系統(tǒng)管理工具包: 通過(guò) OpenSSH 設(shè)置 UNIX 遠(yuǎn)程訪

關(guān)于本系列

典型的 UNIX® 管理員擁有一套經(jīng)常用于輔助管理過(guò)程的關(guān)鍵實(shí)用工具、訣竅和系統(tǒng)。存在各種用于簡(jiǎn)化不同過(guò)程的關(guān)鍵實(shí)用工具、命令行鏈和腳本。其中一些工具來(lái)自于操作系統(tǒng)，而大部分的訣竅則來(lái)源于長(zhǎng)期的經(jīng)驗(yàn)積累和減輕系統(tǒng)管理員工作壓力的要求。本系列文章主要專注于最大限度地利用各種 UNIX 環(huán)境中可用的工具，包括簡(jiǎn)化異構(gòu)環(huán)境中的管理任務(wù)的方法。

為何使用 OpenSSH？

您每天使用的標(biāo)準(zhǔn)網(wǎng)絡(luò)服務(wù)（如 FTP、Telnet、RCP 和遠(yuǎn)程 Shell (rsh) 等）在封閉環(huán)境中運(yùn)行良好，但使用這些服務(wù)在網(wǎng)絡(luò)上傳輸?shù)男畔⑹俏醇用艿摹Ｈ魏稳硕伎梢栽谀木W(wǎng)絡(luò)或遠(yuǎn)程計(jì)算機(jī)上使用包嗅探器查看交換的信息，有時(shí)甚至可以查看密碼信息。

而且，使用所有此類服務(wù)時(shí)，在登錄過(guò)程中用于自動(dòng)登錄的選項(xiàng)會(huì)受到限制，并且通常依賴于將純文本密碼嵌入到命令行才能執(zhí)行語(yǔ)句，從而使登錄過(guò)程變得更加不安全。

開(kāi)發(fā)的安全 Shell (SSH) 協(xié)議可以排除這些限制。SSH 能夠?yàn)檎麄�(gè)通信通道提供加密，其中包括登錄和密碼憑據(jù)交換，它與公鑰和私鑰一起使用可以為登錄提供自動(dòng)化身份驗(yàn)證。您還可以將 SSH 用作基礎(chǔ)傳輸協(xié)議。以這種方式使用 SSH 意味著在打開(kāi)安全連接后，加密通道可以交換所有類型的信息，甚至 HTTP 和 SMTP 可以使用該方法來(lái)保證通信機(jī)制的安全。

OpenSSH 是 SSH 1 和 SSH 2 協(xié)議的免費(fèi)實(shí)現(xiàn)。它最初是作為 OpenBSD (Berkeley Software Distribution) 操作系統(tǒng)的一部分開(kāi)發(fā)的，現(xiàn)在被發(fā)布為 UNIX 或 Linux® 和類似操作系統(tǒng)的常規(guī)解決方案。

安裝 OpenSSH

OpenSSH 是免費(fèi)軟件，可以從 OpenSSH 的主要網(wǎng)站下載（請(qǐng)參見(jiàn)參考資料）�？梢允褂枚喾N系統(tǒng)（包括 Linux、HP-UX、AIX®、Solaris、Mac OS X 等）上的源代碼構(gòu)建 OpenSSH 系統(tǒng)。通�？梢哉业剿x平臺(tái)和版本的預(yù)編譯二進(jìn)制代碼。有些供應(yīng)商甚至作為操作系統(tǒng)的一部分提供 OpenSSH 工具包。

要構(gòu)建OpenSSH，您需要以下內(nèi)容：

C 編譯器（GNU C 編譯器 (gcc) 或類似編譯器） 
Zlib – 壓縮庫(kù) 
OpenSSL – 安全套接字層 (SSL) 安全庫(kù) 
如果您需要使用缺省配置設(shè)置，請(qǐng)使用常規(guī)構(gòu)建序列，如下面的清單 1 所示。

清單 1. 使用常規(guī)構(gòu)建序列
$ ./configure
$ make
$ make install
 

這會(huì)將二進(jìn)制文件、庫(kù)文件和配置文件安裝到 /usr/local 目錄中，例如，二進(jìn)制文件安裝到 /usr/local/bin，配置文件安裝到 /usr/local/etc。如果希望將各種工具集成到主環(huán)境中，那么您可能需要指定設(shè)置基本目錄的 --prefix 選項(xiàng)和設(shè)置配置文件位置的 --sysconfdir 選項(xiàng)：

$ ./configure --prefix=/usr --sysconfidir=/etc/ssh
 

您可能指定的一些其他常規(guī)選項(xiàng)包括：

--with-tcp-wrappers——如果您希望與 TCP 包裝安全系統(tǒng)集成在一起，則此選項(xiàng)是必需的。 
--with-ssl-dir=DIR——此選項(xiàng)指定 OpenSSL 庫(kù)的位置。 
--with-pid-dir=DIR——此選項(xiàng)指定 PID 文件的位置，該文件為 sshd 守護(hù)進(jìn)程存儲(chǔ)進(jìn)程 ID。 
--with-xauth=DIR——此選項(xiàng)指定用于 X 身份驗(yàn)證的 xauth 命令的位置。 
完成配置后，使用 make 以正常方式構(gòu)建。

構(gòu)建和安裝過(guò)程完成后，您需要配置系統(tǒng)，先創(chuàng)建唯一標(biāo)識(shí)系統(tǒng)的 SSH 密鑰，然后啟用客戶機(jī)和主機(jī)之間的安全通信。您可以運(yùn)行：

$ make host-key
 

或者，您可以在命令行上手動(dòng)執(zhí)行各個(gè)步驟。您需要?jiǎng)?chuàng)建三個(gè)密鑰（每個(gè)密鑰對(duì)應(yīng)于一個(gè)主要加密算法：rsa1、rsa 和 dsa）。例如，清單 2 顯示了如何創(chuàng)建 rsa1 密鑰。

清單 2. 創(chuàng)建 rsa1 密鑰
$ ssh-keygen -t rsa1 -f /etc/ssh/ssh_host_key
Generating public/private rsa1 key pair.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /etc/ssh//ssh_host_key.
Your public key has been saved in /etc/ssh//ssh_host_key.pub.
The key fingerprint is:
43:aa:58:3c:d8:30:de:43:af:66:2a:b2:8d:02:08:86 root@remotehost
 

系統(tǒng)提示您輸入密碼。對(duì)于主機(jī)密鑰，您可能不需要密鑰密碼，所以您可以按 Return 使用空密碼。或者，您可以在命令行上使用 -N 選項(xiàng)加速該過(guò)程（請(qǐng)參見(jiàn)清單 3）。

清單 3. 使用 -N 選項(xiàng)加速過(guò)程
$ ssh-keygen -t rsa1 -f /etc/ssh/ssh_host_key -N ""
Generating public/private rsa1 key pair.
Your identification has been saved in /etc/ssh/ssh_host_key.
Your public key has been saved in /etc/ssh/ssh_host_key.pub.
The key fingerprint is:
a3:e3:21:4f:b5:9f:ff:05:46:66:bc:36:a1:47:a0:64 root@remotehost
 

現(xiàn)在重復(fù)該過(guò)程，以創(chuàng)建 rsa 和 dsa 密鑰（請(qǐng)參見(jiàn)清單 4）。

清單 4. 創(chuàng)建 rsa 和 dsa 密鑰
$ ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key -N ""
$ ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key -N ""
 

這將為每個(gè)密鑰類型創(chuàng)建兩個(gè)文件：公鑰（在以 .pub 結(jié)尾的文件中）和私鑰。您應(yīng)確保私鑰僅由根和 SSH 流程讀取——這應(yīng)自動(dòng)配置。您可能需要將公鑰復(fù)制到網(wǎng)絡(luò)文件系統(tǒng) (NFS) 共享中的中央位置，使人們能夠?qū)⑵涮砑拥揭阎鳈C(jī)密鑰列表中。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]