|
登录 用户中心() [退出] 后台管理 注册 |
|
热门搜索: |
| 您的位置:首页 >> 软/硬件使用知识 >> 软/硬件使用知识 >> 主题: 在windows下使用OpenSSH |
| 标题 | 在windows下使用OpenSSH |
| clq |
浏览(1406)
2006-12-14 20:53:24 发表
编辑
关键字: 在windows下使用OpenSSH -------------------------------------------------- http://server.chinabyte.com/448/2191448.shtml -------------------------------------------------- SSH与OpenSSH 传统的网络服务程序,如:ftp、pop和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的,就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。所谓“中间人”的攻击方式,就是“中间人”冒充真正的服务器接收你的传给服务器的数据,然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”一转手做了手脚之后,就会出现很严重的问题。 SSH的英文全称是Secure SHell。通过使用SSH,你可以把所有传输的数据进行加密,这样“中间人”这种攻击方式就不可能实现了,而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替telnet,又可以为ftp、pop、甚至ppp提供一个安全的“通道”。 最初SSH是由芬兰的一家公司开发的。但是因为受版权和加密算法的限制,现在很多人都转而使用OpenSSH。OpenSSH是SSH的替代软件,而且是免费的,可以预计将来会有越来越多的人使用它而不是SSH。 SSH是由客户端和服务端的软件组成的,有两个不兼容的版本分别是:1.x和2.x。用SSH 2.x的客户程序是不能连接到SSH 1.x的服务程序上去的。OpenSSH 2.x同时支持SSH 1.x和2.x。 SSH的安全验证是如何工作的 从客户端来看,SSH提供两种级别的安全验证。 第一种级别(基于口令的安全验证)只要你知道自己帐号和口令,就可以登录到远程主机。所有传输的数据都会被加密,但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器,也就是受到“中间人”这种方式的攻击。 第二种级别(基于密匙的安全验证)需要依靠密匙,也就是你必须为自己创建一对密匙,并把公用密匙放在需要访问的服务器上。如果你要连接到SSH服务器上,客户端软件就会向服务器发出请求,请求用你的密匙进行安全验证。服务器收到请求之后,先在你在该服务器的家目录下寻找你的公用密匙,然后把它和你发送过来的公用密匙进行比较。如果两个密匙一致,服务器就用公用密匙加密“质询”(challenge)并把它发送给客户端软件。客户端软件收到“质询”之后就可以用你的私人密匙解密再把它发送给服务器。 用这种方式,你必须知道自己密匙的口令。但是,与第一种级别相比,第二种级别不需要在网络上传送口令。 第二种级别不仅加密所有传送的数据,而且“中间人”这种攻击方式也是不可能的(因为他没有你的私人密匙)。但是整个登录的过程可能需要10秒。 Windows下的OpenSSH解决方案 可以看到,SSH具备很多优势,因此很多现代Linux服务器基于安全考虑已经不再开放传统的telnet和ftp服务,而是采用更安全SSH和sftp。随Linux越来越多的进入服务器领域,这种情况也越来越常见。从安全角度上来看这当然是个进步,不过也带来了新的问题。因为目前用来提供SSH相关服务的OpenSSH主要在Linux环境开发的,为了让采用windows平台的客户机与Linux服务器上的OpenSSH服务器通信,我们有必要寻找一个OpenSSH的windows解决方案。当然,基于SSH的众多安全特性,让windows服务器可以运行SSH相关服务也是个诱人的想法。为此,寻找windows平台下的SSH解决方案成为很多网管的目标。 这里,首先纳入考虑的还是OpenSSH的for windows版本。毕竟,OpenSSH几乎是现在SSH实现的代名词,与现有各种SSH服务器和客户端的兼容性非常良好。我曾经遇到过其它一些支持SSH的客户端工具生成的密匙无法被SSH服务器识别的情况,在我更换了OpenSSH的密匙生成工具重新生成密匙后解决了问题。在本文中,我们将主要介绍windows平台的OpenSSH工具的使用。OpenSSH for windows实际上是Cygwin系列安装包中的OpenSSH安装包,它在无需安装整个Cygwin安装包的情况下安装OpenSSH所需的最小工具集。 小知识:什么是Cygwin Cygwin是Windows下的一个Linux仿真环境,它包括两部分,一是cygwin1.dll文件,它作为一个Linux API仿真器层为各Linux应用程序提供各种Linux下的系统调用。另一部分包括一系列Linux下的常用工具包,这些工具包是用l这些工具的源码针对Cygwin环境重庆编译而成,本文介绍的OpenSSH for windows就是这些工具包中的一个。需要注意的是Cygwin并不能让原生Linux程序在windows下直接运行,如果你想让一个Linux应用程序在windows下运行,你将不行不将应用程序从源代码重新编译。 不过OpenSSH for windows是一个命令行的工具,而且目前与windows 2003的兼容性还不是很好。其它还有一些windows平台的OpenSSH替代品,下面我主要介绍几种免费的产品。 PuTTY是这些产品中最有名的一种,它实际包含了多个工具分别用来完成SSH的各个功能,包括了SSH1和SSH2的客户端和服务器端实现。它采用类似类似BSD的MIT软件许可证。它也主要是一个基于命令行的工具。 WinSCP是一个Windows环境下使用SSH的开源图形化SFTP客户端。同时支持SCP协议。它的主要功能就是在本地与远程计算机间安全的复制文件。它的最大特点是界面非常友好,使用时可以选择windows资源管理器界面或者“Norton Commander”界面,而且已经有中文版本。可惜,在我的windows XP机器上,安装始终报错。 Secure iXplorer GPL是PuTTY'工具包中pscp.exe(用于安全复制文件)的一个图形化前端。 FileZilla是一款windows平台下的功能强大的FTP客户端软件,它有丰富的功能特性,并支持SFTP。 到此为止,我们介绍了几种主要的windows平台下的SSH安全应用工具,在下一篇文章里,我们将主要介绍windows下面的OpenSSH系列工具的安装和使用。虽然这与linux下面的安装与使用基本类似,不过由于是在windows环境下使用,在一些具体的设置上稍有不同,我们会重点介绍一下这些变化。 OpenSSH for windows安装与设置 OpenSSH在windows下的安装与设置与在Linux下有所不同,本文重点对这些差异做一点说明。首先,我们简单的介绍一下整个安装过程。 OpenSSH的安装非常简单,首先在这里(http://sshwindows.sourceforge.net/)下载它的安装包,按照提示操作即可。 OpenSSH的安装可以分为客户端和服务器端两部分,你可以在安装向导中选择只安装某一部分。在全部安装的情况下,安装向导完成后,客户端就已经可用了。 不过为了使用密钥进行服务器登录,安装完成后的第一件事就是生成自己的密钥对。打开一个命令行窗口,如果你准备生成运行SSH1的服务器的密匙,输入以下命令: ssh-keygen -t keytype 如果服务器运行的是SSH2,则生成密钥时需要加-d选项。命令如下: ssh-keygen -d -t keytype 这里keytype可以是dsa, rsa,或rsa1,按照提示选择密钥存放的地点和文件名,密钥对默认为存储在windows个人设置目录下的.ssh目录下。在创建密钥的过程中,会询问密钥保护密码,如果你不需要密码,可以直接输入回车键跳过。但这样任何取得你私钥的人都可以利用它以你的身份在服务器上登录。 为了使用生成的密钥进行登录,接下来需要做的事就是把你的公钥上传到需要登录的服务器。无论你用哪种方法生成的密钥,都会生成一对文件,其中公钥以.pub结尾。将.ssh目录中的公钥上传到服务器中,然后在服务器(假定是Linux服务器)上进入登录帐户的家目录,输入下面的命令: cat publickeyname >> authorized_keys publickeyname是你的公钥文件的文件名。如果它不在当前目录里,还要加上到文件的引用路径。 如果用SSH登录的服务器是一台windows服务器,可以使用以下命令: copy /b authorized_keys + publickeyname authorized_keys 至此,你已经可以使用基本密钥的方法登录SSH服务器了,OpenSSH提供了下面这些基本命令行的命令: ssh scp sftp 关于这些命令的详细使用方法我们会在另一篇文章晨介绍。 除了客户端,OpienSSH套件还包含了服务器端,在安装程序结束后,服务器端还不能立刻使用,需要做一些进一步的设置。 我们知道,OpenSSH原来是在Linux环境下使用的,它使用的用户密码和组的信息一般从服务器上的passwd和group文件中取得,而在windows环境下用户信息存放的位置显然是不同的。前面我们也提到OpenSSH for windows实际上是Cygwin套件里的OpenSSH软件包,因此,它在windows下的使用也要依赖于Cygwin建立起的Linux仿真环境。 为了让OpenSSH的服务器正常运行,首先要在Cygwin仿真环境中建立/etc/passwd和/etc/group文件,在安装好OpenSSH for windows后,程序会将OpenSSH的安装目录做为Cygwin仿真系统根目录,并在/bin下存放各执行文件,在/etc下存放配置文件以符合Linux程序的环境要求。因此,在安装好程序后,我们需要打开命令行窗口,进入OpenSSH安装目录下的bin目录,运行如下命令生成所需的passwd和group文件。 mkgroup -l >> ..\etc\group (local groups) mkgroup -d >> ..\etc\group (domain groups) mkpasswd -l [-u ] >> ..\etc\passwd (local users) mkpasswd -d [-u ] >> ..\etc\passwd (domain users) 这样可以把域和本机的组与用户信息导入到Cygwin的帐户和组文件中去。 然后运行如下命令启动OpenSSH服务。 net start opensshd 现在,你就可以在其它机器上利用SSH登录本机了。 在windows系统下使用OpenSSH,需要注意下面这些问题: 1、 StrictModes问题 有时运行在windows系统上的OpenSSH服务器会无法识别登录系统使用的公钥(特别是在一些windows XP系统上),如果出现这样的问题,可以进行如下处理。 将SSHD服务器的配置文件sshd.conf中的StrictModes选项设置为关闭即可以解决这个问题。 2、 Windows路径问题 在使用scp和sftp以及设置passwd文件中的用户登录目录里,我们都会遇到目录问题,我们知道linux的文件系统与windows的组织结构有很大差异,由于OpenSSH的使用环境主要是在Linux下,这些地方的路径模式也用的是Linux模式。在这些地方为了访问Cygwin虚拟根以外的目录,Cygwin提供了一种目录转换机制,在目录前加/cygdrive/DRIVELETTER/引用指定盘符的目录。这里DRIVELETTER是指目录所在的盘符,比如访问C盘的winnt\system32目录用以下目录引用/cygdrive/c/winnt/system32。它实际提供了一种两类目录结构之间的映射。 在这里只是简单的介绍了一下windows环境下OpenSSH工具的使用,对于OpenSSH工具本身及其背景知识更详细的介绍我们将放在另一篇文章里。 |
Copyright © 2005-2012 CLQ工作室, All Rights Reserved CLQ工作室 版权所有 |