1、LINUX遠(yuǎn)程管理工具SSH指南發(fā)布時間：2004年2月16日16時52分OpenSSHOpenSSH是SSH (Secure SHell)協(xié)議的免費開源實現(xiàn)。它用安全、加密的網(wǎng)絡(luò)連接工具 代替了 telnet、ftp、rlogin、rsh 和 rcp 工具。OpenSSH 支持 SSH 協(xié)議的版本 1.3、 1.5、和2。自從OpenSSH的版本2.9以來，默認(rèn)的協(xié)議是版本2,該協(xié)議默認(rèn)使用RSA鑰 匙。為什么使用SSH？使用OpenSSH工具將會增進(jìn)你的系統(tǒng)安全性。所有使用OpenSSH工具的通訊，包括口令， 都會被加密。telnet和ftp使用純文本口令，并被明文發(fā)送。這些信息可能會被截

2、取， 口令可能會被檢索，然后未經(jīng)授權(quán)的人員可能會使用截取的口令登錄進(jìn)你的系統(tǒng)而對你的系 統(tǒng)造成危害。你應(yīng)該盡可能地使用OpenSSH的工具集合來避免這些安全問題。另一個使用OpenSSH的原因是，它自動把DISPLAY變量轉(zhuǎn)發(fā)給客戶機器。換一句話說，如 果你在本地機器上運行X窗口系統(tǒng)，并且使用ssh命令登錄到了遠(yuǎn)程機器上，當(dāng)你在遠(yuǎn)程 機器上執(zhí)行一個需要X的程序時，它會顯示在你的本地機器上。如果你偏愛圖形化系統(tǒng)管 理工具，卻不能夠總是親身訪問該服務(wù)器，這就會為你的工作大開方便之門。配置OpenSSH服務(wù)器要運行OpenSSH服務(wù)器，你必須首先確定你安裝了正確的RPM軟件包openssh-serv

3、er軟 件包是必不可少的，并且它依賴于openssh軟件包的安裝與否。OpenSSH守護(hù)進(jìn)程使用/etc/ssh/sshd_config配置文件。Red Hat Linux 9安裝的默認(rèn)配 置文件在多數(shù)情況下應(yīng)該足以勝任。如果你想使用沒有被默認(rèn)的sshd_config文件提供的 方式來配置守護(hù)進(jìn)程，請閱讀sshd的說明書(man)頁來獲取能夠在配置文件中定義的關(guān) 鍵字列表。要啟動OpenSSH服務(wù)，使用/sbin/service sshd start命令。要停止OpenSSH服務(wù)器， 使用/sbin/service sshd stop命令。如果你想讓守護(hù)進(jìn)程在引導(dǎo)時自動啟動，請參閱相 關(guān)資料來

4、獲取關(guān)于如何管理服務(wù)的信息。如果你重新安裝了 Red Hat Linux系統(tǒng)，任何在它被重裝前使用OpenSSH工具連接到這個系統(tǒng)上的客戶在它被重裝后將會看到下列消息： WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!Someone could be eavesdropping on you right now (man-in-the-middle attack)!It is also possible that the RSA host

5、key has just been changed.重裝后的系統(tǒng)會為自己創(chuàng)建一組新的身份標(biāo)識鑰匙；因此客戶會看到RSA主機鑰匙改變的 警告。如果你想保存系統(tǒng)原有的主機鑰匙，備份/etc/ssh/ssh_host*key*文件，然后在系 統(tǒng)重裝后恢復(fù)它。該過程會保留系統(tǒng)的身份。當(dāng)客戶機在該系統(tǒng)重裝后試圖連接它，它們就 不會看到以上的警告信息。(還有一種解決方法見： HYPERLINK /forum/viewtopic.php?t=109562&start=0 /forum/viewtopic.php?t=109562&start=0)配置OpenSSH客戶要從客戶機連接到OpenSSH服務(wù)器上，

6、你必須在客戶機器上裝有openssh-clients和 openssh軟件包。使用ssh命令ssh命令是rlogin、rsh和telnet命令的安全替換。它允許你在遠(yuǎn)程機器上登錄并在其 上執(zhí)行命令。使用ssh來登錄到遠(yuǎn)程機器和使用telnet相似。要登錄到一個叫做 的遠(yuǎn)程機器，在shell提示下鍵入下面的命令： ssh 第一次使用ssh在遠(yuǎn)程機器上登錄時，你會看到和下面相仿的消息：The authenticity of host cant be established.DSA key fingerprint is 94:68:3a:3a:bc:f3:9a:9b:01:5d:b3:07:38:e

7、2:11:0c.Are you sure you want to continue connecting (yes/no)?鍵入yes來繼續(xù)。這會把該服務(wù)器添加到你的已知主機的列表中，如下面的消息所示：Warning: Permanently added (RSA) to the list of known hosts.下一步，你會看到向你詢問遠(yuǎn)程主機口令的提示。在輸入口令后，你就會在遠(yuǎn)程主機的shell 提示下了。如果你沒有指定用戶名，你在本地客戶機器上登錄用的用戶名就會被傳遞給遠(yuǎn)程 機器。如果你想指定不同的用戶名，使用下面的命令：ssh HYPERLINK mailto:username

8、username你還可以使用 ssh -l username 。ssh命令可以用來在遠(yuǎn)程機器上不經(jīng)shell提示登錄而執(zhí)行命令。它的語法格式是：ssh hostname command。譬如，如果你想在遠(yuǎn)程主機上執(zhí)行l(wèi)s /usr/share/doc命令，在shell提示下鍵入下面的命令：ssh ls /usr/share/doc在你輸入了正確的口令之后，/usr/share/doc這個遠(yuǎn)程目錄中的內(nèi)容就會被顯示，然后你 就會被返回到你的本地shell提示下。使用scp命令scp命令可以用來通過安全、加密的連接在機器間傳輸文件。它與rcp相似。把本地文件傳輸給遠(yuǎn)程系統(tǒng)的一般語法是：scp lo

9、calfile usernametohostname:/newfilenamelocalfile 指定源文件，usernametohostname:/newfilename 指定目標(biāo)文件。要把本地文件shadowman傳送到你在上的賬號內(nèi)，在shell提示 下鍵入(把username替換成你的用戶名)：scp shadowman username:/home/username這會把本地文件shadowman傳輸給上的/home/username/shadowman 文件。把遠(yuǎn)程文件傳輸給本地系統(tǒng)的一般語法是：scp usernametohostname:/remotefile /newloca

10、lfileremotefile指定源文件，newlocalfile指定目標(biāo)文件。源文件可以由多個文件組成。譬如，要把目錄/downloads的內(nèi)容傳輸?shù)竭h(yuǎn)程機器 上現(xiàn)存的uploads目錄，在shell提示下鍵入下列命令： scp /downloads/* username:/uploads/使用sftp命令sftp工具可以用來打開一次安全互動的FTP會話。它與ftp相似，只不過，它使用安全、 加密的連接。它的一般語法是：sftp username。一旦通過驗證，你可以使 用一組和使用FTP相似的命令。請參閱sftp的說明書頁（man）來獲取這些 命令的列表。 要閱讀說明書頁，在shell提示

11、下執(zhí)行man sftp命令。sftp工具只在OpenSSH版本 2.5.0p1以上才有。生成鑰匙對如果你不想每次使用ssh、scp或sftp時都要輸入口令來連接遠(yuǎn)程機器，你可以生成一對 授權(quán)鑰匙。鑰匙必須為每個用戶生成。要為某用戶生成鑰匙，用想連接到遠(yuǎn)程機器的用戶身份來遵循下 面的步驟。如果你用根用戶的身份完成了下列步驟，就只有根用戶才能使用這對鑰匙。從 OpenSSH 版本 3.0 開始，/.ssh/authorized_keys2、/.ssh/known_hosts2 和 /etc/ssh_known_hosts2 就會過時。SSH 協(xié)議 1 和 2 共享 /.ssh/authorized

12、_keys、 /.ssh/known_hosts 和 /etc/ssh/ssh_known_hosts 文件。Red Hat Linux 9默認(rèn)使用SSH協(xié)議2和RSA鑰匙。竅門如果你重裝了 Red Hat Linux，但是想保留現(xiàn)有的鑰匙對，備份你的主目錄中的.ssh目錄。 重裝后，把該目錄復(fù)制回主目錄。該進(jìn)程可為系統(tǒng)上的所有用戶進(jìn)行，包括根用戶。為版本2生成RSA鑰匙對使用下列步驟來為SSH協(xié)議的版本2生成RSA鑰匙對。從OpenSSH2.9開始，它已成為 默認(rèn)設(shè)置。要生成RSA鑰匙對與協(xié)議的版本2合作，在shell提示下鍵入下列命令： ssh-keygen -t rsa接受/.ssh/i

13、d_rsa的默認(rèn)位置。輸入一個與你的帳號口令不同的口令句，再輸入一次來 確認(rèn)。公鑰被寫入/.ssh/id_rsa.pub。密鑰被寫入/.ssh/id_rsa。決不能把密鑰出示給任何人。使用chmod 755 /.ssh命令改變你的.ssh目錄的許可權(quán)限。把/.ssh/id_rsa.pub的內(nèi)容復(fù)制到你想連接的機器上的/.ssh/authorized_keys 文件中。如果/.ssh/authorized_keys不存在，你可以把/.ssh/id_rsa.pub文件復(fù)制 到那個機器上的/.ssh/authorized_keys文件中。如果你運行的是GNOME，跳到第3.4.4節(jié)。如果你沒在運行X

14、窗口系統(tǒng)，跳到第3.4.5 節(jié)。為版本2生成DSA鑰匙對使用下面的步驟來為SSH協(xié)議的版本2生成DSA鑰匙對。要生成用于協(xié)議的版本2的DSA鑰匙對，在shell提示下鍵入下面的命令：ssh-keygen -t dsa接受/.ssh/id_dsa的默認(rèn)位置。輸入一個與你的帳號口令不同的口令句，再輸入一次來 確認(rèn)。竅門口令句是用來驗證用戶的一串詞匯和字符。口令句和一般口令的不同之處在于：在口令句 中你可以使用空格或制表符。口令句通常比一般口令長，因為它們通常使用短語而不僅僅用 一個詞。公鑰被寫入/.ssh/id_dsa.pub。密鑰被寫入/.ssh/id_dsa。決不能把密鑰出示給任何人， 這一點

15、很重要。使用chmod 755 /.ssh命令改變你的.ssh目錄的許可權(quán)限。把/.ssh/id_dsa.pub的內(nèi)容復(fù)制到你想連接的機器中的/.ssh/authorized_keys 文件中。如果文件/.ssh/authorized_keys不存在，你可以把/.ssh/id_dsa.pub文件 復(fù)制到那個機器上的/.ssh/authorized_keys文件中。如果你運行的是GNOME，跳到第3.4.4節(jié)。如果你沒在運行X窗口系統(tǒng)，跳到 第3.4.5 節(jié)。為版本1.3和1.5生成DSA鑰匙對使用下面的步驟來生成用于SSH協(xié)議版本1的RSA鑰匙對。如果你只在使用DSA的系統(tǒng) 間連接，則不需要R

16、SA版本1.3或RSA版本1.5鑰匙對。要生成RSA (版本1.3和1.5協(xié)議)鑰匙對，在shell提示下鍵入下列命令： ssh-keygen -t rsa1 接受默認(rèn)的位置(/.ssh/identity)。輸入和你的帳號口令不同的口令句。再輸入一次來 確認(rèn)。公鑰被寫入/.ssh/identity.pub。密鑰被寫入/.ssh/identity。不要把你的密鑰出示給 任何人。使用 chmod 755 /.ssh 和 chmod 644 /.ssh/identity.pub 命令改變你的.ssh 目錄 和密鑰的許可權(quán)限。把/.ssh/identity.pub的內(nèi)容復(fù)制到你想連接的機器中的/.ss

17、h/authorized_keys 文件中。如果文件/.ssh/authorized_keys不存在，你可以把/.ssh/identity.pub文 件復(fù)制到遠(yuǎn)程機器上的/.ssh/authorized_keys文件中。如果你運行的是GNOME，跳到第3.4.4節(jié)。如果你沒在運行GNOME，跳到第3.4.5節(jié)。在 GNOME 中配置 ssh-agentssh-agent工具可以用來保存你的口令句，因此你不必在每次引發(fā)ssh或scp連接時都輸 入口令。如果你在使用GNOME，openssh-askpass-gnome工具可以用來在你登錄到GNOME時 提示你輸入口令句，并把它一直保留到你從GNO

18、ME中注銷之時。你不必為本次GNOME會話 中任何ssh或scp連接輸入口令或口令句。如果你不打算使用GNOME，請參閱第3.4.5 節(jié)。要在GNOME會話中保存口令句，遵循下列步驟：你需要安裝openssh-askpass-gnome軟件包；你可以使用rpm -q openssh-askpass-gnome命令來判定該軟件包是否已被安裝。如果它沒有被安裝，從你的 Red Hat Linux光盤集合、Red Hat FTP鏡像站點、或使用Red Hat網(wǎng)絡(luò)來安裝它。 點擊主菜單（在面板上）= 首選項= 更多首選項= 會話。然后點 擊啟動程序標(biāo)簽。點擊增加，在啟動命令文本字段內(nèi)輸入/usr/bin/ssh-add。 把它的優(yōu)先級設(shè)為比任何現(xiàn)存命令都高的數(shù)字以確保它最后才執(zhí)行ossh-add的優(yōu)先級數(shù)字 最好是70或更高。優(yōu)先級數(shù)字越高，優(yōu)先級越低。如果你列出了其它程序，該程序的優(yōu)先 級應(yīng)該最低。點擊關(guān)閉來退出該程序。注銷后再登錄進(jìn)GNOME；換一句話說，重新啟動X服務(wù)器。在GNOME啟動后，一個提 示你輸入口令句的對話框就會出現(xiàn)。輸入要求的口令句。如果你把DSA和RSA兩者都配置 了，你會被提示兩者都輸入。從現(xiàn)在起，你就不會被ssh、scp或sftp提示輸入口令了。配置 ssh-agentssh-agent可以用來儲存你的口令句，因此你在每次使用ssh或scp