李海鑫个人博客

用OpenSSH构建SSH服务器

前言

SSH服务和Telnet服务一样，通过远程登录登录到系统，在远程操控系统。但它与Telnet的不同点就是：Telnet在传输的过程中是平文传输，而SSH是将传输内容加密，在传送的过程中保证了传送内容的保密性，从而提高了系统的安全性。

在这里，我们不准备将SSH服务作为用户上传下载文件的工具。我们只用SSH服务的开通为远程管理系统提供方便。另外在用户认证方式上，为了服务器和用户的安全，禁止用户密码的认证方式，而基于“钥匙”的方式。

SSH相关配置文件的修改

首先修改SSH的配置文件。如下：

[root@sample ~]# vi /etc/ssh/sshd_config　 ← 用vi打开SSH的配置文件

#Protocol 2,1　← 找到此行将行头“#”删除，再将行末的“,1”删除，只允许SSH2方式的连接
　↓
Protocol 2　← 修改后变为此状态，仅使用SSH2

#ServerKeyBits 768　← 找到这一行，将行首的“#”去掉，并将768改为1024
　↓
ServerKeyBits 1024　← 修改后变为此状态，将ServerKey强度改为1024比特

#PermitRootLogin yes 　← 找到这一行，将行首的“#”去掉，并将yes改为no
　↓
PermitRootLogin no 　← 修改后变为此状态，不允许用root进行登录

#PasswordAuthentication yes　← 找到这一行，将yes改为no
　↓
PasswordAuthentication no　← 修改后变为此状态，不允许密码方式的登录

#PermitEmptyPasswords no　 ← 找到此行将行头的“#”删除，不允许空密码登录
　↓
PermitEmptyPasswords no　 ← 修改后变为此状态，禁止空密码进行登录

然后保存并退出。（vi保存退出的命令为ZZ）

因为我们只想让SSH服务为管理系统提供方便，所以在不通过外网远程管理系统的情况下，只允许内网客户端通过SSH登录到服务器，以最大限度减少不安全因素。设置方法如下：

[root@sample ~]# vi /etc/hosts.deny　 ← 修改屏蔽规则，在文尾添加相应行
#
# hosts.deny    This file describes the names of the hosts which are
#               *not* allowed to use the local INET services, as decided
#               by the ‘/usr/sbin/tcpd’ server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow.  In particular
# you should know that NFS uses portmap!
sshd: ALL　 ← 添加这一行，屏蔽来自所有的SSH连接请求

[root@sample ~]# vi /etc/hosts.allow　 ← 修改允许规则，在文尾添加相应行
#
# hosts.deny    This file describes the names of the hosts which are
#               *not* allowed to use the local INET services, as decided
#               by the ‘/usr/sbin/tcpd’ server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow.  In particular
# you should know that NFS uses portmap!

sshd: 192.168.0.　 ← 添加这一行，只允许来自内网的SSH连接请求

重新启动SSH服务

在修改完SSH的配置文件后，需要重新启动SSH服务才能使新的设置生效。

[root@sample ~]# /etc/init.d/sshd restart　 ← 重新启动SSH服务器

Stopping sshd:　　　　　　　　　　　　 [ OK ]
Starting sshd:　　　　　　　　　　　　 [ OK ]　 ← SSH服务器重新启动成功

SSH2的公钥与私钥的建立

登录为一个一般用户，基于这个用户建立公钥与私钥。（这里以test用户为例）

[root@sample ~]# su - test　← 登录为一般用户test
[test@sample ~]$ ssh-keygen -t rsa 　← 建立公钥与私钥
Generating public/private rsa key pair.
Enter file in which to save the key (/home/test/.ssh/id_rsa): 　← 钥匙的文件名，这里保持默认直接回车
Created directory ‘/home/test/.ssh’
Enter passphrase (empty for no passphrase): 　← 输入口令
Enter same passphrase again: 　 ← 再次输入口令
Your identification has been saved in /home/test/.ssh/id_rsa.
Your public key has been saved in /home/test/.ssh/id_rsa.pub.
The key fingerprint is:
tf:rs:e3:7s:28:59:5s:93:fe:33:84:01:cj:65:3b:8e test@sample.test.com

然后确认一下公钥与密钥的建立，以及对应于客户端的一些处理。

[test@sample ~]$ cd ~/.ssh　 ← 进入用户SSH配置文件的目录
[test@sample .ssh]$ ls -l　 ← 列出文件
total 16
-rw——- 1 test test 951 Sep 4 19:22 id_rsa　 ← 确认私钥已被建立
-rw-r–r– 1 test test 241 Sep 4 19:22 id_rsa.pub　 ← 确认公钥已被建立
[test@sample .ssh]$ cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys　 ← 公钥内容输出到相应文件中
[test@sample .ssh]$ rm -f ~/.ssh/id_rsa.pub　 ← 删除原来的公钥文件
[test@sample .ssh]$ chmod 400 ~/.ssh/authorized_keys　 ← 将新建立的公钥文件属性设置为400

然后，将私钥通过安全的方式转移到欲通过SSH连接到服务器的PC上。这里，以通过3.5寸磁盘为介质为例：

test@sample .ssh]$ exit 　 ← 退出一般用户的登录（返回root的登录）
[root@sample ~]# mount /mnt/floppy/　 ← 加载软盘驱动器
[root@sample ~]# mv /home/test/.ssh/id_rsa /mnt/floppy/ 　← 将刚刚建立的私钥移动到软盘
[root@sample ~]# umount /mnt/floppy/ 　← 卸载软盘驱动器

这样，我们通过对应于test用户的私钥，就可以在远程终端上通过SSH客户端连接到服务器了。但服务器生成的私钥匙不能被客户端直接应用…详细请见下一节。

1. 使用强壮的密码
2. 管理root登录
3. 关闭SSH 第一版协议
4. 使用非标准的端口
5. 开启防火墙过滤
6. 建立SSH2公钥和私钥认证

大家都知道计算机电脑的时间是由一块电池供电保持的，而且准确度比较差经常出现走时不准的时候。通过互联网络上发布的一些公用网络时间服务器NTP server，就可以实现自动、定期的同步本机标准时间。

以前由于国内没有可用的时间服务器地址，我们只能依靠windows系统默认的windows或NIST等境外的时间服务器同步时间，但存在着访问堵塞、时间延迟大（同步精度低）等因素的影响。而现在中国的国家授时中心终于发布了一个时间服务器地址，大家终于可以用国人自己的标准时间啦！经我测试速度快、可靠性高，避免了我们总要把自己的时间也要与国外看齐的状况持续下去！

方法一： 采用Windows、linux等操作系统自带的时间同步功能
　　对于Windows 2000和XP操作系统，自身已经集成了自动对时功能，本网站其他文章介绍了不少操作方法，在此仅以XP操作系统为例介绍一下。
      双击系统托盘下方的时间,或双击控制面板“日期和时间 ”打开“日期和时间”属性窗口，选择“Internet时间”选项卡，勾选 自动与Internet时间同步 在服务器地址栏输入国家授时中心服务器的IP地址(210.72.145.44)，立即更新，等更新完毕后，点击“确定”按钮保存下来就行了。 如下图示

linux系统下使用ntpdate命令进行更新

方法二：修改注册表，提高时间同步精度
  由于系统默认的时间同步间隔是7天，我们无法自由选择，使得这个功能在灵活性方面大打折扣。其实，我们也可以通过修改注册表来手动修改它的自动同步间隔以提高同步精度，以下以XP系统为例。

1. 在“开始”菜单→“运行”项下输入“Regedit”进入注册表编辑器
2. 展开[ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient ] 分支，并双击 SpecialPollInterval 键值，将对话框中的“基数栏”选择到“十进制”上
3. 对话框中显示的数字正是自动对时的间隔(以秒为单位)，比如默认的604800就是由7(天)×24(时)×60(分)×60(秒)计算来的。设定时间同步周期（建议设为900=15分钟或3600=1小时等周期值），填入对话框，点击确定保存关闭对话框。
4. 在Parameters列表中，将NtpServer键值修改为国家授时中心服务器的IP地址(210.72.145.44)，然后点击“确定”按钮保存。

方法三：采用其他NTP客户端程序时间同步
  可以在互联网上找到其他客户端程序实现电脑时间同步。本网站精选NTPclock时间同步软件，提供免费下载。

做好访问国家时间授时发布中心地址：http://www.time.ac.cn/stime.asp 查阅本地时间与网络服务器时间的差值，一般在3秒钟内，就比较准确了！

操作系统

1. win98
2. win2000p+win2000server
3. winxp
4. windows2003 server
5. centos
6. redhat4

系统工具

1. VMware Workstation
2. Process Explorer
3. DUMeter
4. notepad++
5. TcpView
6. cpu-z
7. EVEREST-Ultimate 查看系统配置软件
8. FinalData-v2.01 数据误删除恢复
9. msdos-u U盘启动盘制作工具
10. ghost
11. UltraISO
12. VCdControlTool
13. RMClock
14. HashCalc 一款超强文件“指纹”校验机

网络工具

1. putty  官方地址
2. SSHSecureShellClient
3. eyeBeam
4. cmac windows下扫描软件
5. gztool 广州电信宽带网速测试软件
6. Hotspot Shield Launch 国外代理软件
7. filezilla 一款开源的ftp工具 http://filezilla-project.org/
8. LeapFTP
9. WebThunder 迅雷下载软件
10. TheWorld2.1Final 把整个网页生成jpg图片
11. Mozilla Firefox + GoogleToolbarInstaller 火狐浏览器
12. TFTP TFTPServer
13. FileZilla Server & ServU
14. xlight-ftp 一款简单设置的ftp服务器
15. GMailStore 使用gmail当作硬盘用
16. HA_subnet10 自动计算子网

娱乐软件

1. KuGou
2. QuickTime
3. qq
4. gmail
5. yahoo
6. 谷歌金山词霸合作版 下载
7. Alitalk
8. WangWang

安全软件

1. avast
2. 360安全卫士
3. symantec_v81 偌顿杀毒软件，装载windows服务器上
4. WebMyPC 远程协助软件

应用软件

1. office 2003
2. Powerword 2007
3. 7-z 解压缩软件
4. pdfpro2.5 & PdfFactoryPro
5. acdsee
6. Photoshop
7. ShengShengKan 省电软件
8. Dreamweaver8_onegreen
9. Flash8
10. Fireworks8
11. Authorware7
12. 123 Flash Menu
13. Adobe Reader
14. GooglePinyinInstaller google输入法
15. cad2004
16. SSReader   超星图书阅读软件