LINUX遠(yuǎn)程管理工具SSH指南

第第頁LINUX遠(yuǎn)程管理工具SSH指南LINUX遠(yuǎn)程管理工具SSH指南

發(fā)表于：2023-06-23來源：：點(diǎn)擊數(shù)：標(biāo)簽：

OpenSSHOpenSSH是SSH（SecureSHell）協(xié)議的免費(fèi)開源實(shí)現(xiàn)。它用安全、加密的網(wǎng)絡(luò)連接工具代替了telnet、ftp、rlogin、rsh和rcp工具。OpenSSH支持SSH協(xié)議的版本1.3、1.5、和2。自從OpenSSH的版本2.9以來，默認(rèn)的協(xié)議是版本2，該協(xié)議

OpenSSH

OpenSSH是SSH（SecureSHell）協(xié)議的免費(fèi)開源實(shí)現(xiàn)。它用安全、加密的網(wǎng)絡(luò)連接工具代替了telnet、ftp、rlogin、rsh和rcp工具。OpenSSH支持SSH協(xié)議的版本1.3、1.5、和2。自從OpenSSH的版本2.9以來，默認(rèn)的協(xié)議是版本2，該協(xié)議默認(rèn)使用RSA鑰匙。

1.為什么使用SSH？

使用OpenSSH工具將會(huì)增進(jìn)你的系統(tǒng)安全性。所有使用OpenSSH工具的通訊，包括口令，都會(huì)被加密。telnet和ftp使用純文本口令，并被明文發(fā)送。這些信息可能會(huì)被截取，口令可能會(huì)被檢索，然后未經(jīng)授權(quán)的人員可能會(huì)使用截取的口令登錄進(jìn)你的系統(tǒng)而對(duì)你的系統(tǒng)造成危害。你應(yīng)該盡可能地使用OpenSSH的工具集合來避免這些安全問題。

另一個(gè)使用OpenSSH的原因是，它自動(dòng)把DISPLAY變量轉(zhuǎn)發(fā)給客戶機(jī)器。換一句話說，如果你在本地機(jī)器上運(yùn)行X窗口系統(tǒng)，并且使用ssh命令登錄到了遠(yuǎn)程機(jī)器上，當(dāng)你在遠(yuǎn)程機(jī)器上執(zhí)行一個(gè)需要X的程序時(shí)，它會(huì)顯示在你的本地機(jī)器上。如果你偏愛圖形化系統(tǒng)管理工具，卻不能夠總是親身訪問該服務(wù)器，這就會(huì)為你的工作大開方便之門。

2.配置OpenSSH服務(wù)器

要運(yùn)行OpenSSH服務(wù)器，你必須首先確定你安裝了正確的RPM軟件包。openssh-server軟件包是必不可少的，并且它依賴于openssh軟件包的安裝與否。

OpenSSH守護(hù)進(jìn)程使用/etc/ssh/sshd_config配置文件。RedHatLinux9安裝的默認(rèn)配置文件在多數(shù)情況下應(yīng)該足以勝任。如果你想使用沒有被默認(rèn)的sshd_config文件提供的方式來配置守護(hù)進(jìn)程，請(qǐng)閱讀sshd的說明書（man）頁來獲取能夠在配置文件中定義的關(guān)鍵字列表。

要啟動(dòng)OpenSSH服務(wù)，使用/sbin/servicesshdstart命令。要停止OpenSSH服務(wù)器，使用/sbin/servicesshdstop命令。如果你想讓守護(hù)進(jìn)程在引導(dǎo)時(shí)自動(dòng)啟動(dòng)，請(qǐng)參閱相關(guān)資料來獲取關(guān)于如何管理服務(wù)的信息。

如果你重新安裝了RedHatLinux系統(tǒng)，任何在它被重裝前使用OpenSSH工具連接到這個(gè)系統(tǒng)上的客戶在它被重裝后將會(huì)看到下列消息：

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

@WARNING:REMOTEHOSTIDENTIFICATIONHASCHANGED!@

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

ITISPOSSIBLETHATSOMEONEISDOINGSOMETHINGNASTY!

Someonecouldbeeavesdroppingonyourightnow(man-in-the-middleattack)!

ItisalsopossiblethattheRSAhostkeyhasjustbeenchanged.

重裝后的系統(tǒng)會(huì)為自己創(chuàng)建一組新的身份標(biāo)識(shí)鑰匙；因此客戶會(huì)看到RSA主機(jī)鑰匙改變的警告。如果你想保存系統(tǒng)原有的主機(jī)鑰匙，備份/etc/ssh/ssh_host*key*文件，然后在系統(tǒng)重裝后恢復(fù)它。該過程會(huì)保留系統(tǒng)的身份。當(dāng)客戶機(jī)在該系統(tǒng)重裝后試圖連接它，它們就不會(huì)看到以上的警告信息。(還有一種解決方法見:/forum/viewtopic.php?t=109562start=0)

3.配置OpenSSH客戶

要從客戶機(jī)連接到OpenSSH服務(wù)器上，你必須在客戶機(jī)器上裝有openssh-clients和openssh軟件包。

3.1.使用ssh命令

ssh命令是rlogin、rsh和telnet命令的安全替換。它允許你在遠(yuǎn)程機(jī)器上登錄并在其上執(zhí)行命令。

使用ssh來登錄到遠(yuǎn)程機(jī)器和使用telnet相似。要登錄到一個(gè)叫做的遠(yuǎn)程機(jī)器，在shell提示下鍵入下面的命令：

ssh

第一次使用ssh在遠(yuǎn)程機(jī)器上登錄時(shí)，你會(huì)看到和下面相仿的消息：

Theauthenticityofhostcantbeestablished.

DSAkeyfingerprintis94:68:3a:3a:bc:f3:9a:9b:01:5d:b3:07:38:e2:11:0c.

Areyousureyouwanttocontinueconnecting(yes/no)?

鍵入yes來繼續(xù)。這會(huì)把該服務(wù)器添加到你的已知主機(jī)的列表中，如下面的消息所示：

Warning:Permanentlyadded(RSA)tothelistofknownhosts.

下一步，你會(huì)看到向你詢問遠(yuǎn)程主機(jī)口令的提示。在輸入口令后，你就會(huì)在遠(yuǎn)程主機(jī)的shell提示下了。如果你沒有指定用戶名，你在本地客戶機(jī)器上登錄用的用戶名就會(huì)被傳遞給遠(yuǎn)程機(jī)器。如果你想指定不同的用戶名，使用下面的命令：

sshusername@

你還可以使用ssh-lusername。

ssh命令可以用來在遠(yuǎn)程機(jī)器上不經(jīng)shell提示登錄而執(zhí)行命令。它的語法格式是：sshhostnamecommand。譬如，如果你想在遠(yuǎn)程主機(jī)上執(zhí)行l(wèi)s/usr/share/doc命令，在shell提示下鍵入下面的命令：

sshls/usr/share/doc

在你輸入了正確的口令之后，/usr/share/doc這個(gè)遠(yuǎn)程目錄中的內(nèi)容就會(huì)被顯示，然后你就會(huì)被返回到你的本地shell提示下。

3.2.使用scp命令

scp命令可以用來通過安全、加密的連接在機(jī)器間傳輸文件。它與rcp相似。

把本地文件傳輸給遠(yuǎn)程系統(tǒng)的一般語法是：

scplocalfileusername@tohostname:/newfilename

localfile指定源文件，username@tohostname:/newfilename指定目標(biāo)文件。

要把本地文件shadowman傳送到你在上的賬號(hào)內(nèi)，在shell提示下鍵入（把username替換成你的用戶名）：

scpshadowmanusername@:/home/username

這會(huì)把本地文件shadowman傳輸給上的/home/username/shadowman文件。

把遠(yuǎn)程文件傳輸給本地系統(tǒng)的一般語法是：

scpusername@tohostname:/remotefile/newlocalfile

remotefile指定源文件，newlocalfile指定目標(biāo)文件。

源文件可以由多個(gè)文件組成。譬如，要把目錄/downloads的內(nèi)容傳輸?shù)竭h(yuǎn)程機(jī)器上現(xiàn)存的uploads目錄，在shell提示下鍵入下列命令：

scp/downloads/*username@:/uploads/

3.3.使用sftp命令

sftp工具可以用來打開一次安全互動(dòng)的FTP會(huì)話。它與ftp相似，只不過，它使用安全、加密的連接。它的一般語法是：sftpusername@。一旦通過驗(yàn)證，你可以使用一組和使用FTP相似的命令。請(qǐng)參閱sftp的說明書頁（man）來獲取這些命令的列表。要閱讀說明書頁，在shell提示下執(zhí)行mansftp命令。sftp工具只在OpenSSH版本2.5.0p1以上才有。

3.4.生成鑰匙對(duì)

如果你不想每次使用ssh、scp或sftp時(shí)都要輸入口令來連接遠(yuǎn)程機(jī)器，你可以生成一對(duì)授權(quán)鑰匙。

鑰匙必須為每個(gè)用戶生成。要為某用戶生成鑰匙，用想連接到遠(yuǎn)程機(jī)器的用戶身份來遵循下面的步驟。如果你用根用戶的身份完成了下列步驟，就只有根用戶才能使用這對(duì)鑰匙。

從OpenSSH版本3.0開始，~/.ssh/authorized_keys2、~/.ssh/known_hosts2和/etc/ssh_known_hosts2就會(huì)過時(shí)。SSH協(xié)議1和2共享~/.ssh/authorized_keys、~/.ssh/known_hosts和/etc/ssh/ssh_known_hosts文件。

RedHatLinux9默認(rèn)使用SSH協(xié)議2和RSA鑰匙。

竅門

如果你重裝了RedHatLinux，但是想保留現(xiàn)有的鑰匙對(duì)，備份你的主目錄中的.ssh目錄。重裝后，把該目錄復(fù)制回主目錄。該進(jìn)程可為系統(tǒng)上的所有用戶進(jìn)行，包括根用戶。

3.4.1.為版本2生成RSA鑰匙對(duì)

使用下列步驟來為SSH協(xié)議的版本2生成RSA鑰匙對(duì)。從OpenSSH2.9開始，它已成為默認(rèn)設(shè)置。

1.要生成RSA鑰匙對(duì)與協(xié)議的版本2合作，在shell提示下鍵入下列命令：

ssh-keygen-trsa

接受~/.ssh/id_rsa的默認(rèn)位置。輸入一個(gè)與你的帳號(hào)口令不同的口令句，再輸入一次來確認(rèn)。

公鑰被寫入~/.ssh/id_rsa.pub。密鑰被寫入~/.ssh/id_rsa。決不能把密鑰出示給任何人。

2.使用chmod755~/.ssh命令改變你的.ssh目錄的許可權(quán)限。

3.把~/.ssh/id_rsa.pub的內(nèi)容復(fù)制到你想連接的機(jī)器上的~/.ssh/authorized_keys文件中。如果~/.ssh/authorized_keys不存在，你可以把~/.ssh/id_rsa.pub文件復(fù)制到那個(gè)機(jī)器上的~/.ssh/authorized_keys文件中。

4.如果你運(yùn)行的是GNOME，跳到第3.4.4節(jié)。如果你沒在運(yùn)行X窗口系統(tǒng)，跳到第3.4.5節(jié)。

3.4.2.為版本2生成DSA鑰匙對(duì)

使用下面的步驟來為SSH協(xié)議的版本2生成DSA鑰匙對(duì)。

1.要生成用于協(xié)議的版本2的DSA鑰匙對(duì)，在shell提示下鍵入下面的命令：

ssh-keygen-tdsa

接受~/.ssh/id_dsa的默認(rèn)位置。輸入一個(gè)與你的帳號(hào)口令不同的口令句，再輸入一次來確認(rèn)。

竅門

口令句是用來驗(yàn)證用戶的一串詞匯和字符。口令句和一般口令的不同之處在于：在口令句中你可以使用空格或制表符。口令句通常比一般口令長，因?yàn)樗鼈兺ǔＪ褂枚陶Z而不僅僅用一個(gè)詞。

公鑰被寫入~/.ssh/id_dsa.pub。密鑰被寫入~/.ssh/id_dsa。決不能把密鑰出示給任何人，這一點(diǎn)很重要。

2.使用chmod755~/.ssh命令改變你的.ssh目錄的許可權(quán)限。

3.把~/.ssh/id_dsa.pub的內(nèi)容復(fù)制到你想連接的機(jī)器中的~/.ssh/authorized_keys文件中。如果文件~/.ssh/authorized_keys不存在，你可以把~/.ssh/id_dsa.pub文件復(fù)制到那個(gè)機(jī)器上的~/.ssh/authorized_keys文件中。

4.如果你運(yùn)行的是GNOME，跳到第3.4.4節(jié)。如果你沒在運(yùn)行X窗口系統(tǒng)，跳到第3.4.5節(jié)。

3.4.3.為版本1.3和1.5生成DSA鑰匙對(duì)

使用下面的步驟來生成用于SSH協(xié)議版本1的RSA鑰匙對(duì)。如果你只在使用DSA的系統(tǒng)間連接，則不需要RSA版本1.3或RSA版本1.5鑰匙對(duì)。

1.要生成RSA（版本1.3和1.5協(xié)議）鑰匙對(duì)，在shell提示下鍵入下列命令：

ssh-keygen-trsa1

接受默認(rèn)的位置（~/.ssh/identity）。輸入和你的帳號(hào)口令不同的口令句。再輸入一次來確認(rèn)。

公鑰被寫入~/.ssh/identity.pub。密鑰被寫入~/.ssh/identity。不要把你的密鑰出示給任何人。

2.使用chmod755~/.ssh和chmod644~/.ssh/identity.pub命令改變你的.ssh目錄和密鑰的許可權(quán)限。

3.把~/.ssh/identity.pub的內(nèi)容復(fù)制到你想連接的機(jī)器中的~/.ssh/authorized_keys文件中。如果文件~/.ssh/authorized_keys不存在，你可以把~/.ssh/identity.pub文件復(fù)制到遠(yuǎn)程機(jī)器上的~/.ssh/authorized_keys文件中。

4.如果你運(yùn)行的是GNOME，跳到第3.4.4節(jié)。如果你沒在運(yùn)行GNOME，跳到第3.4.5節(jié)。

3.4.4.在GNOME中配置ssh-agent

ssh-agent工具可以用來保存你的口令句，因此你不必在每次引發(fā)ssh或scp連接時(shí)都輸入口令。如果你在使用GNOME，openssh-askpass-gnome工具可以用來在你登錄到GNOME時(shí)提示你輸入口令句，并把它一直保留到你從GNOME中注銷之時(shí)。你不必為本次GNOME會(huì)話中任何ssh或scp連接輸入口令或口令句。如果你不打算使用GNOME，請(qǐng)參閱第3.4.5節(jié)。

要在GNOME會(huì)話中保存口令句，遵循下列步驟：

1.你需要安裝openssh-askpass-gnome軟件包；你可以使用rpm-qopenssh-askpass-gnome命令來判定該軟件包是否已被安裝。如果它沒有被安裝，從你的RedHatLinux光盤集合、RedHatFTP鏡像站點(diǎn)、或使用RedHat網(wǎng)絡(luò)來安裝它。

2.點(diǎn)擊「主菜單」（在面板上）=「首選項(xiàng)」=「更多首選項(xiàng)」=「會(huì)話」。然后點(diǎn)擊「啟動(dòng)程序」標(biāo)簽。點(diǎn)擊「增加」，在「啟動(dòng)命令」文本字段內(nèi)輸入/usr/bin/ssh-add。把它的優(yōu)先級(jí)設(shè)為比任何現(xiàn)存命令都高的數(shù)字以確保它最后才執(zhí)行。ssh-add的優(yōu)先級(jí)數(shù)字最好是70或更高。優(yōu)先級(jí)數(shù)字越高，優(yōu)先級(jí)越低。如果你列出了其它程序，該程序的優(yōu)先級(jí)應(yīng)該最低。點(diǎn)擊「關(guān)閉」來退出該程序。

3.注銷后再登錄進(jìn)GNOME；換一句話說，重新啟動(dòng)X服務(wù)器。在GNOME啟動(dòng)后，一個(gè)提示你輸入口令句的對(duì)話框就會(huì)出現(xiàn)。輸入要求的口令句。如果你把DSA和RSA兩者都配置了，你會(huì)被提示兩者都輸入。從現(xiàn)在起，你就不會(huì)被ssh、scp或sftp提示輸入口令了。

3.4.5.配置ssh-agent

ssh-agent可以用來儲(chǔ)存你的口令句，因此你在每次使