服務(wù)器SSH Public Key認(rèn)證指南

《服務(wù)器SSH Public Key認(rèn)證指南》由會(huì)員分享，可在線閱讀，更多相關(guān)《服務(wù)器SSH Public Key認(rèn)證指南（17頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、網(wǎng)易 NetEase 服務(wù)器SSH Public Key認(rèn)證指南 一. 引言 1 1. 編寫(xiě)目的 1 2. 編寫(xiě)背景 1 二. Public Key 認(rèn)證簡(jiǎn)介 2 1. Public Key 認(rèn)證基本原理 2 2. Public Key 認(rèn)證相對(duì)于其它 SSH 認(rèn)證的優(yōu)點(diǎn) 2 三. Public Key 認(rèn)證的設(shè)置 4 1. Key Pair 的生成 4 1.1 在 Windows 客戶端生成 Key Pair 4 1.2 在 Unix/Linux 系統(tǒng)生成 Key Pair 9 2. 部署 Key Pair 9 2.1 對(duì)已有帳號(hào)部署（或更換）Key Pair 9

2、 2.2 新添帳號(hào)并部署 Key Pair 10 3. 使用Key Pair連接服務(wù)器 11 4. 修改 Private Key 的保護(hù)口令（即 Passphrase） 12 四. SSH 其它 1 3 五. 參考文獻(xiàn) 1 4 引言 1. 編寫(xiě)目的 本文檔是為了在公司推行采用密鑰認(rèn)證方式登錄服務(wù)器而寫(xiě)的，詳細(xì)介紹了實(shí)現(xiàn)服務(wù)器 Public Key認(rèn)證的各個(gè)步驟，目的是讓公司員工通過(guò)Public key認(rèn)證更加方便、易用、 安全地管理服務(wù)器。 2. 編寫(xiě)背景 目前公司里服務(wù)器登錄采用的認(rèn)證方式在不同部門間各有不同，而不同的認(rèn)證方式各有 優(yōu)缺點(diǎn)。為了更安全地登錄服務(wù)

3、器，更好地規(guī)范管理服務(wù)器帳號(hào)，我們推薦 Public Key 認(rèn)證方式登錄服務(wù)器，本指南以 OpenSSH 為例， OpenSSH 是開(kāi)源軟件，在我們公司服務(wù) 器上廣泛應(yīng)用。 網(wǎng)易NET3合E w ww ■ 1~6 3 am _ _ 網(wǎng)^管理部 二.Public Key認(rèn)證簡(jiǎn)介 1. Public Key 認(rèn)證基本原理 Public Key（非對(duì)稱，asymmetric）認(rèn)證使用一對(duì)相關(guān)聯(lián)的Key Pair （一個(gè)公 鑰Public Key, 一個(gè)私鑰Private Key）來(lái)代替?zhèn)鹘y(tǒng)的密碼（或我們常說(shuō)的口令， Password）。顧名思義，Public Key是用來(lái)公開(kāi)的，可以將其

4、放到SSH服務(wù)器自己的帳 號(hào)中，而 Private Key 只能由自己保管，用來(lái)證明自己身份。 使用Public Key加密過(guò)的數(shù)據(jù)只有用與之相對(duì)應(yīng)的Private Key才能解密。這樣 在認(rèn)證的過(guò)程中，Public Key擁有者便可以通過(guò)Public Key加密一些東西發(fā)送給對(duì)應(yīng) 的Private Key擁有者，如果在通信的雙方都擁有對(duì)方的Public Key （自己的Private Key只由自己保管），那么就可以通過(guò)這對(duì)Key Pair來(lái)安全地交換信息，從而實(shí)現(xiàn)相互認(rèn) 證。在使用中，我們把自己的Public Key放在通過(guò)安全渠道放到服務(wù)器上，Private Key 自己保管（用一個(gè)口

5、令把 Private Key 加密后存放），而服務(wù)器的 Public Key 一般會(huì) 在第一次登錄服務(wù)器的時(shí)候存放到本地客戶端（嚴(yán)格地說(shuō)來(lái)服務(wù)器的Public Key也應(yīng)該 通過(guò)安全渠道放到本地客戶端，以防止別人用他自己的Public Key來(lái)欺騙登錄）。 2. Public Key 認(rèn)證相對(duì)于其它 SSH 認(rèn)證的優(yōu)點(diǎn) 在眾多SSH登錄認(rèn)證中，傳統(tǒng)的單口令（Password）認(rèn)證用得比較多，所以在這里 我們主要對(duì)比一下SSH認(rèn)證中的口令（Password）認(rèn)證和Public Key認(rèn)證的區(qū)別。 a. 基于主機(jī)IP（rhost）的認(rèn)證：對(duì)于某個(gè)主機(jī)（IP）信任并讓之登錄，這種認(rèn)證 容易受到

6、 IP 欺騙攻擊。 b. Kerberos 認(rèn)證：一個(gè)大型的基于域的認(rèn)證，這種認(rèn)證安全性高，但是太大、太復(fù) 雜不方便部署。 c. PAM認(rèn)證：類似于傳統(tǒng)的密碼認(rèn)證，是絕大多數(shù)Unix/Linux系統(tǒng)自帶的一個(gè)認(rèn) 證和記帳的模塊，它的功能比較復(fù)雜，配置起來(lái)比較麻煩。而且，容易由于配置失誤而引起 安全問(wèn)題。 d. 傳統(tǒng)的Unix/Linux 口令（或密碼Password）認(rèn)證：在客戶端直接輸入帳號(hào)密 碼，然后讓SSH加密傳輸?shù)椒?wù)器端驗(yàn)證。這種認(rèn)證方式有著如下明顯的缺點(diǎn)： 1） 為了確保密碼安全，密碼必須很長(zhǎng)很復(fù)雜，但是這樣的密碼很難記憶； 2） 對(duì)于自己所擁有的每個(gè)帳號(hào)，為了安全，不同

7、的帳號(hào)都要設(shè)置不同的密碼，管理起 來(lái)很不方便； 3） 對(duì)于默認(rèn)帳號(hào)，默認(rèn)密碼，例如裝機(jī)時(shí)用的帳號(hào)，如果一時(shí)疏忽沒(méi)有改密碼，被 其它不懷好意的人掃描到帳號(hào)和密碼，可能會(huì)造成安全漏洞； 4） 如果遠(yuǎn)程主機(jī)已經(jīng)被攻擊，即使使用 SSH 安全通道進(jìn)行保護(hù)，在網(wǎng)絡(luò)上發(fā)送的密 碼在到達(dá)遠(yuǎn)程主機(jī)時(shí)也可能被截獲； 5） 對(duì)于每個(gè)帳號(hào)的修改都要人工登錄（為了安全，不能把Password放到腳本里）， 隨著服務(wù)器數(shù)量增多，這項(xiàng)工作會(huì)變得十分煩瑣。 幸運(yùn)的是，SSH提供的Public Key認(rèn)證解決了這些問(wèn)題： 1） Public Key放在服務(wù)器上，Private Key通過(guò)用口令（Passphrase

8、自己設(shè)定 的任意口令，而非傳統(tǒng)的Password）加密后放在自己客戶端上，只有解密后的Private Key 才能登錄服務(wù)器，這樣便提供了兩層保護(hù)，比 Password 安全，因?yàn)橹挥屑用苓^(guò)的 Private Key文件和Private Key的解密口令（Passphrase）同時(shí)被其它人獲得才會(huì) 丟失帳號(hào)。 2） Key認(rèn)證避免了簡(jiǎn)單密碼和默認(rèn)帳號(hào)被掃描到的危險(xiǎn)，一切的安全都放在客戶端的 Private Key 保密上，充分體現(xiàn)了帳號(hào)擁有者的責(zé)任感。 3） SSH Key認(rèn)證的設(shè)置和登錄非常簡(jiǎn)單，只需要自己安全地生成一對(duì)Key Pair， 便可以登錄任意數(shù)量的服務(wù)器（當(dāng)然，首先必須要管理

9、員給你的帳號(hào)安裝你的 Public Key），而且SSH協(xié)議里的Private Key代理（Agent）功能能讓Private Key緩存在 內(nèi)存中，每次打開(kāi)客戶端只需輸入一次解密Private Key的口令（Passphrase），便能 使用Private Key代理自動(dòng)登錄這個(gè)Private Key控制的所有服務(wù)器。 4） 帳號(hào)的管理也十分安全和方便，因?yàn)檎J(rèn)證過(guò)程中不需要把Password寫(xiě)在腳本中， 而是讓客戶端緩存的 Private Key 自動(dòng)去登錄服務(wù)器，這樣就更安全方便地實(shí)現(xiàn)批處理 （例如在客戶端同時(shí)連接并更新所有控制的服務(wù)器）。 由于 Key Pair 的不對(duì)稱的特點(diǎn)，使

10、用 Key 認(rèn)證時(shí)需要注意的地方：解密 Private Key的口令（Passphrase） 和 Private Key文件必須妥善保管，如果丟失其 一則會(huì)引起安全隱患，應(yīng)及時(shí)修改加密Private Key的Passphrase （在本地就可以修 改，不必修改服務(wù)器上的Public Key），如果兩者都泄露了，則帳號(hào)就不安全了，應(yīng)該及 時(shí)更換新的Key Pair。某些客戶端（如SecureCRT）默認(rèn)會(huì)把解密后的Private Key 放緩存在內(nèi)存中，以后登錄時(shí)若需要用要這個(gè)Private Key認(rèn)證，SecureCRT會(huì)自動(dòng)認(rèn) 證，不用再手工輸入口令，所以 當(dāng)有 SSH 登錄的時(shí)候，在離開(kāi)自

11、己的電腦前必須鎖定 Windows，防止別人接觸你的電腦 key的保護(hù)密碼passphrase到底是什么？ private key實(shí)際上 是代表你個(gè)人身份的關(guān)鍵信息，任何情況下不應(yīng)該交給他人，包括你的上司，系統(tǒng)管理員等。 理論上來(lái)說(shuō)，如果你的個(gè)人電腦足夠安全，則 private key 只需要放在自己電腦上，永 遠(yuǎn)不傳送給他人即可保證安全。為了進(jìn)一步保護(hù)private key，我們很自然的會(huì)要求對(duì) private key 進(jìn)行加密保護(hù)， passphrase 就是打開(kāi)這個(gè)保護(hù)的鑰匙。這個(gè)鑰匙只對(duì)應(yīng) 于個(gè)別的 private key 文件，跟其他任何系統(tǒng)無(wú)關(guān)。只需要有必要的工具，你完全可以 在

12、自己的電腦上隨時(shí)任意修改它。但要注意，如果同一個(gè) private key 文件，用幾個(gè)不 同的文件存儲(chǔ)（比如為了備份），而你只修改了其中一個(gè)文件的passphrase，那么舊的 passphrase依然可以解開(kāi)用舊的passphrase力口密的private key文件。 private key的保護(hù)密碼為什么叫 passphrase而不是password? private key其實(shí)代表了你個(gè)人在無(wú)數(shù)系統(tǒng)的身份，它不像password， password只是 你在某個(gè)系統(tǒng)的身份代表，泄漏了一個(gè)系統(tǒng)的密碼并不代表你泄漏了你在所有系統(tǒng)的身份安 全（前提是你在不同的系統(tǒng)使用了不同的passwo

13、rd）。由于實(shí)際應(yīng)用中，private key 對(duì)應(yīng)的public key會(huì)部署在很多很多系統(tǒng)上，因此，泄漏private key是極其危險(xiǎn)的。 為了保護(hù)private key，有些系統(tǒng)（比如許多網(wǎng)上銀行系統(tǒng)：招行、工行的網(wǎng)上銀行系統(tǒng)） 都提供一個(gè)USB硬件用以存儲(chǔ)你的private key，而這個(gè)硬件刻意做到private key 無(wú)法拷貝出來(lái)，只能參與計(jì)算，這就避免了用戶因?yàn)橹心抉R病毒而泄漏private key的 風(fēng)險(xiǎn)。這樣的做法實(shí)際上用額外的成本，增加了一層物理上的保護(hù)（因?yàn)橐I取private key首先要物理上得到這個(gè)硬件）。即使如此，要訪問(wèn)在這個(gè)硬件里的private key還是

14、 需要密碼的。這些系統(tǒng)里甚至要求 private key 定期（比如一年）要過(guò)期，強(qiáng)制你換一 個(gè)新的 private key。 正是因?yàn)?private key 的保護(hù)密碼如此重要，要求大家用一個(gè)有足夠強(qiáng)度的密碼來(lái) 保護(hù)它。這個(gè)保護(hù)密碼除了應(yīng)當(dāng)包含足夠大的字符范圍（特殊字符，數(shù)字，大小寫(xiě)字母）， 還應(yīng)當(dāng)有足夠的長(zhǎng)度。為了強(qiáng)調(diào)這個(gè)區(qū)別，習(xí)慣上都用passphrase代替password這個(gè) 說(shuō)法，因?yàn)閜hrase的意思“短語(yǔ)”而word是“單詞”，前者比后者長(zhǎng)。 PGP手冊(cè)里有專門的章節(jié)講解如何才是足夠強(qiáng)的passphrase。希望大家參考一下。 以下時(shí)PGP輸入passphrase，由此可

15、見(jiàn)人家允許和期待的passphrase有多長(zhǎng)： 三■ Public Key認(rèn)證的設(shè)置 1. Key Pair 的生成 不同的客戶端生成的 Key Pair 文件格式可能不一樣，但是內(nèi)容實(shí)質(zhì)是一樣的，只需 通過(guò)微量修改便可部署。 基于安全的理由，請(qǐng)?jiān)谀銈€(gè)人的，可靠安全的電腦上生成Key Pair。 1.1 在 Windows 客戶端生成 Key Pair 在這主要介紹一下SecureCRT中OpenSSH連接的使用。（以Version5.0為準(zhǔn)介紹） 第一步 生成 Key Pair 運(yùn)行 SecureCRT， 選擇菜單欄 Tools->Create Public Key，

16、點(diǎn)擊''下一步”，選 擇Key Pair的算法類型為“RSA”（也可以使用“DSA”，但推薦使用RSA） 網(wǎng)易 NetEase w w w -1 6 3 ■吐 om 輸入加密Key的保護(hù)口令(Passphrase): 請(qǐng)牢記此Passphrase,如果遺忘，只能重新生成Key Pair。 選擇 Key 的長(zhǎng)度(默認(rèn)的 1024 已經(jīng)基本可以滿足，可以根據(jù)需要增減長(zhǎng)度，不過(guò)請(qǐng) 注意長(zhǎng)度越短越低保障，安全強(qiáng)度越低): ITl K^y Gen^ration Tizard A 1 ower niuriber provides less eeciirity, t：ik

17、es less time to generate arLd. authenticMtEE； faster. A hi gher rLmb er pr ovi de s 孕已:er s e cm- i ty』 t:也已 s more time to genera.te_, and autheiiti?:ates more tl Awl T7 1 flPd. i t + l~i ci i■- u h nmm avi i-l u A tfoItto Sei pc t thm length q kny p-a^i=--hLtb,i, e en 512 ■aTh i-l Pn?d■當(dāng) 1-. i

18、+ c ＜上一步⑥］］卞一步隱羽 取消 生成Key Pair,在如下圖的程序框內(nèi)隨意移動(dòng)鼠標(biāo)以給它生成Key的足夠的隨機(jī)量: 取消 Key Generation Vizard Flease move thei mouse until the prngi-esE bar stops m ovi ng. Thi 三 provi deE imp or t :艾nt r ：=LTLilum input that i￡ used during key gerLeration 將 Key Pair 保存到妥善的地方，如 d:\sshkey\id_rsa， Public Key 即為

19、 id_rsa.pub （建議改成登錄的用戶名作為區(qū)分） 網(wǎng)易 NetEase w wr w -1 6 3 ?u：om 取消 Fubli c key C' \Do cum ent s and Se tti ngs \ Adm mi str a t or \Ap 選取ker-ft存目錄和窯稱 K-ey Generat von Wizard Choose a directory :王nd filerL：=iiTiH for the private key. The publi c jzewi 11 use thm E：=iiTie dir e?:turF :md fi i e

20、 a.t or 'i Appl i c：±t i un Dat a'l.V^iIlyke M derLt i ty 療上一步迢） 完成 第二步 配置需要的連接 點(diǎn)選左上角的Connect按鈕，開(kāi)啟Connect對(duì)話框，選擇需要配置的Session，如 圖 Ctrl+X Ctrl+C Del Connect Alt+ErLter CorLTLect T erm i n：=il Alt+T C uriTLH c t File Tr：=LTL5fer Alt+X C orLTLe c t Both Ctrl+V Delete Alt+M Alt+A

21、 RerL：=iJTie Create Ilesktop Shortcut Alt+S Copy Faste User Ait：=irLged Tree * Show Des cr i p tic?D.2 I三I [_1 Sessi ons ■閾 1^? 進(jìn)入屬性頁(yè)填入要連接的主機(jī)名稱（或者ip地址），用戶名，再選擇基于Public Key 方式的認(rèn)證 點(diǎn)擊 Properties 進(jìn)入 Public Key Properties 對(duì)話框，在紅色圈所示的位置填 入你的 Private Key 文件 Vse global publi d. key se G1 ub

22、：=l1 呈泌 tingE Public Key Properties C：=LXLcel 8.tE Identity File. Uplo 口nal ore will be 在此選中剛才±簾:的厝閨対中的私開(kāi) id h：=ULge FaEEptcraEe. 使用global public key,您可以方便使用一個(gè)key登陸不同的服務(wù)器，而且 只需維護(hù)一個(gè)key即可；使用session public key，您需要使用不同的key登陸不同 的服務(wù)器，需要維護(hù)若干個(gè)key。 建議：針對(duì)重要的應(yīng)用系統(tǒng)請(qǐng)使用 session public key。 1.2 在

23、 Unix/Linux 系統(tǒng)生成 Key Pair # ssh-keygen -b 1024 -t rsa Generating public/private rsa key pair。 Enter file in which to save the key （/home/$username/.ssh/id_rsa）： （Key Pair 將要保存的路徑，括號(hào)內(nèi)為默認(rèn)） Created directory '/home/$username/.ssh'。 Enter passphrase （empty for no passphrase）： （輸入口令） Enter same pass

24、phrase again： （再次輸入口令，千萬(wàn)不要忘記否則就只有從新生 成密鑰了） Your identification has been saved in /home/$username/.ssh/id_rsa。 （你的私鑰） Your public key has been saved in /home/$username/.ssh/id_rsa.pub。 （你的公鑰） The key fingerprint is： bb：1b：f5：1c：77：62：90：21：59：7e：c6：65：e5：24：c6：e5 $username@freebsd 2. 部署 Key Pair

25、 2.1對(duì)已有帳號(hào)部署（或更換）Key Pair 將前面生成的Public Key安全地傳給Unix/Linux服務(wù)端，Private Key要保存 在客戶端安全的地方。將Public Key放在/home/$username/.ssh目錄中。并改名為 authorized_keys。 # su $username # cd /home/$username/.ssh # cat id_rsa.pub >> authorized_keys 對(duì)于SecureCRT生成的Public Key,還需要在服務(wù)器端運(yùn)行命令修改Public Key 文件，SecureCRT生成的Pubkic Ke

26、y文件格式如下例： BEGIN SSH2 PUBLIC KEY Subject： somebody Comment： "somebody@test" ModBitSize： 1024 AAAAB3NzaC1yc2EAAAADAQABAAAAgQC9s07Uev+qQ8/aYA0GO2f0ltbwt3DTdeqTt KMm7LZi7nEqHPDtxBZDGXoEeim/WYEQTV0kUBtDaX5RwPihHBk4n3Q2zTZ4ypa3cb Azl48lhVtQlDrUYFnQee+unP0waSykeIrCtDzZVeMrb0WqkeeulYhe6FPBaWHd1q8

27、Q2VqCpQ== END SSH2 PUBLIC KEY 使用 ssh-keygen -i f pubkey.file 來(lái)轉(zhuǎn)換非 OpenSSH 的 pubkey 格式，這 樣Public Key文件變成如下格式 ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQC9s07Uev+qQ8/aYA0GO2f0ltbwt3DTdeqTt KMm7LZi7nEqHPDtxBZDGXoEeim/WYEQTV0kUBtDaX5RwPihHBk4n3Q2zTZ4ypa3cb Azl48IhVtQlDrUYFnQee+unP0waSykeIrCtDzZVeM

28、rb0WqkeeulYhe6FPBaWHd1q8 Q2VqCpQ== 注意：上面所有內(nèi)容都在同一行中。 2.2 新添帳號(hào)并部署 Key Pair 將以上任一種方法生成的Key Pair中的Public Key （username_pubkey）傳送 給管理員，管理員可按以下示例添加用戶，其中 username 為用戶的登陸名，可作相應(yīng)替 換： FreeBSD 為例： username_pubkey="ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCnL5nGNUasf/LN8SXcO+jGbtq2SYTRQtjKO K2hnnGhTeFClkgje

29、YQ2VmHWawdUlnDAHE6M/P1yUmwLNuxZjXKMk1n4fm8GyiXTeZ FOqMNolw7PqOpdvvgpSRqoooNb94uY5DXeyiRCmZIpz2gcgtz3u2gCmbDv5flvQsj YP8SQ3Xm39QTmB/dov3d/TIHTaZaLyFhG75wk7RNKbZDCj2lEhNWwgI67Wu2ECEIn /i9oEfwsumjTxBQGJYbio4g5vSm9kIoEJ/mWeoBB2rqjkW5kmRENECgnq1Ne0g4Lk 5reUJXTDwjERQPnX+qbM7hAqBiTPQtX4GYlf4RHIgH8wvCz"

30、pw useradd -n $username -m -G wheel -c username -w no -s /bin/csh （假 設(shè)需要添加一個(gè)屬于 wheel 組的用戶） su $username -c "mkdir -p /home/username/.ssh" su $username -c "echo $username_pubkey >/home/username/.ssh/authorized_keys" su $username -c "chmod 700 /home/username/.ssh" su $username -c "chmod 600 /hom

31、e/username/.ssh/authorized_keys" Linux 為例： username_pubkey="ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCnL5nGNUasf/LN8SXcO+jGbtq2SYTRQtjKO K2hnnGhTeFClkgjeYQ2VmHWawdUlnDAHE6M/P1yUmwLNuxZjXKMk1n4fm8GyiXTeZ FOqMNolw7PqOpdvvgpSRqoooNb94uY5DXeyiRCmZIpz2gcgtz3u2gCmbDv5flvQsj YP8SQ3Xm39QTmB/dov3d/TIHTaZa

32、LyFhG75wk7RNKbZDCj2lEhNWwgI67Wu2ECEIn /i9oEfwsumjTxBQGJYbio4g5vSm9kIoEJ/mWeoBB2rqjkW5kmRENECgnq1Ne0g4Lk 5reUJXTDwjERQPnX+qbM7hAqBiTPQtX4GYlf4RHIgH8wvCz" /usr/sbin/useradd $username -m -G root -c username （假設(shè)需要添加一個(gè) 屬于root組的用戶） su $username -c "mkdir -p /home/username/.ssh" su $username -c "echo

33、$username_pubkey >/home/username/.ssh/authorized_keys" su $username -c "chmod 700 /home/username/.ssh" su $username -c "chmod 600 /home/username/.ssh/authorized_keys" passwd -f -u username （默認(rèn)狀態(tài)下 Linux 下面的 Account 是 Locked 的，需要 打開(kāi)） 3. 使用 Key Pair 連接服務(wù)器 第一步 修改 OpenSSH 服務(wù)端配置 確定您機(jī)器中的sshd_config的位置

34、，一般在/etc/ssh/下，我們以此為例。腳本 中的注釋僅供閱讀使用，輸入命令的時(shí)候請(qǐng)去掉。 sed -e 's/入Port/#Port/' -e 's/入Protocol/#Protocol/' \ -e 's/入PermitRootLogin/#PermitRootLogin/' \ -e 's/入PubkeyAuthentication/#PubkeyAuthentication/' \ -e 's/入AuthorizedKeysFile/#AuthorizedKeysFile/' \ -e 's/入PasswordAuthentication/#PasswordAuthen

35、tication/' \ -e 's/入ChallengeResponseAuthentication/#ChallengeResponseAuthenticat ion/' \ -e 's/入PermitEmptyPasswords/#PermitEmptyPasswords/' \ -e 's/入U(xiǎn)sePAM/#UsePAM/' /etc/ssh/sshd_config > /etc/ssh/sshd_config.new if [ -f /etc/ssh/sshd_config.new ]; then cat << _EOF >> /etc/ssh/sshd_config.

36、new Port 18822 # 使用非常用的 ssh 服務(wù)端口，減低被掃描的可能性 Protocol 2 #要求使用較為新并且安全的版本2的ssh協(xié)議 PermitRootLogin no#不允許直接以root用戶登陸。需要以普通用戶登陸后再su PubkeyAuthentication yes # 打開(kāi) Public Key 認(rèn)證的支持 AuthorizedKeysFile .ssh/authorized_keys # 用戶默認(rèn) public key 的位 置。這里可以根據(jù)情況自行設(shè)置恰當(dāng)?shù)闹?，但每個(gè)用戶必須有獨(dú)立的key文件。共享帳號(hào) 是錯(cuò)誤的。 PasswordAuthent

37、ication no # 建議禁止使用 Password 的認(rèn)證方式登陸 PermitEmptyPasswords no # 不允許使用空密碼登陸 ChallengeResponseAuthentication no # 不允許使用 ChallengeResponse 方式的認(rèn)證。在 FreeBSD 下，打開(kāi) ChallengeResponse 會(huì)打開(kāi) PAM 認(rèn)證。并且， ChallengeResponse方式的認(rèn)證存在較多漏洞，容易受到DoS攻擊。 UsePAM no # 不允許使用 PAM 認(rèn)證。上文中提到 PAM 是一種配置較為復(fù)雜而且容 易因?yàn)榕渲檬д`而產(chǎn)生安全漏洞的機(jī)制，因此不

38、允許使用。 UseDNS no #禁止SSHD使用反向域名解析，判斷用戶登陸位置，容易收到DNS欺 騙攻擊而失效。同時(shí)，如果服務(wù)器域名解析出錯(cuò)，將會(huì)導(dǎo)致認(rèn)證超時(shí)而不能登陸服務(wù)器。所 以應(yīng)該關(guān)閉。 _EOF cp -f /etc/ssh/sshd_config.new /etc/ssh/sshd_config if [ $? ]; then echo “Fail to modify sshd_config. Please check!!” else echo “Finish modifing sshd_config.” else echo “Fail to modify sshd

39、_config. Please check!!” fi 重新啟動(dòng)OpenSSH進(jìn)程sshd，使配置文件生效。（可使用系統(tǒng)自帶的sshd腳本來(lái)重 啟，也可使用kill HUP 'head -1 /var/run/sshd.pid'進(jìn)程來(lái)重啟，以免當(dāng)前連 接中斷） 第二步 測(cè)試連接 用設(shè)置好的 SecureCRT 連接，將會(huì)出現(xiàn)如下登陸框，輸入保護(hù) PrivateKey 的密碼 即可。 在第一次連接服務(wù)器時(shí)，會(huì)彈出服務(wù)器主機(jī)Key （服務(wù)器的Public Key）對(duì)話框， 這時(shí)我們點(diǎn)擊接受并保存這個(gè)Public Key，如果在以后使用的過(guò)程中再次出現(xiàn)這樣的對(duì) 話框，表明服務(wù)器Publ

40、ic Key已經(jīng)被修改了，此時(shí)應(yīng)該向服務(wù)器管理員咨詢是否修改了 服務(wù)器Public Key,否則懷疑服務(wù)器受到攻擊。 4. 修改 Private Key 的保護(hù)口令（即 Passphrase） 當(dāng)Private Key文件或Private Key 口令(Passphrase)存在安全隱患時(shí)(如 被泄漏),應(yīng)該及時(shí)修改Private Key保護(hù)口令(Passphrase)，重新加密Private Key。 Unix 平臺(tái)： ssh-keygen -p [-P old_passphrase] [-N new_passphrase] [-f keyfile] Windows 平臺(tái)： 以S

41、ecureCRT為例 進(jìn)入Public Key屬性頁(yè)，選擇Change Passphrase，修改即可， 四? SSH其它 SSH提供了很多強(qiáng)大的安全功能，上面我們已經(jīng)描述了它的Key認(rèn)證功能，在SSH 家族里， 還有 scp（for SSH1.X）， sftp（for SSH2.X）， 密鑰轉(zhuǎn)發(fā)，端口轉(zhuǎn)發(fā)， X 轉(zhuǎn)發(fā)等等安全功能，其中scp和sftp是用SSH協(xié)議安全地傳輸文件（文件被加密壓縮傳 輸），密鑰轉(zhuǎn)發(fā)可以通過(guò)服務(wù)器連接服務(wù)器（類似于proxy），端口轉(zhuǎn)發(fā)是用SSH協(xié)議封裝 其它協(xié)議（如POP3 ）來(lái)進(jìn)行安全通信OOOOOO 這里簡(jiǎn)要介紹 scp 和 sftp 兩個(gè)常

42、用命令拷貝文件的使用方式： 用scp拷貝文件 SSH提供了一些命令和shell用來(lái)登錄遠(yuǎn)程服務(wù)器，在默認(rèn)情況下它不允許你拷貝文 件，但是還是提供了一個(gè)scp命令。 假定你想把本地計(jì)算機(jī)當(dāng)前目錄下的一個(gè)名為“ dumb ”的文件拷貝到遠(yuǎn)程服務(wù)器 上你的家目錄下。而且你在遠(yuǎn)程服務(wù)器上的帳號(hào)名為“somebody”?？?以用這個(gè)命令： scp dumb somebody@: 把文件拷貝回來(lái)用這個(gè)命令： scp somebody@:dumb . scp調(diào)用SSH進(jìn)行登錄，然后拷貝文件，最后調(diào)用SSH關(guān)閉這個(gè)連接。（scp假定你 在遠(yuǎn)程主機(jī)上的/home/somebody目錄為你的工作目錄。如果你使用相對(duì)目錄就要相對(duì)于 /home/somebody 目錄。） 用sftp拷貝文件 如果你習(xí)慣使用ftp的方式拷貝文件，可以試著用sftpO sftp建立用SSH加密的安 全的FTP連接通道，允許使用標(biāo)準(zhǔn)的ftp命令。 例如：sftp somebody@ 網(wǎng)易 HetEase w w w - *1 6 3 ■吐 om 五?參考文獻(xiàn) 《SSH權(quán)威指南》O'REILLY 中國(guó)電力出版社 網(wǎng)絡(luò)管理部 2006-4-19