一、為何采用SSH
Windows終端服務器、PCAnyWhere這些基于GUI(圖形用戶接口)的遠程管理系統不但會占用大量的服務器資源,而且無法在GUI上完成一些復雜的維護操作,還要在“命令行模式”進行解決。因此,很多網絡管理員使用Telnet服務進行服務器的遠程維護。
但是Telnet服務有一個致命的弱點,它是以明文的方式傳輸用戶名和口令,所以很容易被別有用心的人竊取口令。另外,使用Windows 98客戶機遠程維護服務器時,無法通過Telnet服務器默認的“NTLM身份驗證”,由此可見,Telnet服務也是弊端多多。難道就沒有好的遠程維護方法嗎?當然有,目前有一種可代替Telnet服務的有效工具——SSH服務。
SSH(Secure Shell)服務分為兩部分:服務器端和客戶端。SSH客戶端與服務器端通訊時,用戶名和密碼均進行了加密,這就有效地防止了他人對密碼的盜取。而且通信中所傳送的數據包都是“非明碼”方式的。正因為SSH采用加密傳輸方式,即使數據被竊取,但對該數據解密也不是一件很容易的事,所以使用SSH服務遠程維護服務器是非常安全的。
二、安裝啟動SSH服務器
下面以Windows 2000Server為例介紹SSH服務器的安裝,可在SSH服務器端使用“F-Secure SSH Server”軟件,它的安裝非常簡單,和一般軟件安裝沒什么區別。安裝完成后,需要啟動“SSH Server”服務,這一過程比較復雜,這里介紹三種啟動“SSH Server”的方法。
方法一:使用批處理文件
在服務器端安裝目錄下有兩個批處理文件“start-ssh.bat”和“stop-ssh.bat”。運行“start-ssh.bat”文件就可以啟動SSH服務,要停止該服務只要執行“stop-ssh.bat”文件即可。
方法二:使用SSH服務配置程序
在安裝目錄下,運行“fsshconf.exe”程序,它雖是SSH服務器的配置程序,但也可以用來啟動和停止SSH服務。在彈出的“F-Secure SSH Server Configuration”窗口中,點擊左面列表框中的“Server Settings”后,在右邊的“Service status”欄中會顯示服務器狀態按鈕,如果服務器是停止狀態,則按鈕顯示為“Start service”(圖1),點擊該按鈕就可啟動SSH服務,再次點擊可停止SSH服務。
圖1 SSH服務器配置程序設置窗口
#p#副標題#e#
方法三:使用NET命令
在服務器端的“命令提示符”窗口中,輸入“net start ″F-secure SSH Server″”命令,就可以啟動SSH服務,要停止該服務,輸入“net stop ″F-Secure SSH Server″”命令即可。其中“F-Secure SSH Server”為SSH服務器名,“net start”和“net stop”為Windows系統啟動和停止系統服務所使用的命令。
提示:啟動了SSH服務后,一定要關閉Telnet服務,這樣服務器就處在安全環境之中了,不用再怕數據被竊取。
三、合理設置SSH服務器參數
啟動SSH服務后,網絡管理員就可以遠程登錄服務器進行維護了。但是每個局域網使用SSH服務的需求是不同的,因此默認的服務參數未必能滿足需要,那么我們就可以自行設置這些參數。
1.基本參數設置
運行“fsshconf.exe”服務配置程序,在彈出的“F-Secure SSH Server Configuration”窗口左欄中,依次選擇“Server Settings→General”,然后在右邊的“General”框體中就可以對參數進行設置了(圖2)。
圖2 在SSH服務器配置窗口中選擇常規設置項
在“Maximum number of connections”欄中輸入合適的數值,對連接到SSH服務器的最大用戶數進行限制,在這里我們可根據需要進行設置,如輸入“50”,則只允許50個用戶同時連接SSH服務器。
“Event log filter”多選框用來定義系統日志記錄哪些信息,我們可采用默認設置,勾選“Errors”和“Warnings”兩項即可,建議大家不要勾選“Information”,否則會浪費系統資源。
“Idle timeout”是用戶遠程登錄的超時時間設置,默認為“0”,就是不進行登錄超時限制。
大家可能還記得FTP服務器的個性化的登錄信息,SSH服務器也一樣可以做到。首先編寫一個登錄信息文本文件保存在文件夾中,然后點擊“Banner message file”欄的瀏覽按鈕,指定已編寫好的文本文件即可,這樣用戶遠程登錄時就能看到這些個性化的信息了。最后,大家一定要記住點擊“Apply”按鈕保存參數設置。
2.網絡參數設置
在“F-Secure SSH Server Configuration”窗口左欄中點擊“Network”選項(圖3),SSH服務器默認使用的是“22”端口,當然也可以自定義端口號(注意,SSH服務器使用的端口號一定不能和服務器上別的程序的端口號沖突)。在“Port”欄中輸入想使用的端口號即可,其他的參數設置建議使用默認值。
圖3 在SSH服務器配置窗口中選擇網絡項
#p#副標題#e#
點擊“Identity”選項(圖4),在右欄中,我們可以使服務器重新產生新的用戶加密密鑰和對外公開使用的公鑰,它們分別存放在安裝文件夾的“hostkey”和“hostkey.pub”文件中,點擊“Generate”按鈕就可以重新生成這兩個文件。
圖4 在SSH服務器配置窗口中選擇識別項
提示:SSH服務器產生一對密鑰和公鑰。客戶端使用公鑰對SSH服務器發送來的信息進行解密。當用戶第一次登錄SSH服務器時,服務器會將它的公鑰發送給客戶端,以便客戶機能對服務器發送的信息進行解密。
3.主機限制參數設置
點擊“Host Restrictions”選項,在右欄中就可以對遠程登錄的計算機進行限制設置。例如,不允許IP地址為“192.168.0.2”的客戶機遠程登錄SSH服務器,在“Deny login from hosts”輸入框中輸入“192.168.0.2”,然后點擊“Apply”按鈕即可。
提示:SSH服務器還有很多參數就不詳細介紹了,大部分參數使用默認值即可。SSH服務器的參數保存在“sshd2_config”文件中,用戶也可以用記事本打開它,直接進行編輯,但這種方法比較麻煩,建議大家不要使用。
四、SSH客戶端軟件的使用
1.連接SSH服務器
#p#副標題#e#
客戶端使用“F-Secure SSH Client”程序,它的安裝也很簡單。安裝完成后,運行桌面上的客戶端程序,彈出“F-Secure SSH Client”主窗口,點擊工具欄中的“Connect”(連接)按鈕,彈出“Connect to Remote Host”對話框(圖5)。
圖5 連接到服務器主機的顯示界面
首先,在“Host name or IP address”欄中輸入SSH服務器的地址,如輸入它的IP地址“218.22.123.26”。其次,在“User Name”欄中輸入SSH服務器的管理員賬號名,在“Port”欄中輸入SSH服務器使用的端口號。最后,點擊“Connect”按鈕即可連接SSH服務器。
此時,如果用戶是第一次遠程登錄SSH服務器,則會彈出“是否將SSH服務器公鑰保存在本地數據庫中”的提示框,點擊“是”按鈕,接著彈出“請輸入密碼”對話框,輸入管理員賬號、密碼后,點擊“OK”按鈕,就可以登錄到SSH服務器,對服務器進行遠程維護了。
提示:SSH客戶端也會產生用戶的加密密鑰和公鑰,客戶端在第一次登錄時,會將產生的公鑰復制到SSH服務器上的用戶目錄中,以便服務器能對客戶端發送的信息進行解密。用戶目錄在服務器上的存儲路徑為“C?Documents and Settings用戶名”(假設操作系統是安裝在C盤中)。
2.文件傳輸功能
SSH服務器不但提供了遠程登錄功能,還提供了文件傳輸功能。點擊“F-Secure SSH Client”主窗口的文件傳輸按鈕后,則可彈出文件傳輸窗口(圖6),以進行文件的傳輸。在“Local Folders”欄中選擇一個本地文件,然后將它拖到“Remote Folders”欄中的SSH服務器上用戶的主目錄中即可,在窗口底部的狀態欄中會顯示文件的傳輸狀態。
圖6 文件傳輸窗口
提示:客戶端連接SSH服務器時,SSH服務器提供兩種級別的安全驗證。第一種級別基于用戶賬號密碼的安全驗證,只要知道賬號和密碼就可以登錄到SSH服務器;第二種級別基于密鑰的安全驗證,客戶端必須為自己創建一對密鑰,并把公用密鑰傳送到SSH服務器上,這樣就有效地保證了客戶端和服務器端數據的安全傳輸。
