最新OpenSSH配置（解析）.docxVIP

同时支持 同时支持SSH 1.x和2.x 1.2 SSH协议的内容 1.1什么是SSH ?传统的网络服务程序，如FTP、Pop和Tel net在传输机制 和实现原理上是没有考虑安全机制的， 其本质上都是不安全的；因为它们在网络 上用明文 传送数据、用户帐号和用户口令，别有用心的人通过窃听等网络攻击 手段非常容易地就可以截获这些数据、 用户帐号和用户口令。而且，这些网络服 务程序的简单安 全验证方式也有其弱点，那就是很容易受到“中间人 “(ma n-in-the-middle )这种攻击方式的攻击。所谓“中间人“的攻击方式， 就是“中间人 “冒充真正的服务器接收你的传给服务器的数据，然后再冒充你 把数据传给真正的服务器。服务器和你之间的数据传送被 “中间人“一转手做了 手脚之后，就会出现 很严重的问题。 SSH是英文Secure Shell的简写形式。通过使用 SSH，你可以把所有传输的数 据进行加密，这样“中间人“这种攻击方式就不可能实现了，而且也能够防止 DNS欺骗和IP欺骗。使用SSH，还有一个额外的好处就是传输的数据是经过 压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替 Tel net， 又可以为FTP、Pop、甚至为PPP提供一个安全的 “通道“。 最初的SSH是由芬兰的一家公司开发的。但是因为受版权和加密算法的限制， 现在很多人都转而使用 OpenSSH。OpenSSH是SSH的替代软件包，而且是免 费的，可以预计将来会有越来越多的人使用它而不是 SSH。 SSH是由客户端和服务端的软件组成的，有两个不兼容的版本分别是：1.x和2.x 用SSH 2.x的客户程序是不能连接到 SSH 1.x的服务程序上去的。OpenSSH 2.x SSH协议是建立在应用层和传输层基础上的安全协议，它主要由以下三部分组 成，共同实现SSH的安全保密机制。 传输层协议，它提供诸如认证、信任和完整性检验等安全措施， 此外它还可以任 意地提供数据压缩功能。通常情况下，这些传输层协议都建立在面向连接的 TCP 数据流之上。 用户认证协议层，用来实现服务器的跟客户端用户之间的身份认证， 它运行在传 输层协议之上。 连接协议层，分配多个加密通道至一些逻辑通道上， 它运行在用户认证层协议之 上。 当安全的传输层连接建立之后，客户端将发送一个服务请求。当用户认证层连接 建立之后将发送第二个服务请求。这就允许新定义的协议可以和以前的协议共 存。连接协议提供可用作多种目的通道，为设置安全交互 Shell会话和传输任意 的TCP/IP端口和X11连接提供标准方法。1.3 SSH的安全验证 从客户端来看，SSH提供两种级别的安全验证。 第一种级别（基于口令的安全验证），只要你知道自己的帐号和口令，就可以登 录到远程主机，并且所有传输的数据都会被加密。但是，这种验证方 式不能保 证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正 的服务器，也就是受到“中间人“这种攻击方式的攻击 第二种级别(基于密匙的安全验证)，需要依靠密匙，也就是你必须为自己创建 一对密匙，并把公有密匙放在需要访问的服务器上。 如果你要连接 到SSH服务 器上，客户端软件就会向服务器发出请求， 请求用你的密匙进行安全验证。 服务 器收到请求之后，先在你在该服务器的用户根目录下寻找你的公有密 匙，然后 把它和你发送过来的公有密匙进行比较。如果两个密匙一致，服务器就用公有密 匙加密“质询“(challenge )并把它发送给客户端软件。客户端 软件收到“质 询“之后就可以用你的私人密匙解密再把它发送给服务器。 与第一种级别相比，第二种级别不需要在网络上传送用户口令。但是整个登录的 过程可能慢一些。1.4 SSH的应用 首先，SSH最常见的应用就是，用它来取代传统的 Tel net、FTP等网络应用程 序，通过SSH登录到远方机器执行你想进行的工作与命 令。在不安全的网路通 讯环境中，它提供了很强的验证(authentication )机制与非常安全的通讯环境。 实际上，SSH开发者的原意是设计它来取 代原UNIX系统上的rcp、rlogin、 rsh等指令程序的；但经过适当包装后，发现它在功能上完全可以取代传统的 Tel net、FTP等应用程序。 传统BSD风格的r系列指令(如rcp，rsh，rlogin)往往都被视为不安全的， 很容易就被各种网络攻击手段所破解，几乎所有找得到有关 UNIX安全的书或 文件，都会一而再、再而三地警告系统管理者，留心 r系列指令的设定，甚至要 求系统管理者将r系列指令通通关闭 而用来替代r系列指令的SSH,则在安全方面做了极大的强化，不但对通讯内容 可以进行极为安全的加密保护，同时也强化了对身份验证的安全 机制，它应用 了在