ssh加密技术研究及实现_本科毕业论文(编辑修改稿)

ssh加密技术研究及实现_本科毕业论文(编辑修改稿)内容摘要：

sAuthentication 选项一致。 这并不需要口令或公共密钥，但它使你的系统对伯克利服务攻击和其他迫使你必须使用安全 shell 的安全漏洞开放。 隐含值是“ no”，最好就保留这个值。 如果你想使用 Rhosts 认证，就让它和 RHostsPubKey Authentication 中的公共密钥认证结合起来使用。 RHostsPubKeyAuthentication 在安全 shell2的最新版本中并没有安装这个选项。 它设置基于 .rhosts 或 /etc/ 的公共密钥认证，与 sshd1的配置文件 RhostsRSA Authentication 配置选项一致。 认证不需要口令，但要求在远程端有 DSA 或 RSA 密钥认证。 它同样使你的系统暴露于伯克利服务攻击，但公共密钥认证使危险性被最大限度地降低了。 如果你让该选项取值“ yes”（这也是隐含 值），你就有必要为主机设置更为严格的登录要求。 再说一句，如果你希望保持系统的安全，关闭任何类型的 rhosts 认证。 PubKeyAuthentication 可以使用任意多种类型的认证，或正如所见，也可以单独使用一种类型的认证。 比如说你就可以仅允许公共密钥认证工作。 这和 sshd1的RSAAuthentication 选项一致。 它并不需要 rhosts 或口令来协助认证。 隐含值为“ yes”，你最好将选项保持在该状态。 3．服务器选项 河北司法警官职业学院 11 这些选项用来定义安全 shell 守护的功能，包括 TCP 转寄，对特殊地址与端口的侦听 ，发送存活信息及服务器密钥的设置等。 Ciphers 可以指定准备用来加密的算法。 目前系统支持的算法有 DES， 3DES， Blowfish, Twofish, IDEA 和 Arcfour。 不可以为该选项指定其他的值： any,anystd 和 anycipher,在你调试和测试时，将选项置为 none。 Sshd1Path 如果你准备与 SSH1兼容，就需要指定 SSH1路径，尤其是当你将 sshd1安装在一个非公共目录下时。 ForwardAgent 这个选项确定你是否能将安全 shell 认证代理（ sshagent2）转寄到远程主机上。 你既可以打开又可以关闭这个选项。 KeepAlive 安全 shell 守护能通过设置来决定是否发生存活（ Keepalive）信息。 存活信息能让远程的服务器知道连接是否已经中断，并在确定连接中断的情况下杀掉活动进程。 这和 sshd1的配置文件中选项一致。 当然，如果程序只是暂时地挂起，它会发出如下的令人沮丧的信息： Connection down： disconnecting 这当然是令人厌烦的信息。 但如果你不发送存活信息，会留下一些能够消耗掉资源的幽灵一般的程序。 如果你要关闭存活信息发送选项， 必须同时修改服务器端与客户端的配置文件。 使用方法： KeepAlive Yes ListenAddress 如果你正在运行一个多地址主机，可以指定你希望服务器侦听的地址。 这和 sshd1配置文件中的选项一致。 如果你没有多个主 IP 接口的话，隐含值是你的主IP接口。 使用方法： ListenAddress Port 可以通过该选项指定一个安全 shell 守护侦听的端口，隐含值为 22。 但在端口22已经被使用的情况下你可能会指定一个其他的端口。 这和 sshd1的配置选项一致，与 p选项也一样。 使用 方法： 河北司法警官职业学院 12 Port 21 StrictModes 可以使服务器在建立登录连接之前检查用户主目录的文件模式和属主。 这与 sshd1所拥有的选项一致，这是一个很好的选项，因为用户可能会意外地将目录与文件的选项置为可写。 如果的确是这样，一定要将它们改正过来。 隐含设置为“ yes”。 使用方法： StrictModes yes ForwardX11 这个选项确定是否允许 X 转寄通过安全 shell 守护。 这和 sshd1的X11Forwarding 选项一致。 与其它的 TCP 传输一样，这个选项在用户指定转寄时会被覆盖掉。 这取决于 你是否允许 X 传输通过。 然而，如果你打算让 X 传输能传送到远端，最好让它们转寄到安全 shell。 隐含设置为“ yes”。 使用方法： ForwardX11 yes ： 这些选项定义安全 shell 守护密钥文件的存放位置。 这包括密钥文件，进程标识文件等。 AuthorizationFile 这 个 选 项 指 定 用 户 授 权 文 件 的 名 字。 隐 含 值 为~/.ssh2/authorization,它提供了一个安全 shell 服务器识别用户的私有密钥列表。 使用方法： HostKey $ HOME/.ssh2/ssh2_identity HostKeyFile 这个选项指定用来做私有主机密钥的文件，与 sshd1的 Host Key 选项一致。 如果你不是以超级用户的身份运行安全 shell 守护，你必须使用这个文件。 正常情况下，除了对超级用户主机密钥文件是不可读的。 隐含值为 /etc/ssh2/hostkey。 如果你使用了一个替代文件，一定要将其属性设为 400，这与 h选项一样。 使用方法： Hostkey /usr/local/etc/ssh2_host_key PublicHostKeyFile 与 HostKeyFile 选项类似，该选 项指定用来做公有主机密钥。 河北司法警官职业学院 13 使用方法： HostKey /usr/local/etc/ RandomSeedFile 该选项用来定义产生服务器密钥的随机生成文件。 它和 sshd1配置选项 RandomSeed 一致。 隐含的文件位置为： /etc/ssh2/random_seed. 使用方法： RandomSeed /usr/local/etc/ssh2_random_seed 这个选项定义经过安全 shell 登录到远程帐号时，影响帐号环境变量的那些设置。 绝大部分设 置发生于登录时使用的 .profile 或 .cshrc 之类的设置。 但你也可以在安全 shell守护配置文件中设置它们并使其发生作用。 LoginGraceTime 该选项设置安全 shell 守护中的“警报”机制，与 sshd1的配置选项效果相同。 它给安全客户规定一个特定的时间，每经过该单位时间，安全客户将与服务器认证一次。 隐含时间为 600秒。 如果安全客户不进行认证，服务进程将断开与 socket 的连接。 可以将这个选项设为零，这将意味着对认证时间没有限制。 如果你将安全 shell 置于调试模式，该选项将被自动地置为零，可以 发现，它的效果与 g选项类似。 使用方法： LoginGraceTime 660 PrintMotd 该选项决定用户帐号是否打印出存放于 /etc/id 中的系统每日信息。 这与 sshd1中的同名选项类似，仅应用于以交互方式登录时（不是以 scp 与 ssh 后随命令的方式）。 选项的隐含值为“ yes”。 它可以在用户的环境初始化文件中设置。 使用方法： PrintMotd no 6．登录选项 这些选项能够影响被送往日志文件的信息。 既可以增加这些登录信息，但这会损害用户的隐私权，当然你也可以关闭它们，其结果是仅有极 少的错误信息会被记录。 Quiet Mode 该选项设置哑模式，这意味着将不会有任何信息被送往系统日志文件。 它与 sshd1的同名选项类似。 通常情况下被发送的内容是：连接起始标志，用户的认证和河北司法警官职业学院 14 连接终止标志。 除非你的日志文件总是很快就被填满，否则最好不要打开这个选项。 定期审查登录的踪迹是一个好习惯，这样可以查看是否有人非法进入到你的系统。 该选项与“ q”选项类似，隐含值为“ no”。 使用方法： QuietMode no Verbose Mode 在该模式下， sshd2将会打印出第 2层的调试信息。 记住在打开该 模式的情况下 sshd2守护程序将不会复制产生子进程。 该选项与“ v”选项类似。 使用方法： VerboseMode no 尽管体现了安全 shell 2的一些新 的特征，安全文件传输服务器并没有被很好地用文档加以说明。 安全文件传输服务器由安全 shell 2守护来运行，后者侦听端口 22。 从某种意义上说，它的工作机理和 scp 非常相像。 它使用非安全应用程序（ rcp 或 ftp）的代码，连接也通过端口 22被转寄。 因为更像一个客户程序。 而非服务器程序，安全 FTP 将会在“安全 shell 2客户 — ssh2, scp2和 sftp2”中加以描述。 . 客户程序 的使用和配置 . 安 全 shell 客户程序的 使用 安全 shell 客户程序， ssh2和 scp2在命令选项上说明不同的语法规则。 ssh2客户程序具有更多的选项，这是因为具有比单纯拷贝文件更多的功能。 并由于 scp2使用 ssh2作为运输工具， ssh2客户程序也需要为 scp 提供一些功能。 为了所有这些意图和目标， ssh2具有很简单的语法： $ ssh2 [选项 ]主机名 [命令 ] 注意：不必键入 ssh2或 scp2来运行任何一个安全 shell2客户程序。 在安装了 ssh2应用程序之后， ssh 和 scp 的符号连接会分别连接到 ssh2和 scp2。 如果安装有 ssh1和 ssh2客户程序。 你将需要运行 ssh1和 scp1来运行 ssh1客户程序。 ssh2的命令行选项比 ssh1命令行选项更丰富。 你将发现 ssh2有一些更多可供使用的功能，这包括允许认证代理，不允许压缩，设置调试等级和允许 X转寄。 注意： ssh2不存在 k Kerberos 标签和 y 远程端选项。 河北司法警官职业学院 15 a 该选项让你能够关闭对认证代理的转寄。 这一点和 ssh1客户相同。 它阻止了加载到内存中的口令（ passphrase）被用于安全 Shell 客户的发行。 如果需要，你可以在每个主机的配置文件里指定该功能而不是在全局定义这种功能。 +a 该选项允许认证代理进行转寄，这是缺省选项。 c cipher 这和在 ssh 中定义的选项相同，这是因为它被直接传送给 ssh。 这也和scp1使用的选项相同。 你可以选择你想要的对称钥匙密码来加密网络传输。 这不影响使用DSA 或 RSA 公共密钥的认证。 所选择的密码有 IDEA， DES， 3DES， Blowfish 和 Twofish。 你也可以选择“ none”，但该选择关闭加密从而使安全 Shell 客户变得不安全。 该“ none”选项可以只用来调试和测试所要的目标，而不在实际中使用。 最好的选择是使用 3DES， IDEA或 Blowfish。 Blowfish 和 Twofish 是 ssh2支持的最快的算法。 为了获得最高的安全性，使用 IDEA。 如果 IDEA 不同时被两台安全 shell 服务器支持，则使用 3DES。 +C 压缩通过安全 shell 客户发送的所有数据，这包括输入、输出、错误信息和转寄的数据。 这和 ssh 的 c 选项相同。 不要把它们混淆。 这使用 gzip 算法，并且压缩级别可以通过配置文件的 CompressionLevel 选项定义。 这种压缩对速度慢的网络很有效，例如modem，但在速度已经很快的网络上帮助不大。 使用配置文件也可以允许为基于单个主机配置该选项。 C 该选项关闭压缩。 请注意这和 ssh1的选项作用 是相反的。 这也是 ssh2的缺省选项。 d debug_level 这打印出所要的第几级的调试信息。 数字越大，所得到的信息越多。 该数字从 0到 99。 记住 v选项打印出第三级的调试信息。 e escape_character 这定义转义字符。 缺符为“ n”。 但可以设置为任何字符成控制字符。 这也和 ssh 的选项相同。 你也可以定义为“ none”，这使用会话透明，但你可能想在连接悬挂起来时让它作为缺省值。 为了能使用转义字符。 键入转义字符，随后键入字点号，这就终止连接。 如果你键入转义字符，随后键入 control+z，则把连接暂时挂起。 f 把 ssh 连接发送到后台。 这和 ssh1的选项相同。 在认证完成并且 TCP/IP 转寄建立之后发生。 在远程主机上启动 X 程序是不简单的。 用户被提示输入口令（假设认证代理没有运行），接着连接被发送到后台。 F configuration_file 该选项指定使用哪个用户配置文件。 缺省的配置文件为~/.ssh2/ssh2_config。 然而，你可以拥有自己的缺省配置文件和其它的配置文件。 首先读入可选的文件，然后再加入缺省文件选项。 河北司法警官职业学院 16 h 打印帮助命令摘要，然后退出。 这不运行 ssh2客户 程序。 i identity_file 该选项定义 DSA 私人密钥，或认证所要读取的身份文件，这和 ssh2里的相同选项功能相似。 缺省文件为 $HOME/.ssh2/id_dsa1024_a。 可以为不同主机定义多个文件。 如果你的确定义了不同文件，可能想为每台主机分别命名这些文件（例如，,）。 l login_name 该选项指定你在远程主机上登录的用户名。 这个选项和 ssh1的相同。 缺省的用户名和本地主机的用户名相同，也可以在 配置文件中。