ForwardX11 no

RhostsAuthentication no

RhostsRSAAuthentication yes

RSAAuthentication yes

PasswordAuthentication no

FallBackToRsh no

UseRsh no

BatchMode no

CheckHostIP yes

StrictHostKeyChecking yes

IdentityFile ~/.ssh/identity

IdentityFile ~/.ssh/id_dsa

IdentityFile ~/.ssh/id_rsa1

IdentityFile ~/.ssh/id_rsa2

Port 22

Protocol 2,1

Cipher blowfish

EscapeChar ~

5．3 SSH服务器端配置文件/etc/ssh/sshd_config，关于下面各个参数的含义请参考使用手册，此例中使用第二种认证方式(基于密钥的认证)以提高安全性。

# $OpenBSD: sshd_config,v 1.34 2001/02/24 10:37:26 deraadt Exp $

Port 22

#Protocol 2,1

#ListenAddress 0.0.0.0

#ListenAddress ::

HostKey /etc/ssh/ssh_host_key

HostKey /etc/ssh/ssh_host_rsa_key

HostKey /etc/ssh/ssh_host_dsa_key

ServerKeyBits 768

LoginGraceTime 600

KeyRegenerationInterval 3600

PermitRootLogin without-password

# Don't read ~/.rhosts and ~/.shosts files

IgnoreRhosts yes

# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication

#IgnoreUserKnownHosts yes

StrictModes yes

X11Forwarding no

X11DisplayOffset 10

PrintMotd yes

KeepAlive yes

# Logging

SyslogFacility AUTH

LogLevel INFO

#obsoletes QuietMode and FascistLogging

RhostsAuthentication no

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts

RhostsRSAAuthentication no

RSAAuthentication yes

# To disable tunneled clear text passwords, change to no here!

PasswordAuthentication no

PermitEmptyPasswords no

# Comment to enable s/key passwords or PAM interactive authentication

# NB. Neither of these are compiled in by default. Please read the

# notes in the sshd(8) manpage before enabling this on a PAM system.

ChallengeResponseAuthentication no

# To change Kerberos options

#KerberosAuthentication no

#KerberosOrLocalPasswd yes

#AFSTokenPassing no

#KerberosTicketCleanup no

# Kerberos TGT Passing does only work with the AFS kaserver

#KerberosTgtPassing yes

#CheckMail yes

#UseLogin no

#MaxStartups 10:30:60

#Banner /etc/issue.net

#ReverseMappingCheck yes

#Subsystem sftp /usr/libexec/sftp-server

六、生成认证密钥

当采用密钥认证方式时，第个用户在远程服务器上必须生成自己的密钥；下面我们就以实例的方式叙述此过程：

６．１为服务器上的用户robin生成rsa1认证密钥：

[root@mail tmp]su robin

[root@mail tmp]ssh-keygen

此命令运行时将会提示你密钥的存放位置，直接回车；在提示你输入passphrase时建议你输入一个不短于10个字符的英文句子，以防止你的私有密钥被别人盗用。它会在当前用户的个人目录个生成两个文件：

~/.ssh/identify robin的私有密钥

~./ssh/identify.pub robin的公用密钥

６．２不要忘记idnentify.pub更名：

[root@mail .ssh]mv identify.pub authorized_keys

６．３拷贝文件到安全的地方，在服务器上你的宿主文件夹中删除identify文件。

七、使用PuTTY客户端登录

终于到检验我们工作结果的时候了，在WINDOWS平台的SSH客户端我推荐使用Putty，很好用，不像其它一些客户端只支持基于口令的安全验证；你可以在这里下载：

http://www.chiark.greenend.org.uk/~sgtatham/putty.html．

在连接服务器时不要忘记在connect->SSH中指定你的私有密钥的存放位置，输入创建密钥时的passphrase，如果不出意外你就可以安全地行程控制你的服务器了。

点击展开全文

上一篇：Sendmail配置终极指南

下一篇：我的qmail安装历程

免责声明：本文为网络用户发布，其观点仅代表作者个人观点，与本站无关，本站仅提供信息存储服务。文中陈述内容未经本站证实，其真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。

没有找到您想要的？点此查看更多相关文章
相关文章▶

2023年上半年GDP全球前十五强
百态 2023-10-24

美众议院议长启动对拜登的弹劾调查
百态 2023-09-13

上海、济南、武汉等多地出现不明坠落物
探索 2023-09-06

印度或要将国名改为“巴拉特”
百态 2023-09-06

男子为女友送行，买票不登机被捕
百态 2023-08-20

手机地震预警功能怎么开？
干货 2023-08-06

女子4年卖2套房花700多万做美容：不但没变美脸，面部还出现变形
百态 2023-08-04

住户一楼被水淹还冲来8头猪
百态 2023-07-31

女子体内爬出大量瓜子状活虫
百态 2023-07-25

地球连续35年收到神秘规律性信号，网友：不要回答！
探索 2023-07-21

全球镓价格本周大涨27%
探索 2023-07-09

钱都流向了那些不缺钱的人，苦都留给了能吃苦的人
探索 2023-07-02

倩女手游刀客魅者强控制（强混乱强眩晕强睡眠）和对应控制抗性的关系
百态 2020-08-20

美国5月9日最新疫情：美国确诊人数突破131万
百态 2020-05-09

荷兰政府宣布将集体辞职
干货 2020-04-30

倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观：鹏程万里
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案神机营：射石饮羽
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山：拔刀相助
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案天工阁：鬼斧神工
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道：单枪匹马
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：与虎谋皮
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：李代桃僵
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：指鹿为马
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案金陵：小鸟依人
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案金陵：千金买邻
干货 2019-11-12