第九章 端口转发与X转发

使用SSH对其它应用程序在别的TCP端口上建立的TCP/IP传输进行加密和解密，这一过

程称为端口转发，其绝大多数操作都是透明的，功能非常强大。TELNET,SMTP,NNTP,IMAP

和一些基于TCP的不安全协议都可变得安全，只要将其连接通过SSH转发即可。端口转发

有时又叫做隧道传输。

例子：一个运行IMAP的服务器S，在家里的主机H上运行一个email程序，现在想用ssh

保护IMAP连接。

$ ssh -L2001:localhost:143 S

-L 表明是本地转发，，上面这命令可完成登录到S的功能，现在的这个SSH会话同时将H

的2001端口转发到S的143端口，在退出会话之前一直有效。并告知email程序使用被转

发的端口，通常邮件程序连接服务器的143端口，即套接字 （S，143）。现在要令其连接

本地主机H自已的2001端口，也就是套接字（localhost,2001）。创建本地转发时可以不用-L

选项，而在客户端配置文件中用LocalForward关键字。

LocalForward 2001 localhost:143 ssh1 openssh

LocalForward "2001:localhost:143" ssh2

-g 选项和GatewayPorts yes/no关键字可以配置除本地主机外的机器是否能使用本地的端口

转发功能。出于安全问题，该禁止这个功能。

远程转发端口与本地转发几乎完全相同，只是方向相反。此时服务器在本地，转发连接由远

程主机发起。假设你已登录进服务器S。则

$ ssh -R2001:localhost:143 H

-R代表远程转发。命令执行后，一条从远程主机H的2001端口到服务器S的143端口的安

全隧道就建立起来了。H上的任何程序都可以通过连接（localhost,2001）来使用此安全隧道。

而在客户端配置文件中用RemoteForward关键字.

RemoteForward 2001 S:143 ssh openssh

RemoteForward "2001:S:143" ssh2

$ ssh -o ClearAllForwardings=yes server.example.com 阻止第二条命令建立隧道

本地转发与远程转发

在本地转发中，应用程序客户端与监听端同SSH客户端在一起，应用程序服务器与连接端

同SSH服务器在一起。

在远程转发中，应用程序客户端与监听端同SSH服务器在一起，应用程序服务器与连接端

同SSH客户端在一起。

无远程登录的端口转发，连接时带-f参数。一次性转发用-fo，ssh1与openssh不支持这个功

能，但可用以下语句实现：

$ ssh -f -L2001:localhost:143 server sleep 10

终止

如果一个SSH会话现在还在活动当中，终止会出错。在SSH2中，如果退出有活动转发连

接的会话，该会话会依然打开，但会转到后台运行。直到转发连接终止。ssh1 and openssh

与此相反，如果要断开还在活动的会话，会出现警告，仍然在前台运行。

TIME_WAIT问题。在某些情况下，TCP连接断连时，其一端的套接字在很短一段时间内变

得不可用，所以在断连过程结束前不能把该端口用于TCP转发。

第十章 推荐配置

服务器范围配置

1、禁用其它访问方式。

关掉r-命令，方法如下：删除/etc/hosts.equiv文件，或改为只读空文件。禁用rshd,rlogind and

rexecd，通过修改inetd.conf文件。

2、/etc/sshd_config配置

HostKey /etc/ssh_host_key

PidFile /etc/sshd.pid

RandomSeed /etc/ssh_random_seed

StrictModes yes 要求用户保护其与SSH有关的文件及目录

Umask 0077 保证所有SSHD1创建是文件和目录都只能由其所有者（SSHD 运行的

UID）读取

port 22

ListenAddress 0.0.0.0

IdleTimeout 15m 15分钟空闲超时

KeepAlive yes 客户机死机时连接将会终止，而不会长期挂起。

LoginGraceTime 30 登录时成功认证的时限为30秒。

ServerKeyBits 768 服务器密钥长度

KeyRegenerationInterval 3600 服务器密钥一小时重新生成一次

PasswordAuthentication no 禁用密码认证

RhostsAuthentication no 禁用可信主机认证

RhostsRSAAuthentication no 禁用增强可信主机认证

RSAAuthentication yes 启用公钥认证

IgnoreRhosts yes 完全禁止SSHD使用.rhosts文件

IgnoreRootRhosts yes

UseLogin no 禁用UseLogin，防止万一使用了其它登录程序

AllowHosts xxx 根据需要设置

SilentDeny yes 任何被DenyHosts拒绝的连接都不会向用户返回消息，不必告诉攻击

者发生了什么，可以增加了排错的难度。

PermitRootLogin nopwd 允许超级用户通过SSH连接，但不能用密码认证

FascistLogging no 禁用FascistLogging日志方式，因为它会在日志中记录用户特定信息，对

攻击者有用。

QuietMode no 禁用QuietMode日志方式，使用日志更详细，敏感度更低

AllowTcpForwarding yes 允许tcp端口转发和X转发，保护其它的tcp连接

X11Forwarding yes

3、/etc/ssh2/sshd2_config配置

HostKeyFile /etc/ssh2/hostkey

PublicHostKeyFile /etc/ssh2/hostkey.pub

RandmoSeedFile /etc/ssh2/random_seed

UserConfigDirectory

IdentityFile

AuthorizstionFile

StrictModes yes

port 22

listenAddress 0.0.0.0

KeepAlive yes

RequireReverseMapping no

LoginGraceTime 30

由于sshd2没有设置服务器密钥的位数的关键字，用户得在启动时使用 -b 选项 $ sshd2 -b

1024 ....

AllowedAuthentications publickey

RequiredAuthentications publickey

IgnoreRhosts yes

UserKnownHosts no 禁用该项可防止用户给未知主机提供信任权限。

PermitRootLogin nopwd

Ciphers any 不能选none

QuietMode no

VerboseMode yes

Ssh1Compatibility no 禁用SSH-1兼容模式

#Ssh1Path /usr/local/ssh1/sshd1 出于实用原因，也可以启用此模式，之前要指明ssh1服

务器可执行文件位置

4、每账号配置

对于SSH1 AND OPENSSH，~/.ssh/authorized_keys中的每一个密钥都必须用适当的选项进

行限制，from选项限制只能从特定的主机访问特定的密钥。例如，假设文件中包含你家那

台pc（myhome.isp.net）的公钥,而其它机器根本不可能用那个密钥来认证，我们就可以明确

限定这一关系：from = "myhome.isp.net" ...key...。还要对适当的密钥设置空闲超时时间：from

= "myhome.isp.net" ，idle-timeout=5m ...key...。

最后，考虑每一个密钥是否需要对到达的连接使用端口转发，代理转发以及分配tty等，如

果不需要，就可以分别用no-port-forwarding,no-agent-forwarding and no-pty禁用这些特性。

5、密钥管理

至少创建1024位长的用户密钥，并用好的口令对密钥进行保护。

6、客户端配置

离开正在运行的ssh客户端时，一定要用密码保护。

在客户端配置文件中启用某些安全功能，并将其设置为最强

Host *

FallBackToRsh no 禁止使用不安全的r-命令（ssh2）没有这个问题。

UseRsh no

GatewayPorts no 禁止远程客户端连接本地的转发端口

StrictHostKeyChecking ask 在主机密钥发生变化时提醒你。请求你的处理意见。

配置“/etc/ssh/ssh_config”文件　

“/etc/ssh/ssh_config”文件是OpenSSH系统范围的配置文件，允许你通过设置不同的选项

来改变客户端程序的运行方式。这个文件的每一行包含“关键词－值”的匹配，其中“关键

词”是忽略大小写的。下面列出来的是最重要的关键词，用man命令查看帮助页（ssh　(1)）

可以得到详细的列表。　

编辑“ssh_config”文件（vi　/etc/ssh/ssh_config），添加或改变下面的参数：　

#　Site-wide　defaults　for　various　options　

Host　*　

ForwardAgent　no　

ForwardX11　no　

RhostsAuthentication　no　

RhostsRSAAuthentication　no　

RSAAuthentication　yes　

PasswordAuthentication　yes　

FallBackToRsh　no　

UseRsh　no　

BatchMode　no　

CheckHostIP　yes　

StrictHostKeyChecking　no　

IdentityFile　~/.ssh/identity　

Port　22　

Cipher　blowfish　

EscapeChar　~　

下面逐行说明上面的选项设置：　

Host　*　

选项“Host”只对能够匹配后面字串的计算机有效。“*”表示所有的计算机。　

ForwardAgent　no　

“ForwardAgent”设置连接是否经过验证代理（如果存在）转发给远程计算机。　

ForwardX11　no　

“ForwardX11”设置X11连接是否被自动重定向到安全的通道和显示集（DISPLAY　set）。　

RhostsAuthentication　no　

“RhostsAuthentication”设置是否使用基于rhosts的安全验证。　

RhostsRSAAuthentication　no　

“RhostsRSAAuthentication”设置是否使用用RSA算法的基于rhosts的安全验证。　

RSAAuthentication　yes　

“RSAAuthentication”设置是否使用RSA算法进行安全验证。　

PasswordAuthentication　yes　

“PasswordAuthentication”设置是否使用口令验证。　

FallBackToRsh　no　

“FallBackToRsh”设置如果用ssh连接出现错误是否自动使用rsh。　

UseRsh　no　

“UseRsh”设置是否在这台计算机上使用“rlogin/rsh”。　

BatchMode　no　

“BatchMode”如果设为“yes”，passphrase/password（交互式输入口令）的提示将被禁止。

当不能交互式输入口令的时候，这个选项对脚本文件和批处理任务十分有用。　

CheckHostIP　yes　

“CheckHostIP”设置ssh是否查看连接到服务器的主机的IP地址以防止DNS欺骗。建议设

置为“yes”。　

StrictHostKeyChecking　no　

“StrictHostKeyChecking”如果设置成“yes”，ssh就不会自动把计算机的密匙加入

“$HOME/.ssh/known_hosts”文件，并且一旦计算机的密匙发生了变化，就拒绝连接。　

IdentityFile　~/.ssh/identity　

“IdentityFile”设置从哪个文件读取用户的RSA安全验证标识。　

Port　22　

“Port”设置连接到远程主机的端口。　

Cipher　blowfish　

“Cipher”设置加密用的密码。　

EscapeChar　~　

“EscapeChar”设置escape字符。　

配置“/etc/ssh/sshd_config”文件　

“/etc/ssh/sshd_config”是OpenSSH的配置文件，允许设置选项改变这个daemon的运行。

这个文件的每一行包含“关键词－值”的匹配，其中“关键词”是忽略大小写的。下面列出

来的是最重要的关键词，用man命令查看帮助页（sshd　(8)）可以得到详细的列表。　

编辑“sshd_config”文件（vi　/etc/ssh/sshd_config），加入或改变下面的参数：　

#　This　is　ssh　server　systemwide　configuration　file.　

Port　22　

ListenAddress　192.168.1.1　

HostKey　/etc/ssh/ssh_host_key　

ServerKeyBits　1024　

LoginGraceTime　600　

KeyRegenerationInterval　3600　

PermitRootLogin　no　

IgnoreRhosts　yes　

IgnoreUserKnownHosts　yes　

StrictModes　yes　

X11Forwarding　no　

PrintMotd　yes　

SyslogFacility　AUTH　

LogLevel　INFO　

RhostsAuthentication　no　

RhostsRSAAuthentication　no　

RSAAuthentication　yes　

PasswordAuthentication　yes　

PermitEmptyPasswords　no　

AllowUsers　admin　

下面逐行说明上面的选项设置：　

Port　22　

“Port”设置sshd监听的端口号。　

ListenAddress　192.168.1.1　

“ListenAddress”设置sshd服务器绑定的IP地址。　

HostKey　/etc/ssh/ssh_host_key　

“HostKey”设置包含计算机私人密匙的文件。　

ServerKeyBits　1024　

“ServerKeyBits”定义服务器密匙的位数。　

LoginGraceTime　600　

“LoginGraceTime”设置如果用户不能成功登录，在切断连接之前服务器需要等待的时间（以

秒为单位）。　

KeyRegenerationInterval　3600　

“KeyRegenerationInterval”设置在多少秒之后自动重新生成服务器的密匙（如果使用密匙）。

重新生成密匙是为了防止用盗用的密匙解密被截获的信息。　

PermitRootLogin　no　

“PermitRootLogin”设置root能不能用ssh登录。这个选项一定不要设成“yes”。　

IgnoreRhosts　yes　

“IgnoreRhosts”设置验证的时候是否使用“rhosts”和“shosts”文件。　

IgnoreUserKnownHosts　yes　

“IgnoreUserKnownHosts”设置ssh　daemon是否在进行RhostsRSAAuthentication安全验证

的时候忽略用户的“$HOME/.ssh/known_hosts”　

StrictModes　yes　

“StrictModes”设置ssh在接收登录请求之前是否检查用户家目录和rhosts文件的权限和所

有权。这通常是必要的，因为新手经常会把自己的目录和文件设成任何人都有写权限。　

X11Forwarding　no　

“X11Forwarding”设置是否允许X11转发。　

PrintMotd　yes　

“PrintMotd”设置sshd是否在用户登录的时候显示“/etc/motd”中的信息。　

SyslogFacility　AUTH　

“SyslogFacility”设置在记录来自sshd的消息的时候，是否给出“facility　code”。　

LogLevel　INFO　

“LogLevel”设置记录sshd日志消息的层次。INFO是一个好的选择。查看sshd的man帮

助页，已获取更多的信息。　

RhostsAuthentication　no　

“RhostsAuthentication”设置只用rhosts或“/etc/hosts.equiv”进行安全验证是否已经足够了。　

RhostsRSAAuthentication　no　

“RhostsRSA”设置是否允许用rhosts或“/etc/hosts.equiv”加上RSA进行安全验证。　

RSAAuthentication　yes　

“RSAAuthentication”设置是否允许只有RSA安全验证。　

PasswordAuthentication　yes　

“PasswordAuthentication”设置是否允许口令验证。　

PermitEmptyPasswords　no　

“PermitEmptyPasswords”设置是否允许用口令为空的帐号登录。　

AllowUsers　admin　

“AllowUsers”的后面可以跟着任意的数量的用户名的匹配串（patterns）或user@host这样

的匹配串，这些字符串用空格隔开。主机名可以是DNS名或IP地址。(e129)