Linux系統中OpenSSH的安裝和配置之三

　　配置OpenSSH使其使用TCP-Wrappers inetd超級服務器 TCP-WRAPPERS用來啟動和停止sshd1服務。當inetd運行的時候，它會從配置文件（默認為“/etc/inetd.conf”）中讀入配置信息。在配置文件中每一行的不同項是用TAB或空格分開。 第一步 編輯“inetd.conf”文件（vi /etc/inetd.conf）並加入這一行： ssh stream tcp nowait root /usr/sbin/tcpd sshd –i 注意：“-i”參數很重要，它說明sshd是被inetd運行的。在加入這一行後，通過發送一個SIGHUP信號（killall –HUP inetd）來更新“inetd.conf”文件。 [root@deep /root]? killall -HUP inetd 第二步 編輯“hosts.allow”文件（vi /etc/hosts.allow）並加入這一行： sshd: 192.168.1.4 win.openarch.com 這一行表示IP地址為“192.168.1.4”，主機名為“win.openarch.com”的計算機允許用ssh訪問服務器。 下面這些“daemon”字符串（用於TCP-WRAPPERS）被sshd1使用： sshdfwd-X11 (允許/禁止X11轉發). sshdfwd-[port-number] (TCP轉發). sshdfwd-[port-name] (port-name在/etc/services中定義。用於TCP轉發). 注意：如果准備使用ssh，一定要用在所有的服務器上。如果十台安全的服務器和一台不安全的服務器配在一起，也談不上什麼安全性。 更多的資料 如果想查找詳細的資料可以用man命令查幫助頁，讀取相關信息： $ man ssh (1) - OpenSSH secure shell client (remote login program) $ man ssh [slogin] (1) - OpenSSH secure shell client (remote login program) $ man ssh-add (1) - adds identities for the authentication agent $ man ssh-agent (1) - authentication agent $ man ssh-keygen (1) - authentication key generation $ man sshd (8) - secure shell daemon SSH1每用戶配置 第一步 為本地服務器創建私有和公用密匙，執行下面的命令： [root@deep]# su username [username@deep]$ ssh-keygen1 舉個例子，顯示出來的結果可能是： Initializing random number generator... Generating p: ............................++ (distance 430) Generating q: ......................++ (distance 456) Computing the keys... Testing the keys... Key generation complete. Enter file in which to save the key (/home/username/.ssh/identity): 【按下回車鍵】 Enter passphrase: Enter the same passphrase again: Your identification has been saved in /home/username/.ssh/identity. Your public key is: 1024 37 14937757511251955533691120318477293862290049394715136511145806108870001764378494676831 29757784315853227236120610062314604405364871843677484233240919418480988907860997175244 46977589647127757030728779973708569993017043141563536333068888944038178461608592483844 590202154102756903055846534063365635584899765402181 [email protected] Your public key has been saved in /home/username/.ssh/identity.pub 注意：如果有多個帳號需要為每個帳號創建一個密匙。


你可能要為下面的服務器創建密匙： l Mail服務器 l Web服務器 l 網關服務器 這允許對這些服務器進行有限的訪問，例如，不允許用Mail服務器的帳號訪問Web服務器或網關服務器。這樣可以增加整體的安全性，即使因為某種原因有一個密匙被洩密了，也不會影響到其它的服務器。 第二步 把本機的公用密匙（identity.pub）拷貝到遠程主機的“/home/username/.ssh”目錄下，例如，使用“authorized_keys”這個名字。 注意：拷貝文件的一個方法使用FTP命令，另一個辦法是把公用密匙用email（包含“~/.ssh/identity.pub”文件的內容）發給系統管理員。 改變pass-phrase 用加上“-p”參數的“ssh-keygen”命令，在任何時候都可以改變pass-phrase。用下面的命令，改變pass-phrase： [root@deep]# su username [username@deep]$ ssh-keygen1 –p Enter file key is in (/home/username/.ssh/identity): [按下回車鍵] Enter old passphrase: Key has comment '[email protected]' Enter new passphrase: Enter the same passphrase again: Your identification has been saved with the new passphrase. OpenSSH用戶工具 下面列出的是一些我們經常要用到的命令，當然還有很多其它的命令，更詳細的信息可以查看man幫助頁或其它文檔。 ssh ssh（Secure Shell）是用來登錄遠程計算機和在遠程計算機上執行命令的程序。它是用來替代rlogin和rsh，以及在不安全的網絡環境下在兩台計算機之間提供安全和加密的信息交流。X11連接和TCP/IP端口可以被轉發到一個安全的通道裡。 用下面的命令，登錄遠程計算機： [root@deep]# ssh [login_name] [hostname] 例如： [root@deep]# ssh username www.openarch.com [email protected]'s passWord: Last login: Tue Oct 19 1999 18:13:00 -0400 from gate.openarch.com Welcome to www.openarch.com on Deepforest. [login_name]是用來登錄ssh服務器的用戶名，[hostname]是ssh服務器主機的地址。 scp 可以用這個命令把文件從本地計算機拷貝到遠程計算機，或者反之，甚至可以在兩台遠程計算機之間用“scp”命令拷貝文件。把遠程主機上的文件拷貝到當前目錄的一個簡單的方法如下。 用下面的命令把文件從遠程主機拷貝到本地主機上： [root@deep /]# su admin [admin@deep /]$ scp -p [login_name@hostname]:/dir/for/file localdir/to/filelocation 例如： [username@deep]$ scp -p username@mail:/etc/test1 /tmp Enter passphrase for RSA key '[email protected]': test1 2 KB 2.0 kB/s ETA: 00:00:00 100% 用下面的命令把文件從本地主機拷貝到遠程主機上： [root@deep /]# su admin [admin@deep /]$ scp -p localdir/to/filelocation [username@hostname]:/dir/for/file 例如： [username@deep]$ scp -p /usr/bin/test2 username@mail:/var/tmp username@mail's password: test2 7 KB 7.9 kB/s ETA: 00:00:00 100% 注意：“-p”選項表示文件的改變和訪問時間屬性以及權限，在拷貝過程中被保留。通常是需要這樣的。 安裝到系統中的文件 # /etc/ssh # /etc/ssh/ssh_config # /etc/ssh/sshd_config # /etc/ssh_host_key

# /etc/ssh_host_key.pub # /usr/bin/ssh # /usr/bin/slogin # /usr/man/man1/ssh.1 # /usr/man/man1/scp.1 # /usr/man/man1/ssh-add.1 # /usr/man/man1/ssh-agent.1 # /usr/man/man1/ssh-keygen.1 # /usr/bin/scp # /usr/bin/ssh-add # /usr/bin/ssh-agent # /usr/bin/ssh-keygen # /usr/man/man1/slogin.1 # /usr/man/man8/sshd.8 # /usr/sbin/sshd Windows平台上免費的SSH客戶軟件 Putty Putty的主頁：http://www.chiark.greenend.org.uk/~sgtatham/putty.Html Tera Term Pro and TTSSH Tera Term Pro的主頁：http://hp.vector.co.jp/authors/VA002416/teraterm.html TTSSH Homepage：http://www.zip.com.au/~roca/download.html 版權說明 這篇文章翻譯和改編自Gerhard Mourani的《Securing and Optimizing Linux: RedHat Edition》，原文及其版權協議請參考：http://www.openna.com/。 中文版的版權屬於作者brimmer

# /usr/man/man1/ssh.1 # /usr/man/man1/scp.1 # /usr/man/man1/ssh-add.1 # /usr/man/man1/ssh-agent.1 # /usr/man/man1/ssh-keygen.1 # /usr/bin/scp # /usr/bin/ssh-add # /usr/bin/ssh-agent # /usr/bin/ssh-keygen # /usr/man/man1/slogin.1 # /usr/man/man8/sshd.8 # /usr/sbin/sshd Windows平台上免費的SSH客戶軟件 Putty Putty的主頁：http://www.chiark.greenend.org.uk/~sgtatham/putty.html Tera Term Pro and TTSSH Tera Term Pro的主頁：http://hp.vector.co.jp/authors/VA002416/teraterm.html TTSSH Homepage：http://www.zip.com.au/~roca/download.html 版權說明 這篇文章翻譯和改編自Gerhard Mourani的《Securing and Optimizing Linux: RedHat Edition》，原文及其版權協議請參考：http://www.openna.com/。 中文版的版權屬於作者brimmer