SSH软件包：Sftp,scp和ssh-agent

 这篇文章的中心是介绍在ssh软件包中非常有用的程序如：sftp，scp，ssh-agent，和ssh-add。

　　在下文中我们假设sshd2守护进程很好地被设置并且运行良好。

　　Sftp和scp总览

　　让我们把注意力集中到sftp和scp上。

　　第一个（sftp安全文件传输）是一个类ftp的客户端程序，它能够被用来在网络中传输文件。

　　它并不使用FTP守护进程（ftpd或wu-ftpd）来进行连接，而是有意义地增强系统的安全性。

　　实际上，通过监视一些系统中的log文件，我们可以注意到最近一个月中有80%的攻击是针对于ftpd守护进程的。

　　sftp避免了这些攻击从而可以停止在wu-ftpd上潜在的危险。

　　第二个（scp安全性复制）被用来在网络上安全地复制文件。它替代了不安全的rcp命令。

　　Sftp和scp从连接到sshd服务器上后，不需要任何专用的守护进程。为了使用sftp和scp你必须插入以下两行在配置文件/etc/ssh2/sshd2_config中：

　　subsystem-sftp sftp-server

　　在这些修改之后，你必须重新启动sshd.

　　然后你就可以使用sftp和scp连接到运行sshd的主机上了。

　　Sftp

　　Sftp使用在数据连接上使用ssh2，所以文件的传输是尽可能地安全。

　　使用sftp代替ftp两个主要的的原因是：

　　1、Password从不用明文传输，防止sniffer（嗅探器）的攻击。

　　2、数据在传输时被加密，使用刺探和修改连接非常困难。

　　而使用sftp2是非常简单的。让我们假设你使用了你的帐户：myname通过sftp连按上了主机host1。

　　可以使用命令：

　　sftp myname@host1

　　一些选项能够在命令行中被指定（详细情况请查看sftp manul）

　　当sftp2准备好了来接受连接时，它将显示一个状态提示符 sftp>。在sftp手册中有完整的用户可以使用的命令列表；其中有：

　　·quit:

　　从这个应用程序中退出。

　　·cd directory:

　　改变当前的远程工作目录。

　　·lcd directory:

　　改变当前的本地工作目录。

　　·ls [ -R ] [ -l ] [ file ... ]:

　　列出在远地服务器上的文件名。如果是目录，则列出目录的内容。当命令行中指定了-R，则递归地显示目录树。

　　（默认情况下，子目录并不被访问）。当命令行中指定了-l，文件与目录的权限，属主，大小和修改时间被列出。

　　当没有参数被指定，则.（当前目录）的内容被列出。普通情况下选项-R和-l是互相不兼容的。

　　·lls [ -R ] [ -l ] [ file ... ]:

　　与ls一样，但是是对于本地文件操作。

　　·get [file ...]:

　　从远程端传送指定的文件到本地端。目录内容被递归地复制。

　　·put [ file ... ]:

　　从本地端传送指定的文件到远地端。目录内容被递归地复制。

　　·mkdir dir (rmdir dir):

　　尝试建立或删除参数中指定的目录。

　　通配符对于ls,lls,get和put是支持的。格式在sshregex手册中有描述。

　　从sftp使用加密技术以来，一直有一个障碍：连接速度慢（以我的经验有2-3倍），但是这一点对于非常好的安全性来讲只能放在一边了。在一个测试中，在我们局域网上的Sniffer可以在一个小时中捉住ftp连接上的4个password.

　　sftp的使用可以从网络上传送文件并且除去这些安全问题。

　　Scp

　　Scp2（安全性复制）被用来从网络上安全地复制文件。它使用ssh2来进行数据传送：它使用的确认方式和提供的安全性与ssh2一样。

　　这可能是一种最简单的方法从远地机器上复制文件了。让我们假设你要使用你的帐户mmyname，复制在local_dir目录中的filename

　　文件到远地的主机host1上的remote_dir目录中。使用scp你可以输入：

　　scp local_dir/filename myname@host1:remote_dir

　　在这种方式下文件filename被复制成相同的名字。通配符可以使用（读一读sshregex手册）。命令行：

　　scp local_dir/* myname@host1:remote_dir

　　从目录local_dir复制所有文件到主机host1的目录remote_dir命令：

　　scp myname@host1:remote_dir/filename .

　　复制文件filename从host1的目录remote_dir到本地目录。

　　scp支持许多选项并且允许在两个远地系统之间复制文件：

　　scp myname@host1:remote_dir/filename myname@host2:another_dir

　　详情请查阅手册

　　显然，使用scp，你必须知道远程机器的确切目录，所以在实际上sftp经常被作为首选使用。

　　ssh 密钥管理

　　ssh软件包包含两个非常有用的程序来管理确认密钥，允许用户连接到一个远程系统而无须指定password。这些程序是ssh-agent和ssh-add。

　　ssh-agent

　　从ssh-agent我们可以读到：“ssh-agent2是一个保持确认私有密钥的程序。ssh-agent2在X对话或login对话的开端被启动，并且所有的其它窗口或程序以ssh-agent2程序的子程序的形式被启动。程序在代理从另一个代理继承一个连接时被启动，并且，当登录到其它机器使用 ssh时，这个代理被自动地使用到公共密钥确认中。”

　　根据你使用xdm的与否，有两种不同的使用ssh-agent的方法。

　　如果使用xdm，你需要编辑 .xsession文件，在$HOME目录中。有两种可能的过程：

　　复制 .xsession到.xsession-stuff并且修改.xession：

　　exec ssh-agent ./.xsession-stuff

　　或者你需要编辑.xsession文件并且搜索每一行表达式包含"exec program"。修改成exec ssh-agent program。

　　然后退出并重新启动。ssh-agent将把X-session作为它的一个子进程启动，并且等待ssh密钥插入到它的数据库中。

　　如果xdm不被使用，那么ssh-agent的使用是非常简单的，因为你可以启动你的X使用以下命令：

　　ssh-agent startx

　　这样就可以运行ssh-agent了。

　　ssh-add

　　每当ssh-agent正常运行了，你可以在它的数据库中使用命令ssh-add加入新的身份信息。你只可以加入某些个祖先ssh-agent的子进程的身份信息，否则将会出错:

　　Failed to connect to authentication agent - agent not running?

　　使用ssh-add是非常简单的：从命令行输入：

　　ssh-add

　　ssh-add扫描文件$home/.ssh2/身份信息，它包含了私人的密钥。如果这个文件不存在，则设定一般情况下的私人信息文件（如：$HOME/.ssh2/id_dsa_1024_a）。

　　如果一个公共密钥文件需要一个暗号，ssh-add会询问这个暗号：

　　Adding identity: /home/matt/.ssh2/id_dsa_1024_a.pub

　　Need passphrase for /home/matt/.ssh2/id_dsa_1024_a (..)

　　Enter passphrase:

　　你可以从agent那儿获得所有的帐户身份通过命令ssh-add -l：

　　Listing identities.

　　The authorization agent has one key:

　　id_dsa_1024_a: 1024-bit dsa, (...)

　　结论和一些有用的链接

　　许多telnet,rlogin,ftp的用户可以没有认识到它们的password在网络传送过程中是没有被加密的，但是，使用一些安全的协议可以保证在不安全的网络上的传输安全。SSH，对于所有的传输都加了密，有效地防止了偷听，抢劫连接和其它网络攻击。

　　这些文章只是介绍ssh软件包的，可以在ssh,sshd和sftp的手册中找到更多有用的东西。你可以从http://www.ssh.com/products/ssh/得到ssh软件包(LinuxByte注:本站下载SSH2)，你可以从http://www.ssh.com/tech/中得到更多的SSH的技术内容和加密技术。你也可以从http://www.openssh.com/得到openssh的SSH协议诉可执行文件。轻便版本在http://www.openssh.com/portable.html.你也可以从http://www.openssh.com/faq.html得到SSH的FAQ。

本文来自：http://doc.linuxpk.com/4213.html