Linux 実装ベースのセキュリティ認証キーの下
------- OpenSSHの+のWinSCP +パテキージェネレータ+パテ
実験的背景:
現在、同社は通常、企業は今、リモートクライアントによって要求され、誰もが入らないようにして、これらのサーバーは安全な場所に配置されているので、様々なサーバ(FTP、DNS、Apacheのは、Sendmailの、サンバ)を構築するためのLinuxを使用するための小さな約束を持っていますこれらのサーバーへの安全なアクセスを終了します。
SSHは、標準的なネットワークプロトコルであるほとんどのUNIXオペレーティングシステムで使用することができ、文字は、クリアテキストのTelnetの伝送に関して、暗号文データ伝送ネットワークの形で、デフォルトのポート番号22を使用してリモートからログインインタフェースを、管理することができますより高度なセキュリティ。
SSHは、2つのユーザーパスワードと認証キーを提供し、暗号文データで送信され、どちらも、違いは、ユーザーの認証パスワードの送信は十分持っているために必要とされるパスワード、ユーザーのアカウント名とパスワードであるということですより高いセキュリティを持っているために複雑。セキュリティは、自分自身のためのユーザー認証キーの鍵のペアに基づいて作成され、サーバー上の共有キーは、アクセスする必要がなければなりません。SSHサーバに接続する必要が、クライアント・ソフトウェアがサーバにリクエストを送信する場合は、クライアントの要求は、セキュア認証用のキーを使用します。サーバがリクエストを受信した後、最初のユーザのルートディレクトリに共通鍵を探し、その後、公開鍵比較の上にそれを送信します。もし同じ2つのキー、サーバー「挑戦」と公開鍵暗号化、およびクライアントソフトウェア(puetty)に送信します。クライアントが挑戦を受けた後、それを解読して、ローカルの秘密鍵を使用してサーバに送信することができます。このアプローチはかなり安全です。
実験ネットワークトポロジ:
実験手順:
まず、 のOpenSSHのインストールと設定ソフトウェアを
RHEL4 OpenSSHサーバシステムおよびクライアントソフトウェアではデフォルトでインストールされるため、手動でインストールするには、ユーザを必要としません。ない場合は、サービスに関連するOpenSSHのパッケージは2番目のインストールCD-ROMが含まれ、rpmコマンドでインストールすることができます。
在RHEL4中,与OpenSSH服务相关的配置文件都保存在目录“/etc/ssh”中,其中sshd_config是SSH服务器的配置文件,ssh_config是SSH客户机的配置文件。本实验通过在Windows使用puetty登录,因此不需要配置ssh_config。只需要配置sshd_config即可。
在sshd_config文件中将下面的三行注释去掉即可。
RSAAuthentication yes 开启RSA加密功能
PubkeyAuthentication yes 开启公钥验证功能
AuthorizedKeysFile 指定公钥的文件名称以及保存位置
配置完成之后,需要重启sshd服务程序,以便新的配置生效。
在SSH服务器端(客户机端也可以,最好在客户机端生成,然后将公钥上传到对应的目录中,这样比较安全)生成公钥和私钥对。
ssk-keygen命令用于生成当前用户的密钥对。
-t rsa 命令选项指定密钥的类型为rsa。
-b 1024 命令选项指定密钥的长度为1024位。
在ssh-keygen命令生成密钥的执行过程中,需要用户回答相关的设置信息,第一个为私钥的默认路径,第二个为私钥的密码,第三个为私钥的再次密码确认。
ssh-keygen命令执行完毕后会在用户宿主目录的“.ssh”目录中生成两个文件,其中id_rsa是用户私钥文件,id_rsa.pub是用户的公钥文件,这两个文件是通过ssh_keygen命令一次生成,并且需要配对使用的。
由于生成的公钥名称与指定的公钥名称不符,因此需要将生成的文件名换成authorized_keys即可。
二、 安全使用WinSCP软件导出用户私钥
由于需要将私钥文件id_rsa拷贝到用户的主机上,而且还要删除服务器上的私钥,这样可以保证私钥的唯一性。如果通过Samba或者FTP服务器都可能造成私钥的丢失,因此需要采用安全的方式访问Linux服务器。WinSCP是Windows下的scp和sftp客户端程序,安装完WinSCP软件之后,开启WinSCP软件会出现与PuTTY类似的配置对话框,在该对话框中输入SSH服务器的主机名(IP地址)和端口号,用户名和密码(口令),并选择“登录”按钮进入登录,连接的方式是通过密文传输的,安全性极高。
通过WinSCP软件登录上Linux之后,可以将用户的私钥id_rsa先拷贝到自己的主机上,然后将Linux上的私钥删除即可以防后患。
三、 使用PuTTY密钥生成器生成Windows识别的密钥。
由于Linux下生成的密钥直接在Windows下是不能使用的,因此需要使用puTTYgen在Windows客户端生成对应的私钥。
将Linux服务器上下载下来的私钥导入到PuTTY服务器上,选择密钥位数为1024,类型为SSH-2 RSA和服务器上命令ssh-keygen设置的参数对应。
单击“生成”按钮,然后输入密钥使用的密码。
生成之后,单击“保存私钥”到本机上,会生成一个扩展名为ppk文件退出即可。
四、 安装并配置PuTTY软件
在windows中需要安装第三方软件来实现SSH客户端的功能。PuTTY是Windows下最流行的SSH客户端软件,并且还是绿色软件,专门为SSH设置使用的,能够免费使用。下面是打开之后的主界面。
在会话一栏输入主机名称对应的IP地址,端口号为22,协议类型为SSH。
在认证一栏中导入PuTTY密钥生成器生成的密钥。
然后保存会话并打开。输入用户名root,然后输入私钥的密钥即可。
SSHは、暗号化された送信モード、SSHログインに直接実行するには、デフォルトのrootユーザーを使用しているので、セキュリティのためにあなたが直接SSHログインを禁止rootユーザを設定することができます必要があります。
「PermitRootLoginをyes」とsshd_configの設定ファイルを削除し、上記のコメントでは、と「はい」と「いいえ」へ。設定上のsshd_configしたら、sshdサービスを再起動することができます。
ログインはログインがあるパテでLinuxのパスワードを使用して見つけることができなかった設定結果「ノーのPermitRootLogin」。
ます。https://www.cnblogs.com/caly/archive/2012/08/21/2648617.htmlで再現