《Win7下用SSH客户端工具连接CentOS54的SSH证书配置方法5669.docx》由会员分享,可在线阅读,更多相关《Win7下用SSH客户端工具连接CentOS54的SSH证书配置方法5669.docx(14页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Win77用SSHH客户端端工具连连接虚拟拟机CeentOOS5.4的SSH 证书配配置方法法1.什么么是sssh传统统的网络络服务程程序,如如:fttp、POPP和tellnett在本质质上都是是不安全全的,因因为它们们在网络络上用明明文传送送口令和和数据,别别有用心心的人非非常容易易就可以以截获这这些口令令和数据据。而且且,这些些服务程程序的安安全验证证方式也也是有其其弱点的的,就是是很容易易受到“中中间人”(man-in- the-middle)这种方式的攻击。所谓“中间人”的攻击方式,就是“中间人”冒充真正的服务器接收你传给服务器的数据,然后再冒充你把数据传给真正的服务器。服务器和你之
2、间的数据传送被“中间人”一转手做了手脚之后,就会出现很严重的问题。从前,一个名为TatuYlonen的芬兰程序员开发了一种网络协议和服务软件,称为SSH(Secure SHell的缩写)。通过使用SSH,你可以把所有传输的数据进行加密,这样“中间人”这种攻击方式就不可能实现了,而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,虽然许多人把Secure Shell仅当作Telnet的替代物,但你可以使用它来保护你的网络连接的安全。你可以通过本地或远程系统上的Secure Shell转发其他网络通信,如POP、X、PPP和FTP
3、。你还可以转发其他类型的网络通信,包括CVS和任意其他的TCP通信。另外,你可以使用带 TCP包装的Secure Shell,以加强连接的安全性。除此之外,Secure Shell还有一些其他的方便的功能,可用于诸如Oracle之类的应用,也可以将它用于远程备份和像SecurID卡一样的附加认证。2.ssh的工作机制SSH分为两部分:客户端部分和服务端部分。服务端是一个守护进程(demon),他在后台运行并响应来自客户端的连接请求。服务端一般是sshd进程,提供了对远程连接的处理,一般包括公共密钥认证、密钥交换、对称密钥加密和非安全连接。客户端包含ssh程序以及像scp(远程拷贝)、slogi
4、n(远程登陆)、sftp(安全文件传输)等其他的应用程序。他们的工作机制大致是本地的客户端发送一个连接请求到远程的服务端,服务端检查申请的包和IP地址再发送密钥给SSH的客户端,本地再将密钥发回给服务端,自此连接建立。SSH被设计成为工作于自己的基础之上而不利用超级服务器(inetd),虽然可以通过inetd上的tcpd来运行SSH进程,但是这完全没有必要。启动SSH服务器后,sshd运行起来并在默认的22端口进行监听(你可以用 # ps -waux | grepsshd来查看sshd是否已经被正确的运行了)如果不是通过inetd启动的SSH,那么SSH就将一直等待连接请求。当请求到来的时候S
5、SH守护进程会产生一个子进程,该子进程进行这次的连接处理。但是因为受版权和加密算法的限制,现在很多人都转而使用OpenSSH。OpenSSH是SSH的替代软件,而且是免费的,3.安装使用OpenSSHCentOS5.4中已经包括了OpenSSH,也可以从网络上下载并安装OpenSSH,它是完全免费的。在VirtualBox中的CentOS虚拟机上登录,图形方式则打开一个Terminal 命令终端(命令行方式则直接敲命令)。# cdd /.sssh执行以下下命令生生成密钥钥对:# sssh-kkeyggen -t rsaaGenneraatinng ppubllic/priivatte rrsa
6、 keyy paair.Entter fille iin wwhicch tto ssavee thhe kkey (/hhomee/yuu/.sssh/id_rsaa): /密钥钥将要保保存的目目录Ennterr paasspphraase (emmptyy foor nno ppasssphrrasee): /输输入远程程登录的的口令EEnteer ssamee paasspphraase agaain: Yoour ideentiificcatiion hass beeen savved in /hoome/yu/.sshh/id_rsaa. /生成的的私钥YYourr puubliic
7、 kkey hass beeen savved in /hoome/yu/.sshh/idd_rssa.ppub. /生成的的公钥TThe keyy fiingeerprrintt iss:511:3ee:d77:777:a44:222:d88:bbb:f22:d22:2ee:e66:5cc:e33:333:edd 其中中公共密密钥保存存在 /.sssh/id_rsaa.puub,私私有密钥钥保存在在 /.sssh/id_rsaa在输入口口令后可可能会提提示oppen /hoome/yu/.sshh/id_rsaa faaileed: No succh ffilee orr diireccto
8、rry.是因为相相应的目目录和文文件不存存在,去去这个目目录下检检查一下下,如果果没有,先先创建。我我是直接接在Xwwinddow模模式下创创建相应应目录和和一个iid_rrsa.pubb空文件件。#echho iid_rrsa.pubb auuthoorizzed_keyys/重命名名生成的的公钥,以以备SeecurreCRRT下载载使用#rm -rf iid_rrsa.pubb /删除原原始公钥钥文件#chmmod 7000 /hhomee/yuu/.sssh/修改目目录属性性#chmmod 6000 auuthoorizzed_keyys/修改公公钥文件件属性,只只允许rroott修改在
9、用SSSH SSecuure Sheell Cliientt登陆的的时候走走了一点点弯路,所所以回头头在CeentOOS里面面pinng了一一下IPP:注意:这这里的IIP是1922.1668.665.1130而进入wwin77下面的的虚拟IIP则是是1922.1668.665.11密钥在服服务端已已经生成成了,此此时回到到SeccureeCRTT,用paasswwordd方式登登录到服服务器上上,进入入/.sshh目录用SSHH Seecurre SShelll CClieent登登陆如下下:注意:第第一次登登陆,用用passswoord方方式,要要用CeentOOS里面面pinng出来来的
10、IPP即1922.1668.665.1130。用SeccureeCRTT登陆进进去后执执行如下下命令:#sziid_rrsa/发送送文件,SecureCRT中有默认的下载目录#szauthorized_keys将公私钥钥发送到到客户端端,此时时在SeecurreCRRT的dowwnlooad目目录下重重命名aauthhoriizedd_keeys为为id_rsaa.puub,只只要保证证两个文文件名一一致就行行。/这里里我们是是在使用用本机的的虚拟机机作为sservver端端,/在XP系统统下使用用CRTT登录虚虚拟主机机中的sservver,所所以才有有此步骤骤详细的的细节可可以参见见鸟哥的
11、的私房菜菜,chhaptter113,远远程联机机服务器器篇设置置好ipp地址,端端口号,此此时就可可以顺利利在SeecurreCRRT中使使用PuubliicKeey方式式远程登登陆上CCenttOS服服务器了了。居然提示示命令没没找到!算了,还还是用SSSH Seccuree Shhelll Clliennt吧。选择菜单单中“EEditt”- “SSetttingg”,在在打开的的窗口左左侧依次次选择“GGlobbal Setttinngs”-“UUserr Auutheentiicattionn”-“Keeys”;点击“GGeneeratte NNew”,在打开的窗口中点击“Next”,
12、选择 “RSA”和 “2048”,然后点击“Next”,稍等一会,会计算一个密钥。看到如下下图,参参照图片片中的内内容进行行填写,比比如在PPasssphrrasee中填写写一个密密码,这这个是保保护本地地私有密密钥的密密码,也也就是说说,即使使有人盗盗用了你你的计算算机,没没有这个个密码,也也仍然不不能使用用你的密密钥。注注意,这这个不是是服务器器上用户户密码。填写完毕毕后,点点击“下下一步”,密钥就生成完了,点击完成。选择刚才才生成的的密钥,点点击“UUplooad”,会弹出如下窗口:参考窗口中的内容填写,注意名称是自动出现的,不用管。第二项需要修改为 .ssh,第三项不用管。然后点“Up
13、load”,如下图所示:如果没有有提示错错误,那那么公钥钥就自动动被上传传到服务务器上去去了。接接着要做做一些手手工的操操作,在在命令行行界面里里,输入入如下命命令: (左脚脚注意前前面的$符号不不是命令令,只是是个提示示符)#cd .sssh/#ls -l会至少看看到你刚刚才生成成的 .pubb公钥文件和和一个 autthorrizaatioon 认认证配置置文件。如如果没有有你刚才才起的名名子的文文件,那那就有问问题,检检查上面面的过程程。接着做下下面的命命令,假假设我生生成的是是 mkeey.ppub#sshh-keeygeen -i -ff mkkey.pubb auuthoorizz
14、ed_keyys(关键就就是这句句命令)然后,删删除刚才才生成的的文件:#rm -rff mkeey.ppub#rm -rff auuthoorizzatiion#chmmod 4000 *#cd .#chmmod 7000 .sssh退出 SSSH 工具。重重新发起起一次链链接,参参照下图图进行选选择:注注意最后后一项“PP liic KKey”点击链接接,然后后会看到到下面的的提示:这个提示示就是要要你输入入刚才设设置的“PPasssphrrasee”密码码,输入入正确后后,就会会登录到到系统中中了。客户端配配置最后后一步,也也最重要要:本地会保保存你生生成的私私钥和公公钥,刚刚才所上上传
15、上去去的就是是公钥。每每次登录录,软件件都会自自动拿本本地的私私钥和远远端的公公钥做加加密运算,然然后才能能登录。所所以,我我们必须须保护我我们本地地的密钥钥文件,这这个就象象招商银银行网上上银行专专业版的的数字证证书一样样,丢了了就不能再次登登录了。密密钥文件件存放在在本地目目录:(如果是是WinnXP系系统,可可能是这这样的目目录)C:DDocuumennts andd SeettiingssupplinnuxApppliccatiion DattaSSSHUseerKeeys(如果是是Winn7系统统,我找找了半天天没找到到,只好好用笨方方法找了了,如下下图)把这个目目录里的的文件备备份出来来,压缩缩成带密密码的压压缩包,弄弄到手机机里或者者U盘里,以以备重做做系统后后可用。使用rooot用用户编辑辑/ettc/sssh/sshhd_cconffig文文件,将将PassswoordAAuthhentticaatioon yyes改改为PaasswworddAutthennticcatiion no,保存文文件并退退出,重新启动动sshhd服务务。至此之后后,服务务器不再再接受密密码认证证,客户户端必须须使用密密钥才能能正常登登录。不不过一定定要注意意密钥不不要搞丢丢了,不不然自已已也不能能远程登登录系统统了。