这篇文章的中心是介绍在ssh软件包中非常有用的程序如:sftp,scp,ssh-agent,和ssh-add。
在下文中我们假设sshd2守护进程很好地被设置并且运行良好。
Sftp和scp总览
让我们把注意力集中到sftp和scp上。
第一个(sftp安全文件传输)是一个类ftp的客户端程序,它能够被用来在网络中传输文件。
它并不使用FTP守护进程(ftpd或wu-ftpd)来进行连接,而是有意义地增强系统的安全性。
实际上,通过监视一些系统中的log文件,我们可以注意到最近一个月中有80%的攻击是针对于ftpd守护进程的。
sftp避免了这些攻击从而可以停止在wu-ftpd上潜在的危险。
第二个(scp安全性复制)被用来在网络上安全地复制文件。它替代了不安全的rcp命令。
Sftp和scp从连接到sshd服务器上后,不需要任何专用的守护进程。为了使用sftp和scp你必须插入以下两行在配置文件/etc/ssh2/sshd2_config中:
subsystem-sftp sftp-server
在这些修改之后,你必须重新启动sshd.
然后你就可以使用sftp和scp连接到运行sshd的主机上了。
Sftp
Sftp使用在数据连接上使用ssh2,所以文件的传输是尽可能地安全。
使用sftp代替ftp两个主要的的原因是:
1、Password从不用明文传输,防止sniffer(嗅探器)的攻击。
2、数据在传输时被加密,使用刺探和修改连接非常困难。
而使用sftp2是非常简单的。让我们假设你使用了你的帐户:myname通过sftp连按上了主机host1。
可以使用命令:
sftp myname@host1
一些选项能够在命令行中被指定(详细情况请查看sftp manul)
当sftp2准备好了来接受连接时,它将显示一个状态提示符 sftp>。在sftp手册中有完整的用户可以使用的命令列表;其中有:
·quit:
从这个应用程序中退出。
·cd directory:
改变当前的远程工作目录。
·lcd directory:
改变当前的本地工作目录。
·ls [ -R ] [ -l ] [ file ... ]:
列出在远地服务器上的文件名。如果是目录,则列出目录的内容。当命令行中指定了-R,则递归地显示目录树。
(默认情况下,子目录并不被访问)。当命令行中指定了-l,文件与目录的权限,属主,大小和修改时间被列出。
当没有参数被指定,则.(当前目录)的内容被列出。普通情况下选项-R和-l是互相不兼容的。
·lls [ -R ] [ -l ] [ file ... ]:
与ls一样,但是是对于本地文件操作。
·get [file ...]:
从远程端传送指定的文件到本地端。目录内容被递归地复制。
·put [ file ... ]:
从本地端传送指定的文件到远地端。目录内容被递归地复制。
·mkdir dir (rmdir dir):
尝试建立或删除参数中指定的目录。
通配符对于ls,lls,get和put是支持的。格式在sshregex手册中有描述。
从sftp使用加密技术以来,一直有一个障碍:连接速度慢(以我的经验有2-3倍),但是这一点对于非常好的安全性来讲只能放在一边了。在一个测试中,在我们局域网上的Sniffer可以在一个小时中捉住ftp连接上的4个password.
sftp的使用可以从网络上传送文件并且除去这些安全问题。
Scp
Scp2(安全性复制)被用来从网络上安全地复制文件。它使用ssh2来进行数据传送:它使用的确认方式和提供的安全性与ssh2一样。
这可能是一种最简单的方法从远地机器上复制文件了。让我们假设你要使用你的帐户mmyname,复制在local_dir目录中的filename
文件到远地的主机host1上的remote_dir目录中。使用scp你可以输入:
scp local_dir/filename myname@host1:remote_dir
在这种方式下文件filename被复制成相同的名字。通配符可以使用(读一读sshregex手册)。命令行:
scp local_dir/* myname@host1:remote_dir
从目录local_dir复制所有文件到主机host1的目录remote_dir命令:
scp myname@host1:remote_dir/filename .
复制文件filename从host1的目录remote_dir到本地目录。
scp支持许多选项并且允许在两个远地系统之间复制文件:
scp myname@host1:remote_dir/filename myname@host2:another_dir
详情请查阅手册
显然,使用scp,你必须知道远程机器的确切目录,所以在实际上sftp经常被作为首选使用。
ssh 密钥管理
ssh软件包包含两个非常有用的程序来管理确认密钥,允许用户连接到一个远程系统而无须指定password。这些程序是ssh-agent和ssh-add。
ssh-agent
从ssh-agent我们可以读到:“ssh-agent2是一个保持确认私有密钥的程序。ssh-agent2在X对话或login对话的开端被启动,并且所有的其它窗口或程序以ssh-agent2程序的子程序的形式被启动。程序在代理从另一个代理继承一个连接时被启动,并且,当登录到其它机器使用ssh时,这个代理被自动地使用到公共密钥确认中。”
根据你使用xdm的与否,有两种不同的使用ssh-agent的方法。
如果使用xdm,你需要编辑 .xsession文件,在$HOME目录中。有两种可能的过程:
复制 .xsession到.xsession-stuff并且修改.xession:
exec ssh-agent ./.xsession-stuff
或者你需要编辑.xsession文件并且搜索每一行表达式包含""exec program""。修改成exec ssh-agent program。
然后退出并重新启动。ssh-agent将把X-session作为它的一个子进程启动,并且等待ssh密钥插入到它的数据库中。
如果xdm不被使用,那么ssh-agent的使用是非常简单的,因为你可以启动你的X使用以下命令:
ssh-agent startx
这样就可以运行ssh-agent了。
ssh-add
每当ssh-agent正常运行了,你可以在它的数据库中使用命令ssh-add加入新的身份信息。你只可以加入某些个祖先ssh-agent的子进程的身份信息,否则将会出错:
Failed to connect to authentication agent - agent not running?
使用ssh-add是非常简单的:从命令行输入:
ssh-add
ssh-add扫描文件$home/.ssh2/身份信息,它包含了私人的密钥。如果这个文件不存在,则设定一般情况下的私人信息文件(如:$HOME/.ssh2/id_dsa_1024_a)。
如果一个公共密钥文件需要一个暗号,ssh-add会询问这个暗号:
Adding identity: /home/matt/.ssh2/id_dsa_1024_a.pub
Need passphrase for /home/matt/.ssh2/id_dsa_1024_a (..)
Enter passphrase:
你可以从agent那儿获得所有的帐户身份通过命令ssh-add -l:
Listing identities.
The authorization agent has one key:
id_dsa_1024_a: 1024-bit dsa, (...)
结论和一些有用的链接
许多telnet,rlogin,ftp的用户可以没有认识到它们的password在网络传送过程中是没有被加密的,但是,使用一些安全的协议可以保证在不安全的网络上的传输安全。SSH,对于所有的传输都加了密,有效地防止了偷听,抢劫连接和其它网络攻击。
这些文章只是介绍ssh软件包的,可以在ssh,sshd和sftp的手册中找到更多有用的东西。你可以从http://www.ssh.com/products/ssh/得到ssh软件包,你可以从http://www.ssh.com/tech/中得到更多的SSH的技术内容和加密技术。你也可以从http://www.openssh.com/得到openssh的SSH协议诉可执行文件。轻便版本在http://www.openssh.com/portable.html.你也可以从http://www.openssh.com/faq.html得到SSH的FAQ。