SSH 安全性和配置入门.doc

动手实践指南 您是否是需要能够以尽可能最安全的方式通过网络进行通信的一个新 UNIX? 管理员？重温基础知识、学习 SSH 的复杂细节，并深入研究 SSH 的高级功能，以安全地自动化您的日常系统维护、远程系统管理，并使用高级脚本管理多个主机。 什么是 SSH？基本描述 Secure Shell (SSH) 的目的在于在通过网络远程访问另一个主机时提供最大的保护。它通过提供更好的身份验证工具和 Secure Copy (SCP)、Secure File Transfer Protocol (SFTP)、X 会话转发和端口转发等功能来加密网络交换，从而增加其他非安全协议的安全性。有各种类型的加密可用，从 512 位加密到高达 32768 位加密，包括密码，比如 Blowfish、Triple DES、CAST-128、Advanced Encryption Scheme (AES) 和 ARCFOUR。更高位的加密配置以使用更高的网络带宽为代价。图 1?和?图 2?展示如何使用一个像 Wireshark 这样的网络嗅探程序轻松让任何人随意查看 telnet 会话。 图 1. Telnet 协议会话未加密。 常用缩略词 API：应用程序编程接口 FTP：文件传输协议 IETF：互联网工程任务组 POSIX：UNIX 可移植操作系统接口 RFC：请求注解 VPN：虚拟专用网络 在使用 telnet 这样的不安全 “明文” 协议时，网络上的任何人都可以窃取您的密码和其他敏感信息。图 1?展示用户?fsmythe?通过一个 telnet 连接登录到一个远程主机。他输入其用户名fsmythe?和密码?r@m$20!0，同一网络上的任何其他用户都可以看到，将其看作是倒霉、没有戒心的 telnet 用户。 图 2. SSH 协议会话加密。 图 2?提供了对典型 SSH 会话的概览，并展示了加密的协议如何不被同一网段的任何其他用户看到。现在每个主流 Linux? 和 UNIX? 版本都附带有默认安装的 SSH 包 — 通常是开源 OpenSSH 包—，因此有点需要下载和从源码进行编译。如果您不在一个 Linux 或 UNIX 平台上，有大量开源和基于 SSH 的免费软件工具可用，它们大受追捧并广为应用，比如?WinSCP、Putty、FileZilla、TTSSH?和?Cygwin（安装在 Windows? 操作系统之上的 POSIX 软件）。这些工具在 Windows 平台上提供一个 UNIX 或 Linux 式的 shell 接口。 不管您的操作系统是什么，SSH 都为老生常谈的日常计算操作提供许多实际效益。它不仅可靠、安全和灵活，而且易于安装、使用和配置 — 而且独具特色。 回页首 SSH 架构 IETF RFC 4251 到 4256 将 SSH 定义为 “经由一个不安全网络进行远程登录和其他安全网络服务的安全 shell 协议”。shell 由三个主要元素组成（参见?图 3）： 传输层协议：该协议提供服务器身份验证、隐私和具有完美转发隐私的完整性。该层可以提供可选压缩且通过一个 TCP/IP 连接运行，但是也可用于任何其他可靠的数据流之上。 用户认证协议：该协议从服务器到客户端进行身份验证，且通过传输层运行。 连接协议：该协议多路传输加密隧道到多个逻辑通道，通过用户认证协议运行。 图 3. SSH 协议逻辑层 传输层负责密钥交换和服务器身份验证。它设置加密、完整性验证和（可选）压缩并向上层公开一个用于发送和接收纯文本数据包的 API。用户认证层提供客户端身份验证以及多种验证方法。常见的身份验证方法包括密码、公钥、键盘交互、GSSAPI、SecureID 和 PAM。 连接层定义通道、全局请求和借以提供 SSH 服务的通道请求。单个 SSH 连接可以并行承载多个通道，每个都可双方向传输数据。通道请求转送信息，比如服务器端流程的退出代码。SSH 客户端发起一个转发服务器端端口的请求。 这种开发式架构设计提供广泛的灵活性。传输层可媲美传输层安全（Transport Layer Security，TLS），而且您可以运用定制的身份验证方法来扩展用户认证层。通过连接层，您可以多道传输二级会话到单个 SSH 连接（参见 图 4）。 图 4. 7 层 OSI 模型内的 SSH 针对 UNIX 和 Linux 系统的 SSH 的一般用途 您通常使用 SSH 来允许用户登录到一个远程主机并执行命令。然而，SSH 还支持隧道和 X11 连接。它甚至可以使用 SFTP 或 SCP 传输文件。SSH 适用于大部分常见平台内的多个应用程序，这些平台包括 Linux、UNIX、Windows 和 Apple? OS X，虽然有些应用程序可能需要仅在特定 SSH