使用Openssh工具远程管理Solaris 10

日期：2007年7月12日作者：查看:[大字体中字体小字体]

　　一、 SSH服务器工作原理

　　1.传统远程登录安全隐患

　　在异构网络中，很多用户选择Solaris 10作为网络操作系统，利用其简单的配置和用户熟悉的图形界面提供Internet服务，Telnet便是其提供的服务之一。Telnet最基本应用就是用于Internet的远程登录，共享远程系统中的资源。它可以使用户坐在已上网的电脑键盘前通过网络进入的另一台已上网的电脑，并负责把用户输入的每个字符传递给主机，再将主机输出的每个信息回显在屏幕上。这种连通可以发生在同一房间里面的电脑或是在世界各范围内已上网的电脑。Telnet服务与其他网络应用一样属于客户机/服务器模型，一旦连通后，客户机可以享有服务器所提供的一切服务。

　　但是传统的网络服务程序telnet在本质上都是不安全的，因为它在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的，就是很容易受到“中间人”（man-in-the-middle）这种方式的攻击。所谓“中间人”的攻击方式，就是“中间人”冒充真正的服务器接收你传给服务器的数据，然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”转手后做了手脚之后，就会出现很严重的问题。

　　2.SSH能保护什么

　　SSH可以防止IP地址欺骗、DNS欺骗和源路径攻击。SSH提供给用户身份认证的主要方法就是使用公共密钥加密法。根据所用SSH版本的不同，可以采用RSA或者Diffie-Helman和数字签名标准来实现。也可以选择使用各种不同的身份认证方法，包括公共密钥法、rhosts/shosts认证法和密码认证，这些方法都很简单安全。的确，利用SSH即便是使用.rhosts认证方式也能确保安全性。SSH所提供的是通过网络进入某个特定账号的安全方法。每个用户都拥有自己的RSA密钥。通过严格的主机密钥检查，用户可以核对来自服务器的公共密钥同先前所定义的是否一致。这样就防止了某个用户访问一个他没有相应公共密钥的主机。注意如果你想了解更多有关RSA、公共密钥加密和身份认证的知识，只需进行很小的修补，SSH就能保护一些不安全的连接，如X窗口。这将帮助你提高所管理的网络连接的安全性。由于SSH提供了主机身份认证，利用公共密钥而不是IP地址，所以它使网络更加安全可靠，并且不容易受到IP地址欺骗的攻击。这有助于辨认连接到你系统上的访问者身份，从而防止非法访问者登录到你的系统中。如果用户或系统打算采用rhosts/shosts的身份认证方式，主机就面临着公共密钥和私人密钥信息交换的挑战。否则，就得使用其他认证方式。在认证发生之前，会话已经通过对称密钥技术进行了加密，如DES、三重DES、IDEA、Twofish或Blowfish。这就使得会话自身被加密，从而防止了别人在你输入或同别人聊天时截取你的信息。同时也意味着你所输入的密码不会被他人读取，因为它也被加密了。加密技术基本上可以防止有人监听你的数据，同时也确保了数据的完整性，即防止有人肆意篡改你的信息和数据。表1列出了SSH所能防范的网络攻击。
　　表1 SSH可以防范的网络攻击类型　
网络攻击类型

　　网络攻击简述

数据包欺骗

　　某IP数据包并不是你的，但被伪造成了你的。

IP或者主机欺骗

　　IP或主机名被中间人使用了。

口令截获

　　中间人从网上截获了含有你口令的数据包。

网络嗅探

　　中间人从网上读取你的包，破解分析其内容。SSH通信是加密的，即使截获会话内容，也不能将其解密。

插入攻击

　　这种攻击可以客户和服务器之间发送的正文数据流之间插入任意数据。ssh1 1.2.25后和openssh的所有版本都专门进行了设计，来检测并防止这种攻击。这种检测程序增大了插入攻击的难度，但是并不能完全防止。ssh2使用强加密完整性检测手段来防止这个问题。可以用3DES算法来防止这种攻击。

　　说明：3DES算法是系统加密算法，其符合OpenPGP标准。它基于DES，使用3个独立的56bit密钥对交换的信息进行3次DES加密，使其有效长度达到168bit。 3DES（即Triple DES）是DES向AES过渡的加密算法（1999年，NIST将3-DES指定为过渡的加密标准），是DES的一个更安全的变形。它以DES为基本模块，通过组合分组方法设计出分组加密算法，多年来，它在对付强力攻击时是比较安全的。

　　SSH所不能保护的网络攻击：尽管SSH提供了大量的安全措施，但它仍不能为你的系统提供完全的在线保护。SSH并不

　　能堵住所有其他端口上的全部漏洞：包括NFS攻击等。

　　3. SSH服务器和客户端工作流程

　　SSH服务器和客户端工作流程如图13-1。

图1 SSH服务器和客户端工作流程

　　1. SSH客户端发出请求连接SSH服务器，通常使用22端口；

　　2. SSH检查申请SSH客户端数据包和IP地址；

　　3. 如果客户端通过安全验证，SSH服务器发送密钥给ssh客户；

　　4. 本地sshd守护进程将密钥会送到远程sshd 服务器。

　　客户端会生成一个或者文件，其中储存服务器的密钥。密钥内容通常如下：

　　server 1024 35 0744831885522065092886345918214809000874876031312

　　6632026365561406995692291726767198155252016701986067549820423736

　　3937365939987293508473066069722639711474295242507691974151195842

　　9560631766264598422692206187855359804332680624600001698251375726

　　2927556592987704211810142126175715452796748871506131894685401576

　　4183

　　另外客户端的私有密钥存储在Identity 文件中。客户端的公共密钥存储在Identity.pub文件中, 密钥内容通常如下：

　　1024 37 25909842022319975817366569029015041390873694788964256567

　　2146422966722622743739836581653452906032808793901880289422764252

　　4259614636549518998450524923811481002360439473852363542223359868

　　1146192539619481853094466819335629797741580708609505877707742473

　　7311773531850692230437799694611176912728474735224921771041151

　　这样至此为止ssh客户端和远程SSH服务器建立了一个加密会话。
第1页：SSH服务器工作原理
第2页：在Solaris 10服务器上配置ssh服务
第3页：使用Windows客户端管理服务器
第4页：在WinSCP中使用Solaris 10命令
第5页：首次登录界面设定

　　三、使用Windows客户端管理服务器

　　作为远程访问的那些机器，必须要有ssh客户端才可以连接到sshd服务器上。大部分情况下，我们的远程访问机器的系统都可能是windows环境，windows自己没有自带ssh客户端程序，这需要我们自己在windows上安装ssh客户端程序。有很多ssh客户端程序可供选择，笔者个人的偏好是WinSCP和putty,考虑到会经常从windows机器复制文件到solaris 10上或者下载文件，为方便操作起见，建议使用 WinSCP。

　　WinSCP是一个Windows环境下使用SSH的开源图形化SFTP客户端。同时支持SCP协议。它的主要功能就是在本地与远程计算机间安全的复制文件。这是一个中文版的介绍。使用WinSCP可以连接到一台提供SFTP (SSH File Transfer Protocol)或SCP (Secure Copy Protocol)服务的SSH (Secure Shell)服务器，通常是SOLARIS 10服务器。SFTP包含于SSH-2包中，SCP在SSH-1包中。两种协议都能运行在以后的SSH版本之上。WinSCP同时支持SSH-1和SSH-2。 WinSCP通过构建于ssl或ssh2安全认证的客户机/服务器系统进行传输，为vpn、wan、extranet开发管理人员提供最经济的解决方案。

　　1. 获得与安装WinSCP

　　中文版WinSCP的汉化工作已经基本结束。可到WinSCP下载页面下载最新版本，选择多语言安装包（下载链接）。在安装过程语言选择中文。你也可以选择安装英文版，到WinSCP下载页面下载安装包。然后到翻译页面选择下载简体中文插件，将ZIP包解压缩到WinSCP安装路径。具体情况请阅读完全指导。此软件还可以结合putty，以方便用户的远程登录。

　　2. 主要特性

　　· 图形用户界面。

　　· 多语言支持包括中文、英文、西班牙文、德文、意大利文、法文、捷克文。

　　· 与Windows完美集成(拖拽, URL, 快捷方式) 。

　　· 支持所有常用文件操作。

　　· 支持基于SSH-1、SSH-2的SFTP和SCP协议。

　　· 支持批处理脚本和命令行方式。

　　· 多种半自动、自动的目录同步方式。

　　· 内置文本编辑器。

　　· 支持SSH密码、键盘交互、公钥和Kerberos(GSS) 验证。

　　· 通过与Pageant(PuTTY Agent)集成支持各种类型公钥验证。

　　· 提供Windows EXPlorer与Norton Commander界面。

　　· 可选地存储会话信息。

　　· 可将配置文件存于注册表，适合在移动介质上操作。

　　3. WinSCP软件安装和使用

　　WinSCP软件安装过程中首先是语言选择（中文）然后设置WinSCP其他选项。然后一直按「下一步」直到完成。 WinSCP登录设置如图-3.。

Openssh,远程管理,Solaris

图3 WinSCP登录设置

　　注意此时应当打开防火墙的相应端口。第一次使用WinSCP来连接远程服务器，WinSCP 会出现一询问对话框，问你是否要将远程服务器的公钥 ( 为了避免远程机器被仿冒，每台 SSH 服务器均有不同的公钥 ) 储存在本地计算机的登录文件中，若要继续联机，请按下“是”按钮，如图4。

图4 首次登录界面设定

　　如果你是第一次使用WinSCP，建议选择Windows Explorer界面，因为Windows用户比较熟悉这个界面。当然，如果你习惯Norton Commander风格，就选择Norton Commander界面，它注重于方便的键盘操作，你完全可以脱离鼠标，更快地进行操作。这两种可选界面都允许用户管理远程或本地的文件。笔者更加喜欢后者所以以后操作以Norton Commander界面为例。你可以在安装时选择喜欢的界面。也可以以后改变设置。 WinSCP可以执行所有基本的文件操作，例如下载和上传。同时允许为文件和目录重命名、改变属性、建立符号链接和快捷方式。如果要从Solaris 10服务器下载文件直接使用鼠标从远程窗口拖曳到windows桌面即可。然后在对话框选择“”即可。

Openssh,远程管理,Solaris

图5 从Solaris 10服务器下载文件

　　上传文件到Solaris 10服务器也可以直接使用鼠标从windows目录拖曳到远程Solaris 10目录窗口即可。

第1页：SSH服务器工作原理

第2页：在Solaris 10服务器上配置ssh服务

第3页：使用Windows客户端管理服务器

第4页：在WinSCP中使用Solaris 10命令

第5页：首次登录界面设定

　　4. 在WinSCP中使用Solaris 10命令

　　虽然Solaris 10桌面应用发展很快，但是命令在Solaris 10中依然有很强的生命力。Solaris 10是一个命令行组成的操作系统,精髓在命令行，无论图形界面发展到什么水平这个原理是不会变的，Solaris 10命令有许多强大的功能：从简单的磁盘操作、文件存取、到进行复杂的多媒体图象和流媒体文件的制作。在WinSCP中使用Solaris 10命令方法如下使用鼠标点击“主菜单“－“命令”－“打开终端”命令执行界面如图6。

Openssh,远程管理,Solaris

图6在WinSCP中使用Solaris 10命令

　　WINSCP常用快捷键：

　　F2 重新命名文件或者目录；

[1] [2] [3] 下一页

使用Openssh工具远程管理Solaris 10 相关文章：

·使用Openssh工具远程管理Solaris 10

使用Openssh工具远程管理Solaris 10 相关软件

上一篇:在线支付安全第一网上银行安全全攻略

下一篇:使用c#捕获windows的关机事件

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作

者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转

载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

使用Openssh工具远程管理Solaris 10

精品推荐

热点TOP10

特别推荐