1、Win7用SSH客戶端工具連接虛擬機CentOS5.4的SSH 證書配置方法1.什么是ssh傳統的網絡服務程序，如：ftp、POP和telnet在本質上都是不安全的，因為它們在網絡上用明文傳送口令和數據，別有用心的人非常容易就可以截獲這些口令和數據。而且，這些服務程序的安全驗證方式也是有其弱點的，就是很容易受到“中間人”（man-in- the-middle）這種方式的攻擊。所謂“中間人”的攻擊方式，就是“中間人”冒充真正的服務器接收你傳給服務器的數據，然后再冒充你把數據傳給真正的服務器。服務器和你之間的數據傳送被“中間人”一轉手做了手腳之后，就會出現很嚴重的問題。從前，一個名為TatuYlo

2、nen的芬蘭程序員開發了一種網絡協議和服務軟件，稱為SSH（Secure SHell的縮寫）。通過使用SSH，你可以把所有傳輸的數據進行加密，這樣“中間人”這種攻擊方式就不可能實現了，而且也能夠防止DNS和IP欺騙。還有一個額外的好處就是傳輸的數據是經過壓縮的，所以可以加快傳輸的速度。SSH有很多功能，雖然許多人把Secure Shell僅當作Telnet的替代物，但你可以使用它來保護你的網絡連接的安全。你可以通過本地或遠程系統上的Secure Shell轉發其他網絡通信，如POP、X、PPP和FTP。你還可以轉發其他類型的網絡通信，包括CVS和任意其他的TCP通信。另外，你可以使用帶 TCP

3、包裝的Secure Shell，以加強連接的安全性。除此之外，Secure Shell還有一些其他的方便的功能，可用于諸如Oracle之類的應用，也可以將它用于遠程備份和像SecurID卡一樣的附加認證。2.ssh的工作機制SSH分為兩部分：客戶端部分和服務端部分。服務端是一個守護進程(demon)，他在后臺運行并響應來自客戶端的連接請求。服務端一般是sshd進程，提供了對遠程連接的處理，一般包括公共密鑰認證、密鑰交換、對稱密鑰加密和非安全連接。客戶端包含ssh程序以及像scp（遠程拷貝）、slogin（遠程登陸）、sftp（安全文件傳輸）等其他的應用程序。他們的工作機制大致是本地的客戶端發送

4、一個連接請求到遠程的服務端，服務端檢查申請的包和IP地址再發送密鑰給SSH的客戶端，本地再將密鑰發回給服務端，自此連接建立。SSH被設計成為工作于自己的基礎之上而不利用超級服務器(inetd)，雖然可以通過inetd上的tcpd來運行SSH進程，但是這完全沒有必要。啟動SSH服務器后，sshd運行起來并在默認的22端口進行監聽（你可以用 # ps -waux | grepsshd來查看sshd是否已經被正確的運行了）如果不是通過inetd啟動的SSH，那么SSH就將一直等待連接請求。當請求到來的時候SSH守護進程會產生一個子進程，該子進程進行這次的連接處理。但是因為受版權和加密算法的限制，現在

5、很多人都轉而使用OpenSSH。OpenSSH是SSH的替代軟件，而且是免費的，3.安裝使用OpenSSHCentOS5.4中已經包括了OpenSSH，也可以從網絡上下載并安裝OpenSSH，它是完全免費的。在VirtualBox中的CentOS虛擬機上登錄，圖形方式則打開一個Terminal 命令終端（命令行方式則直接敲命令）。# cd /.ssh執行以下命令生成密鑰對：# ssh-keygen -t rsaGenerating public/private rsa key pair.Enter file in which to save the key (/home/yu/.ssh/id_

6、rsa): /密鑰將要保存的目錄Enter passphrase (empty for no passphrase): /輸入遠程登錄的口令Enter same passphrase again: Your identification has been saved in /home/yu/.ssh/id_rsa. /生成的私鑰Your public key has been saved in /home/yu/.ssh/id_rsa.pub. /生成的公鑰The key fingerprint is:51:3e:d7:77:a4:22:d8:bb:f2:d2:2e:e6:5c:e3:33:e

7、d 其中公共密鑰保存在 /.ssh/id_rsa.pub，私有密鑰保存在 /.ssh/id_rsa在輸入口令后可能會提示open /home/yu/.ssh/id_rsa failed: No such file or directory.是因為相應的目錄和文件不存在，去這個目錄下檢查一下，如果沒有，先創建。我是直接在Xwindow模式下創建相應目錄和一個id_rsa.pub空文件。#echo id_rsa.pub authorized_keys/重命名生成的公鑰，以備SecureCRT下載使用#rm -rf id_rsa.pub /刪除原始公鑰文件#chmod 700 /home/yu/.s

8、sh/修改目錄屬性#chmod 600 authorized_keys/修改公鑰文件屬性，只允許root修改在用SSH Secure Shell Client登陸的時候走了一點彎路，所以回頭在CentOS里面ping了一下IP：注意：這里的IP是30而進入win7下面的虛擬IP則是密鑰在服務端已經生成了，此時回到SecureCRT，用password方式登錄到服務器上，進入/.ssh目錄用SSH Secure Shell Client登陸如下：注意：第一次登陸，用password方式，要用CentOS里面ping出來的IP即30。用SecureCRT登陸進去后執行如下命令：#szid_rsa/

9、發送文件，SecureCRT中有默認的下載目錄#szauthorized_keys將公私鑰發送到客戶端，此時在SecureCRT的download目錄下重命名authorized_keys為id_rsa.pub,只要保證兩個文件名一致就行。/這里我們是在使用本機的虛擬機作為server端，/在XP系統下使用CRT登錄虛擬主機中的server，所以才有此步驟詳細的細節可以參見鳥哥的私房菜，chapter13，遠程聯機服務器篇設置好ip地址，端口號，此時就可以順利在SecureCRT中使用PublicKey方式遠程登陸上CentOS服務器了。居然提示命令沒找到！算了，還是用SSH Secure S

10、hell Client吧。選擇菜單中“Edit”- “Setting”，在打開的窗口左側依次選擇“Global Settings”-“User Authentication”-“Keys”;點擊“Generate New”，在打開的窗口中點擊“Next”,選擇 “RSA”和 “2048”，然后點擊“Next”，稍等一會，會計算一個密鑰?？吹饺缦聢D，參照圖片中的內容進行填寫，比如在Passphrase中填寫一個密碼，這個是保護本地私有密鑰的密碼，也就是說，即使有人盜用了你的計算機，沒有這個密碼，也仍然不能使用你的密鑰。注意，這個不是服務器上用戶密碼。填寫完畢后，點擊“下一步”，密鑰就生成完了，點

11、擊完成。選擇剛才生成的密鑰，點擊“Upload”，會彈出如下窗口：參考窗口中的內容填寫，注意名稱是自動出現的，不用管。第二項需要修改為 .ssh，第三項不用管。然后點“Upload”，如下圖所示：如果沒有提示錯誤，那么公鑰就自動被上傳到服務器上去了。接著要做一些手工的操作，在命令行界面里，輸入如下命令： (左腳注意前面的$符號不是命令，只是個提示符)#cd .ssh/#ls -l會至少看到你剛才生成的 .pub公鑰文件和一個 authorization 認證配置文件。如果沒有你剛才起的名子的文件，那就有問題，檢查上面的過程。接著做下面的命令，假設我生成的是 mkey.pub#ssh-keyge

12、n -i -f mkey.pub authorized_keys(關鍵就是這句命令)然后，刪除剛才生成的文件：#rm -rf mkey.pub#rm -rf authorization#chmod 400 *#cd .#chmod 700 .ssh退出 SSH 工具。重新發起一次鏈接，參照下圖進行選擇：注意最后一項“P lic Key”點擊鏈接，然后會看到下面的提示：這個提示就是要你輸入剛才設置的“Passphrase”密碼，輸入正確后，就會登錄到系統中了?？蛻舳伺渲米詈笠徊?，也最重要：本地會保存你生成的私鑰和公鑰，剛才所上傳上去的就是公鑰。每次登錄，軟件都會自動拿本地的私鑰和遠端的公鑰做加密運算，然后才能登錄。所以，我們必須保護我們本地的密鑰文件，這個就象招商銀行網上銀行專業版的數字證書一樣，丟了就不能再次登錄了。密鑰文件存放在本地目錄：（如果是WinXP系統，可能是這樣的目錄）C:Documents and SettingsuplinuxApplication DataSSHUserKeys（如果是Win7系統，我找了半天沒找到，只好用笨方法找了，如下圖）把這個目錄里的文件備份出來，壓縮