第六章安全Shell2客户程序—Ssh2,Scp2和Sftp2.docVIP

第六章 安全Shell2客户程序—Ssh2,Scp2和Sftp2 本章内容如下： ●工作原理 ●螺帽与螺栓 ●使用方法 ●文件 现在你已知道了服务器如何工作，你还需要理解客户机是如何工作的。正如所见，包括认证和加密等大部分通信过程由服务器处理。 6.1 工作机理 如果你已经读过有关安全Shell2服务器程序工作原理的第三章“安全Shell 1服务器进程——sshd”，可能还记得贯穿安全Shell 1的银行出纳员的比喻。在该类比中，双方的安全Shell程序是监督方和出纳方，安全客户为管道和在容器中两者之间传输的数据。 安全Shell客户协商加密类型、连接方式（交互式或命令行方式），如果需要也可以压缩远程机与本地服务器间传输的信息以及转寄信息。转寄包括TCP/IP转寄和X11交换。基本上客户机是用户要处理的对象，因此它也定义了用户用什么作为认证文件、密码、主机名和用户名。 安全Shell 2的客户端提供用户接口，这正是人们在谈论安全Shell时大多所熟悉的。对大部分用户来说，这一点看来象telnet,rsh或rlogin的远程登录或者其它更象rcp等远程拷贝。 大部分的实际连接在安全Shell程序端处理，这在第三章“安全Shell 1服务器进程——sshd”和第五章“安全shell 2守护程序——sshd2和sftp_server2”中已经介绍过了。客户机给用户提供了接口和一组选项，这些选项允许用户登录，把命令发送到远程服务器或安全地进行拷贝文件。客户机也请求从本地宿主机到远程主机的连接。 另外，客户机建立服务器之间的连接，也常常通过用户命令断开连接。客户机也通过口令或通过远程宿主（rhost）提供用户认证。用户的公有密钥存储在用户家中的目录里，它是客户机用于使用能远程登录的密钥。 安全Shell2使用三种客户程序：ssh,scp和sftp。Ssh客户允许从远程服务器发出的安全远程登录和命令。Scp客户允许网络上的安全文件拷贝。Sftp客户允许安全文件传输到任何运行安全Shell2监控程序的远程主机。安全Shell2没有slogin别名。 6.2 螺帽与螺栓 在客户机的任何连接建立之前，必需在远程主机和本地主机上运行安全Shell监控程序。连接往往是由客户端发起的。这包括ssh和scp两种客户程序。服务器监听特定的端口——通常是22号端口——等待连接的建立。客户程序常常在端口1021或更高的端口上连接。 安全Shell 2客户程序的基本语法和安全Shell客户程序相同。 $ ssh 主机名 [命令] 命令项可选。如果没有命令项参数，安全Shell客户程序进入交互模式。否则，安全Shell远程服务器在执行命令，然后退出。也可以用安全Shell作为代理转寄诸如POP，NTP和X等的TCP/IP交换。这在第九章“安全Shell能作的其它事情”中阐述。 6.2.1 连接 客户机可以不必连接到远程服务器上；它也可以连接到客户机所在的服务器上。这通过本地主机发生，因此是通过TCP/IP socket连接。这在secsh IETF草案中定义。然而安全Shell 2在它自己的协议上面而不是在TCP协议上处理传送的连接。 在服务器监控程序建立到socket的连接之后，客户处理用户和远程主机之间的交互过程。客户机以特定用户（或以缺省用户或命令行选项中指定的用户）的身份读取文件。如果以超级用户的身份运行安全Shell客户程序，将需要起动超级用户（root）帐号。 注意：应注意超级用户直接连接到安全Shell的安全问题。可能你想首先通过用户帐号注册到安全Shell，然后用su命令改为超级用户。我们特别建议不要以超级用户建立远程连接，而要以其它用户建立远程连接。 甚至在安全Shell 2模式下，安全Shell客户程序会失效返回到rsh或rcp。这依赖于在远程服务器上是否能找到安全Shell监控进程（如果没有发现远程服务器就不会接受安全Shell客户的连接）。由于安全Shell经常连接6位比特规则，除非由rlogin限定（rlogin用-8来限定8比特连接而不是7比特）安全Shell不以这种方式连接。然而，如果你想保持安全连接，你可能不想失效返回rlogin或rsh。 客户连接的基本步骤如下： （1）协商连接。 （2）读取用户和系统配置文件 （3）认证用户帐号（相对公共密钥、口令、远程主机或它们的任意组合） （4）分支进程（如果在后台运行） （4）是否运行在tty或标准输入上，依赖于连接的类型 （5）终止连接 1．连接建立之前 在远程主机上运行连接之前，安全Shell客户需要做一些事情。其一是设置缺省掩码（umask）022，这使得文件只能对文件所有者可写，而对任何人都是可读的，由于没有明确设置文件读模式，这提供了文件读写权限的基本