SSH ( Secure Shell)是一个用来登录远程服务器并在远程服务器上执行命令的程序,在缺少安全防护的网络上,能为两台互相信任的主机间提供安全可靠的加密通信。SSH 缺省是打开的,可以直接使用。
OpenSSH 是 SSH 协议的免费开源实现。使用OpenSSH工具能够增强系统的安全性。OpenSSH 加密所有的通信(包括口令),有效的防止了窃取和网络攻击。除此之外,OpenSSH 还提供了多种安全认证方法。而 telnet、riogin、ftp 等连接工具使用纯文本口令,并被明文发送,这些信息可能会被截取,未经授权的人员可能会使用截取的口令登录系统并造成危害。
OpenSSH 包括:ssh(替代了 rlogin 和 telnet)、scp(替代了 rcp)、sftp(替代了 ftp)和服务器端的 sshd。其他的基本工具包括 ssh-add、ssh-agent、ssh-keygen 等。
OpenSSH 不仅是安全的而且是加密的。OpenSSH 的一个更加吸引人的特性是其功能组件一一RSA/DSA 密钥认证系统,它可以代替 OpenSSH 缺省使用的标准安全密码认证系统。
RSA 和 DSA 认证需要一些初始配置。要设置 RSA 和 DSA 认证,首先需要生成一对密
钥,一把私钥和一把公钥。公钥用于对消息进行加密,只有拥有私钥的人才能对该消息进行解密。公钥只能用于加密,而私钥只能用于解密由匹配的公钥编码的消息。
钥匙必须单独为每个用户生成。要为某用户生成密匙,用将要连接到远程机器的用户身份来执行下面的步骤。如果以 root 身份执行下列步骤,就只有 root 用户才能使用这对密匙。
生成 RSA 密钥对
要生成 RSA 密匙对,先在 Shell 提示符下键入下列命令:
#ssh-keygen -t rsa
当要求输入存放密钥的位置时,按回车键接受<-/ssh/id_rsa>的默认位置。接下来输入一个与用户账号口令不同的口令,再输入一次以确认。
命令完成后,公钥被写入<-/ssh/id_rsapub>;私钥被写入<-/ssh/id_rsa>。注意,一定不要把私钥出示给任何人。
使用 chmod 755 -/ssh 命令改变用户主目录下 ssh 目录的许可权限。
把公钥<-/ssh/id_rsapub>的内容复制到想要连接的远程机器上的<-/ssh/authorized_keys>文件中。如果文件<-/ssh/authorized_keys>不存在,可以把<-/ssh/id_rsapub>文件复制为远程机器的<-/ssh/authorized_keys>文件。
生成 DSA 密钥对
要生成 DSA 密匙对,先在 Shell 提示符下键入下面的命令:
#ssh-keygen -t dsa
当要求输入存放密钥的位置时,接受<-/ssh/id_dsa>的默认位置。接下来输入一个与用户账号口令不同的口令,再输入一次以确认。
命令完成后,公钥被写入<-/ssh/id_dsapub>;私钥被写入<-/ssh/id_dsa>。注意,一定不要把私钥出示给任何人。
使用 chmod 755 -/ssh 命令改变用户主目录下的 ssh 目录的许可权限。
把公钥<-/ssh/id_dsapub>的内容复制到想要连接的远程机器中的<-/ssh/authorized_key2>文件中。如果文件<-/ssh/authorized_key2>不存在,可以把<-/ssh/id_dsapub>文件复制为远程机器上的<-/ssh/authorized_key2>文件。
配置 ssh-agent
ssh-agent 是一个用于保存私钥的授权代理。只要使用 ssh-add 命令把私钥添加到
ssh-agent 的高速缓存中,ssh 将从 ssh-agent 获取您的私钥,而不会提示要密码了。
在 Shell 提示符下,键入下面的命令:
#exec /usr/bin/ssh-agent $SHELL
然后,键入下面的命令:
#ssh-add
接着,输入我们的密钥口令。如果配置了不止一个密钥对,会被提示输入每个口令。
当用户注销后,口令就会被忘记。必须在每次登录到虚拟控制台或打开终端窗口时都执行这两条命令。
提示:默认情况下,系统禁止 root 用户通过ssh远程登陆,只能以普通用户身份登陆。
另外,我们可以到 OpenSSH 的官方站点 http://www.openssh.com 获得更多详细的信息。
9.3.2 PGP
PGP一Pretty Good Privacy,是一个基于 RSA 公匙加密体系的邮件加密软件。可以用它对您的邮件加密以防止非授权者阅读,它还能在邮件中加上数字签名从而使收信人可以确信邮件的来源。它让用户可以安全地和从未见过的人们通讯,事先并不需要任何保密的渠道用来传递密匙。它采用了审慎的密匙管理,这一种RSA和传统加密的杂合算法,用于数字签名的邮件文摘算法,加密前压缩等。
PGP 的创始人是美国的 Phil Zimmermann。它的创造性在于把 RSA 公匙体系的方便和传统加密体系的高速度结合起来,并且在数字签名和密匙认证管理机制上有巧妙的设计。
如果需要了解 PGP 的详细知识,请访问站点 http://www.pgpi.org。
9.3.3O PENSSL
Openssl 是一个协议独立的加密方案,在网络信息包的应用层和传输层之间提供了安全的通道。
一些服务器软件,例如 IMAP、POP、Samba、FTP、Apache 等等,在提供服务时需要对用户进行认证,只有认证通过后服务才会被许可。然而对于 server/client 方式的服务,客户端和服务端之间通讯都是以明文方式进行的,Openssl 正是提供了对传输的数据的一种加密方式。
Openssl 可以安装在 CGSL 服务器上,它需要一些第三方提供的应用程序来为服务提供加密。简单说来,就是HTML或CGI经过幕后的服务器进行了加密处理,然而对 HTML
和 CGI 的作者来说是透明的。
openssl 软件包提供了 SSL(Secure Sockets Layer)及 TLS(Tansport Layer Security)协议的加密保护,而且提供了 apache 方式的许可证,从而强化了 HTTP 服务器的安全性。
我们可以到 Openssl 的官方站点 http://www.openssl.org 获得更多详细的信息。
全国业务电话:
.png)
.png)
.png)
.png)
.png)
.png)
.png)
