快速业务通道

SSH复习外加建立安全隧道

作者 佚名技术 来源 Linux系统 浏览 发布时间 2012-04-30

SSH复习外加建立安全隧道

SSH Secure SHell protocol

telent是一种明文传输,人所共知,不建议使用,可以被窃听到你传输的资料,即使是不重要,你也不想陌生人知道你的东西把.有ssh的出现,ssh是加密传输的,加密方法目前在 SSH 使用上,主要是利用 RSA/DSA/Diffie-Hellman 等機制喔!具体什么就各自去查了~了解就好.

當每次 SSH daemon (sshd) 啟動時,就會產生一支 768-bit 的公鑰(或稱為 server key)存放在 Server 中;

若有 client 端的 ssh 連線需求傳送來時,那麼 Server 就會將這一支公鑰傳給 client ,此時 client 也會比對一下這支公鑰的正確性.比對的方法為利用 /etc/ssh/ssh_known_hosts 或 ~/.ssh/known_hosts 檔案內容.

在 Client 接受這個 768-bit 的 server key 之後,Client 自己也會隨機產生一支 256-bit 的私鑰(host key),並且以加密的方式將 server key 與 host key 整合成一對完整的 Key pair,並且將這對 Key pair 也傳送給 server ;

之後,Server 與 Client 在這次的連線當中,就以這一對 1024-bit 的 Key pair 來進行資料的傳遞!

这个是大致的整个连线步骤,从鸟哥那cp过来的,懒得打字了,大概明白怎么进行传输的就OK,另外注意一下目前ssh已经加入了diffie-hellman机制来进行每次传输的资料的源检查时候正确,更进一步的加强了安全.

vi /etc/ssh/sshd.config

port ssh 的端口

protocol ssh的协议,最好用2,最新版安全

hostkey /etc/ssh/ssh_host_rsa_key rsa算法密钥

hostkey /etc/ssh/ssh_host_dsa_key dsa 算法密钥

syslogfacility AUTHPRIV 当有人ssh等入系统是,ssh会记录到/var/log/secure下

permitrootlogin no 把root紧闭进入,安全起见

pubkeyAUTHENTICATION yes 是否允许用public key

AUTHORIZEkeysFILE .ssh/authorized_keys 这个东西很重要就是要是否要登录密码进行登录ssh,

printMotd no 列印出/etc/motd 这个文件的内容,安全起见 no

printlastlog yes 显示上次等入的信息

Keepalive yes 通过传送一个keepalive给client 来保持双方连线正常,避免任何一方挂掉而导致另一方的僵死

Maxstartups 10 排队进入ssh的数量

Subsystem sftp /usr/libexec/openssh/sftp-server

关于sftp的设定大概就这样

ssh 帐号@ip或者主机名 -p ssh端口默认是22

第一次登录会有一系列的设定之类,确认好就好了,然后输入密码正确就连接上去

但是经过第一次登录后,你的~目录下就有了一个.ssh的文件,这个文件里面就是你的rsa或者dsa 就是你进入的钥匙拉….不过我们后面做的不需要密钥进行登录,就要把这个文件删除了,我们要重新建一个.ssh的目录,这里是不同的.

[test2@test2 ~]$ ssh-keygen -t rsa 这个就是生成密钥 有2个(例子是用rsa)Your identification has been saved in /home/test2/.ssh/id_rsa <==私钥Your public key has been saved in /home/test2/.ssh/id_rsa.pub<==公钥The key fingerprint is:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX然后用scp /传输文件 帐号@ip或者主机名: /目录 或者加-p 端口 ----SCP是有冒号的要做到不需要密码登录ssh ,就要将公钥public key(就是刚才作的那个id_rsa.pub)上传到服务器.还有刚才提到一个AUTHORIZEkeysFILE .ssh/authorized_keys这个东西很重要就是要是否要登录密码进行登录ssh, 这么一个东西公钥的写法就要写成authorized_keys 当然你也可以自己改自己喜欢的,但是名字一定要互相对应好,配置对目录位置对好,为了方便也为了免去以后的麻烦,一般都按照他这个名字写

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号