Martin Brown (mc@mcslp.com), 自由撰稿人, Consultant

使用 OpenSSH 為運(yùn)行遠(yuǎn)程終端提供安全環(huán)境。OpenSSH 和終端的基本用法非常簡(jiǎn)單，不過(guò)，本文還將介紹允許自動(dòng)登錄到遠(yuǎn)程主機(jī)的其他元素、運(yùn)行遠(yuǎn)程應(yīng)用程序的方法，以及如何在主機(jī)之間安全地復(fù)制文件。

src:http://www.ibm.com/developerworks/cn/aix/library/au-satopenssh.html?ca=dwcn-newsletter-aix

關(guān)于本系列

典型的 UNIX? 管理員擁有一套經(jīng)常用于輔助管理過(guò)程的關(guān)鍵實(shí)用工具、訣竅和系統(tǒng)。存在各種用于簡(jiǎn)化不同過(guò)程的關(guān)鍵實(shí)用工具、命令行鏈和腳本。其中一些工具來(lái)自于操作系統(tǒng)，而大部分的訣竅則來(lái)源于長(zhǎng)期的經(jīng)驗(yàn)積累和減輕系統(tǒng)管理員工作壓力的要求。本系列文章主要專(zhuān)注于最大限度地利用各種 UNIX 環(huán)境中可用的工具，包括簡(jiǎn)化異構(gòu)環(huán)境中的管理任務(wù)的方法。

回頁(yè)首

為何使用 OpenSSH？

您每天使用的標(biāo)準(zhǔn)網(wǎng)絡(luò)服務(wù)（如 FTP、Telnet、RCP 和遠(yuǎn)程 Shell (rsh) 等）在封閉環(huán)境中運(yùn)行良好，但使用這些服務(wù)在網(wǎng)絡(luò)上傳輸?shù)男畔⑹俏醇用艿摹Ｈ魏稳硕伎梢栽谀木W(wǎng)絡(luò)或遠(yuǎn)程計(jì)算機(jī)上使用包嗅探器查看交換的信息，有時(shí)甚至可以查看密碼信息。

而且，使用所有此類(lèi)服務(wù)時(shí)，在登錄過(guò)程中用于自動(dòng)登錄的選項(xiàng)會(huì)受到限制，并且通常依賴(lài)于將純文本密碼嵌入到命令行才能執(zhí)行語(yǔ)句，從而使登錄過(guò)程變得更加不安全。

開(kāi)發(fā)的安全 Shell (SSH) 協(xié)議可以排除這些限制。SSH 能夠?yàn)檎麄€(gè)通信通道提供加密，其中包括登錄和密碼憑據(jù)交換，它與公鑰和私鑰一起使用可以為登錄提供自動(dòng)化身份驗(yàn)證。您還可以將 SSH 用作基礎(chǔ)傳輸協(xié)議。以這種方式使用 SSH 意味著在打開(kāi)安全連接后，加密通道可以交換所有類(lèi)型的信息，甚至 HTTP 和 SMTP 可以使用該方法來(lái)保證通信機(jī)制的安全。

OpenSSH 是 SSH 1 和 SSH 2 協(xié)議的免費(fèi)實(shí)現(xiàn)。它最初是作為 OpenBSD (Berkeley Software Distribution) 操作系統(tǒng)的一部分開(kāi)發(fā)的，現(xiàn)在被發(fā)布為 UNIX 或 Linux? 和類(lèi)似操作系統(tǒng)的常規(guī)解決方案。

回頁(yè)首

安裝 OpenSSH

OpenSSH 是免費(fèi)軟件，可以從 OpenSSH 的主要網(wǎng)站下載（請(qǐng)參見(jiàn)參考資料）?？梢允褂枚喾N系統(tǒng)（包括 Linux、HP-UX、AIX?、Solaris、Mac OS X 等）上的源代碼構(gòu)建 OpenSSH 系統(tǒng)。通常可以找到所選平臺(tái)和版本的預(yù)編譯二進(jìn)制代碼。有些供應(yīng)商甚至作為操作系統(tǒng)的一部分提供 OpenSSH 工具包。

要構(gòu)建OpenSSH，您需要以下內(nèi)容：

• C 編譯器（GNU C 編譯器 (gcc) 或類(lèi)似編譯器）
• Zlib – 壓縮庫(kù)
• OpenSSL – 安全套接字層 (SSL) 安全庫(kù)

如果您需要使用缺省配置設(shè)置，請(qǐng)使用常規(guī)構(gòu)建序列，如下面的清單 1 所示。

$ ./configure
$ make
$ make install

這會(huì)將二進(jìn)制文件、庫(kù)文件和配置文件安裝到 /usr/local 目錄中，例如，二進(jìn)制文件安裝到 /usr/local/bin，配置文件安裝到 /usr/local/etc。如果希望將各種工具集成到主環(huán)境中，那么您可能需要指定設(shè)置基本目錄的 --prefix 選項(xiàng)和設(shè)置配置文件位置的 --sysconfdir 選項(xiàng)：

$ ./configure --prefix=/usr --sysconfidir=/etc/ssh

您可能指定的一些其他常規(guī)選項(xiàng)包括：

• --with-tcp-wrappers——如果您希望與 TCP 包裝安全系統(tǒng)集成在一起，則此選項(xiàng)是必需的。
• --with-ssl-dir=DIR——此選項(xiàng)指定 OpenSSL 庫(kù)的位置。
• --with-pid-dir=DIR——此選項(xiàng)指定 PID 文件的位置，該文件為 sshd 守護(hù)進(jìn)程存儲(chǔ)進(jìn)程 ID。
• --with-xauth=DIR——此選項(xiàng)指定用于 X 身份驗(yàn)證的 xauth 命令的位置。

完成配置后，使用 make 以正常方式構(gòu)建。

構(gòu)建和安裝過(guò)程完成后，您需要配置系統(tǒng)，先創(chuàng)建唯一標(biāo)識(shí)系統(tǒng)的 SSH 密鑰，然后啟用客戶(hù)機(jī)和主機(jī)之間的安全通信。您可以運(yùn)行：

$ make host-key

或者，您可以在命令行上手動(dòng)執(zhí)行各個(gè)步驟。您需要?jiǎng)?chuàng)建三個(gè)密鑰（每個(gè)密鑰對(duì)應(yīng)于一個(gè)主要加密算法：rsa1、rsa 和 dsa）。例如，清單 2 顯示了如何創(chuàng)建 rsa1 密鑰。

$ ssh-keygen -t rsa1 -f /etc/ssh/ssh_host_key
Generating public/private rsa1 key pair.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /etc/ssh//ssh_host_key.
Your public key has been saved in /etc/ssh//ssh_host_key.pub.
The key fingerprint is:
43:aa:58:3c:d8:30:de:43:af:66:2a:b2:8d:02:08:86 root@remotehost

系統(tǒng)提示您輸入密碼。對(duì)于主機(jī)密鑰，您可能不需要密鑰密碼，所以您可以按 Return 使用空密碼。或者，您可以在命令行上使用 -N 選項(xiàng)加速該過(guò)程（請(qǐng)參見(jiàn)清單 3）。

$ ssh-keygen -t rsa1 -f /etc/ssh/ssh_host_key -N ""
Generating public/private rsa1 key pair.
Your identification has been saved in /etc/ssh/ssh_host_key.
Your public key has been saved in /etc/ssh/ssh_host_key.pub.
The key fingerprint is:
a3:e3:21:4f:b5:9f:ff:05:46:66:bc:36:a1:47:a0:64 root@remotehost

現(xiàn)在重復(fù)該過(guò)程，以創(chuàng)建 rsa 和 dsa 密鑰（請(qǐng)參見(jiàn)清單 4）。

$ ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key -N ""
$ ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key -N ""

這將為每個(gè)密鑰類(lèi)型創(chuàng)建兩個(gè)文件：公鑰（在以 .pub 結(jié)尾的文件中）和私鑰。您應(yīng)確保私鑰僅由根和 SSH 流程讀取——這應(yīng)自動(dòng)配置。您可能需要將公鑰復(fù)制到網(wǎng)絡(luò)文件系統(tǒng) (NFS) 共享中的中央位置，使人們能夠?qū)⑵涮砑拥揭阎鳈C(jī)密鑰列表中。

最后，您需要啟動(dòng) sshd 過(guò)程，并對(duì)其進(jìn)行配置，以便在啟動(dòng)時(shí)執(zhí)行。對(duì)于 Linux 主機(jī)，您可以在 contrib/redhat/sshd.init 中找到合適的可以添加到 /etc/init.d 的 init 腳本。

回頁(yè)首

將 SSH 用于基本終端訪問(wèn)

OpenSSH 的主要角色是用作 SSH 工具，它是 Telnet 協(xié)議的安全替代方法，用于安全地遠(yuǎn)程登錄到 UNIX 或 Linux 主機(jī)。

要使用標(biāo)準(zhǔn) Shell 連接到遠(yuǎn)程主機(jī)，您只需鍵入主機(jī)名：

$ ssh remotehost

在缺省情況下，系統(tǒng)嘗試使用當(dāng)前用戶(hù)名作為登錄名稱(chēng)。要使用不同的登錄名稱(chēng)，請(qǐng)?jiān)谥鳈C(jī)名前加上該登錄名稱(chēng)，并使用 @ 符號(hào)分開(kāi)。例如：

$ ssh mc@remotehost

系統(tǒng)提示您輸入用戶(hù)密碼——這與 Telnet 相似。

您第一次連接到主機(jī)時(shí)，系統(tǒng)會(huì)詢(xún)問(wèn)您是否需要將遠(yuǎn)程主機(jī)公鑰的副本保存在“已知主機(jī)”文件中（請(qǐng)參見(jiàn)清單 5）。

$ ssh root@remotehost
The authenticity of host 'remotehost (10.211.55.3)' can't be established.
RSA key fingerprint is cc:c8:8b:75:3d:b6:00:2f:a9:9c:53:4c:03:0f:3d:1b.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'remotehost' (RSA) to the list of known hosts.

以后，您不會(huì)收到此警告，但是，當(dāng)系統(tǒng)檢測(cè)到遠(yuǎn)程主機(jī)返回的公鑰與該主機(jī)文件中的公鑰不符時(shí)就會(huì)發(fā)出警告，指示可能存在黑客攻擊。這還可能意味著管理員僅重新生成了主機(jī)密鑰。

從本質(zhì)上講，SSH 和 Telnet 會(huì)話(huà)之間沒(méi)有什么不同，只不過(guò) SSH 會(huì)話(huà)進(jìn)行了加密，任何人幾乎不可能探聽(tīng)到您的會(huì)話(huà)內(nèi)容，也不可能知道您的密碼或您正在執(zhí)行的命令和操作。

您還可以使用 SSH 直接在遠(yuǎn)程主機(jī)上運(yùn)行命令，而無(wú)需使用 Shell。例如，要在遠(yuǎn)程主機(jī)上運(yùn)行 who 命令，請(qǐng)參見(jiàn)清單 6。

$ ssh mc@remotehost who
admin    console  Nov 23 14:04 
mc       ttyp1    Dec  2 10:53 (sulaco.mcslp.pri)
mc       ttyp2    Dec 10 06:50 (sulaco.mcslp.pri)
admin    ttyp3    Dec 12 13:33 
mc       ttyp4    Dec 15 12:38 (nautilus.mcslp.p)

遠(yuǎn)程執(zhí)行還模擬客戶(hù)端主機(jī)的標(biāo)準(zhǔn)輸入、輸出和錯(cuò)誤。這意味著您可以將輸出重新定向到遠(yuǎn)程命令。例如，您可以直接將信息附加到遠(yuǎn)程文件，方法是通過(guò)管道將輸出從命令傳輸?shù)竭h(yuǎn)程主機(jī)上的 SSH（請(qǐng)參見(jiàn)清單 7）。

$ echo "Hello World" |ssh mc@remotehost 'cat >> helloworlds.txt'

在使用 SSH 簡(jiǎn)化登錄過(guò)程時(shí)，您可以使用此方法提高工作效率。

回頁(yè)首

使用 SFTP 交換文件

sft 命令是一種與 FTP 類(lèi)似的替代方法，它使用 SSH 協(xié)議提供的安全通信通道。

要打開(kāi) SFTP 連接，請(qǐng)?jiān)诿钚猩现付ㄖ鳈C(jī)名：

$ sftp remotehost

請(qǐng)記住，上面的命令假設(shè)您希望使用的登錄方式與當(dāng)前主機(jī)相同。要使用不同的登錄方式，請(qǐng)將在主機(jī)名前加上用戶(hù)名：

$ sftp mc@remotehost

盡管 SFTP 的工作方式與 FTP 類(lèi)似，但仍存在一些局限性和差異。例如，F(xiàn)TP 中的 dir 提供了一個(gè)長(zhǎng)文件列表（請(qǐng)參見(jiàn)清單 8）。

ftp> dir
502 'EPSV': command not understood.
227 Entering Passive Mode (192,168,0,110,150,159)
150 Opening ASCII mode data connection for directory listing.
total 1472
drwx------   3 mc        staff   102 Nov  4 11:17 Desktop
drwx------   3 mc        staff   102 Nov  4 11:17 Documents
drwx------  18 mc        staff   612 Nov  5 18:01 Library
drwx------   3 mc        staff   102 Nov  4 11:17 Movies
drwx------   3 mc        staff   102 Nov  4 11:17 Music
drwx------   4 mc        staff   136 Nov  4 11:17 Pictures
drwxr-xr-x   4 mc        staff   136 Nov  4 11:17 Public
drwxr-xr-x   6 mc        staff   204 Nov  4 11:17 Sites
drwxrwxrwx   3 root      staff   102 Dec 24 07:30 tmp
drwxr-xr-x   7 root      staff   238 Dec 11 08:39 trial
226 Transfer complete.

在 SFTP 中，dir 的作用相當(dāng)于主機(jī)目錄列表命令的別名，它在 UNIX 或 Linux 中為 ls。在缺省情況下，dir 僅提供一個(gè)簡(jiǎn)短列表（請(qǐng)參見(jiàn)清單 9）。

 
sftp> dir
Desktop    Documents  Library    Movies     Music      Pictures   Public     
Sites      tmp        trial

要獲得長(zhǎng)列表，請(qǐng)使用與 ls 相同的選項(xiàng)（請(qǐng)參見(jiàn)清單 10）。

sftp> dir -l
drwx------    3 mc       staff         102 Nov  4 11:17 Desktop
drwx------    3 mc       staff         102 Nov  4 11:17 Documents
drwx------   18 mc       staff         612 Nov  5 18:01 Library
drwx------    3 mc       staff         102 Nov  4 11:17 Movies
drwx------    3 mc       staff         102 Nov  4 11:17 Music
drwx------    4 mc       staff         136 Nov  4 11:17 Pictures
drwxr-xr-x    4 mc       staff         136 Nov  4 11:17 Public
drwxr-xr-x    6 mc       staff         204 Nov  4 11:17 Sites
drwxrwxrwx    3 root     staff         102 Dec 24 07:30 tmp
drwxr-xr-x    7 root     staff         238 Dec 11 08:39 trial

其他命令，如更改目錄（cd，本地為 lcd）、創(chuàng)建目錄（mkdir）以及發(fā)送（put）和接收（get）文件保持不變。后兩個(gè)命令 put 和 get 都接受通配符（類(lèi)似于 FTP 中的 mput 和 mget），但在 SFTP 中傳輸不帶通配符的多個(gè)文件時(shí)要小心。例如，sftp> mget file1 file2 file3 被識(shí)別為試圖獲取 file1 和 file2，并將它們放置在本地目錄 file3 中，但該目錄可能不存在。

回頁(yè)首

使用 scp 在主機(jī)之間復(fù)制文件

scp 命令的工作方式與 rc 命令相似，只不過(guò)是使用 SSH 協(xié)議傳輸文件。在傳輸內(nèi)容相關(guān)文件或在 Internet 上自動(dòng)交換文件時(shí)，選用 scp 要好得多。

其格式類(lèi)似于 rcp；您可以指定之間復(fù)制的文件路徑，必要時(shí)應(yīng)將主機(jī)名合并到該路徑。例如，要將 .bashrc 文件從遠(yuǎn)程主機(jī)復(fù)制到本地計(jì)算機(jī)，請(qǐng)使用：

$ scp remotehost:/users/mc/.bashrc ~/.bashrc

和前面一樣，若指定要使用的用戶(hù)名，請(qǐng)?jiān)谥鳈C(jī)前面加上用戶(hù)名，并用 @ 符號(hào)分開(kāi)：

$ scp mc@remotehost:/users/mc/.bashrc ~/.bashrc

假設(shè)您用于連接的用戶(hù)有讀取權(quán)限，還需要使用元字符 ~ 才能訪問(wèn)主目錄中的信息。

$ scp mc@remotehost:~mc/.bashrc ~/.bashrc

要從登錄用戶(hù)的主目錄中進(jìn)行復(fù)制，請(qǐng)使用：

$ scp mc@remotehost:.bashrc ~/.bashrc

scp 命令還支持標(biāo)準(zhǔn)擴(kuò)展規(guī)則。所以，要復(fù)制所有的 .bash* 文件，您可以使用：

$ scp mc@remotehost:.bash* ~

您甚至還可以通過(guò)使用展開(kāi)的大括號(hào) ({}) 更具體地選擇單個(gè)文件：

$ scp mc@remotehost:".bash{rc,_path,_aliases,_vars}" ~

請(qǐng)注意，文件路徑中展開(kāi)的大括號(hào)（不是完整的遠(yuǎn)程路徑表達(dá)式）已用雙引號(hào)括上。

在上面所有的示例中，系統(tǒng)都會(huì)提示您輸入遠(yuǎn)程主機(jī)的密碼。通過(guò)為主機(jī)提供您自己的個(gè)人密鑰的公共部分可以避免這種情況。

回頁(yè)首

使用公共密鑰啟用自動(dòng)登錄

當(dāng)您使用 ssh、sftp 或 scp 登錄到遠(yuǎn)程系統(tǒng)后，您仍需要使用密碼才能完成登錄過(guò)程。通過(guò)創(chuàng)建公鑰或私鑰，將密鑰的公共部分附加到 ~/.ssh/authorized_keys 文件，并與遠(yuǎn)程站點(diǎn)交換了有效密鑰后，您可以省去提供密碼的要求并允許自動(dòng)登錄。

要?jiǎng)?chuàng)建公鑰或私鑰，您需要使用 ssh-keygen 來(lái)指定密鑰加密的類(lèi)型。在演示中使用了 rsa 密鑰類(lèi)型，但是其他密鑰類(lèi)型也有效。要?jiǎng)?chuàng)建密鑰，請(qǐng)參見(jiàn)清單 11。

$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):

您應(yīng)輸入保存密鑰（公共和私有組件）的文件的位置。使用缺省值（在主目錄中的 .ssh 目錄中）一般就可以了（請(qǐng)參見(jiàn)清單 12）。

Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase):

如果您在此階段輸入了密碼，則會(huì)創(chuàng)建安全密鑰文件，但是在每次使用密鑰時(shí)，還必須輸入密碼。按 Return 意味著不需要任何密碼（請(qǐng)參見(jiàn)清單 13）。

Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
98:da:8d:48:a8:09:44:b1:b3:62:51:2d:a9:6b:61:ba root@remotehost

現(xiàn)在已創(chuàng)建了公鑰 (id_rsa.pub) 和對(duì)應(yīng)的私鑰 (id_rsa)。

要啟用自動(dòng)登錄，您必須將公鑰的內(nèi)容復(fù)制到遠(yuǎn)程主機(jī)上 ~/.ssh 目錄中的 authorized_keys 文件中。您可以使用 SSH 自動(dòng)完成此操作（請(qǐng)參見(jiàn)清單 14）。

$ cat ./.ssh/id_rsa.pub | ssh mc@remotehost 'cat >> .ssh/authorized_keys';

還有，如果在多個(gè)主機(jī)中經(jīng)常執(zhí)行此操作，則可以使用小腳本或 Shell 函數(shù)來(lái)執(zhí)行所有必需步驟，如清單 15 所示。

OLDDIR='pwd';
if [ -z "$1" ]; then
    echo Need user@host info;
    exit;
fi;
cd $HOME;
if [ -e "./.ssh/id_rsa.pub" ]; then
    cat ./.ssh/id_rsa.pub | ssh $1 'cat >> .ssh/authorized_keys';
else
    ssh-keygen -t rsa;
    cat ./.ssh/id_rsa.pub | ssh $1 'cat >> .ssh/authorized_keys';
fi;
cd $OLDDIR

您可以使用 setremotekey 腳本復(fù)制現(xiàn)有密鑰，如果密鑰不存在，可在復(fù)制之前創(chuàng)建一個(gè)：

$ setremotekey mc@remotehost

現(xiàn)在，每當(dāng)需要使用公鑰登錄到遠(yuǎn)程主機(jī)時(shí)，您可以結(jié)合使用個(gè)人密鑰腳本和遠(yuǎn)程主機(jī)上該用戶(hù)接受的密鑰列表。

回頁(yè)首

總結(jié)

OpenSSH 是一個(gè)重要工具，它可以保護(hù)計(jì)算機(jī)之間的通信和信息傳輸?shù)陌踩?。它不僅是常規(guī)工具（如 Telnet、FTP 和 RCP）的安全替代方法，而且還可以充當(dāng)其他服務(wù)（如 Subversion、X Windows System 和 rsync）的傳輸協(xié)議。本文向您介紹了啟動(dòng)和運(yùn)行 OpenSSH 所需的基本步驟，如何最有效地使用 OpenSSH 提供的主要工具，以及如何使用密鑰交換工具來(lái)簡(jiǎn)化登錄和連接性問(wèn)題。