由于很多局域網(wǎng)的規(guī)模較大，服務器會分散在不同的地理位置。因此，對于服務器的管理是一件很困難的事情。大多數(shù)網(wǎng)絡管理員都會采用遠程維護的手段，使用大家比較熟悉的Windows終端服務器、PCAnyWhere等工具，同時也有管理員采用Telnet服務進行服務器的遠程維護。但這些管理、維護的手段和方法真的完美無瑕、萬無一失嗎?

　　一、為何采用SSH

　　Windows終端服務器、PCAnyWhere這些基于GUI（圖形用戶接口）的遠程管理系統(tǒng)不但會占用大量的服務器資源，而且無法在GUI上完成一些復雜的維護操作，還要在“命令行模式”進行解決。因此，很多網(wǎng)絡管理員使用Telnet服務進行服務器的遠程維護。

　　但是Telnet服務有一個致命的弱點，它是以明文的方式傳輸用戶名和口令，所以很容易被別有用心的人竊取口令。另外，使用Windows 98客戶機遠程維護服務器時，無法通過Telnet服務器默認的“NTLM身份驗證”，由此可見，Telnet服務也是弊端多多。難道就沒有好的遠程維護方法嗎?當然有，目前有一種可代替Telnet服務的有效工具——SSH服務。

　　SSH（Secure Shell）服務分為兩部分：服務器端和客戶端。SSH客戶端與服務器端通訊時，用戶名和密碼均進行了加密，這就有效地防止了他人對密碼的盜取。而且通信中所傳送的數(shù)據(jù)包都是“非明碼”方式的。正因為SSH采用加密傳輸方式，即使數(shù)據(jù)被竊取，但對該數(shù)據(jù)解密也不是一件很容易的事，所以使用SSH服務遠程維護服務器是非常安全的。

　　二、安裝啟動SSH服務器

　　下面以Windows 2000 Server為例介紹SSH服務器的安裝，可在SSH服務器端使用“F-Secure SSH Server”軟件，它的安裝非常簡單，和一般軟件安裝沒什么區(qū)別。安裝完成后，需要啟動“SSH Server”服務，這一過程比較復雜，這里介紹三種啟動“SSH Server”的方法。

　　方法一：使用批處理文件

　　在服務器端安裝目錄下有兩個批處理文件“start-ssh.bat”和“stop-ssh.bat”。運行“start-ssh.bat”文件就可以啟動SSH服務，要停止該服務只要執(zhí)行“stop-ssh.bat”文件即可。

　　方法二：使用SSH服務配置程序

　　在安裝目錄下，運行“fsshconf.exe”程序，它雖是SSH服務器的配置程序，但也可以用來啟動和停止SSH服務。在彈出的“F-Secure SSH Server Configuration”窗口中，點擊左面列表框中的“Server Settings”后，在右邊的“Service status”欄中會顯示服務器狀態(tài)按鈕，如果服務器是停止狀態(tài)，則按鈕顯示為“Start service”(圖1)，點擊該按鈕就可啟動SSH服務，再次點擊可停止SSH服務。


圖1

　　方法三：使用NET命令

　　在服務器端的“命令提示符”窗口中，輸入“net start ″F-secure SSH Server″”命令，就可以啟動SSH服務，要停止該服務，輸入“net stop ″F-Secure SSH Server″”命令即可。其中“F-Secure SSH Server”為SSH服務器名，“net start”和“net stop”為Windows系統(tǒng)啟動和停止系統(tǒng)服務所使用的命令。

　　提示：啟動了SSH服務后，一定要關(guān)閉Telnet服務，這樣服務器就處在安全環(huán)境之中了，不用再怕數(shù)據(jù)被竊取。

　　三、合理設(shè)置SSH服務器參數(shù)

　　啟動SSH服務后，網(wǎng)絡管理員就可以遠程登錄服務器進行維護了。但是每個局域網(wǎng)使用SSH服務的需求是不同的，因此默認的服務參數(shù)未必能滿足需要，那么我們就可以自行設(shè)置這些參數(shù)。


　　1.基本參數(shù)設(shè)置

　　運行“fsshconf.exe”服務配置程序，在彈出的“F-Secure SSH Server Configuration”窗口左欄中，依次選擇“Server Settings→General”，然后在右邊的“General”框體中就可以對參數(shù)進行設(shè)置了(圖2)。


圖2

　　在“Maximum number of connections”欄中輸入合適的數(shù)值，對連接到SSH服務器的最大用戶數(shù)進行限制，在這里我們可根據(jù)需要進行設(shè)置，如輸入“50”，則只允許50個用戶同時連接SSH服務器。

　　“Event log filter”多選框用來定義系統(tǒng)日志記錄哪些信息，我們可采用默認設(shè)置，勾選“Errors”和“Warnings”兩項即可，建議大家不要勾選“Information”，否則會浪費系統(tǒng)資源。

　　“Idle timeout”是用戶遠程登錄的超時時間設(shè)置，默認為“0”，就是不進行登錄超時限制。

　　大家可能還記得FTP服務器的個性化的登錄信息，SSH服務器也一樣可以做到。首先編寫一個登錄信息文本文件保存在文件夾中，然后點擊“Banner message file”欄的瀏覽按鈕，指定已編寫好的文本文件即可，這樣用戶遠程登錄時就能看到這些個性化的信息了。最后，大家一定要記住點擊“Apply”按鈕保存參數(shù)設(shè)置。

)

　　2.網(wǎng)絡參數(shù)設(shè)置

　　在“F-Secure SSH Server Configuration”窗口左欄中點擊“Network”選項（圖3），SSH服務器默認使用的是“22”端口，當然也可以自定義端口號（注意， SSH服務器使用的端口號一定不能和服務器上別的程序的端口號沖突）。在“Port”欄中輸入想使用的端口號即可，其他的參數(shù)設(shè)置建議使用默認值。


圖3

　　點擊“Identity”選項（圖4），在右欄中，我們可以使服務器重新產(chǎn)生新的用戶加密密鑰和對外公開使用的公鑰，它們分別存放在安裝文件夾的“hostkey”和“hostkey.pub”文件中，點擊“Generate”按鈕就可以重新生成這兩個文件。


提示：SSH服務器產(chǎn)生一對密鑰和公鑰。客戶端使用公鑰對SSH服務器發(fā)送來的信息進行解密。當用戶第一次登錄SSH服務器時，服務器會將它的公鑰發(fā)送給客戶端，以便客戶機能對服務器發(fā)送的信息進行解密。


　　3.主機限制參數(shù)設(shè)置

　　點擊“Host Restrictions”選項，在右欄中就可以對遠程登錄的計算機進行限制設(shè)置。例如，不允許IP地址為“192.168.0.2”的客戶機遠程登錄 SSH服務器，在“Deny login from hosts”輸入框中輸入“192.168.0.2”，然后點擊“Apply”按鈕即可。

　　提示：SSH服務器還有很多參數(shù)就不詳細介紹了，大部分參數(shù)使用默認值即可。SSH服務器的參數(shù)保存在“sshd2_config”文件中，用戶也可以用記事本打開它，直接進行編輯，但這種方法比較麻煩，建議大家不要使用。

　　四、SSH客戶端軟件的使用

　　1.連接SSH服務器

　　客戶端使用“F-Secure SSH Client”程序，它的安裝也很簡單。安裝完成后，運行桌面上的客戶端程序，彈出“F-Secure SSH Client”主窗口，點擊工具欄中的“Connect”(連接)按鈕，彈出“Connect to Remote Host”對話框（圖5）。


圖5

　　首先，在“Host name or IP address”欄中輸入SSH服務器的地址，如輸入它的IP地址“218.22.123.26”。其次，在“User Name”欄中輸入SSH服務器的管理員賬號名，在“Port”欄中輸入SSH服務器使用的端口號。最后，點擊“Connect”按鈕即可連接SSH服務器。

　　此時，如果用戶是第一次遠程登錄SSH服務器，則會彈出“是否將SSH服務器公鑰保存在本地數(shù)據(jù)庫中”的提示框，點擊“是”按鈕，接著彈出“請輸入密碼”對話框，輸入管理員賬號、密碼后，點擊“OK”按鈕，就可以登錄到SSH服務器，對服務器進行遠程維護了。

　　提示：SSH客戶端也會產(chǎn)生用戶的加密密鑰和公鑰，客戶端在第一次登錄時，會將產(chǎn)生的公鑰復制到SSH服務器上的用戶目錄中，以便服務器能對客戶端發(fā)送的信息進行解密。用戶目錄在服務器上的存儲路徑為“C\Documents and Settings\用戶名\”（假設(shè)操作系統(tǒng)是安裝在C盤中）。


　　2.文件傳輸功能

　　SSH服務器不但提供了遠程登錄功能，還提供了文件傳輸功能。點擊“F-Secure SSH Client”主窗口的文件傳輸按鈕后，則可彈出文件傳輸窗口（圖6），以進行文件的傳輸。在“Local Folders”欄中選擇一個本地文件，然后將它拖到“Remote Folders”欄中的SSH服務器上用戶的主目錄中即可，在窗口底部的狀態(tài)欄中會顯示文件的傳輸狀態(tài)。


圖6

　　提示：客戶端連接SSH服務器時，SSH服務器提供兩種級別的安全驗證。第一種級別基于用戶賬號密碼的安全驗證，只要知道賬號和密碼就可以登錄到SSH 服務器；第二種級別基于密鑰的安全驗證，客戶端必須為自己創(chuàng)建一對密鑰，并把公用密鑰傳送到SSH服務器上，這樣就有效地保證了客戶端和服務器端數(shù)據(jù)的安全傳輸。

作者:zzti   更新日期:2005-10-06
來源:yesky.com   瀏覽次數(shù):

 

from: http://www./html/2005-10/568.html