第九章 网络服务器管理.pptVIP

Chapter 网络安全管理 第8章 本章目标 掌握SSH服务器管理和客户端的使用 SSH的起源与原理 SSH（Secure SHell），实现了与Telnet服务类似的远程登录功能 SSH协议在网络中使用密文传输数据 SSH服务器中还支持使用scp和sftp等客户端程序进行远程主机的文件复制 SSH的认证方式 SSH协议提供两种用户认证方式 基于口令的安全认证 与telnet类似，提供正确的用户口令后可以登录远程服务器 基于密钥的安全认证 使用公钥和私钥对的方式对用户进行认证 SSH密钥认证的原理 SSH服务中使用密钥进行用户认证 OpenSSH服务器 OpenSSH是著名的开源软件项目 OpenSSH是SSH协议的免费实现版本 OpenSSH可应用于大多数UNIX系统 绝大多数Linux发行版本都采用OpenSSH作为SSH服务器 OpenSSH的软件包组成 RHEL4系统中OpenSSH服务器和客户端软件是默认安装的 openssh软件包是实现ssh功能的公共软件包 openssh-server软件包实现了SSH服务器的功能 openssh-clients软件包中包含了SSH服务的客户端程序 openssh-askpass和openssh-askpass-gnome只有在Linux的图形界面下使用SSH服务时才需要 OpenSSH服务的启动与停止 OpenSSH的服务程序名称是sshd sshd服务程序的启动脚本 /etc/init.d/sshd sshd服务程序缺省状态为自动启动 sshd服务的启动与停止 启动服务程序 service sshd start 停止服务程序 service sshd stop OpenSSH服务的配置文件 配置目录 OpenSSH服务器和客户机的所有配置文件都保存在同一目录中 /etc/ssh/ 服务器配置文件 SSH服务器的配置文件是sshd_config /etc/ssh/sshd_config 客户机配置文件 SSH客户程序的配置文件是ssh_config /etc/ssh/ssh_config OpenSSH的典型用户登录 使用ssh命令登录SSH服务器 # ssh root@ 首次登录SSH服务器 为了建立加密的SSH连接需要用户在客户端确认服务器发来的RSA密钥 （输入yes） 用户认证 每次登录SSH服务器都需要输入正确的用户口令 SSH登录使用的是SSH服务器主机中的用户帐号 SSH的用户目录 “.ssh”目录 在SSH客户主机的用户宿主目录中，使用名为“.ssh”的目录保存用户的SSH客户端信息 ~/.ssh/ “.ssh”目录在用户首次进行SSH登录后自动建立 “known_hosts”文件 “known_hosts”文件位于“.ssh”目录中 “known_hosts”文件用于保存当前用户所有登录过的SSH服务器的RSA密钥 基于密钥的SSH用户认证4-1 设置密钥认证的一般步骤 在SSH客户端生成用户的公钥和私钥对文件 将SSH客户的公钥添加到SSH服务器中用户的认证文件中 验证密钥的认证 基于密钥的SSH用户认证4-2 在SSH客户端生成用户的公钥和私钥对 使用ssh-keygen命令生成密钥对 $ ssh-keygen -t rsa 公钥和私钥文件 ssh-keygen命令将在“.ssh”目录中生成公钥和私钥文件 id_rsa是私钥文件，内容需要严格保密 id_rsa.pub是公钥文件，可发布到SSH服务器中 基于密钥的SSH用户认证4-3 复制公钥文件 将客户端中的用户公钥文件复制到SSH服务器中 公钥文件的复制可使用软盘、U盘或网络 将公钥内容追加到authorized_keys 文件 authorized_keys 文件保存在SSH服务器中用户目录的“.ssh”子目录中 authorized_keys用于保存所有允许以当前用户身份登录的SSH客户端用户的公钥内容 使用“”重定向符将用户公钥追加到authorized_keys文件中 cat id_rsa.pub ~/.ssh/authorized_keys 基于密钥的SSH用户认证4-4 基于密钥的用户认证过程 用户使用ssh命令登录SSH服务器时，将使用客户机中的私钥与服务器中的公钥进行认证，认证成功后将允许用户登录 密钥的认证过程是ssh命令与SSH服务器自动完成的 用户登录过程中将不再提示输入用户口令 禁止root用户的SSH登录 为了提高Linux服务器的安全性，可以禁止root用户进行SSH登录 设置sshd_config文件 # vi /etc/ssh/sshd_config //添加设置行 PermitRootLogin no