Solaris 10 Openssh安装和配置
SSH(Secure Shell)最初由芬兰的一家公司开发,但由于受版权和加密算法的限制,很多人转而使用免费的替代软件OpenSSH。SSH是由客户端和服务端的软件组成的,有两个不兼容的版本,分别是:1.x和2.x。用SSH 2.x的客户程序是不能连接到SSH 1.x的服务程序上去的。OpenSSH 2.x同时支持SSH 1.x和2.x
solaris10使用的ssh服务器是opensshd,当然也有付费的商业版本的sshd。就目前的情况看来,openssh已经在你安装操作系统的时候默认安装在系统上了,而且这个服务会随系统自动运行。可以使用命令svcs查看ssh是否正常运行,如图2 如果已经正常运行可以关闭不安全的telnet服务。
图2 关闭不安全的telnet服务
下面需要理解OPENSSH配置文件/etc/ssh/sshd_config。
“/etc/ssh/sshd_config” 配置文件是OpenSSH的配置文件,允许设置选项改变这个守护进程的运行。这个文件的每一行包含“关键词-值”的匹配,其中“关键词”是忽略大小写的。下面列出来的是最重要的关键词。编辑“sshd_config”文件(vi /etc/ssh/sshd_config),加入或改变下面的参数(#后是说明文字):
Protocol 2 #使用版本2协议# Port 22 # “Port”设置sshd****的端口号。# ListenAddress :: #“ListenAddress”设置sshd服务器绑定的IP地址。# AllowTcpForwarding no #是否许可端口转发# GatewayPorts no #是否许可使用网关端口# X11Forwarding yes X11DisplayOffset 10 X11UseLocalhost yes #“X11Forwarding”设置是否允许X11转发。# PrintMotd no #“PrintMotd”设置sshd是否在用户登录的时候显示“/etc/motd”中的信息。# KeepAlive yes SyslogFacility auth LogLevel info #“LogLevel”设置记录sshd日志消息的层次。INFO是一个好的选择。查看sshd的man帮助页,已获取更多的信息。# HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key #“HostKey”设置包含计算机私人密匙的文件。# ServerKeyBits 768 #“ServerKeyBits”定义服务器密匙的位数。# KeyRegenerationInterval 3600 #“KeyRegenerationInterval”设置在多少秒之后自动重新生成服务器的密匙(如果使用密匙)。重新生成密匙是为了防止用盗用的密匙解密被截获的信息。# StrictModes yes # StrictModes”设置ssh在接收登录请求之前是否检查用户家目录和rhosts文件的权限和所有权。这通常是必要的,因为新手经常会把自己的目录和文件设成任何人都有写权限# LoginGraceTime 600 MaxAuthTries 6 MaxAuthTriesLog 3. PermitEmptyPasswords no #是否许可空密码登录# PasswordAuthentication yes #“PasswordAuthentication”设置是否允许口令验证。# PAMAuthenticationViaKBDInt yes PermitRootLogin no #是否许可root用户登录# # sftp subsystem Subsystem sftp /usr/lib/ssh/sftp-server IgnoreRhosts yes RhostsAuthentication no RhostsRSAAuthentication no #“RhostsAuthentication”设置只用rhosts或“/etc/hosts.equiv”进行安全验证是否已经足够。# RSAAuthentication yes #“RSAAuthentication”设置是否允许只有RSA安全验证。# |
另外一个配置文件是“/etc/ssh/ssh_config”文件是OpenSSH系统范围的配置文件,允许你通过设置不同的选项来改变客户端程序的运行方式下面逐行说明上面的选项设置:
Host * :选项“Host”只对能够匹配后面字串的计算机有效。“*”表示所有的计算机。 ForwardAgent no :“ForwardAgent”设置连接是否经过验证(如果存在)转发给远程计算机。 ForwardX11 no :“ForwardX11”设置X11连接是否被自动重定向到安全的通道和显示集(DISPLAY set)。 RhostsAuthentication no :“RhostsAuthentication”设置是否使用基于rhosts的安全验证。 RhostsRSAAuthentication no :“RhostsRSAAuthentication”设置是否使用用RSA算法的基于rhosts的安全验证。 RSAAuthentication yes :RSAAuthentication”设置是否使用RSA算法进行安全验证。 PasswordAuthentication yes :“PasswordAuthentication”设置是否使用口令验证。 FallBackToRsh no:“FallBackToRsh”设置如果用ssh连接出现错误是否自动使用rsh。 UseRsh no :“UseRsh”设置是否在这台计算机上使用“rlogin/rsh”。 BatchMode no :“BatchMode”如果设为“yes”,passphrase/password(交互式输入口令)的提示将被禁止。当不能交互式输入口令的时候,这个选项对脚本文件和批处理任务十分有用。 CheckHostIP yes :“CheckHostIP”设置ssh是否查看连接到服务器的主机的IP地址以防止DNS欺骗。建议设置为“yes”。 StrictHostKeyChecking no :“StrictHostKeyChecking”如果设置成“yes”,ssh就不会自动把计算机的密匙加入“$HOME/.ssh/known_hosts”文件,并且一旦计算机的密匙发生了变化,就拒绝连接。 IdentityFile ~/.ssh/identity :“IdentityFile”设置从哪个文件读取用户的RSA安全验证标识。 Port 22 :“Port”设置连接到远程主机的端口。 Cipher blowfish :“Cipher”设置加密用的密码。 EscapeChar ~ :“EscapeChar”设置escape字符。 |
你可以修改这两个配置文件以获得更好的安全性。
三、使用Windows客户端管理服务器
作为远程访问的那些机器,必须要有ssh客户端才可以连接到sshd服务器上。大部分情况下,我们的远程访问机器的系统都可能是windows环境,windows自己没有自带ssh客户端程序,这需要我们自己在windows上安装ssh客户端程序。有很多ssh客户端程序可供选择,笔者个人的偏好是WinSCP和putty,考虑到会经常从windows机器复制文件到solaris 10上或者下载文件,为方便操作起见,建议使用 WinSCP。
WinSCP是一个Windows环境下使用SSH的开源图形化SFTP客户端。同时支持SCP协议。它的主要功能就是在本地与远程计算机间安全的复制文件。这是一个中文版的介绍。使用WinSCP可以连接到一台提供SFTP (SSH File Transfer Protocol)或SCP (Secure Copy Protocol)服务的SSH (Secure Shell)服务器,通常是SOLARIS 10服务器。SFTP包含于SSH-2包中,SCP在SSH-1包中。两种协议都能运行在以后的SSH版本之上。WinSCP同时支持SSH-1和SSH-2。 WinSCP通过构建于ssl或ssh2安全认证的客户机/服务器系统进行传输,为vpn、wan、extranet开发管理人员提供最经济的解决方案。
1. 获得与安装WinSCP
中文版WinSCP的汉化工作已经基本结束。可到WinSCP下载页面下载最新版本,选择多语言安装包(下载链接)。在安装过程语言选择中文。你也可以选择安装英文版,到WinSCP下载页面下载安装包。然后到翻译页面选择下载简体中文插件,将ZIP包解压缩到WinSCP安装路径。具体情况请阅读完全指导。此软件还可以结合putty,以方便用户的远程登录。
2. 主要特性
· 图形用户界面 。
· 多语言支持包括中文、英文、西班牙文、德文、意大利文、法文、捷克文 。
· 与Windows完美集成(拖拽, URL, 快捷方式) 。
· 支持所有常用文件操作 。
· 支持基于SSH-1、SSH-2的SFTP和SCP协议。
· 支持批处理脚本和命令行方式 。
· 多种半自动、自动的目录同步方式 。
· 内置文本编辑器 。
· 支持SSH密码、键盘交互、公钥和Kerberos(GSS) 验证 。
· 通过与Pageant(PuTTY Agent)集成支持各种类型公钥验证 。
· 提供Windows Explorer与Norton Commander界面 。
· 可选地存储会话信息 。
· 可将配置文件存于注册表,适合在移动介质上操作 。
3. WinSCP软件安装和使用
WinSCP软件安装过程中首先是语言选择(中文)然后设置WinSCP其他选项。然后一直按「下一步」直到完成。 WinSCP登录设置如图-3.。
图3 WinSCP登录设置
注意此时应当打开防火墙的相应端口。第一次使用WinSCP来连接远程服务器,WinSCP 会出现一询问对话框,问你是否要将远程服务器的公钥 ( 为了避免远程机器被仿冒,每台 SSH 服务器均有不同的公钥 ) 储存在本地计算机的登录文件中,若要继续联机,请按下“是”按钮,如图4。
图4 首次登录界面设定
如果你是第一次使用WinSCP,建议选择Windows Explorer界面,因为Windows用户比较熟悉这个界面。当然,如果你习惯Norton Commander风格,就选择Norton Commander界面,它注重于方便的键盘操作,你完全可以脱离鼠标,更快地进行操作。这两种可选界面都允许用户管理远程或本地的文件。笔者更加喜欢后者所以以后操作以Norton Commander界面为例。你可以在安装时选择喜欢的界面。也可以以后改变设置。 WinSCP可以执行所有基本的文件操作,例如下载和上传。同时允许为文件和目录重命名、改变属性、建立符号链接和快捷方式。如果要从Solaris 10服务器下载文件直接使用鼠标从远程窗口拖曳到windows桌面即可。然后在对话框选择“”即可。
图5 从Solaris 10服务器下载文件
上传文件到Solaris 10服务器也可以直接使用鼠标从windows目录拖曳到远程Solaris 10目录窗口即可。4. 在WinSCP中使用Solaris 10命令
虽然Solaris 10桌面应用发展很快,但是命令在Solaris 10中依然有很强的生命力。Solaris 10是一个命令行组成的操作系统,精髓在命令行,无论图形界面发展到什么水平这个原理是不会变的,Solaris 10命令有许多强大的功能:从简单的磁盘操作、文件存取、到进行复杂的多媒体图象和流媒体文件的制作。在WinSCP中使用Solaris 10命令方法如下使用鼠标点击“主菜单“-“命令”-“打开终端”命令执行界面如图6。
图6在WinSCP中使用Solaris 10命令
WINSCP常用快捷键:
F2 重新命名文件或者目录;
F4 编辑文件;
F5 复制 文件或者目录;
F6 移动文件或者目录;
F7 创建目录 ;
F8 删除文件或者目录
F9 查看文件属性;
F10 强行退出WINSCP;
F1打开在线线帮助文档:http://winscp.net/eng/docs/
另外WinSCP可以自动调用putty软件执行Solaris 10的绝大多数命令。方法如下使用鼠标点击“主菜单“-“命令”-“在Putty中打开”命令执行界面如图-11 。
图7 WinSCP自动调用putty
5.使用putty
Windows环境下的putty工具目前使用得相当普遍,可以从网上免费下载(下载地址)。目前网上的最新版本为: putty 0.58,对该版本进行安装后,Putty是一个免费的Windows 32平台下的telnet、rlogin和ssh客户端,但是功能丝毫不逊色于商业的类工具。用它来远程管理unix十分好用,其主要优点如下:
· 完全免费;
· 在Windows 9x/NT/2000/XP/2003下运行的都非常好;
· 全面支持ssh1和ssh2;
· 绿色软件,无需安装,下载后在桌面建个快捷方式即可使用;
· 操作简单,所有的操作都在一个控制面板中实现。
(1)应用入门
以 windows 2003为例,其他 windows 操作系统依此类推。
启动 putty,屏幕上将弹出图8所示窗口
图8 putty配置窗口
在“Host Name (or IP address)”栏中填入OPENSSH的IP地址或者域名,选择SSH方式登录确保22端口点击右下角的“Open”即可。见图9 。
图9 putty登录配置窗口
6.首次登录界面设定
第一次使用 PuTTY 来连接远程服务器, PuTTY 会出现一询问对话框,问你是否要将远程服务器的公钥 ( 为了避免远程机器被仿冒,每台 SSH 服务器均有不同的公钥 ) 储存在本地计算机的登录文件中,若要继续联机,请按下“是”按钮,见图10。
图10 首次登录界面设定
登录过程界面截图见图11 。
图11 登录过程截图
说明:首先输入使用者名称 (若输入错误,无法更改,请重新开启 PuTTY会话) 然后输入密码即可完成连接。
7、其他软件包
PUTTY实际包括一组软件共6个。其中使用最多的是putty.exe ,现在就开始介绍 PuTTY 所提供的其它各项软件及其功能。
PSCP :提供 SCP client 的功能(安全加密的网络档案拷贝,使用命令提示列)。
PSFTP :提供 PSFTP client 的功能。
PuTTYtel :PuTTYtel 软件是 PuTTY 的简化版本,它仅少了 SSH 联机功能,其它的功能以及操作接口都与 PuTTY 相同,
Plink :提供 SSH client ,使用命令提示列。
Pageant :SSH 认证通行码的程序。
PuTTYgen :提供 产生RSA金钥的工具。