SSH复习外加建立安全隧道
SSH复习外加建立安全隧道 SSH Secure SHell protocol telent是一种明文传输,人所共知,不建议使用,可以被窃听到你传输的资料,即使是不重要,你也不想陌生人知道你的东西把.有ssh的出现,ssh是加密传输的,加密方法目前在 SSH 使用上,主要是利用 RSA/DSA/Diffie-Hellman 等機制喔!具体什么就各自去查了~了解就好. 當每次 SSH daemon (sshd) 啟動時,就會產生一支 768-bit 的公鑰(或稱為 server key)存放在 Server 中; 若有 client 端的 ssh 連線需求傳送來時,那麼 Server 就會將這一支公鑰傳給 client ,此時 client 也會比對一下這支公鑰的正確性.比對的方法為利用 /etc/ssh/ssh_known_hosts 或 ~/.ssh/known_hosts 檔案內容. 在 Client 接受這個 768-bit 的 server key 之後,Client 自己也會隨機產生一支 256-bit 的私鑰(host key),並且以加密的方式將 server key 與 host key 整合成一對完整的 Key pair,並且將這對 Key pair 也傳送給 server ; 之後,Server 與 Client 在這次的連線當中,就以這一對 1024-bit 的 Key pair 來進行資料的傳遞! 这个是大致的整个连线步骤,从鸟哥那cp过来的,懒得打字了,大概明白怎么进行传输的就OK,另外注意一下目前ssh已经加入了diffie-hellman机制来进行每次传输的资料的源检查时候正确,更进一步的加强了安全. vi /etc/ssh/sshd.config port ssh 的端口 protocol ssh的协议,最好用2,最新版安全 hostkey /etc/ssh/ssh_host_rsa_key rsa算法密钥 hostkey /etc/ssh/ssh_host_dsa_key dsa 算法密钥 syslogfacility AUTHPRIV 当有人ssh等入系统是,ssh会记录到/var/log/secure下 permitrootlogin no 把root紧闭进入,安全起见 pubkeyAUTHENTICATION yes 是否允许用public key AUTHORIZEkeysFILE .ssh/authorized_keys 这个东西很重要就是要是否要登录密码进行登录ssh, printMotd no 列印出/etc/motd 这个文件的内容,安全起见 no printlastlog yes 显示上次等入的信息 Keepalive yes 通过传送一个keepalive给client 来保持双方连线正常,避免任何一方挂掉而导致另一方的僵死 Maxstartups 10 排队进入ssh的数量 Subsystem sftp /usr/libexec/openssh/sftp-server 关于sftp的设定大概就这样 ssh 帐号@ip或者主机名 -p ssh端口默认是22 第一次登录会有一系列的设定之类,确认好就好了,然后输入密码正确就连接上去 但是经过第一次登录后,你的~目录下就有了一个.ssh的文件,这个文件里面就是你的rsa或者dsa 就是你进入的钥匙拉….不过我们后面做的不需要密钥进行登录,就要把这个文件删除了,我们要重新建一个.ssh的目录,这里是不同的. [test2@test2 ~]$ ssh-keygen -t rsa 这个就是生成密钥 有2个(例子是用rsa)Your identification has been saved in /home/test2/.ssh/id_rsa <==私钥Your public key has been saved in /home/test2/.ssh/id_rsa.pub<==公钥The key fingerprint is:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX然后用scp /传输文件 帐号@ip或者主机名: /目录 或者加-p 端口 ----SCP是有冒号的要做到不需要密码登录ssh ,就要将公钥public key(就是刚才作的那个id_rsa.pub)上传到服务器.还有刚才提到一个AUTHORIZEkeysFILE .ssh/authorized_keys这个东西很重要就是要是否要登录密码进行登录ssh, 这么一个东西公钥的写法就要写成authorized_keys 当然你也可以自己改自己喜欢的,但是名字一定要互相对应好,配置对目录位置对好,为了方便也为了免去以后的麻烦,一般都按照他这个名字写 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |