SSH服務(wù)器安裝配置

1、1、安裝opensshsudo aptitude install openssh-server以上命令若無(wú)法安裝，需檢查linux源配置文件：/etc/apt/sources.list將開(kāi)源服務(wù)器銜接地址加載到sources.list文件中。 （備用方案：下載源碼zlib-1.2.3.tar.gz、openssh-5.6p1.tar.gz，解壓到linux服務(wù)器根文件夾下，執(zhí)行命令：（1）make （2）make install）2、啟動(dòng)ssh-server執(zhí)行命令：/etc/init.d/ssh restart3、確認(rèn)ssh是否已啟動(dòng)執(zhí)行命令：netstat tlp4、在windo

2、w平臺(tái)上安裝xshell或SecureCRT軟件，配置一下就可以通過(guò)SSH方式連接上linux服務(wù)器了。/*以下為網(wǎng)上下載的方法，比較繁瑣，無(wú)法安裝*/3. linux ssh的配置3.1 linux ssh的安裝首先檢查L(zhǎng)inux是否安裝sshRpm p sshd如果安裝好了將顯示 SSH的版本信息，否則請(qǐng)下載安裝包進(jìn)行安裝。下載：openssh-1.2.3.tar.gz。1）編譯OpenSSH需要zlib-devel軟件包，這個(gè)軟件包包括頭文件和函數(shù)庫(kù)。編譯使用zlib的壓縮和解壓函數(shù)的程序，就要事先安裝這個(gè)軟件包。用下面的命令驗(yàn)證一下在系統(tǒng)中是否已經(jīng)安裝了zlib-devel軟件包： r

3、pm-qizlib-devel 用下面命令在系統(tǒng)中安裝zlib-devel軟件包： rpm-Uvhzlib-devel-version.i386.rpm 2）編譯和安裝 把軟件包（tar.gz）解壓： tarxzpfopenssh-version.tar.gz現(xiàn)在，編譯和安裝OpenSSH： make makeinstall “make”命令把源文件編譯成可執(zhí)行的二進(jìn)制文件，“makeinstall”把二進(jìn)制文件和配置文件安裝在合適的目錄下。3.2 客戶端配置配置“/etc/ssh/ssh_config”文件 “/etc/ssh/ssh_config”文件是OpenSSH系統(tǒng)范圍的配置文件，允

4、許你通過(guò)設(shè)置不同的選項(xiàng)來(lái)改變客戶端程序的運(yùn)行方式。這個(gè)文件的每一行包含“關(guān)鍵詞值”的匹配，其中“關(guān)鍵詞”是忽略大小寫的。編輯“ssh_config”文件（vi/etc/ssh/ssh_config），添加或改變下面的參數(shù)： #Site-widedefaultsforvariousoptions Host* ForwardAgentno ForwardX11no RhostsAuthenticationno RhostsRSAAuthenticationno RSAAuthenticationyes PasswordAuthenticationyes FallBackToRshno UseRsh

5、no BatchModeno CheckHostIPyes StrictHostKeyCheckingno IdentityFile/.ssh/identity Port22 Cipherblowfish EscapeChar 下面逐行說(shuō)明上面的選項(xiàng)設(shè)置： Host* 選項(xiàng)“Host”只對(duì)能夠匹配后面字串的計(jì)算機(jī)有效?！?”表示所有的計(jì)算機(jī)。 ForwardAgentno “ForwardAgent”設(shè)置連接是否經(jīng)過(guò)驗(yàn)證代理（如果存在）轉(zhuǎn)發(fā)給遠(yuǎn)程計(jì)算機(jī)。 ForwardX11no “ForwardX11”設(shè)置X11連接是否被自動(dòng)重定向到安全的通道和顯示集（DISPLAYset）。 Rhosts

6、Authenticationno “RhostsAuthentication”設(shè)置是否使用基于rhosts的安全驗(yàn)證。 RhostsRSAAuthenticationno “RhostsRSAAuthentication”設(shè)置是否使用用RSA算法的基于rhosts的安全驗(yàn)證。 RSAAuthenticationyes “RSAAuthentication”設(shè)置是否使用RSA算法進(jìn)行安全驗(yàn)證。 PasswordAuthenticationyes “PasswordAuthentication”設(shè)置是否使用口令驗(yàn)證。 FallBackToRshno “FallBackToRsh”設(shè)置如果用ssh連

7、接出現(xiàn)錯(cuò)誤是否自動(dòng)使用rsh。 UseRshno “UseRsh”設(shè)置是否在這臺(tái)計(jì)算機(jī)上使用“rlogin/rsh”。 BatchModeno “BatchMode”如果設(shè)為“yes”，passphrase/password（交互式輸入口令）的提示將被禁止。當(dāng)不能交互式輸入口令的時(shí)候，這個(gè)選項(xiàng)對(duì)腳本文件和批處理任務(wù)十分有用。 CheckHostIPyes “CheckHostIP”設(shè)置ssh是否查看連接到服務(wù)器的主機(jī)的IP地址以防止DNS欺騙。建議設(shè)置為“yes”。 StrictHostKeyCheckingno “StrictHostKeyChecking”如果設(shè)置成“yes”，ssh就不會(huì)

8、自動(dòng)把計(jì)算機(jī)的密匙加入“$HOME/.ssh/known_hosts”文件，并且一旦計(jì)算機(jī)的密匙發(fā)生了變化，就拒絕連接。 IdentityFile/.ssh/identity “IdentityFile”設(shè)置從哪個(gè)文件讀取用戶的RSA安全驗(yàn)證標(biāo)識(shí)。 Port22 “Port”設(shè)置連接到遠(yuǎn)程主機(jī)的端口。 Cipherblowfish “Cipher”設(shè)置加密用的密碼。 EscapeChar “EscapeChar”設(shè)置escape字符。3.3服務(wù)端配置配置“/etc/ssh/sshd_config”文件 “/etc/ssh/sshd_config”是OpenSSH的配置文件，允許設(shè)置選項(xiàng)改變這個(gè)

9、daemon的運(yùn)行。這個(gè)文件的每一行包含“關(guān)鍵詞值”的匹配，其中“關(guān)鍵詞”是忽略大小寫的。編輯“sshd_config”文件（vi/etc/ssh/sshd_config），加入或改變下面的參數(shù)： #Thisissshserversystemwideconfigurationfile. Port22 ListenAddress192.168.2.1 HostKey/etc/ssh/ssh_host_key ServerKeyBits1024 LoginGraceTime600 KeyRegenerationInterval3600 PermitRootLoginno IgnoreRhostsy

10、es IgnoreUserKnownHostsyes StrictModesyes X11Forwardingno PrintMotdyes SyslogFacilityAUTH LogLevelINFO RhostsAuthenticationno RhostsRSAAuthenticationno RSAAuthenticationyes PasswordAuthenticationyes PermitEmptyPasswordsno AllowUsersadmin 下面逐行說(shuō)明上面的選項(xiàng)設(shè)置： Port22 “Port”設(shè)置sshd監(jiān)聽(tīng)的端口號(hào)。 ListenAddress192.168

11、.2.1 “ListenAddress”設(shè)置sshd服務(wù)器綁定的IP地址。 HostKey/etc/ssh/ssh_host_key “HostKey”設(shè)置包含計(jì)算機(jī)私人密匙的文件。 ServerKeyBits1024 “ServerKeyBits”定義服務(wù)器密匙的位數(shù)。 LoginGraceTime600 “LoginGraceTime”設(shè)置如果用戶不能成功登錄，在切斷連接之前服務(wù)器需要等待的時(shí)間（以秒為單位）。 KeyRegenerationInterval3600 “KeyRegenerationInterval”設(shè)置在多少秒之后自動(dòng)重新生成服務(wù)器的密匙（如果使用密匙）。重新生成密匙是為

12、了防止用盜用的密匙解密被截獲的信息。 PermitRootLoginno “PermitRootLogin”設(shè)置root能不能用ssh登錄。這個(gè)選項(xiàng)一定不要設(shè)成“yes”。 IgnoreRhostsyes “IgnoreRhosts”設(shè)置驗(yàn)證的時(shí)候是否使用“rhosts”和“shosts”文件。 IgnoreUserKnownHostsyes “IgnoreUserKnownHosts”設(shè)置sshdaemon是否在進(jìn)行RhostsRSAAuthentication安全驗(yàn)證的時(shí)候忽略用戶的“$HOME/.ssh/known_hosts” StrictModesyes “StrictModes”設(shè)

13、置ssh在接收登錄請(qǐng)求之前是否檢查用戶家目錄和rhosts文件的權(quán)限和所有權(quán)。這通常是必要的，因?yàn)樾率纸?jīng)常會(huì)把自己的目錄和文件設(shè)成任何人都有寫權(quán)限。 X11Forwardingno “X11Forwarding”設(shè)置是否允許X11轉(zhuǎn)發(fā)。 PrintMotdyes “PrintMotd”設(shè)置sshd是否在用戶登錄的時(shí)候顯示“/etc/motd”中的信息。 SyslogFacilityAUTH “SyslogFacility”設(shè)置在記錄來(lái)自sshd的消息的時(shí)候，是否給出“facilitycode”。 LogLevelINFO “LogLevel”設(shè)置記錄sshd日志消息的層次。INFO是一個(gè)好的選

14、擇。查看sshd的man幫助頁(yè)，已獲取更多的信息。 RhostsAuthenticationno “RhostsAuthentication”設(shè)置只用rhosts或“/etc/hosts.equiv”進(jìn)行安全驗(yàn)證是否已經(jīng)足夠了。 RhostsRSAAuthenticationno “RhostsRSA”設(shè)置是否允許用rhosts或“/etc/hosts.equiv”加上RSA進(jìn)行安全驗(yàn)證。 RSAAuthenticationyes “RSAAuthentication”設(shè)置是否允許只有RSA安全驗(yàn)證。 PasswordAuthenticationyes “PasswordAuthenticat

15、ion”設(shè)置是否允許口令驗(yàn)證。 PermitEmptyPasswordsno “PermitEmptyPasswords”設(shè)置是否允許用口令為空的帳號(hào)登錄。 AllowUsersadmin “AllowUsers”的后面可以跟著任意的數(shù)量的用戶名的匹配串（patterns）或userhost這樣的匹配串，這些字符串用空格隔開(kāi)。主機(jī)名可以是DNS名或IP地址。 配置OpenSSH使其使用TCP-Wrappersinetd超級(jí)服務(wù)器 TCP-WRAPPERS用來(lái)啟動(dòng)和停止sshd服務(wù)。當(dāng)inetd運(yùn)行的時(shí)候，它會(huì)從配置文件（默認(rèn)為“/etc/inetd.conf”）中讀入配置信息。在配置文件中每一

16、行的不同項(xiàng)是用TAB或空格分開(kāi)。 第一步 編輯“inetd.conf”文件（vi/etc/inetd.conf）并加入這一行： sshstreamtcpnowaitroot/usr/sbin/tcpdsshdi 注意：“-i”參數(shù)很重要，它說(shuō)明sshd是被inetd運(yùn)行的。在加入這一行后，通過(guò)發(fā)送一個(gè)SIGHUP信號(hào)（killallHUPinetd）來(lái)更新“inetd.conf”文件。 killall-HUPinetd 第二步 編輯“hosts.allow”文件（vi/etc/hosts.allow）并加入這一行： sshd:192.168.1.4 這一行表示IP地址為“192.168.1.4

17、”，主機(jī)名為“”的計(jì)算機(jī)允許用ssh訪問(wèn)服務(wù)器。 下面這些“daemon”字符串（用于TCP-WRAPPERS）被sshd1使用： sshdfwd-X11(允許/禁止X11轉(zhuǎn)發(fā)). sshdfwd-(TCP轉(zhuǎn)發(fā)). sshdfwd-(port-name在/etc/services中定義。用于TCP轉(zhuǎn)發(fā)). 注意：如果準(zhǔn)備使用ssh，一定要用在所有的服務(wù)器上。如果十臺(tái)安全的服務(wù)器和一臺(tái)不安全的服務(wù)器配在一起，也談不上什么安全性。 更多的資料 如果想查找詳細(xì)的資料可以用man命令查幫助頁(yè)，讀取相關(guān)信息： $manssh(1)-OpenSSHsecureshellclient(remotelogin

18、program) $mansshslogin(1)-OpenSSHsecureshellclient(remoteloginprogram) $manssh-add(1)-addsidentitiesfortheauthenticationagent $manssh-agent(1)-authenticationagent $manssh-keygen(1)-authenticationkeygeneration $mansshd(8)-secureshelldaemon 3.4 SSH密匙設(shè)定 第一步 為本地服務(wù)器創(chuàng)建私有和公用密匙，執(zhí)行下面的命令： rootdeep#suusername usernamedeep$ssh-keygen1 Youridentificationhasbeensavedin/home/username/.ssh/identity. Yourpublickeyhasbeensavedin/home/username/.ssh/identity.pub 第二步 把本機(jī)的公用密匙（identity.pub）拷貝到遠(yuǎn)程主機(jī)的“/home/username/.ssh”目錄下，例如，使用“authorized_keys”這個(gè)名字。 改變pass-phrase 用加上“-p”參數(shù)的“ssh-key