OpenSSH快速指南

需求：公司通過一托管服務器()向外發布信息，要求使用openssh來提高從公司本地管理工作站（admin.example.com）遠程管理該服務器時的安全性。

一、 運行環境：

1．操作系統：

本地管理工作站和遠程服務器均使用RedHat7.0。

2．openssh版本：

采用RedHat7.0自帶的openssh，主要有三個rpm包：
openssh-2.1.p4-1.rpm：包含openssh的核心文件
openssh-server-2.1.1p4-1.rpm：包含openssh的服務器程序
openssh-clients-2.1.1p4-1.rpm：包含openssh的客戶端程序

二、 安裝openssh

1．在本地管理工作站上安裝openssh客戶端

首先查看是否已經安裝了openssh
#rpm –qa |grep openssh
如果提示：
openssh-2.1.p4-1
openssh-clients-2.1.1p4-1
則說明已經安裝了openssh的客戶端軟件，如果沒有提示，則插入Redhat7.0的第一張安裝盤，并執行：
#mount /mnt/cdrom
#cd /mnt/cdrom/RedHat/RPMS
#rpm –ivh openssh-2.1.p4-1.rpm
#rpm –ivh openssh-clients-2.1.1p4-1.rpm

2．在遠程服務器上安裝openssh
方法同上，只不過服務器上需要安裝的是以下兩個包
openssh-2.1.p4-1
openssh-server-2.1.1p4-1
提示：可以通過ftp將openssh的rpm包下載到遠程服務器上。

三、 使用基于傳統口令認證的openssh

說明：缺省情況下，ssh仍然使用傳統的口令驗證，在使用這種認證方式時，我們不需
要進行任何配置。你可以使用自己帳號和口令登錄到遠程主機。所有傳輸的數據都會被加密，但是不能保證你正在連接的服務器就是你想連接的服務器?？赡軙袆e的服務器在冒充真正的服務器，也就是受到“中間人”這種方式的攻擊。
使用以下語法登錄服務器：
ssh –l [在遠程服務器上的帳號] [遠程服務器的主機名或ip地址]
假設我們在遠程服務器上有管理員帳號admin，我們執行以下命令：
ssh –l admin
一切正常的話，你可以看到以下信息：
The authenticity of host ‘www.example.com’ can@#t be established.
Key fingerprint is 1024 5f:a0:0b:65:d3:82:df:ab:44:62:6d:98:9c:fe:e9:52.
Are you sure you want to continue connecting (yes/no)?
因為你是第一次登錄服務器，所以openssh不知道你的主機信息，以后再登錄時，系統就不會再提示這樣的信息了。輸入yes并回車后系統會提示你輸入密碼，輸入密碼后，你就可以象平常使用te.net那樣來使用ssh了。

四、 配置并使用基于密匙認證的openssh

說明：密匙認證需要依靠密匙，首先創建一對密匙（包括公匙和密匙,并且用公匙加密的數據只能用密匙解密），并把公匙放到需要遠程服務器上。這樣當登錄遠程服務器時，客戶端軟件就會向服務器發出請求，請求用你的密匙進行認證。服務器收到請求之后，先在你在該服務器的宿主目錄下尋找你的公匙，然后檢查該公匙是否是合法，如果合法就用公匙加密一隨機數（即所謂的challenge）并發送給客戶端軟件?？蛻舳塑浖盏健癱hallenge”之后就用私匙解密再把它發送給服務器。因為用公匙加密的數據只能用密匙解密，服務器經過比較就可以知道該客戶連接的合法性。

下面我們就一步步的來配置基于密匙認證的oppenssh（基于ssh2）：
假定：我們在遠程服務器和本地管理工作站上均有一個管理員帳號：admin

1．配置遠程服務器：

安裝完成后一般說來我們就沒有必要修改服務端的配置文件了，但是如果你想要獲得最
大化的安全性，可以修改上/etc/ssh/sshd_conf中的
PasswordAuthentication yes 改為
PasswordAuthentication no
也即只能使用密匙認證的openssh，禁止使用口令認證。

2． 配置客戶端：

對客戶端配置文件/etc/ssh/ssh_conf不需要進行任何更改。

3．在客戶端生成密匙：

先在管理工作站上用ssh-keygen生成密匙，因為我們使用的是ssh2，所以要加一個-d
的參數。用admin登錄管理工作站，然后執行：
$ssh-keygen –d
系統將顯示：
Generating DSA parameter and key.
Enter file in which to save the key (/home/admin/.ssh/id_dsa):
叫你輸入密匙文件的保存路徑，我們回車使用缺省路徑。
如果還沒有/home/admin/.ssh目錄，系統將顯示：
Created directory ‘/home/admin/.ssh’.
Enter passphrase (empty for no passphrase):
Enter same passphrase:
Your identification has been saved in /home/admin/.ssh/id_dsa.
Your public key has been saved in /home/admin/.ssh/id_dsa.pub.
The key fingerprint is:
D8:20:0f:01:5d:8f:6f:de:b9:d5:ce:28:d8:ca:45:59
這里的密碼是對生成的私匙文件（/home/admin/.ssh/id_dsa）的保護口令。
公匙文件是/home/admin/.ssh/id_dsa.pub

4． 發布公匙：

通過ftp將公匙文件/home/admin/.ssh/id_dsa.pub復制到遠程服務器上的以下目錄：
/home/admin/.ssh，如果.ssh目錄不存在，可以用mkdir命令先建立。

然后，將id_dsa.pub重命名為authorized_keys2:
mv id_dsa.pub authorized_keys2

再用chmod修改authorized_keys2的屬性：
chmod 644 authorized_keys2
注意，如果authorized_keys2文件的權限不正確，會導致ssh連接失敗。

5． 啟動sshd服務：

在上使用root權限執行：
/etc/rc.d/init.d/sshd start

6． 連接遠程服務器：
用admin帳號登錄admin.example.com并使用ssh連接：
ssh –l admin
Enter passphrase for DSA key ‘/home/admin/.ssh/id_dsa’:
輸入原先設置的密碼后，就可以登錄到了。
本文版權由linuxAid和作者所有

原文轉自：http://www.kjueaiud.com