Linux装配和配置OpenSSH

Linux安装和配置OpenSSH

许多网络程序，如telnet、rsh、rlogin或rexec，用明文（plain　text）传送口令和秘密的信息，所以就可利用任何连接到网络上的计算机监听这些程序和服务器之间的通信并获取口令和秘密信息。现在，telnet程序对于日常的管理工作是必不可少的，但是它又是不安全的，那么用什么来替代它呢？OpenSSH就是那些过时的、不安全的远程登录程序，如：telnet、rlogin、rsh、rdist或rcp的替代品。　

在OpenSSH的README文件中提到：ssh（Secure　Shell）程序可以通过网络登录到远程主机并执行命令。它提供了很强的安全验证可以在不安全的网络中进行安全的通信。　

我们把OpenSSH配置成支持TCP-Wrappers（inetd超级服务器），这样能够进一步地提高安全性而且也没有必要把OpenSSH作为守护进程（daemon）在后台运行。当客户端的程序提出连接请求的时候，TCP-Wrappers守护进程就会在把连接重定向到OpenSSH之前，对连接请求进行验证和授权。OpenSSH是自由软件而且使用不受专利保护的加密算法。因此，我建议你使用OpenSSH（免费而且修正了一些bug），而不使用SSH1（免费但是有bug）和SSH2（现在使用商用的许可协议）。　

注意事项　

下面所有的命令都是Unix兼容的命令。　

源路径都为“/var/tmp”（当然在实际情况中也可以用其它路径）。　

安装在RedHat　Linux　6.1和6.2下测试通过。　

要用“root”用户进行安装。　 OpenSSH的版本是1.2.3。　

软件包的来源OpenSSH的主页：http://violet.ibs.com.au/openssh/。　 下载：openssh-1.2.3.tar.gz。　

准备工作

编译OpenSSH需要zlib-devel软件包，这个软件包包括头文件和函数库。编译使用zlib的压缩和解压函数的程序，就要事先安装这个软件包。可以用RedHat　6.1或6.2的光盘安装。　

l　用下面的命令验证一下在系统中是否已经安装了zlib-devel软件包：　

?

#　Site-wide　defaults　for　various　options　 　　Host　*　 　　ForwardAgent　no　 　　ForwardX11　no　 　　RhostsAuthentication　no　 　　RhostsRSAAuthentication　no　 　　RSAAuthentication　yes　 　　PasswordAuthentication　yes　 　　FallBackToRsh　no　 　　UseRsh　no　 　　BatchMode　no　 　　CheckHostIP　yes　 　　StrictHostKeyChecking　no　 　　IdentityFile　~/.ssh/identity　 　　Port　22　 　　Cipher　blowfish　 　　EscapeChar　~　

下面逐行说明上面的选项设置：　

Host　*:选项“Host”只对能够匹配后面字串的计算机有效。“*”表示所有的计算机。　

ForwardAgent　n“ForwardAgent”设置连接是否经过验证代理（如果存在）转发给远程计算机。　ForwardX11　n“ForwardX11”设置X11连接是否被自动重定向到安全的通道和显示集（DISPLAY　set）。　

RhostsAuthentication　n“RhostsAuthentication”设置是否使用基于rhosts的安全验证。　

RhostsRSAAuthentication　n“RhostsRSAAuthentication”设置是否使用用RSA算法的基于rhosts的安全验证。　

RSAAuthentication　yes:“RSAAuthentication”设置是否使用RSA算法进行安全验证。　

PasswordAuthentication　yes:“PasswordAuthentication”设置是否使用口令验证。　

FallBackToRsh　n“FallBackToRsh”设置如果用ssh连接出现错误是否自动使用rsh。　

UseRsh　n“UseRsh”设置是否在这台计算机上使用“rlogin/rsh”。　

BatchMode　n“BatchMode”如果设为“yes”，passphrase/password（交互式输入口令）的提示将被禁止。当不能交互式输入口令的时候，这个选项对脚本文件和批处理任务十分有用。　

CheckHostIP　yes:“CheckHostIP”设置ssh是否查看连接到服务器的主机的IP地址以防止DNS欺骗。建议设置为“yes”。　

StrictHostKeyChecking　n“StrictHostKeyChecking”如果设置成“yes”，ssh就不会自动把计算机的密匙加入“$HOME/.ssh/known_hosts”文件，并且一旦计算机的密匙发生了变化，就拒绝连接。

<script src="http://www.5dlinux.com/cop.js"></script>Linux学习网收集整理 ,转贴请标明原始链接。