linux下ssh使用详解-sjhf-ChinaUnix博客

LINUX系统维护与管理data.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

sjhf

博客访问： 10725059
博文数量： 2905
博客积分： 20098
博客等级：上将
技术积分： 36298
用户组：普通用户
注册时间： 2009-03-23 05:00

文章分类

全部博文（2905）

其他类别（0）
其他（0）
linux（2900）

linux未整理14（77）

linux未整理13（89）

linux未整理12（88）

linux未整理11（81）

linux未整理10（76）

linux未整理9（89）

linux未整理8（84）

linux未整理7（78）

linux未整理6（77）

linux未整理5（85）

linux未整理4（78）

linux未整理3（67）

linux未整理2（73）

linux未整理1（74）

linux未整理（40）

linux基本设置（37）

LINUX源代码（5）

大话LINUX（2）

LINUX心得体会（8）

linux TELNET（5）

linux内核（34）

linux文件磁盘管（109）

linux系统安装（19）

linux认证/考试（40）

linux LDAP（5）

linux权限管理（20）

linux进程管理（21）

linux防火墙（26）

LINUX与WINDOWS（85）

linux APACHE配置（38）

LINUX设备/驱动（41）

linux GRUB（12）

linux安全管理（143）

linux虚拟化（30）

linux DNS（33）

linux网络配置（83）

linux MYSQL管理（38）

linux Oracle管理（28）

linux数据库管理（2）

linux问与答（69）

linux基础入门（128）

linux SHELL（37）

linux NIS（6）

linux DHCP（23）

linux WEB（75）

linux NFS（10）

linux FTP（39）

linux SAMBA（35）

linux SSH（23）

LINUX服务配置（5）

LINUX命令使用（174）
未分配的博文（5）

文章存档

2012年（1）

2011年（3）

2009年（2901）

我的朋友

相关博文

linux下ssh使用详解

分类： LINUX

2009-03-23 11:22:41

这篇文章的中心是介绍在ssh软件包中非常有用的程序如：sftp，scp，ssh-agent，和ssh-add。
在下文中我们假设sshd2守护进程很好地被设置并且运行良好。

Sftp和scp总览

让我们把注意力集中到sftp和scp上。
第一个（sftp安全文件传输）是一个类ftp的客户端程序，它能够被用来在网络中传输文件。
它并不使用FTP守护进程（ftpd或wu-ftpd）来进行连接，而是有意义地增强系统的安全性。
实际上，通过监视一些系统中的log文件，我们可以注意到最近一个月中有80%的攻击是针对于ftpd守护进程的。
sftp避免了这些攻击从而可以停止在wu-ftpd上潜在的危险。
第二个（scp安全性复制）被用来在网络上安全地复制文件。它替代了不安全的rcp命令。
Sftp和scp从连接到sshd服务器上后，不需要任何专用的守护进程。为了使用sftp和scp你必须插入以下两行在配置文件/etc/ssh2/sshd2_config中：
subsystem-sftp sftp-server
在这些修改之后，你必须重新启动sshd.
然后你就可以使用sftp和scp连接到运行sshd的主机上了。

Sftp

Sftp使用在数据连接上使用ssh2，所以文件的传输是尽可能地安全。
使用sftp代替ftp两个主要的的原因是：
1、Password从不用明文传输，防止sniffer（嗅探器）的攻击。
2、数据在传输时被加密，使用刺探和修改连接非常困难。
而使用sftp2是非常简单的。让我们假设你使用了你的帐户：myname通过sftp连按上了主机host1。
可以使用命令：
sftp myname@host1
一些选项能够在命令行中被指定（详细情况请查看sftp manul）
当sftp2准备好了来接受连接时，它将显示一个状态提示符 sftp>。在sftp手册中有完整的用户可以使用的命令列表；其中有：
·quit:
从这个应用程序中退出。
·cd directory:
改变当前的远程工作目录。
·lcd directory:
改变当前的本地工作目录。
·ls [ -R ] [ -l ] [ file ... ]:
列出在远地服务器上的文件名。如果是目录，则列出目录的内容。当命令行中指定了-R，则递归地显示目录树。
（默认情况下，子目录并不被访问）。当命令行中指定了-l，文件与目录的权限，属主，大小和修改时间被列出。
当没有参数被指定，则.（当前目录）的内容被列出。普通情况下选项-R和-l是互相不兼容的。
·lls [ -R ] [ -l ] [ file ... ]:
与ls一样，但是是对于本地文件操作。
·get [file ...]:
从远程端传送指定的文件到本地端。目录内容被递归地复制。
·put [ file ... ]:
从本地端传送指定的文件到远地端。目录内容被递归地复制。
·mkdir dir (rmdir dir):
尝试建立或删除参数中指定的目录。
通配符对于ls,lls,get和put是支持的。格式在sshregex手册中有描述。
从sftp使用加密技术以来，一直有一个障碍：连接速度慢（以我的经验有2-3倍），但是这一点对于非常好的安全性来讲只能放在一边了。在一个测试中，在我们局域网上的Sniffer可以在一个小时中捉住ftp连接上的4个password.
sftp的使用可以从网络上传送文件并且除去这些安全问题。

Scp

Scp2（安全性复制）被用来从网络上安全地复制文件。它使用ssh2来进行数据传送：它使用的确认方式和提供的安全性与ssh2一样。
这可能是一种最简单的方法从远地机器上复制文件了。让我们假设你要使用你的帐户mmyname，复制在local_dir目录中的filename
文件到远地的主机host1上的remote_dir目录中。使用scp你可以输入：
scp local_dir/filename myname@host1:remote_dir
在这种方式下文件filename被复制成相同的名字。通配符可以使用（读一读sshregex手册）。命令行：
scp local_dir/* myname@host1:remote_dir
从目录local_dir复制所有文件到主机host1的目录remote_dir命令：
scp myname@host1:remote_dir/filename .
复制文件filename从host1的目录remote_dir到本地目录。
scp支持许多选项并且允许在两个远地系统之间复制文件：
scp myname@host1:remote_dir/filename myname@host2:another_dir
详情请查阅手册
显然，使用scp，你必须知道远程机器的确切目录，所以在实际上sftp经常被作为首选使用。

ssh 密钥管理

ssh软件包包含两个非常有用的程序来管理确认密钥，允许用户连接到一个远程系统而无须指定password。这些程序是ssh-agent和ssh-add。

ssh-agent

从 ssh-agent我们可以读到：“ssh-agent2是一个保持确认私有密钥的程序。ssh-agent2在X对话或login对话的开端被启动，并且所有的其它窗口或程序以ssh-agent2程序的子程序的形式被启动。程序在代理从另一个代理继承一个连接时被启动，并且，当登录到其它机器使用 ssh时，这个代理被自动地使用到公共密钥确认中。”
根据你使用xdm的与否，有两种不同的使用ssh-agent的方法。
如果使用xdm，你需要编辑 .xsession文件，在$HOME目录中。有两种可能的过程：
复制 .xsession到.xsession-stuff并且修改.xession：
exec ssh-agent ./.xsession-stuff
或者你需要编辑.xsession文件并且搜索每一行表达式包含"exec program"。修改成exec ssh-agent program。
然后退出并重新启动。ssh-agent将把X-session作为它的一个子进程启动，并且等待ssh密钥插入到它的数据库中。
如果xdm不被使用，那么ssh-agent的使用是非常简单的，因为你可以启动你的X使用以下命令：
ssh-agent startx
这样就可以运行ssh-agent了。

ssh-add

每当ssh-agent正常运行了，你可以在它的数据库中使用命令ssh-add加入新的身份信息。你只可以加入某些个祖先ssh-agent的子进程的身份信息，否则将会出错:
Failed to connect to authentication agent - agent not running?
使用ssh-add是非常简单的：从命令行输入：

ssh-add

ssh-add扫描文件$home/.ssh2/身份信息，它包含了私人的密钥。如果这个文件不存在，则设定一般情况下的私人信息文件（如：$HOME/.ssh2/id_dsa_1024_a）。
如果一个公共密钥文件需要一个暗号，ssh-add会询问这个暗号：
Adding identity: /home/matt/.ssh2/id_dsa_1024_a.pub
Need passphrase for /home/matt/.ssh2/id_dsa_1024_a (..)
Enter passphrase:
你可以从agent那儿获得所有的帐户身份通过命令ssh-add -l：
Listing identities.
The authorization agent has one key:
id_dsa_1024_a: 1024-bit dsa, (...)

结论和一些有用的链接

许多telnet,rlogin,ftp的用户可以没有认识到它们的password在网络传送过程中是没有被加密的，但是，使用一些安全的协议可以保证在不安全的网络上的传输安全。SSH，对于所有的传输都加了密，有效地防止了偷听，抢劫连接和其它网络攻击。
这些文章只是介绍ssh软件包的，可以在ssh,sshd和sftp的手册中找到更多有用的东西。你可以从 /products/ssh/得到ssh软件包，你可以从中得到更多的SSH的技术内容和加密技术。你也可以从得到openssh的SSH协议诉可执行文件。轻便版本在http: //你也可以从得到 SSH的FAQ。

阅读(2312) | 评论(0) | 转发(0) |

上一篇：开源的Linux QQ

下一篇：入门级学习：linux学习方向和方法浅谈

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6