|
SSH最初是由程序员Tatu Yloenen开发,包括SSH协议和服务软件,英文全称为Secure Shell(即安全外壳)。它实现了密钥交换协议及主机和客户端认证协议,在传送数据时把所有数据都加密传输,在接收方再进行解密,以防止网络窃听的发生。
SSH已经有了很多商品化版本,而且还有多种Unix/Linux系统平台上的免费版本。本文将主要以Linux操作系统为服务器(在其它的Unix或Unix的派生操作系统上的操作也一样),Windows操作系统为客户端,介绍免费的商业SSH版本的安装及其实现。其重点是Linux服务器的配置。 软件的获得和安装 软件的获得可从http://www.下载OpenSSH,当前最新版本为3.6.1,或者从http://www./ 下载针对Linux的非商业版本,当前最新版本为3.2,具体地址为: SSH服务器地址 http://www./support/downloads/secureshellserver/non-commercial.html SSH客户端地址 http://www./support/downloads/secureshellwks/non-commercial.html(这是一个For Windows的版本)。 不管是OpenSSh还是SSH Communications Security公司的SSH版本,在使用功能上基本一样,只是前者完全免费,而后者使用时要注意许可协议。从使用角度上可考虑,笔者认为后者更好用一些。本文着重介绍后者的安装和使用。 从SSH Communications Security公司下载的SSH服务器是源代码方式,文件名为ssh-3.2.3.tar.gz,必须对其进行编译和安装之后才能够使用。 我们假设软件的下载目录为root用户的宿主目录,即“/root”目录。解压缩完成后会生成一个“ssh-3.2.3”的源代码目录,然后切换到源代码代码目录,进行软件安装前的配置,编译和安装。 安装成功后,在“/etc/”目录下会增加一个“ssh2”目录,这个目录是用来存放SSH服务器的所有配置文件;在“/usr/local/”目录下会生成“ssh3.2.3”子目录,它是SSH程序文件和其它文件的存放位置。 基本配置和应用 默认安装,每次重新启动系统后都要重复上述操作才能启动SSH服务器。为了保证SSH服务器每次开机时自动启动,还要在“/etc/rc.d/rc.local”文件(此文件类似于DOS下的autoexec.bat文件令)的最后加入以下内容: #start ssh3.2 /usr/local/ssh2/sbin/sshd & 其中第一行为注释内容,第二行为启动SSH服务器并作为后台守护进程运行。 接下来要做的是配置SSH服务器,所有的配置都是通过修改“/etc/ssh2/sshd2_config”文件实现的。文件的默认配置已经能满足一般的要求。下面介绍几种比较常见的应用: 使超级用户root能够直接登录服务器 使用Telnet时root用户默认情况下不能直接从远程登录系统,一般要先以普通用户登录,然后,使用su切换到root身份,这也是出于安全性的考虑。由于SSH使用了加密方式传输数据,所以可以放心地直接使用root登录服务器,那么我们需要将sshd2_config文件中的 #PermitRootLogin yes 取消注释,然后,重新启动SSH服务器,即可通过SSH以root身份登录Linux服务器。当然,如果您要禁止超级用户登录的话,可将“yes”改为“no”即可。 允许或禁止某些用户或组用户使用SSH登录 要实现禁止用户或组使用SSH登录服务器,只需要修改sshd2_config文件中的以下几行内容: #AllowUsers sj.*,s[[]]*,s(jl|amza) #DenyUsers skuuppa,warezdude,31373 #DenyUsers don@untrusted\.org #AllowGroups staff,users #DenyGroups guest,anonymou 可以根据自己的实际需要,取消注释符“#”,加入实际的用户名或者组名,然后重新启动SSH服务器即可禁止(或允许)某些用户或者组使用SSH,具体操作这里不再详述。 使用SFTP代替FTP传输文件 FTP(文件传输协议)是一种使用非常广泛的在网络中传输文件的方式,但是,它也同样存在被网络窃听的危险,因为它也是以明文传送用户认证信息。其实在SSH软件包中,已经包含了一个叫作SFTP(Secure FTP)的安全文件传输子系统,SFTP本身没有单独的守护进程,它必须使用sshd守护进程(端口号默认是22)来完成相应的连接操作,所以从某种意义上来说,SFTP并不像一个服务器程序,而更像是一个客户端程序。SFTP同样是使用加密传输认证信息和传输的数据,所以,使用SFTP是非常安全的。但是,由于这种传输方式使用了加密/解密技术,所以传输效率比普通的FTP要低得多,如果您对网络安全性要求更高时,可以使用SFTP代替FTP。若要开启SFTP功能可以修改sshd2_config文件的下列内容: # subsystem-sftp sftp-server 去掉行首的“#”,然后重新启动SSH服务器,这样在进行SSH连接时就可以同时使用SFTP传输文件。 关于客户端设置 以上是对服务器的设置,其实在SSH服务器中已经包含了一些客户端工具(如SSH,SFTP工具)。但是,更多的客户端用户使用Windows系统,下面就对Windows上的客户端系统设置加以说明。 首先从上文给出的网址下载“SSHSecureShellClient-3.2.3.exe”文件并安装。安装完成后,在桌面上会产成两个快捷方式,一个是“SSH Secure Shell Client”,用于远程管理,另一个是“SSH Secure File Transfer Client”,用于和服务器进行文件传输。在工具栏中点击“quick connnect”,输入正确的主机名和用户名,然后在弹出的对话框中输入密码完成登录,即可开始执行命令或者传输文件。在使用SFTP时,默认只能显示用户的宿主目录的内容和非隐藏文件。但是,有时候您可能还要查看其它目录或者隐藏文件,这时只需要在菜单“eidt->;setting->;file transfer”的选项中选中“show root directory”和“show hidden file”两个选项即可。 使普通用户仅使用SFTP而没有使用Shell的权限 默认情况下管理员给系统添加的账号将同时具有SFTP和SSH的权限。让普通用户使用shell执行命令也是有很大的安全隐患的,如果能够禁止用户使用shell执行命令而仅使用SFTP传输文件,就能消除这种安全隐患,完全实现FTP的功能, 正如上文所述,SFTP没有单独的守护进程,只能借助于sshd守护进程,所以我们仍然需要使用SSH服务器,要保证sshd守护进程处于运行状态。具体实现方法如下: 首先,在编译安装时,编译中一定要有“--enable-static” 选项。安装成功后,在安装目录下的bin目录中执行下面的命令: [root@localhost bin]# ls -l ssh-dummy-shell* sftp-server2* 将看到下列输出内容: -rwxr-xr-x 1 root root 1350417 Apr 28 16:30 sftp-server2 -rwxr-xr-x 1 root root 3566890 Apr 28 16:30 sftp-server2.static -rwxr-xr-x 1 root root 72388 Apr 28 16:30 ssh-dummy-shell -rwxr-xr-x 1 root root 1813412 Apr 28 16:30 ssh-dummy-shell.static 其中带“static”后缀名,且比较大的两个文件就是加上“--enable-static”选项后生成的,后面我们将用到这里两个文件。 下面以添加普通账号test为例讲述具体操作步骤。 1.在“/home”目录(或者将要存放普通用户宿主目录的目录)下创建“bin”子目录,并将两个static文件复制到此目录下(复制后改名去掉static后缀),执行如下命令: [root@localhost bin]# cd /usr/local/ssh3.2/bin [root@localhost bin]#cp ssh-dummy-shell.static /home/bin/ssh-dummy-shell [root@localhost bin]# cp sftp-server2.static /home/bin/sftp-server [root@localhost bin]#chown -R root.root /home/bin [root@localhost bin]#chmod -R 755 /home/bin 2.添加一个组,使以后所有禁止使用shell的用户都属于这个组,这样便于管理更多的用户: [root@localhost bin]#groupadd template 3.在添加系统账号时使用如下命令: [root@localhost root]#useradd -s /bin/ssh-dummy-shell -g template test [root@localhost root]#passwd test [root@localhost root]#mkdir /home/test/bin [root@localhost root]#cd /home/test/bin [root@localhost bin]#ln /home/bin/ssh-dummy-shell ssh-dummy-shell [root@localhost bin]#ln /home/bin/sftp-server sftp-server [root@localhost bin]#chown -R root.root /home/test/bin [root@localhost bin]#chmod -R 755 /home/test/bin 3.用户添加成功后,还需要修改/etc/ssh2/sshd2_config文件,将下列内容: #ChRootGroups sftp,guest 改为: ChRootGroups sftp,guest,template 修改上面这行内容,主要是为了禁止普通用户查看系统的其它目录,把其权限限制在自己的主目录下。重新启动SSH服务器程序,在客户端使用SSH Secure File Transfer Client登录,即使选择显示根目录,普通用户也看不到其它的任何目录,而是把自己的主目录当作根目录。注意,这里使用的是按用户所属组限制,这样可以使包含在template组内的所有用户都可以实现此功能。若您只要限制个别用户的话,可以修改下面的内容: #ChRootUsers anonymous,ftp,guest 事实证明SSH是一种非常好的网络安全解决方案,但是,目前仍有很多管理员使用Telnet或FTP这种非常不安全的工具,希望尽快转移到SSH上来,以减少网络安全隐患。 1.要用ssh,不能用openssh. 2.它使用了chroot技术,要用useradd -s /bin/ssh-dummy-shell -g template test 不要想当然的是 useradd -s /home/bin/ssh-dummy-shell -g template test,因为它不可能到/home/bin下,只能用自己的/bin. 用上述方法,完全可以实现只让用户sftp,不能使用其它shell命令,并且限制在自己的home目录中.即类似于ftp的限制用户在自己的家目录中,只能ftp,不能使用其它命令. 但sftp是基于加密的ssh协议的,传送的是密文信息,所以远比ftp安全.但正是因为安全(有一个加密/解密的过程),所以效率上会比ftp慢一些. |
|
|
