在RHEL5下搭建SSH远程登录服务器

SSH(Secure SHell, 安全命令解释器)是目前比较流行和实用的远程登录方式，通过SSH协议可以有效防止远程管理过程中的信息泄露问题。本文将以实例说明如何在Linux系统中构建SSH远程登录服务器。以下是本次实验的拓扑图：

要求如下：

1.在Web服务器上启用OpenSSH服务，使用端口号为3000，允许网站管理员webmaster从任何客户端远程登录Web服务器，允许用户xiangxiang只能从Linux客户端远程登录Web服务器。

2.分别使用密码验证和密钥对（证书）验证方式远程登录服务器。

3.在Windows客户端使用PuTTY、WinSCP工具实现远程服务。

步骤如下：

一.SSH服务器的配置：

在RHEL5系统中，OpenSSH服务器和客户端的相关软件包是默认安装的，并已将sshd服务添加为标准的系统服务，因此，只需要在Web服务器中执行“service sshd start”就可以开启默认配置sshd服务，包括root在内的大部分用户（只要有能执行命令的有效shell）都可以远程登录系统。但这样做并不安全，我们需要修改配置文件（位于/etc/ssh/sshd_config），允许指定的用户来访问SSH服务器：

1.开启sshd服务：

#service  sshd  start

2.修改配置文件，允许允许网站管理员webmaster从任何客户端远程登录Web服务器，允许用户xiangxiang只能从Linux客户端（192.168.0.77）远程登录Web服务器，SSH默认监听的端口号22，修改为3000，以提高安全性：

#vi /etc/ssh/sshd_config    

Port   3000        //修改监听端口号为3000，默认为22 

ListenAddress 192.168.0.66     //只在Web服务器上提供服务 

PermitRootLogin   no         //禁止root用户远程登录 

PermitEmptyPassword   no     //禁止空密码用户登录 

LoginGraceTime   1m              //登录验证过程时间为1分钟 

MaxAuthTries   3                  //允许用户登录验证最大重试次数为3次 

PasswordAuthentication    yes    //允许使用密码验证 

AllowUsers    webmaster    [email protected]     //此项需要手动添加，允许webmaster用户可以从任何客户端登录，允许用户xiangxiang只能从192.168.0.77客户机登录，其他用户均拒绝

【注】当root用户被禁止登录时，可以先使用普通账号远程进入系统，在需要执行管理任务时再使用“su -”的方式切换为root，或者在服务器配置sudo以执行部分管理命令，这样以提高系统的安全性。

3.创建允许远程登录Web服务器的用户：

#useradd webmaster 

#useradd xiangxiang 

#passwd webmaster 

#passwd xiangxiang

4.重新启动sshd服务,接下来就可以在客户端使用密码验证方式远程登录Web服务器：

#service sshd restart

二.客户端使用SSH方式登录Web服务器：

1.验证webmaster从Linux客户端(192.168.0.77)SSH远程登录Web服务器：（可以登录）

2.验证xiangxiang从Linux客户端(192.168.0.77)SSH远程登录Web服务器：（可以登录)

3.验证webmaster和xiangxiang从Windows客户端(192.168.0.77)SSH远程登录Web服务器

用户webmaster登录成功！

拒绝用户xiangxiang从除192.168.0.77之外的客户端登录！

三.配置使用密钥对（证书）方式远程登录Web服务器：

1.在Web服务器调整/etc/ssh/sshd_config配置文件，配置使用密钥对验证方式登录：

#vi /etc/ssh/sshd_config 

PasswordAuthentication    no   //禁止使用密码验证方式

PubkeyAuthentication    yes    //使用密钥对（证书）方式进行登录验证

AuthorizedKeysFile     ./ssh/authorized_keys  //指定保存各用户公钥内容的数据文件位置

2.重新启动sshd服务：

3.在客户端（192.168.0.77）创建密钥对：

[root@localhost ~]# ssh-keygen -t rsa 

Generating public/private rsa key pair. 

Enter file in which to save the key (/root/.ssh/id_rsa):  //直接回车

Enter passphrase (empty for no passphrase):    //设置保护私钥文件的密码

Enter same passphrase again:    //再次输入保护私钥文件的密码

Your identification has been saved in /root/.ssh/id_rsa. 

Your public key has been saved in /root/.ssh/id_rsa.pub. 

The key fingerprint is: 

33:ee:01:7d:c3:74:83:13:ef:67:ee:d7:60:2d:e1:16 root@localhost 

[root@localhost ~]# ll -a .ssh/ 

总计 24 

drwxrwxrwx    2 root root 4096 10-08 19:29 . 

drwxr-x--- 21 root root 4096 10-08 19:25 .. 

-rw-------    1 root root 1743 10-08 19:29 id_rsa  //创建的私钥

-rw-r--r--    1 root root    396 10-08 19:29 id_rsa.pub  //创建的公钥

-rw-r--r--    1 root root    790 2015-11-04 known_hosts 

4.上传公钥文件到Web服务器：（可以通过FTP,Samba,HTTP,SCP等方式上传）

[root@localhost ~]# scp -P 3000 .ssh/id_rsa.pub [email protected]:/home/webmaster 

Address 192.168.0.66 maps to localhost, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT! 

[email protected]'s password:    

id_rsa.pub                          100%    396         0.4KB/s     00:00

查看公钥文件是否上传成功：（成功！）

在Web服务器端（SSH服务器），将公钥文件的内容添加至用户webmaster、xiangxiang授权密钥库：

[root@linux5234 ~]# mkdir -p /home/webmaster/.ssh 

[root@linux5234 ~]# mkdir -p /home/xiangxiang/.ssh

[root@linux5234 ~]# cat /home/webmaster/id_rsa.pub >> /home/webmaster/.ssh/authorized_keys 

[root@linux5234 ~]# cat /home/webmaster/id_rsa.pub >> /home/xiangxiang/.ssh/authorized_keys 

[root@linux5234 ~]# ls -l /home/webmaster/.ssh/authorized_keys    

-rw-r--r-- 1 root root 396 10-08 19:56 /home/webmaster/.ssh/authorized_keys 

[root@linux5234 ~]# ls -l /home/xiangxiang/.ssh/authorized_keys    

-rw-r--r-- 1 root root 396 10-08 19:57 /home/xiangxiang/.ssh/authorized_keys

四.在Linux客户端以密钥对（证书）验证方式登录SSH服务器：

1.以root用户登录客户端系统，执行ssh命令，以用户webmaster远程登录SSH服务器：

2.以root用户登录客户端系统，执行ssh命令，以用户xiangxiang远程登录SSH服务器：

3.以其它普通用户（tom）登录客户端系统，执行ssh命令，以用户webmaster远程登录SSH服务器：

[root@localhost ~]# useradd tom 

[root@localhost ~]# mkdir -p /home/tom/.ssh 

[root@localhost ~]# cp .ssh/id_rsa /home/tom/.ssh/ 

[root@localhost ~]# chown tom.tom /home/tom/.ssh/id_rsa    

[root@localhost ~]# ll /home/tom/.ssh/id_rsa    

-rw------- 1 tom tom 1743 10-08 20:22 /home/tom/.ssh/id_rsa 

登录：

[root@localhost ~]# su - tom 

[tom@localhost ~]$ ssh -p 3000 [email protected] 

The authenticity of host '192.168.0.66 (192.168.0.66)' can't be established. 

RSA key fingerprint is 6f:ef:59:01:b4:cf:73:36:03:42:88:94:73:82:52:43. 

Are you sure you want to continue connecting (yes/no)? yes            

Failed to add the host to the list of known hosts (/home/tom/.ssh/known_hosts). 

Enter passphrase for key '/home/tom/.ssh/id_rsa':      

Last login: Fri Oct    8 20:03:36 2010 from 192.168.0.77 

[webmaster@linux5234 ~]$    

五.在Windows客户端使用Putty、WinSCP以密钥对（证书）验证方式登录SSH服务器：

1.使用FTP或其他方法从Linux客户端导出私钥至Windows客户端（步骤略）。

2.使用PUTTYGEN工具导入私钥文件并转换成.ppk格式的私钥：

3.使用Putty登录：

4.使用WinSCP工具远程登录SSH服务器（需要先在客户端安装WinSCP软件），以安全的方式上传和下载文件：

安装好WinSCP后，打开程序，看到以下界面：

通过以上的配置，我们可以很方便远程登录Linux各种服务器，实现安全便捷的管理！

本文转自 kk5234 51CTO博客，原文链接：http://blog.51cto.com/kk5234/402512，如需转载请自行联系原作者