保障數據安全 架設配置SSH伺服器教程

火星人 @ 2014-03-03 , reply:0


保障數據安全 架設配置SSH伺服器教程

SSH的英文全稱是Secure SHell,它可以分為兩個部分——伺服器端和客戶端。SSH客戶端與伺服器端通訊時,用戶名和密碼均進行了加密,這就有效地防止了他人對密碼的盜取。而且通信中所傳送的數據包都是「非明碼」方式的。正因為SSH採用加密的傳輸方式,即使數據被竊取,對該數據解密也不是一件很容易的事,所以使用SSH服務遠程維護伺服器是非常安全的。

一、安裝啟動SSH伺服器

下面以Windows 2000 Server為例介紹SSH伺服器的安裝,可在SSH伺服器端使用「F-Secure SSH Server」軟體,它的安裝非常簡單,和一般軟體安裝沒什麼區別。安裝完成後,需要啟動「SSH Server」服務,這一過程比較複雜,這裡介紹三種啟動「SSH Server」的方法。

1、使用批處理文件

在伺服器端安裝目錄下有兩個批處理文件「start-ssh.bat」和「stop-ssh.bat」。運行「start-ssh.bat」文件就可以啟動SSH服務,要停止該服務只要執行「stop-ssh.bat」文件即可。

2、使用SSH服務配置程序

在安裝目錄下,運行「fsshconf.exe」程序,它雖是SSH伺服器的配置程序,但也可以用來啟動和停止SSH服務。在彈出的「F-Secure SSH Server Configuration」窗口中,點擊左面列表框中的「Server Settings」后,在右邊的「Service status」欄中會顯示伺服器狀態按鈕,如果伺服器是停止狀態,則按鈕顯示為「Start service」,點擊該按鈕就可啟動SSH服務,再次點擊可停止SSH服務。

3、使用NET命令

在伺服器端的「命令提示符」窗口中,輸入「net start ″F-secure SSH Server″」命令,就可以啟動SSH服務,要停止該服務,輸入「net stop ″F-Secure SSH Server″」命令即可。其中「F-Secure SSH Server」為SSH伺服器名,「net start」和「net stop」為Windows系統啟動和停止系統服務所使用的命令。

提示:啟動了SSH服務后,一定要關閉Telnet服務,這樣伺服器就處在安全環境之中了,不用再怕數據被竊取。

二、合理設置SSH伺服器參數

啟動SSH服務后,網路管理員就可以遠程登錄伺服器進行維護了。但是每個區域網使用SSH服務的需求是不同的,因此默認的服務參數未必能滿足需要,那麼我們就可以自行設置這些參數。

1、基本參數設置

運行「fsshconf.exe」服務配置程序,在彈出的「F-Secure SSH Server Configuration」窗口左欄中,依次選擇「Server Settings→General」,然後在右邊的「General」框體中就可以對參數進行設置了。

在「Maximum number of connections」欄中輸入合適的數值,對連接到SSH伺服器的最大用戶數進行限制,在這裡我們可根據需要進行設置,如輸入「50」,則只允許50個用戶同時連接SSH伺服器。「Event log filter」多選框用來定義系統日誌記錄哪些信息,我們可採用默認設置,勾選「Errors」和「Warnings」兩項即可,建議大家不要勾選「Information」,否則會浪費系統資源。「Idle timeout」是用戶遠程登錄的超時時間設置,默認為「0」,就是不進行登錄超時限制。

大家可能還記得FTP伺服器的個性化的登錄信息,SSH伺服器也一樣可以做到。首先編寫一個登錄信息文本文件保存在文件夾中,然後點擊「Banner message file」欄的瀏覽按鈕,指定已編寫好的文本文件即可,這樣用戶遠程登錄時就能看到這些個性化的信息了。最後,大家一定要記住點擊「Apply」按鈕保存參數設置。

2、網路參數設置

在「F-Secure SSH Server Configuration」窗口左欄中點擊「Network」選項,SSH伺服器默認使用的是「22」埠,當然也可以自定義埠號(注意,SSH伺服器使用的埠號一定不能和伺服器上別的程序的埠號衝突)。在「Port」欄中輸入想使用的埠號即可,其他的參數設置建議使用默認值。

點擊「Identity」選項,在右欄中,我們可以使伺服器重新產生新的用戶加密密鑰和對外公開使用的公鑰,它們分別存放在安裝文件夾的「hostkey」和「hostkey.pub」文件中,點擊「Generate」按鈕就可以重新生成這兩個文件。

提示:SSH伺服器產生一對密鑰和公鑰。客戶端使用公鑰對SSH伺服器發送來的信息進行解密。當用戶第一次登錄SSH伺服器時,伺服器會將它的公鑰發送給客戶端,以便客戶機能對伺服器發送的信息進行解密。

3、主機限制參數設置

點擊「Host Restrictions」選項,在右欄中就可以對遠程登錄的計算機進行限制設置。例如,不允許IP地址為「192.168.0.2」的客戶機遠程登錄SSH伺服器,在「Deny login from hosts」輸入框中輸入「192.168.0.2」,然後點擊「Apply」按鈕即可。
提示:SSH伺服器還有很多參數就不詳細介紹了,大部分參數使用默認值即可。SSH伺服器的參數保存在「sshd2_config」文件中,用戶也可以用記事本打開它,直接進行編輯,但這種方法比較麻煩,建議大家不要使用。

三、SSH客戶端軟體的使用

1、連接SSH伺服器

客戶端使用「F-Secure SSH Client」程序,它的安裝也很簡單。安裝完成後,運行桌面上的客戶端程序,彈出「F-Secure SSH Client」主窗口,點擊工具欄中的「Connect」(連接)按鈕,彈出「Connect to Remote Host」對話框。

首先,在「Host name or IP address」欄中輸入SSH伺服器的地址,如輸入它的IP地址「218.22.123.26」。其次,在「User Name」欄中輸入SSH伺服器的管理員賬號名,在「Port」欄中輸入SSH伺服器使用的埠號。最後,點擊「Connect」按鈕即可連接SSH伺服器。

此時,如果用戶是第一次遠程登錄SSH伺服器,則會彈出「是否將SSH伺服器公鑰保存在本地資料庫中」的提示框,點擊「是」按鈕,接著彈出「請輸入密碼」對話框,輸入管理員賬號、密碼后,點擊「OK」按鈕,就可以登錄到SSH伺服器,對伺服器進行遠程維護了。

提示:SSH客戶端也會產生用戶的加密密鑰和公鑰,客戶端在第一次登錄時,會將產生的公鑰複製到SSH伺服器上的用戶目錄中,以便伺服器能對客戶端發送的信息進行解密。用戶目錄在伺服器上的存儲路徑為「C\Documents and Settings\用戶名\」(假設操作系統是安裝在C盤中)。

2、文件傳輸功能

SSH伺服器不但提供了遠程登錄功能,還提供了文件傳輸功能。點擊「F-Secure SSH Client」主窗口的文件傳輸按鈕后,則可彈出文件傳輸窗口,以進行文件的傳輸。在「Local Folders」欄中選擇一個本地文件,然後將它拖到「Remote Folders」欄中的SSH伺服器上用戶的主目錄中即可,在窗口底部的狀態欄中會顯示文件的傳輸狀態。

提示:客戶端連接SSH伺服器時,SSH伺服器提供兩種級別的安全驗證。第一種級別基於用戶賬號密碼的安全驗證,只要知道賬號和密碼就可以登錄到SSH伺服器;第二種級別基於密鑰的安全驗證,客戶端必須為自己創建一對密鑰,並把公用密鑰傳送到SSH伺服器上,這樣就有效地保證了客戶端和伺服器端數據的安全傳輸。




[火星人 via ] 保障數據安全 架設配置SSH伺服器教程已經有158次圍觀

http://www.coctec.com/docs/service/show-post-2669.html