Linux之路 — SSH篇

 转载自庆亮的博客-webgame架构

本文链接地址: Linux之路 — SSH篇

       需要的windows软件：SecureCRT，WinSCP

一、前言

        即使Linux本身的安全性已经相当好，我们仍然需要在实际操作中关注某些安全要点。目前大部分的Linux管理都采用远程控制来进行，如果保证远程控制中数据的安全是一个合格的linux管理员必须熟悉的技能。

        各种黑客行为、尝试给我们的网络带来了大量的破坏，但不可否认这些行为和尝试也给计算机安全带来了极大的促进。从理论上来说，网络传输中任何对称加密算法都是不安全的，所以我们在日常的linux管理中应该采用非对称加密算法来进行权限验证。SSH是一种加密传输数据的方式（不同于telnet等的明文数据传输），是目前最通用的linux远程安全控制方案，它提供两种认证方式：密码认证和密匙认证。关于非对称加密的相关知识请看http://baike.baidu.com/view/554866.htm

       本文以Centos 5.3 为例并假设你已经有一个安装好的Linux主机或者虚拟机，我这里采用的是虚拟机。

二、用户配置

平时我们为了安全一般不采用root直接登录到服务器，实际上多数的维护操作并不需要root权限，过多的权限可能只会带来更多的麻烦，通常我们只在需要时才su。那么如何进行日常的维护操作呢？

1. 添加一个用于维护的账号， # useradd centosadmin， 为centosadmin设置密码， # passwd centosadmin，请记好你的密码

2.将该用户添加到wheel组。为什么？ 为了操作安全，我们需要只有某个特殊的用户组中用户输入了su -，并且有正确的root密码时才能获得root shell，而其他组的用户即使输入了正确的root密码，也无法获得su shell，而这个特殊的组通常为wheel，这仅仅是一个惯例，你可以自己添加一个组来实现这个功能。

3.配置只有wheel组的用户能够通过su 获得root shell。 # vim /etc/pam.d/su

取消这一行的注释  auth required pam_wheel.so use_uid，然后保存退出

这时可以测试发现，非wheel已经无法通过su获得root shell了。

 

三、密匙

1. # su centosadmin，输入你的密码。 # cd ~ 进入centosadmin的主目录， 建立 .ssh目录（为什么？） 

2. # ssh-keygen -t rsa ，表示使用SSH2协议生成RSA公匙和私匙。

你将看到这行提示  

Enter file in which to save the key (/home/centosadmin/.ssh/id_rsa):

如无特殊需要直接回车即可，然后是设置你的密匙口令

Enter passphrase (empty for no passphrase):

这个是在之后的密匙登录SSH时会用到，一定要记住。

3. 这时你的/home/centosadmin/.ssh/下应该有如下的两个文件

id_rsa  id_rsa.pub

分别是私匙和公匙文件。

4. 下载密匙到本地。  windows下打开winscp（没有这个工具？去下载吧），操作很简单，和FTP工具类似，登录后会自动进入对应用户的主目录

把

id_rsa  id_rsa.pub

都下载到你的本地。

5.重命名公匙文件 #mv id_rsa.pub authorized_keys

 

四、SSH配置

       1.打开SecureCRT， 登录到linux，现在还没有配置SSH，而SSH默认是密码认证的方式验证的，所以直接输入用户名密码即可。

       2.如果你是非root用户登录，请在连接终端下输入 su – 获得root权限，因为SSH的配置需要有管理员权限。

      3. 开始编辑ssh的配置文件

       [root@localhostCentos ~]# vim /etc/ssh/sshd_config

      4.一次修改配置如下

PermitEmptyPasswords no代表不允许空密码登录

PasswordAuthentication no 代表不采用密码认证方式

PubkeyAuthentication yes 表示采用key文件方式认证

AuthorizedKeysFile    .ssh/authorized_keys 表示对用用户的公匙文件放置的位置，文件默认相对的是对应用户的主目录。（看到这里我们就明白了为什么我们上面的操作中要建立.ssh目录，要重命名公匙文件了）

PermitRootLogin no 表示不允许root直接远程登录（这一部分之后会说明）

重启SSHD服务，你可以通过下面的命令完成。 # /etc/rc.d/init.d/sshd restart 或者 # service sshd restart

五、登录
1.  退出当前的所有连接，重新登录Linux主机，记住前面我们已经设置不允许root直接远程，而是用centosadmin这个管理账号来登录。

2.SecureCRT提示你需要公匙文件，选择你的公匙文家，如果一切正常，此时会提示你输入你的密匙口令（还记得在哪里设置的吗？），OK！已经进入了。此时你的权限是centosadmin的用户权限，可以试试通过su看看能不能获得root shell。

 

六、文件传输

为了安全我们通常关闭所有不必要的服务，如果不需要频繁的传输大文件，利用SSH来传输文件是个非常安全的选择。需要工具 winscp和putty 的key-gen，为什么又多了一个工具？因为winscp是无法直接使用我们在服务器生成的密匙文件的， 需要使用putty的key-gen将我们现有的密匙文件转化成ppk格式。

打开PuTTYGen，选择load，文件类型选择all files，选择你从服务器上下载的私匙文件，这时会要求你输入密匙口令：

确认密码后弹出

点击确定，点击 save private key，保存ppk文件到你本地（U盘最佳）。

打开WINScp，密匙选择你刚刚保存的ppk文件

登录，再次要求输入密匙口令，输入口令，OK！