第三部分 安全Shell (SSH).docVIP

PAGE PAGE 83 第三部分 安全Shell 2（SSH2） 第五章 安全Shell2守护程序—sshd2和sftp_server 2 本章内容如下： ●SSH 2.0协议 ●螺帽与螺栓 ●使用方法 ●文件 ●安全文件传输服务器 —sftp_server 现在应当在UNIX系统上安装且配置了安全shell，你也可能想知道安全shell2守护程序sshd2和它的FTP服务器。除非你使用安全shell2客户程序（ssh2,scp2或sftp）进行连接，否则你没有必要使用sshd2。 5.1 SSH 2.0协议 安全shell的版本2建立在SSH 2协议之上。该协议包括三部分，包括它如何工作、数据包如何装配以及协议提供的内容。安全shell有两个不同的协议：SSH 1.5用在安全shell 1.2.26或更早的版本，SSH 2.0则用于版本2.0.0或更高的版本。本章将叙述SSH 2.0，而SSH 1.5已经在第三章“安全shell服务器进程 —sshd”中叙述过了。 5.1.1 工作机理 安全shell 2的工作机理与安全shell 1非常类似，但有一些根本性的变化。其代码的98%都依照README文件中的描述进行了重写，这意味着其工作机理与SSH 1有许多差异。这同样意味着SSH 1与SSH 2不兼容。协议提供了对DSA公共密钥交换的内建支持，密钥交换和RSA认证的功能类似，但不像后者那样有具有法律效应的正式版本。获得基于SSH 2的RSA认证的唯一方式是购买其商业版本。 安全shell 2也使用另一套遵循IETF secsh规章的协议。 这使安全shell 2比安全shell 1要更为灵活，也更为安全，同时也使安全shell 2能与数字认证的基础结构相集成，这些数字认证的基础结构包括用于公共密钥基础结构（PKI）的X.509认证，DNSSEC及简单密钥基础结构（SPKI），与安全shell 1不同的是：安全shell 2不需要一个中心密钥管理结构。 安全shell 2还支持实现指定功能的平台独立模块。这使系统管理员能将特定的功能与操作系统连接到安全shell传输中去。与安全shell 1一样，安全shell 2位于TCP/IP协议的OSI模型中的第7层。 安全shell 2的一项优秀功能是它能安装安全文件传输的服务器与客户程序sftp。同样，安全shell 2提供对SOCKS 4.x的内建SOCKS支持。所以，使用安全shell 2后，你就能更方便地使用SOCKS代理服务器。 安全shell 2绝大多数的加密和认证过程和安全shell 1类似。安全shell服务器负责shell命令在远程主机上的执行或对远程主机的登录且安全地在远程端和客户端传送信息。安全shell服务器还能为X11与端口转寄、安全shell代理和连接提供安全。 加密口令由位于远端的安全shell守护程序确定，它控制着对主机密钥的检查并确保它工作正常。如果发现你的主机密钥有一些问题，你可能希望以测试模式运行远程的SSH服务器和本地的客户程序。服务器提供的另一加密功能是对加密错误的检查从而确保敏感信息不会外泄。 和TCP/IP应用程序不一样的是，安全shell自身就能工作，而不需要通过Internet守护inetd或外包程序来启动。然而，还是有许多人希望想通过TCP外包程序来运行安全shell守护程序。可以通过inetd运行TCP外包程序（tcpd），然而，你并不一定需要这样做。关于TCP外包程序的使用将在第九章“安全shell能作的其他事情”一章中描述。 5.1.2 连接 SSH 2.0协议负责建立连接，密钥交换，用户和服务器端的认证及TCP连接（例如转寄交互会话的pty分配工作，X11及安全shell代理）。在处理时，以上所述的会话处于不同的层：连接层，用户认证层和传输层。这不包括可能会被转寄给SSH的可靠的非安全传输。图5.1显示了SSH 1.5和SSH 2.0协议的差异。 连接用户认证 连接 用户认证 传输 连接层 用户认证层 用户认证层 传输层 传输层 可靠的非安全传输 可靠的非安全传输 SSH 2.0协议 SSH 2.0 协议 SSH 1.5 协议 图5.1 SSH 1.5与SSH 2.0的差异 连接层能通过一个单连接处理多个通道。这些通道独立于所处理的会话且为流控制。SSH 2.0协议提供了交互会话，远程命令执行和转寄包括X11和其他TCP传输的连接等处理功能。所有这些都被认为是通道，它们可对本地或远程端开放。 用户认证层处理诸如口令，公共密钥等任何类型的认证。SSH 2.0所要求的唯一的认证形式是公共密钥认证，其他的认证都是可选的。尽管SSH 2.0需要公共密钥认证，它也能包含认证的其他配置类型