为客户端与服务器端的通信安全保驾护航
OpenSSH为保障Client(客户端)与服务器端(Server)的安全通信提供了一整套的工具,这些工具允许用户为任何类型的Client与Server的通信创建安全通道,包括检查/发送电子邮件或Web浏览。
% b4 r2 I2 s8 B. u$ p( a" T$ q% _+ e/ w$ B
OpenSSH $ I5 {0 P1 F, w) l$ S* H
4 S" P& L/ b$ w. M; \! B( T- a在通过Internet登录到一个远程系统时,总会存在一种危险,即用户的口令如果以明文方式传输,就可能会被监视字节流的黑客中间截获并加以滥用。多数用户实际上都清楚这种风险,并通过使用所谓的“安全外壳”(secure shell)程序来减轻风险,这种“安全外壳”程序的设计目的是在用户通过互联网传输数字证书之前对证书进行加密。目前这类程序最流行、最通用的就是OpenSSH,这是一个OpenBSD的项目。 / ^6 T3 F0 v/ C/ ?/ j& T# _
5 o& u; s, i7 V/ C" ]' ]$ t不过,许多OpenSSH用户并没有认识到,这个程序不仅允许用户加密用户的(远程登录)telnet会话,它还提供了一整套用以保障客户端/服务器通信安全的工具,而且允许用户为任何类型的C/S通信创建安全“通道”,其中包含检查/发送电子邮件或Web浏览。使用这些通道可以极大改善系统的安全性,特别是机密性成为一个关键要素的时候。
6 ]: v( \5 q! x( N2 S6 v
: u8 m/ X+ X( h: ?6 M+ W8 l本文将通过一个具体的例子向您展示如何通过这个OpenSSH来创建加密通道,用于检查一个POP3邮箱,从而使我们进一步理解并掌握OpenSSH的安全通道特性。 # k1 T: w. O2 e/ K! g5 R( ~1 n4 }% R
* D8 u- ]* Y0 o0 p6 `$ {* o, ~
第一步:下载并安装OpenSSH J* b9 ]: M% }3 n. |* L
) t8 {, z- H& f4 |# C9 h. Q+ C用户可从http://www.openssh.com/下载源代码,用户从多种平台的版本中选择所需要的版本。其文件已被数字化签名,从而可以避免损害用户的安全。本文例子使用的是OpenSSH 4.3。
* h3 @/ ~$ y+ F) E+ {; A3 F6 }* C5 U/ T2 w4 Z# J& l4 {( J/ k0 N, [) v
一旦用户下载了程序包,将它解到一个临时目录并执行标准的“配置─生成─安装”循环:
, D4 T9 H3 o* u, x, n5 r$ C7 H: S- r* x6 P/ X
: a& B3 b6 C* @0 A. F5 |% N
3 X' {3 Q4 L( Q! b% o1 `+ R0 {1 Z$ [8 E, Y; d
# |0 R( a& D7 x 6 I9 n/ z, b' _; [2 W
`4 W5 f4 ]7 ]9 @
2 U0 i$ }7 o( R/ u. C
0 Y2 R+ \ F( ]
2 D2 Q& u$ R2 w/ @8 H# Z3 }
3 V4 c5 { J; v1 @6 J6 P. |
6 q2 s' K# c3 \ i. e4 G$ x* G, h- E* q* g5 i( @6 u
# c4 ^7 R3 J9 c2 F& k, ]' u shell> tar -xzvf openssh-4.3p2.tar.gz1 C3 ?6 T, t& }/ T- \
shell> cd openssh-4.3p2/
" G0 v) M- x3 j/ N3 Bshell> ./configure
" G& F5 }- x4 Fshell> make
4 K* _( H* u% h W0 tshell> make install
. T3 n- h( o" h" _+ p4 F5 Q . }3 D0 i; V& Y- |# ~0 m2 O( W9 m& H
6 O8 F9 \* [$ w, _# }6 r' T
+ Y; T# K4 a3 \/ E$ d# x% ~+ G
% |- f* z) ?6 W% n6 f' L7 s% o第二步:生成主机密钥并启动OpenSSH进程
+ A3 Y. W7 m% j9 w( ?# S
" [; M( ^* D( k: E3 s1 T安装过程的最后一步就是生成一对主机密钥,即特定系统的唯一标识符。这些密钥,包含一个私有密钥和一个公有密钥,分别存储在诸如 /etc/ssh_host_key and /etc/ssh_host_key.pub,的文件中: $ K) \9 }/ T. v5 I0 V8 e9 u
* ]9 A! m% Y4 ?. z* M ! n& K7 v; K0 K
4 O/ C2 V* q9 p; P
! i# z; C$ }2 i# x ; ]7 Q5 C! G, `2 v- W" T* V5 y
; E1 T5 }' X% N. A- `1 }! P0 Q" S
4 z( ^: k' H' O9 I
8 A$ w% ~! g# z/ O+ c
9 q: a" }# m' ]( x% z
$ t3 ]) ]! v* F& V" z* |- S
7 j1 t6 t5 Y% @% X6 e8 b1 Q. W
* Q9 G4 c5 [7 ~. {3 W% f) R
% H. G7 P* b+ q$ N' ^. O$ N ! ]! r4 n7 C4 G/ o
shell> make install
4 S k4 t+ |* r3 }6 C# @…6 |& L- r! b7 V: [3 \' I& P0 [
Generating public/private rsa1 key pair
3 ?7 r+ w. B9 O5 F. FYour identification has been saved in /etc/ssh_host_key% O% ^3 |6 R* f% _3 m5 {
Your public key has been saved in /etc/ssh_host_key.pub
4 X1 Z9 R8 [8 Z) s…
6 o C% L9 p" X' RGenerating public/private dsa key pair
5 O* I# g" \) {% pYour identification has been saved in /etc/ssh_host_dsa_key
2 i, p8 o: r5 h9 z1 V; qYour public key has been saved in /etc/ssh_host_dsa_key.pub m/ j0 K& w7 D
…
7 |, q6 L6 V4 a# V: B( WGenerating public/private rsa key pair, h+ |+ f3 ~' X- T+ A* w9 }) K4 W) N% t
Your identification has been saved in /etc/ssh_host_rsa_key
* `0 Z1 D6 g( U9 mYour public key has been saved in /etc/ssh_host_rsa_key.pub
, X8 u" `, g3 w3 l 1 V1 X1 n! g k) b
4 ~$ w# y6 x) d7 b6 X
- V& D1 f+ Y3 {# E/ m& j
:</BR></BR>于后向通道,你的邮件客户端应该被重置,直接连接到本地系统上的2110端口,用OpenSSH实现将连接转发到远程服务器并实现线路加密。新的设置应看起来是如下的样子: / h6 w2 O1 e! X: | G# @
9 |5 ?; p. n/ q! w+ T9 W' q
1 Q: b+ ]1 ]1 j5 D' u& m
0 h/ { I7 l5 P" T/ V0 e% n' s. L! @; i+ T+ Y' e/ F
0 ~) c, q2 C4 s+ g- f. n
" y8 ?2 M8 l9 I& t) g( g3 h% s4 Q
3 K. P# e( e4 p7 G% v. H 7 |- N2 C0 V) l; o8 G3 k- H
& j2 o( q( @6 a& p" g! z
g& g, ]! ~: z) ] c
) `! y! v) g+ S7 B( X3 Q- t& S 3 F; x. N; ?4 N3 @* ?. |6 R
; d+ {+ `& V3 h2 S7 p( E, m& n; @
; a( D% ~) r' _0 S) w& X2 p- J& J2 { Server: localbox0 r, @& x8 G2 P6 z8 M8 L3 ]
Port: 2110
1 [: A. Z8 F4 X- f- f, \User: john
- W: U" d* y7 U' ^Password: guessme( a) L" A1 U j, n2 f: r
# Y n" R3 u0 l8 _
9 T" G. z# A7 h: Q% b! ? ( L$ n, M4 [" E/ q
, @/ B6 L% e Y" e2 B7 Q: u经过这四步安装设置之后,你已经拥有了一个邮件客户端与邮件服务器之间的安全通道,你的口令和数据对他人来说将是不可见的。很明显,这仅仅是一个例子,可以说是仅仅展示了OpenSSH强大功能的冰山之一角。用户还可以设置OpenSSH用以加密SMTP、FTP、IRC或者任何类型的客户端/服务器的连接,或者创建通过防火墙的加密通道。为了您的数据传输的安全性,请用OpenSSH为您的传输保驾护航! :
点击图标进入精品网摘收藏 欢迎大家加入网络收藏夹
