OpenSSH的配置使用

SSH 是 Secure SHell protocol 的簡寫

1、OpenSSH软件包组成：
[root@www ~]# rpm -qa | grep ssh
openssh-clients-3.9p1-8.RHEL4.24
openssh-3.9p1-8.RHEL4.24
openssh-askpass-3.9p1-8.RHEL4.24
openssh-server-3.9p1-8.RHEL4.24
openssh-askpass-gnome-3.9p1-8.RHEL4.24

2、OpenSSh服务的启动与停止：
[root@www ~]# chkconfig --list sshd
sshd            0:关闭  1:关闭  2:启用  3:启用  4:启用  5:启用  6:关闭
[root@www ~]# service sshd start
[root@www ~]# service sshd stop

3、OpenSSh服务的配置文件：
[root@www ~]# ll /etc/ssh
总用量 184
-rw-------  1 root root 111892 2007-08-08  moduli
-rw-r--r--  1 root root   1417 2007-08-08  ssh_config                         //客户端的配置文件，当作为客户机使用时，ssh命令将按该配置文件的内容进行设置；
-rw-------  1 root root   3025 2007-08-08  sshd_config                      //服务器端的配置文件，服务端启动时会按照此配置文件的内容进行设置；
-rw-------  1 root root    668  1月 14 01:14 ssh_host_dsa_key              //私钥；
-rw-r--r--  1 root root    590  1月 14 01:14 ssh_host_dsa_key.pub        //公钥
-rw-------  1 root root    515  1月 14 01:14 ssh_host_key
-rw-r--r--  1 root root    319  1月 14 01:14 ssh_host_key.pub
-rw-------  1 root root    887  1月 14 01:14 ssh_host_rsa_key
-rw-r--r--  1 root root    210  1月 14 01:14 ssh_host_rsa_key.pub

4、基于口令的客户端登陆（客户端用服务器端已存在的账号登陆到服务器）：
[root@www ~]# iptables -I INPUT 1 -p tcp -s 192.168.100.1 --dport 22 -j ACCEPT   //在服务器端的防火墙插入一条策略规则，即时生效。
[root@lwh ~]# ssh tel@192.168.100.1
The authenticity of host '192.168.100.1 (192.168.100.1)' can't be established.
RSA key fingerprint is b6:0d:d5:77:4f:be:2e:46:90:59:44:6e:ba:52:1c:3b.
Are you sure you want to continue connecting (yes/no)? yes                 //客户端首次登陆时需要在服务器端下载一个RSA密钥到本地的“/用户主目录/.ssh”文件夹里；
tel@192.168.100.2's password:                                                            //并要求输入服务器上tel用户的密码；
[tel@www ~]$

5、SSH的用户目录：
[root@lwh ~]# ls .ssh/
known_hosts                       //该文件用于保存当前用户登陆过的所有的SSH服务器的RSA密钥，这些密钥都是用户在第一次登陆SSh服务器时，用输入yes时保存下来的。

6、基于密钥的客户端登陆：
[root@www ~]# iptables -I INPUT 1 -p tcp -s 192.168.100.1 --dport 22 -j ACCEPT   //同样，在服务器端的防火墙插入一条策略规则。
①、创建用户用于SSH登陆：
[root@lwh ~]# useradd sshuser
[root@lwh ~]# passwd sshuser

②、在客户端生成公钥和私钥对：
[root@lwh ~]# su - sshuser                  //切换用户；    
[sshuser@lwh ~]$ pwd                         //用户当前路径；
/home/sshuser
[sshuser@lwh ~]$ ssh-keygen -t rsa          //生成公钥和私钥对；
Generating public/private rsa key pair.
Enter file in which to save the key (/home/sshuser/.ssh/id_rsa):
Created directory '/home/sshuser/.ssh'.
Enter passphrase (empty for no passphrase):  （空，不需要密码）
Enter same passphrase again:
Your identification has been saved in /home/sshuser/.ssh/id_rsa.
Your public key has been saved in /home/sshuser/.ssh/id_rsa.pub.
The key fingerprint is:
0c:8d:9e:99:b5:95:32:70:96:6e:1c:38:71:57:4d:cb
[sshuser@lwh ~]$ ll .ssh/                      //查看生成的密钥文件；
总用量 16
-rw-------  1 sshuser sshuser 883  2月  5 17:22 id_rsa
-rw-r--r--  1 sshuser sshuser 225  2月  5 17:22 id_rsa.pub

③、将生成的公钥“id_rsa.pub”复制并改名添加到SSH服务器“/想要登陆的账号/.ssh/authorized_keys”
//在SSH服务器相应的目录下新建“.ssh”目录：
[root@www ~]# mkdir /root/.ssh/
//在SSH客户端，用scp命令进行复制：
[sshuser@lwh ~]$ scp ~/.ssh/id_rsa.pub root@192.168.100.2:~/.ssh/authorized_keys       //注意登陆的用户名，拷贝到那个宿主目录下，就在客户端以哪个账号登陆；
The authenticity of host '192.168.100.2 (192.168.100.2)' can't be established.
RSA key fingerprint is fe:88:0f:f6:ac:d4:76:9a:ef:4b:16:28:37:36:ec:93.
Are you sure you want to continue connecting (yes/no)? yes                           
Warning: Permanently added '192.168.100.2' (RSA) to the list of known hosts.
root@192.168.100.2's password:
id_rsa.pub                                                                          100%  225     0.2KB/s   00:00

④、在客户端登陆：
[sshuser@lwh ~]$ ssh root@192.168.100.2                  
Last login: Thu Feb  5 17:17:49 2009 from linserv                    //并没有提示要输入密码；
[root@www ~]#

7、其他设置：
//不允许以root账号登陆服务器在服务器端：
[root@www ~]# vi /etc/ssh/sshd_config
PermitRootLogin no             //在配置文件中加入；
[root@www ~]# service sshd restart
//再次登陆：
[root@lwh ~]# su - sshuser            //sshuser是创建的用于ssh登陆的账号；
[sshuser@lwh ~]$ ssh root@192.168.100.2
root@192.168.100.2's password:                   //输入密码；
Permission denied, please try again.               //提示权限拒绝，可以通过使用普通账号登陆服务器后再切换到root账号来实现远程管理的目的；
root@192.168.100.2's password:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ssh主要用于远程管理linux，它采用加密方式传输数据，并可以使用root用户登录到远程计算机。此处假设服务器端ssh服务已开启(默认是开启)，在客户端如何连接到远程服务器上。例子使用以下环境：

　　ssh [user@]hostname [command]

　　[user@]：远程计算机的用户名

　　[command]：连接成功后直接执行的命令

　　有时在无通过ssh连接到服务器时，可将客户端~/.ssh里面内容删除后再试。

　　scp [user@]host:/path [-rpC]

　　文件在ssh客户端与服务器端之间复制

　　-r：递归

　　-p：保留原文件权限

　　-C：传输中压缩数据

　　rsync srcfile host:/path

在客户端与服务器间同步文件，这个命令是一次性的，如果需要定时执行，要使用计划任务。在同步是只从srcfile到host:/path

　　在使用ssh连接到远程计算机时每次需要输入远程计算机的密码，这样可能比较麻烦。可以通过使用密钥文件的方式，先在本机生成一对密钥文件，再次公钥文件复制到远程计算机，可以私钥文件在本机那样连接远程计算机时不需要输入密码。

　　当然为了安全，可以在生成密钥对时对私钥文件设置密码，这样连接到远程计算机时输入的密码就是私钥文件的密码，而不是远程计算机的用户密码。当然为了方便可以将私钥文件的密码保存在当然计算机，这样连接到远程计算机时什么密码都不需要输入，但私钥文件如果复制到其它计算机时还是需要输入私钥文件的密码。具体配置步骤如下：

　　生成密钥对文件

　　将公钥复制到远程计算机

　　再次连接到服务器

　　将私钥文件保存到本机

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

以公钥密钥的方式登录远程主机： 制作一对密钥： 

=========================================================================================== 

[qurui@linux ~]$ ssh-keygen -t dsa 

Generating public/private dsa key pair. 

Enter file in which to save the key (/home/qurui/.ssh/id_dsa): 

Enter passphrase (empty for no passphrase): 

Enter same passphrase again: 

Your identification has been saved in /home/qurui/.ssh/id_dsa. 

Your public key has been saved in /home/qurui/.ssh/id_dsa.pub. 

The key fingerprint is: 

74:02:9e:2d:74:4e:66:ff:cb:d1:13:6a:30:cf:a6:bc 

===========================================================================================

“passphrase”类似于口令，提示你输入一段短语，在登录时要输入该密钥的这段短语才可以通过。短语可以是任意字母、数字、标点符号、特殊字符和空格。例如：

=========================================================================================== 

[qurui@linux ~]$ ssh 

Enter passphrase for key '/home/qurui/.ssh/id_dsa': 

Last login: Tue Mar 1 17:00:00 2000 from linux.web.com 

=========================================================================================== 

要是用脚本登录就多此一举了，所以这里我都是直接按回车键。生成的密钥默认放在“~/.ssh/”目录下，默认文件名为id_dsa(私钥)和id_dsa.pub(公钥)。把id_dsa.pub(公钥)复制到远程主机上，以后想从哪台linux计算机上登录远程主机，就把id_dsa(私钥)复制到该linux计算机的~/.ssh目录下就可以不输入口令登录远程主机了。 ssh-keygen命令参数：

ssh-keygen [-q] [-b bits] -t type [-N new_passphrase] [-C comment] [-f output_keyfile] 

-q：安静模式。在/etc/rc中创建新密钥时用。我不太明白，就测试了一下，就少了几行输出，不知道具体用在什么时候。 

========================================================================================== 

[qurui@linux ~]$ ssh-keygen -q -t dsa 

Enter file in which to save the key (/home/qurui/.ssh/id_dsa): 

Enter passphrase (empty for no passphrase): 

Enter same passphrase again: 

========================================================================================== 

-t：指定密钥的类型，就是算法。rsa1，rsa和dsa三种，第一个是第一代算法，后两个都是第二代算法。 

-b：指定密钥的长度。RSA类型的密钥默认长度是2048bit(位)，最少不低于768bit(位)。DSA类型的密钥默认长度是1024bit(位)。 

-N：修改密语，就是生成密钥时输入的那一段短语。 

-C：指定注释。 

-f：指定密钥的路径和文件名。如果不指定，默认是放在~/.ssh目录中，文件名为id_<rsa|dsa>和id_<rsa|dsa>.pub。 关于更多参数的介绍见下文(中文的man手册)： 

========================================================================================== 

ssh-keygen 中文手册 

译者：金步国 

版权声明 本文作者是一位自由软件爱好者，所以本文虽然不是软件，但是本着 GPL 的精神发布。任何人都可以自由使

用、转载、复制和再分发，但必须保留作者署名，亦不得对声明中的任何条款作任何形式的修改，也不得附加

任何其它条件。您可以自由链接、下载、传播此文档，但前提是必须保证全文完整转载，包括完整的版权信息

和作译者声明。 

其他作品 本文作者十分愿意与他人共享劳动成果，如果你对我的其他翻译作品或者技术文章有兴趣，可以在如下位置查

看现有作品的列表： * 金步国作品列表 BUG报告，切磋与探讨 由于作者水平有限，因此不能保证作品内容准确无误，请在阅读中自行鉴别。如果你发现了作品中的错误，请

您来信指出，哪怕是错别字也好，任何提高作品质量的建议我都将虚心接纳。如果你愿意就作品中的相关内容

与我进行进一步切磋与探讨，也欢迎你与我联系。联系方式：MSN: csfrank122@hotmail.com SSH-KEYGEN(1) OpenBSD Reference Manual SSH-KEYGEN(1)

名称 

 ssh-keygen - 生成、管理和转换认证密钥 语法 

 ssh-keygen [-q] [-b bits] -t type [-N new_passphrase] [-C comment] [-f output_keyfile] 

 ssh-keygen -p [-P old_passphrase] [-N new_passphrase] [-f keyfile] 

 ssh-keygen -i [-f input_keyfile] 

 ssh-keygen -e [-f input_keyfile] 

 ssh-keygen -y [-f input_keyfile] 

 ssh-keygen -c [-P passphrase] [-C comment] [-f keyfile] 

 ssh-keygen -l [-f input_keyfile] 

 ssh-keygen -B [-f input_keyfile] 

 ssh-keygen -D reader 

 ssh-keygen -F hostname [-f known_hosts_file] 

 ssh-keygen -H [-f known_hosts_file] 

 ssh-keygen -R hostname [-f known_hosts_file] 

 ssh-keygen -U reader [-f input_keyfile] 

 ssh-keygen -r hostname [-f input_keyfile] [-g] 

 ssh-keygen -G output_file [-v] [-b bits] [-M memory] [-S start_point] 

 ssh-keygen -T output_file -f input_file [-v] [-a num_trials] [-W generator] 描述 

 ssh-keygen 用于为 ssh(1)生成、管理和转换认证密钥，包括 RSA 和 DSA 两种密钥。 密钥类型可以用 -t 选项指定。如果没有指定则默认生成用于SSH-2的RSA密钥。 ssh-keygen 还可以用来产生 Diffie-Hellman group exchange (DH-GEX) 中使用的素数模数。 参见模数和生成小节。 一般说来，如果用户希望使用RSA或DSA认证，那么至少应该运行一次这个程序， 在 ~/.ssh/identity, ~/.ssh/id_dsa 或 ~/.ssh/id_rsa 文件中创建认证所需的密钥。 另外，系统管理员还可以用它产生主机密钥。 通常，这个程序产生一个密钥对，并要求指定一个文件存放私钥，同时将公钥存放在附加了".pub"后缀的同名文件中。

 程序同时要求输入一个密语字符串(passphrase)，空表示没有密语(主机密钥的密语必须为空)。 

 密语和口令(password)非常相似，但是密语可以是一句话，里面有单词、标点符号、数字、空格或任何你想要的字符。 

 好的密语要30个以上的字符，难以猜出，由大小写字母、数字、非字母混合组成。密语可以用 -p 选项修改。 丢失的密语不可恢复。如果丢失或忘记了密语，用户必须产生新的密钥，然后把相应的公钥分发到其他机器上去。 RSA1的密钥文件中有一个"注释"字段，可以方便用户标识这个密钥，指出密钥的用途或其他有用的信息。

 创建密钥的时候，注释域初始化为"user@host"，以后可以用 -c 选项修改。 密钥产生后，下面的命令描述了怎样处置和激活密钥。可用的选项有： -a trials 

 在使用 -T 对 DH-GEX 候选素数进行安全筛选时需要执行的基本测试数量。 -B 显示指定的公钥/私钥文件的 bubblebabble 摘要。 -b bits 

 指定密钥长度。对于RSA密钥，最小要求768位，默认是2048位。DSA密钥必须恰好是1024位

 (FIPS186-2 标准的要求)。 -C comment 

 提供一个新注释 -c 要求修改私钥和公钥文件中的注释。本选项只支持 RSA1 密钥。 

 程序将提示输入私钥文件名、密语(如果存在)、新注释。 -D reader

 下载存储在智能卡 reader 里的 RSA 公钥。 -e 读取OpenSSH的私钥或公钥文件，并以 RFC 4716 SSH 公钥文件格式在 stdout 上显示出来。 

 该选项能够为多种商业版本的 SSH 输出密钥。 -F hostname 在 known_hosts 文件中搜索指定的 hostname ，并列出所有的匹配项。

 这个选项主要用于查找散列过的主机名/ip地址，还可以和 -H 选项联用打印找到的公钥的散列值。 -f filename

 指定密钥文件名。 -G output_file

 为 DH-GEX 产生候选素数。这些素数必须在使用之前使用 -T 选项进行安全筛选。 -g 在使用 -r 打印指纹资源记录的时候使用通用的 DNS 格式。 -H 对 known_hosts 文件进行散列计算。这将把文件中的所有主机名/ip地址替换为相应的散列值。

 原来文件的内容将会添加一个".old"后缀后保存。这些散列值只能被 ssh 和 sshd 使用。

 这个选项不会修改已经经过散列的主机名/ip地址，因此可以在部分公钥已经散列过的文件上安

 全使用。 -i 读取未加密的SSH-2兼容的私钥/公钥文件，然后在 stdout 显示OpenSSH兼容的私钥/公钥。

 该选项主要用于从多种商业版本的SSH中导入密钥。 -l 显示公钥文件的指纹数据。它也支持 RSA1 的私钥。

 对于RSA和DSA密钥，将会寻找对应的公钥文件，然后显示其指纹数据。 -M memory

 指定在生成 DH-GEXS 候选素数的时候最大内存用量(MB)。 -N new_passphrase

 提供一个新的密语。 

-P passphrase 提供(旧)密语。

 -p 要求改变某私钥文件的密语而不重建私钥。程序将提示输入私钥文件名、原来的密语、以及两次

 输入新密语。 

-q 安静模式。用于在 /etc/rc 中创建新密钥的时候。

 -R hostname 从 known_hosts 文件中删除所有属于 hostname 的密钥。 

 这个选项主要用于删除经过散列的主机(参见 -H 选项)的密钥。 -r hostname 

 打印名为 hostname 的公钥文件的 SSHFP 指纹资源记录。 -S start 

 指定在生成 DH-GEX 候选模数时的起始点(16进制)。 -T output_file 

 测试 Diffie-Hellman group exchange 候选素数(由 -G 选项生成)的安全性。 -t type 

 指定要创建的密钥类型。可以使用："rsa1"(SSH-1) "rsa"(SSH-2) "dsa"(SSH-2) -U reader 

 把现存的RSA私钥上传到智能卡 reader -v 详细模式。ssh-keygen 将会输出处理过程的详细调试信息。常用于调试模数的产生过程。 

 重复使用多个 -v 选项将会增加信息的详细程度(最大3次)。 -W generator 

 指定在为 DH-GEX 测试候选模数时想要使用的 generator -y 读取OpenSSH专有格式的公钥文件，并将OpenSSH公钥显示在 stdout 上。 模数生成 

 ssh-keygen 可以生成用于 Diffie-Hellman Group Exchange (DH-GEX) 协议的 groups 。 

 生成过程分为两步： 

 首先，使用一个快速且消耗内存较多的方法生成一些候选素数。然后，对这些素数进行适应性测试(消耗

 CPU较多)。 可以使用 -G 选项生成候选素数，同时使用 -b 选项制定其位数。例如： # ssh-keygen -G moduli-2048.candidates -b 2048 默认将从指定位数范围内的一个随机点开始搜索素数，不过可以使用 -S 选项来指定这个随机点(16进制)。 生成一组候选数之后，接下来就需要使用 -T 选项进行适应性测试。 

 此时 ssh-keygen 将会从 stdin 读取候选素数(或者通过 -f 选项读取一个文件)，例如： # ssh-keygen -T moduli-2048 -f moduli-2048.candidates 每个候选素数默认都要通过 100 个基本测试(可以通过 -a 选项修改)。 

 DH generator 的值会自动选择，但是你也可以通过 -W 选项强制指定。有效的值可以是： 2, 3, 5 经过筛选之后的 DH groups 就可以存放到 /etc/ssh/moduli 里面了。 

 很重要的一点是这个文件必须包括不同长度范围的模数，而且通信双方双方共享相同的模数。 文件 

 ~/.ssh/identity 

 该用户默认的 RSA1 身份认证私钥(SSH-1)。此文件的权限应当至少限制为"600"。 

 生成密钥的时候可以指定采用密语来加密该私钥(3DES)。 

 ssh(1) 将在登录的时候读取这个文件。 ~/.ssh/identity.pub 

 该用户默认的 RSA1 身份认证公钥(SSH-1)。此文件无需保密。 

 此文件的内容应该添加到所有 RSA1 目标主机的 ~/.ssh/authorized_keys 文件中。 ~/.ssh/id_dsa 

 该用户默认的 DSA 身份认证私钥(SSH-2)。此文件的权限应当至少限制为"600"。 

 生成密钥的时候可以指定采用密语来加密该私钥(3DES)。 

 ssh(1) 将在登录的时候读取这个文件。 ~/.ssh/id_dsa.pub 

 该用户默认的 DSA 身份认证公钥(SSH-2)。此文件无需保密。 

 此文件的内容应该添加到所有 DSA 目标主机的 ~/.ssh/authorized_keys 文件中。 ~/.ssh/id_rsa 

 该用户默认的 RSA 身份认证私钥(SSH-2)。此文件的权限应当至少限制为"600"。 

 生成密钥的时候可以指定采用密语来加密该私钥(3DES)。 

 ssh(1) 将在登录的时候读取这个文件。 ~/.ssh/id_rsa.pub 

 该用户默认的 RSA 身份认证公钥(SSH-2)。此文件无需保密。 

 此文件的内容应该添加到所有 RSA 目标主机的 ~/.ssh/authorized_keys 文件中。 /etc/ssh/moduli 

 包含用于 DH-GEX 的 Diffie-Hellman groups 。文件的格式在 moduli(5) 手册页中描述。 参见 ssh(1), ssh-add(1), ssh-agent(1), moduli(5), sshd(8) The Secure Shell (SSH) Public Key File Format, RFC 4716, 2006. 作者 OpenSSH is a derivative of the original and free ssh 1.2.12 release by 

 Tatu Ylonen. Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, Theo 

 de Raadt and Dug Song removed many bugs, re-added newer features and 

 created OpenSSH. Markus Friedl contributed the support for SSH protocol 

 versions 1.5 and 2.0. OpenBSD 4.2 May 31, 2007 5