SSH�����,特別是 OpenSSH����,是一個(gè)類似于 telnet 或 rsh,ssh 客戶程序也可以用于登錄到遠(yuǎn)程機(jī)器�����。所要求的只是該遠(yuǎn)程機(jī)器正在運(yùn)行 sshd��,即 ssh 服務(wù)器進(jìn)程���。但是����,與 telnet 不同的是�����,ssh 協(xié)議非常安全�。加密數(shù)據(jù)流,確保數(shù)據(jù)流的完整性���,甚至安全可靠的進(jìn)行認(rèn)證它都使用了專門的算法�。
然而�����,雖然 ssh 的確很棒,但還是有一個(gè) ssh 功能組件常常被忽略�、這個(gè)組件就是 OpenSSH 的 RSA/DSA 密鑰認(rèn)證系統(tǒng),它可以代替 OpenSSH 缺省使用的標(biāo)準(zhǔn)安全密碼認(rèn)證系統(tǒng)�����。
OpenSSH 的 RSA 和 DSA 認(rèn)證協(xié)議的基礎(chǔ)是一對(duì)專門生成的密鑰�,分別叫做專用密鑰和公用密鑰。使用這些基于密鑰的認(rèn)證系統(tǒng)的優(yōu)勢(shì)在于:在許多情況下���,有可能不必手工輸入密碼就能建立起安全的連接。
好了知道RSA和DSA是怎么回事了吧�����,至于里面的原理我就不講了����,有興趣的朋友去看看公匙密匙的原理就行。其實(shí)不止SecureCRT支持RSA/DSA��,其他ssh的客戶端軟件都支持類似的RSA/DSA���,只不過(guò)好像不同軟件產(chǎn)生的公匙密匙好像不通用��。我這里只是拿最典型的SecureCRT來(lái)說(shuō)明RSA怎么使用來(lái)配合linux下的ssh服務(wù)
我的環(huán)境:Redhat9.0 openssh-3.5p1-6 SecureCRT 4.0
服務(wù)端openssh我們先不可以設(shè)置��,等客戶端設(shè)置好后���,我們?cè)倩剡^(guò)頭來(lái)設(shè)置ssh��。
我們創(chuàng)建一個(gè)新鏈接�,點(diǎn)擊屬性:(圖1)
默認(rèn)驗(yàn)證方式是password����,把他改成RSA,接著系統(tǒng)會(huì)彈出一個(gè)彈出框(圖2)
讓你確認(rèn)是否使用RSA公匙密匙創(chuàng)建向?qū)?����,?dāng)然選“是”(圖3)
接著下一步:(圖4)
這一步填入你的保護(hù)密匙的密碼�,這個(gè)密碼要記住哦,以后都要這個(gè)密碼��,Comment就隨便填了
下一步:(圖5)
讓你選擇加密的位數(shù)���,默認(rèn)1024就行
下一步:(圖6)
這一步你動(dòng)一下鼠標(biāo)����,系統(tǒng)就會(huì)根據(jù)你鼠標(biāo)動(dòng)的頻率自動(dòng)產(chǎn)生公匙和密匙
下一步:(圖7)
RSA公匙密匙創(chuàng)建好后,會(huì)讓你保存����,名字默認(rèn)或者改名都行,后面大家只要注意SecureCRT只尋找密匙的路徑���,你保證SecureCRT能找到你的密匙就行�����。
好了客戶端的工作完成���。下面是linux服務(wù)端的配置了
把我們剛才建立的RSA公匙傳到你的服務(wù)器��,默認(rèn)名為identity.pub
然后在linux下操作�����,如果你的密匙是給linux用戶frank創(chuàng)建的����,那么我們先在frank的宿主目錄創(chuàng)建一個(gè).ssh的目錄
mkdir /home/frank/.ssh
chmod o+x /home/frank
chmod 700 /home/frank/.ssh
然后把公匙導(dǎo)到authorized_keys這個(gè)文件����,因?yàn)槲覀兪鞘褂胹sh1�,如果是ssh2的那就是authorized_keys2
cat identity.pub > /home/frank/.ssh/authorized_keys
chmod 644 /home/frank/.ssh/authorized_keys
權(quán)限的設(shè)置非常重要,因?yàn)椴话踩脑O(shè)置安全設(shè)置����,會(huì)讓你不能使用RSA功能,大家如果調(diào)試的過(guò)程中��,發(fā)現(xiàn)有找不到公匙的錯(cuò)誤提示��,先看看權(quán)限是否設(shè)置正確哦�!
ok,現(xiàn)在服務(wù)器端也設(shè)置完畢了����,你現(xiàn)在可以用SecureCRT的RSA驗(yàn)證方式連接ssh服務(wù)器端了,如果連接正常的話應(yīng)該會(huì)彈出一個(gè)對(duì)話框�����,讓你輸入密碼(圖8)
這里只要輸入我們保護(hù)密匙的密碼就行了��。完了就能順利進(jìn)入
還有一步設(shè)置�,既然大家都已經(jīng)成功使用了ssh的RSA功能��,那么就必須讓openssh只支持RSA驗(yàn)證��,否則既支持普通密碼又支持RSA就沒(méi)什么意思了�����,根本沒(méi)把安全提高�,所以我們有必要讓openssh只支持RSA驗(yàn)證��,如果還沒(méi)有成功使用RSA功能的朋友就不用看�,還是先把上面的的先實(shí)現(xiàn)再說(shuō)。
要實(shí)現(xiàn)openssh只支持RSA驗(yàn)證方式��,我們只要修改
vi /etc/ssh/sshd_config
設(shè)置
PasswordAuthentication no
好了�����,你現(xiàn)在再試試以前普通密碼驗(yàn)證方式��,應(yīng)該是會(huì)彈出下面錯(cuò)誤信息(圖9)
大致意思服務(wù)器只支持RSA的驗(yàn)證方式��,ok了
以后就可以用RSA的公匙密匙訪問(wèn)ssh服務(wù)器了���,不過(guò)你的密匙可要保存好�����,反正我是保存在我的U盤�����,隨身攜帶�����,一旦你的用戶丟了密匙����,一定在服務(wù)器端把它的公匙刪除����,這樣即使那人獲得了密匙也上不去:)
參考文檔
OpenSSH 密鑰管理 http://www-900.ibm.com/developerWorks/cn/linux/security/openssh/part1/index.shtml
