网络安全讲座之9：审计结果（7）

　　加密的过程从服务器自动把公钥发送给客户端开始。然后客户端使用公钥加密信息，服务器用自己的私钥对信息解密。随后系统间的所有传输都要加密。

　　验证

　　缺省情况下，SSH会首先尝试用公钥进行验证。这些公钥存储在每个用户的$HOME/.ssh2目录下。例如，如果在你的Red Hat Linux 6.1操作系统下有一个名叫james的用户。则所有的密钥（包括james的公钥和私钥）都存储在、home/james/.ssh2目录下。请注意这是个隐藏目录。

　　如果这些密钥或识别和验证的文件并不存在，则SSH将使用标准的存放在/etc/passwd和/etc/shadow数据库中的用户名和密码。这种方式的缺点是在网络中传输了用户名和密码。虽然密码信息是加密的，但是在公网上传送密码肯定是不安全的。

　　SSH2内容

　　最初SSH是被发展来使UNIX系统之间的连接更安全的。然而，许多Windows的客户端允许你在连接UNIX操作系统时使用SSH。下表提供了UNIX和NT SSH2的有关内容

　　你可以从各种途径获得SSH，包括www.ssh.org，www.ssh.com，和 rufus.w3.org 。要获得更多有关SSH2的信息，你可以阅读随文档附带的README文件，或者阅读FAQ（http://www.ssh.org/faq.html）你可以从各种RPM站点获得各种版本的SSH（例如rufus.w3.org 和www.datafellows.com）。

　　在使用客户端/服务器产品时，你必须首先配置服务器和客户端彼此通信。要做到这一点，需用安装和建立信任关系。在Linux下，安装服务器的同时也安装了客户端。然后，你可以生成和交换公钥。服务器的配置过程包括生成公钥和私钥。这些密钥会自动在SSH握手阶段进行传输。你必须输入下列命令来启动SSH2服务：

　　/usr/local/sbin/sshd2

　　你可以编辑/etc/rc.local文件使ssh2d每次都自动启动。对于Red Hat Linux操作系统，你只需要在该文件最后加上/usr/local/sbin/sshd2一行即可。

　　使用SSH登录

　　使用SSH登录，你需用使用下列命令格式：

　　/usr/local/bin/ssh2 –l username hostname

　　例如，使用用户名test登录系统noyas，你需用键入下列命令

　　/usr/local/bin/ssh2 –l test noyas

　　与SSH1兼容

　　如果你有已经运行SSH1的系统，则按照文件名是SSH2.QUICKSTART的指导来操作就行了。按照下列步骤进行将保证你的SSH1客户端可以使用SSH2。

　　SSH和验证：建立用户之间的信任关系

　　交换公钥的方法是最安全的SSH验证手段。在SSHfuwuq可以使用公钥加密进行验证之前，每个用户必须正确地建立信任关系。通常，这意味着每个用户必须交换公钥。下列是建立允许验证的密钥对的过程。这个过程假设两个用户希望使用公钥验证的SSH验证方式。请记住，SSH服务器自动加密数据通道。客户端只提供公钥进行验证。每个用户需要按照下面的过程进行设置。

　　1、使用/usr/local/bin/ssh-keygen2程序生成密钥对。象上面谈到的，Ssh-keygen2程序自动在每个用户主目录下的.ssh2目录中生成密钥对。

　　2、改变目录到你的主目录下的.ssh2目录中。然后重命名公钥和私钥文件。如果你使用标准的1024位加密，该文件缺省的名称是id_dsa_1024_a和id_dsa_1024_a.pub。你可以自由地分发结尾是.pub的文件，然而，不是以.pub结尾的文件必须保密。其实，你应当确保该文件只能被你读取。你还应当重命名这些文件并跟踪它们。例如，如果你的用户名是test，并且系统名为noyas的话，你可以将他的公钥和私钥分别重命名为test.noyas和test.noyas.pub

　　3、然后建立名为identification和authorization的两个文件。文件Identification内有你自己的私钥的名称，文件authorization内有你允许进入你的系统的所有用户的公钥的名称。你可以在该文件中输入任何你想输入的公钥名称。

　　4、在文件identification中输入私钥的名称。正确的格式是：Idkey test.noyas

　　5、同伴之间交换公钥。请记住，私钥要自己保管好。

　　6、在你收到其他人的公钥后，请确保把这些文件存放在.ssh2目录下。然后，你必须在文件authorization中输入同伴的公钥名称。语法是：Key keyname.pub。每一项占一行。如果你在文件authorization中输入Sandi和Jacob的公钥，你的文件authorization将如下所示：

　　key sandi.pub

　　key jacob.pub

　　7、一旦你和至少一个同伴进行完以上的步骤，则用户间便可以使用公钥加密来进行SSH2验证了。

　　技术提示：为了使这些步骤能够正常工作，必须运行sshd2的守护进程。请记住，sshd2守护进程通过自动传送公钥到所有申请的客户端来进行加密。每个用户负责建立彼此的信任关系来进行验证。你还应该保证DNS能够正常提供解析工作。