《Win7下用SSH客户端工具连接CentOS54的SSH证书配置方法.docx》由会员分享,可在线阅读,更多相关《Win7下用SSH客户端工具连接CentOS54的SSH证书配置方法.docx(12页珍藏版)》请在三一办公上搜索。
1、Win7用SSH客户端工具连接虚拟机CentOS5.4的SSH 证书配置方法1.什么是ssh传统的网络服务程序,如:ftp、POP和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的,就是很容易受到“中间人”(man-in- the-middle)这种方式的攻击。所谓 “中间人”的攻击方式,就是“中间人”冒充真正的服务器接收你传给服务器的数据,然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”一转手做了手脚之后,就会出现很严重的问题。从前,一个名为Tatu Y
2、lonen的芬兰程序员开发了一种网络协议和服务软件,称为SSH(Secure SHell的缩写)。通过使用SSH,你可以把所有传输的数据进行加密,这样“中间人”这种攻击方式就不可能实现了,而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,虽然许多人把Secure Shell仅当作Telnet的替代物,但你可以使用它来保护你的网络连接的安全。你可以通过本地或远程系统上的Secure Shell转发其他网络通信,如POP、X、PPP和FTP。你还可以转发其他类型的网络通信,包括CVS和任意其他的TCP通信。另外,你可以使用带 T
3、CP包装的Secure Shell,以加强连接的安全性。除此之外,Secure Shell还有一些其他的方便的功能,可用于诸如Oracle之类的应用,也可以将它用于远程备份和像SecurID卡一样的附加认证。2.ssh的工作机制SSH分为两部分:客户端部分和服务端部分。服务端是一个守护进程(demon),他在后台运行并响应来自客户端的连接请求。服务端一般是sshd进程,提供了对远程连接的处理,一般包括公共密钥认证、密钥交换、对称密钥加密和非安全连接。客户端包含ssh程序以及像scp(远程拷贝)、slogin(远程登陆)、sftp(安全文件传输)等其他的应用程序。他们的工作机制大致是本地的客户端
4、发送一个连接请求到远程的服务端,服务端检查申请的包和IP地址再发送密钥给SSH的客户端,本地再将密钥发回给服务端,自此连接建立。SSH被设计成为工作于自己的基础之上而不利用超级服务器(inetd),虽然可以通过inetd上的tcpd来运行SSH进程,但是这完全没有必要。启动SSH服务器后,sshd运行起来并在默认的22端口进行监听(你可以用 # ps -waux | grep sshd来查看sshd是否已经被正确的运行了)如果不是通过inetd启动的SSH,那么SSH就将一直等待连接请求。当请求到来的时候SSH守护进程会产生一个子进程,该子进程进行这次的连接处理。但是因为受版权和加密算法的限制
5、,现在很多人都转而使用OpenSSH。OpenSSH是SSH的替代软件,而且是免费的,3.安装使用OpenSSH CentOS5.4中已经包括了OpenSSH,也可以从网络上下载并安装OpenSSH,它是完全免费的。在VirtualBox中的CentOS虚拟机上登录,图形方式则打开一个Terminal 命令终端(命令行方式则直接敲命令)。# cd /.ssh执行以下命令生成密钥对:# ssh-keygen -t rsaGenerating public/private rsa key pair.Enter file in which to save the key (/home/yu/.ssh
6、/id_rsa): /密钥将要保存的目录Enter passphrase (empty for no passphrase): /输入远程登录的口令Enter same passphrase again: Your identification has been saved in /home/yu/.ssh/id_rsa. /生成的私钥Your public key has been saved in /home/yu/.ssh/id_rsa.pub. /生成的公钥The key fingerprint is:51:3e:d7:77:a4:22:d8:bb:f2:d2:2e:e6:5c:e3:
7、33:ed 其中公共密钥保存在 /.ssh/id_rsa.pub,私有密钥保存在 /.ssh/id_rsa在输入口令后可能会提示open /home/yu/.ssh/id_rsa failed: No such file or directory.是因为相应的目录和文件不存在,去这个目录下检查一下,如果没有,先创建。我是直接在Xwindow模式下创建相应目录和一个id_rsa.pub空文件。#echo id_rsa.pub authorized_keys /重命名生成的公钥,以备SecureCRT下载使用#rm -rf id_rsa.pub /删除原始公钥文件#chmod 700 /home/
8、yu/.ssh /修改目录属性#chmod 600 authorized_keys /修改公钥文件属性,只允许root修改在用SSH Secure Shell Client登陆的时候走了一点弯路,所以回头在CentOS里面ping了一下IP:注意:这里的IP是192.168.65.130而进入win7下面的虚拟IP则是192.168.65.1密钥在服务端已经生成了,此时回到SecureCRT,用password方式登录到服务器上,进入/.ssh目录用SSH Secure Shell Client登陆如下:注意:第一次登陆,用password方式,要用CentOS里面ping出来的IP即192.
9、168.65.130。用SecureCRT登陆进去后执行如下命令:#sz id_rsa /发送文件,SecureCRT中有默认的下载目录#sz authorized_keys将公私钥发送到客户端,此时在SecureCRT的download目录下重命名authorized_keys为id_rsa.pub,只要保证两个文件名一致就行。/这里我们是在使用本机的虚拟机作为server端,/在XP系统下使用CRT登录虚拟主机中的server,所以才有此步骤详细的细节可以参见鸟哥的私房菜,chapter13,远程联机服务器篇设置好ip地址,端口号,此时就可以顺利在SecureCRT中使用PublicKey
10、方式远程登陆上CentOS服务器了。居然提示命令没找到!算了,还是用SSH Secure Shell Client吧。选择菜单中“Edit”- “Setting”,在打开的窗口左侧依次选择“Global Settings”-“User Authentication”-“Keys”; 点击“Generate New”,在打开的窗口中点击“Next”,选择 “RSA”和 “2048”,然后点击“Next”,稍等一会,会计算一个密钥。看到如下图,参照图片中的内容进行填写,比如在Passphrase中填写一个密码,这个是保护本地私有密钥的密码,也就是说,即使有人盗用了你的计算机,没有这个密码,也仍然不
11、能使用你的密钥。注意,这个不是服务器上用户密码。填写完毕后,点击“下一步”,密钥就生成完了,点击完成。选择刚才生成的密钥,点击“Upload”,会弹出如下窗口:参考窗口中的内容填写,注意名称是自动出现的,不用管。第二项需要修改为 .ssh ,第三项不用管。然后点“Upload”,如下图所示:如果没有提示错误,那么公钥就自动被上传到服务器上去了。接着要做一些手工的操作,在命令行界面里,输入如下命令: (左脚注意前面的$符号不是命令,只是个提示符)#cd .ssh/# ls -l会至少看到你刚才生成的 .pub 公钥文件和一个 authorization 认证配置文件。如果没有你刚才起的名子的文件
12、,那就有问题,检查上面的过程。接着做下面的命令,假设我生成的是 mkey.pub# ssh-keygen -i -f mkey.pub authorized_keys (关键就是这句命令)然后,删除刚才生成的文件:# rm -rf mkey.pub #rm -rf authorization#chmod 400 *# cd .#chmod 700 .ssh退出 SSH 工具。重新发起一次链接,参照下图进行选择:注意最后一项“P lic Key”点击链接,然后会看到下面的提示:这个提示就是要你输入刚才设置的“Passphrase”密码,输入正确后,就会登录到系统中了。客户端配置最后一步,也最重要
13、:本地会保存你生成的私钥和公钥,刚才所上传上去的就是公钥。每次登录,软件都会自动拿本地的私钥和远端的公钥做加密运算,然后才能登录。所以,我们必须保护我们本地的密钥文件,这个就象招商银行网上银行专业版的数字证书一样,丢了就不能再次登录了。密钥文件存放在本地目录:(如果是WinXP系统,可能是这样的目录)C:Documents and SettingsuplinuxApplication DataSSHUserKeys(如果是Win7系统,我找了半天没找到,只好用笨方法找了,如下图)把这个目录里的文件备份出来,压缩成带密码的压缩包,弄到手机里或者U盘里,以备重做系统后可用。使用root用户编辑/etc/ssh/sshd_config文件,将PasswordAuthentication yes改为PasswordAuthentication no,保存文件并退出,重新启动sshd服务。至此之后,服务器不再接受密码认证,客户端必须使用密钥才能正常登录。不过一定要注意密钥不要搞丢了,不然自已也不能远程登录系统了。
