科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全SSH的应用与密钥管理

SSH的应用与密钥管理

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

如前面所介绍的测试SSH服务器的功能步骤所示,SSH提供了一些命令和shell用来登录远程服务器,在默认情况下其并不允许用户拷贝文件。但为了方便用户使用,它还是提供了一个“scp”命令,用户可以使用该命令来进行文件的远程拷贝工作。

来源:TechTarget中国 2012年10月24日

关键字: SSH密钥 ssh

  • 评论
  • 分享微博
  • 分享邮件

应用一:使用scp命令远程拷贝文件

如前面所介绍的测试SSH服务器的功能步骤所示,SSH提供了一些命令和shell用来登录远程服务器,在默认情况下其并不允许用户拷贝文件。但为了方便用户使用,它还是提供了一个“scp”命令,用户可以使用该命令来进行文件的远程拷贝工作。

假定用户想把本地计算机当前目录下的一个名为“share”的文件拷贝到远程服务器www.remote.com上用户的家目录下。而且用户在远程服务器上的账号名为“super”。可以用这个命令:

scp share super@www.foobar.com:.

把文件拷贝回来用这个命令:

scp super@www.remote.com:share.

“scp”调用SSH进行登录,然后拷贝文件,最后调用SSH关闭这个连接如果在用户的“~/.ssh/config”文件中已经为www.foobar.com做了这样的配置:

Host *fbc

HostName www.remote.com

User super

ForwardAgent yes

那么用户就可以用“fbc”来代替“bilbo@www.foobar.com”,命令就简化为“scp dumb fbc:.”。“scp”假定用户在远程主机上的家目录为用户的工作目录。如果用户使用相对目录就要相对于家目录。

用“scp”命令的“-r”参数允许递归地拷贝目录。“scp”也可以在两个不同的远程主机之间拷贝文件。

在使用的过程中,有时候用户可能会试图进行如下操作:用SSH登录到www.remote.com上之后,输入命令“scp [local machine]:share .”想用其把本地的“share”文件拷贝到用户当前登录的远程服务器上。这时候用户会看到下面的出错信息:

ssh: secure connection to [local machine] refused

之所以会出现这样的出错信息是因为用户运行的是远程的“scp”命令,该命令试图登录到在用户本地计算机上运行的SSH服务程序,而这样做是不允许的,除非用户的本地计算机也运行着SSH服务程序。

应用二:使用SSH设置“加密通道”

SSH的“加密通道”是通过“端口转发”来实现的。用户可以在本地端口(没有使用过的)和在远程服务器上运行的某个服务的端口之间建立“加密通道”。所有对本地端口的请求都被SSH加密并且转发到远程服务器的端口。当然只有远程服务器上运行SSH服务器软件的时候“加密通道”才能工作。可以用下面命令检查一些远程服务器是否运行SSH服务:

telnet [远程主机的名字全称] 22

如果收到这样的出错信息:

telnet: Unable to connect to remote host: Connection refused

就说明远程服务器上没有运行SSH服务软件。

端口转发使用如下的命令语法:

ssh -f [远程主机上的用户名] -L [本地端口号]:[远程主机的名字全称]:[远程端口] [命令]

不仅可以转发多个端口,而且可以在“~/.ssh/config”文件中用“LocalForward”设置经常使用的一些转发端口。

(1)为POP加上“加密通道”

可以使用POP协议从服务器上取E-mail。为POP加上“加密通道”可以防止POP的密码被网络监听器(sniffer、TCPDUMP等软件)监听到。还有一个好处就是SSH的压缩方式可以让邮件传输得更快。

假定用户在pop.foobar.com上有一个POP账号,用户的用户名是“bilbo”,用户的POP口令是“topsecret”。用来建立SSH“加密通道”的命令是:

ssh -f -C bilbo@pop.foobar.com -L 1234:pop.foobar.com:110 sleep 5

(如果要测试,可以把“sleep”的值加到500)。运行这个命令之后会提示用户输入POP口令:

bilbo@pop.foobar.com's password:

输入口令之后就可以用“telnet”连接到本地的转发端口了。

telnet localhost 1234

用户会收到远程mail服务器的“READY”消息。当然,这个方法要求用户手工输入所有的POP命令,这是很不方便的。可以用Fetchmail(参考how to configure Fetchmail)。Secure POP via SSH mini-HOWTO、man fetchmail和在“/usr/doc/fetchmail-[…]”目录下的Fetchmail的FAQ都提供了一些具体的例子。

(2)为X加上“加密通道”

如果用户打算在本地计算机上运行远程SSH服务器上的X窗口系统程序,那么登录到远程的计算机上,创建一个名为“~/.ssh/environment”的文件并加上这一行:

XAUTHORITY=/home/[remote user name]/.Xauthority

比如启动一个X程序(xterm)可以这个命令:

ssh -f -X -l [remote user name] [remote machine] xterm

这将在远程运行xterm这个程序。其他的X程序也是用相同的方法。

(3)为Linuxconf加上“加密通道”

Linuxconf是Linux的配置工具,支持远程管理。使用linuxconf的命令为:

remadmin --exec [link_command] linuxconf --guiproto

如果用户想在两台计算机之间用加密的方式传送信息,那么最好使用ssh。命令是:

remadmin --exec ssh -l [account] linuxconf --guiproto

这是一种非常有效的采行图形界面管理计算机的方式。这种方法需要在客户端安装linuxconf。其他的方法还有直接登录到服务器上用“X11Forwarding”或字符界面运行linuxconf。

SSH的密钥管理主要包括两个方面:生成公钥/私钥对以及公钥的分发,下面将对这两个密钥管理工作分别进行介绍。

(1)生成用户自己的密钥对

生成并分发用户自己的密钥有两个好处:

可以防止“中间人”这种攻击方式。

可以只用一个口令就登录到所有用户想登录的服务器上。

用下面的命令可以生成密钥:

#ssh-keygen

如果远程主机使用的是SSH 2.x就要用这个命令:

#ssh-keygen –d

在同一台主机上同时有SSH1和SSH2的密钥是没有问题的,因为密钥是保存为不同的文件的。ssh-keygen命令运行之后会显示下面的信息:

Generating RSA keys:

Key generation complete.

Enter file in which to save the key (/home/[user]/.ssh/identity):

//此时按下回车键就行了

Created directory '/home/[user]/.ssh'.

Enter passphrase (empty for no passphrase): //输入的口令不会显示在屏幕上

//重新输入一遍口令,如果忘记了口令就只能重新生成一次密钥了

Enter same passphrase again:

//保存用户的私人密钥和公用密钥

Your identification has been saved in /home/[user]/.ssh/identity.

Your public key has been saved in /home/[user]/.ssh/identity.pub.

The key fingerprint is: 2a:dc:71:2f:27:84:a2:e4:a1:1e:a9:63:e2:fa:a5:89 [user]@[local machine]

“ssh-keygen -d”做的是几乎同样的事,但是把一对密钥存为(默认情况下)“/home/[user] /.ssh/id_dsa”(私人密钥)和“/home/[user]/.ssh/id_dsa.pub”(公用密钥)。

现在用户拥有一对密钥:公用密钥要分发到所有用户想用ssh登录的远程主机上去;私人密钥要好好地保管防止别人知道私人密钥。用“ls-l ~/.ssh/identity”或“ls-l ~/.ssh/id_dsa”所显示的文件的访问权限必须是“-rw-------”。

(2)分发公用密钥

在每一个用户需要用SSH连接的远程服务器上,用户要在自己的主目录下创建一个“.ssh”的子目录,把用户的公用密钥“identity.pub”拷贝到这个目录下并把它重命名为“authorized_ keys”。然后执行:

chmod 644 .ssh/authorized_keys

这一步是必不可少的。如果除了用户之外别人对“authorized_keys”文件也有写的权限,SSH就不会工作。

如果用户想从不同的计算机登录到远程主机,“authorized_keys”文件也可以有多个公用密钥。在这种情况下,必须在新的计算机上重新生成一对密钥,然后把生成的“identify.pub”文件拷贝并粘贴到远程主机的“authorized_keys”文件里。当然在新的计算机上用户必须有一个账号,而且密钥是用口令保护的。有一点很重要,就是当用户取消了这个账号之后,别忘了把这一对密钥删掉。


    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章