WinXP 客户用密钥方式登陆到 FreeBSD SSH服务器
时间:2007-03-29 来源:tomcent_2006
WinXP 客户用密钥方式登陆到 FreeBSD SSH服务器
一、密匙认证原理简介
密匙认证需要依靠密匙,首先创建一对密匙(包括公匙和私匙,用公匙加密的数据只能用私匙解密),把公匙放到需要远程服务器上,私钥放在客户端。这样当登录远程服务器时,客户端软件就会向服务器发出认证请求;服务器收到请求之后,先在服务器的宿主目录下寻找你的公匙,然后检查该公匙是否是合法,如果合法就用公匙加密一随机数生成所谓的“challenge”发送给客户端软件;客户端软件收到“challenge”之后就用私匙解密再把结果发送给服务器。因为用公匙加密的数据只能用私匙解密,服务器经过比较就可以知道该客户连接的合法性。
二、客户端配置
1、在SSH官方网站,或本站下载SSHSecureShellClient-3.2.9.exe,用默认方式安装。
2、创建密钥对。单击生成新的公钥。 500)this.width=500;" border=0>
单击 Generate new... 生成蜜钥。 设置登陆时要用的Passphrase 500)this.width=500;" border=0> 单击 Upload...上传公钥。
3、检查密钥文件的读写属性。默认安装后密钥对存放路径为C:\Documents and Settings\Administrator\Application Data\SSH\UserKeys ,将私钥设置成仅允许属主有读写权,也可将它放在U盘上,使用时再导入,以确保密钥安全。
图5
4、在不同WIN客户机上登陆。有时需要临时在其他WIN客户机登陆服务器,这时可用上述方法安装Secure Shell Client,然后将C:\Documents and Settings\Administrator\Application Data\SSH\UserKeys目录里的文件复制到新的WIN客户机上对应目录里即可。
!!!!注意:当不用该客户机后必须将上述目录里的文件删除,以防密钥被人盗取!!!! ----------------------------------------------------------------------
三、服务端配置(服务端是FB5.3、FB6.0用最小化安装后自带的Openssh)
1、用vi编辑/etc/rc.conf,确保有以下行:
sshd_enable="yes
2、在FB服务器添加新用户user1,并指定他属于whell组。
3、用vi编辑/etc/ssh/sshd_config,将FB服务器设置成密码验证方式。/etc/ssh/sshd_config文件内容有以下行:
Port 22
ListenAddress 10.1.1.1
PasswordAuthentication yes
ChallengeResponseAuthentication yes
UsePAM yes
UseDNS no
4、重启SSHD服务。
#/etc/rc.d/sshd restart
5、在WINXP上运行SSH Secure Shell Client-3.2.9客户端,用密码方式登陆FB SSHD服务器,将前面创建的公钥文件12.pub上传到用户家目录,即:
/usr/home/user1/.ssh/12.pub
6、在FB服务器上进入用户的.ssh目录下,把SSH Secure Shell Client格式的公钥转换成Openssl格式的公钥。
#cd /usr/home/user1/.ssh/
#ssh-keygen -X -f 12.pub >> authorized_keys ;转换格式并将公钥导入到authorized_keys文件中
#chmod 0640 authorized_key ;设置权限,使该文件仅允许属主读写
#rm 12.pub ;删除上传的公钥
7、用vi编辑/etc/ssh/sshd_config,将FB服务器设置成密钥验证方式。
Protocol 2
PasswordAuthentication no
PermitRootLogin no
ChallengeResponseAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
8、重启SSHD服务器
#/etc/rc.d/sshd restart
9、在WINXP上运行SSH Secure Shell Client-3.2.9客户端,用密钥方式登陆FB SSHD服务器。
图1-登陆
500)this.width=500;" border=0>
图2-输入通行密码
图3-su到root
10、阻止系统让用户user1用口令方式登陆FB服务器。使用vipw 命令,把要阻止用口令登陆的用户的加密口令部分替换成一个“*”符,存盘。这时系统就会更新/etc/master.passwd 文件,以及用户名/口令数据库,即可达到阻止用户用口令方式登录系统。
一、密匙认证原理简介
密匙认证需要依靠密匙,首先创建一对密匙(包括公匙和私匙,用公匙加密的数据只能用私匙解密),把公匙放到需要远程服务器上,私钥放在客户端。这样当登录远程服务器时,客户端软件就会向服务器发出认证请求;服务器收到请求之后,先在服务器的宿主目录下寻找你的公匙,然后检查该公匙是否是合法,如果合法就用公匙加密一随机数生成所谓的“challenge”发送给客户端软件;客户端软件收到“challenge”之后就用私匙解密再把结果发送给服务器。因为用公匙加密的数据只能用私匙解密,服务器经过比较就可以知道该客户连接的合法性。
二、客户端配置
1、在SSH官方网站,或本站下载SSHSecureShellClient-3.2.9.exe,用默认方式安装。
2、创建密钥对。单击生成新的公钥。 500)this.width=500;" border=0>
单击 Generate new... 生成蜜钥。 设置登陆时要用的Passphrase 500)this.width=500;" border=0> 单击 Upload...上传公钥。
3、检查密钥文件的读写属性。默认安装后密钥对存放路径为C:\Documents and Settings\Administrator\Application Data\SSH\UserKeys ,将私钥设置成仅允许属主有读写权,也可将它放在U盘上,使用时再导入,以确保密钥安全。
图5
4、在不同WIN客户机上登陆。有时需要临时在其他WIN客户机登陆服务器,这时可用上述方法安装Secure Shell Client,然后将C:\Documents and Settings\Administrator\Application Data\SSH\UserKeys目录里的文件复制到新的WIN客户机上对应目录里即可。
!!!!注意:当不用该客户机后必须将上述目录里的文件删除,以防密钥被人盗取!!!! ----------------------------------------------------------------------
三、服务端配置(服务端是FB5.3、FB6.0用最小化安装后自带的Openssh)
1、用vi编辑/etc/rc.conf,确保有以下行:
sshd_enable="yes
2、在FB服务器添加新用户user1,并指定他属于whell组。
3、用vi编辑/etc/ssh/sshd_config,将FB服务器设置成密码验证方式。/etc/ssh/sshd_config文件内容有以下行:
Port 22
ListenAddress 10.1.1.1
PasswordAuthentication yes
ChallengeResponseAuthentication yes
UsePAM yes
UseDNS no
4、重启SSHD服务。
#/etc/rc.d/sshd restart
5、在WINXP上运行SSH Secure Shell Client-3.2.9客户端,用密码方式登陆FB SSHD服务器,将前面创建的公钥文件12.pub上传到用户家目录,即:
/usr/home/user1/.ssh/12.pub
6、在FB服务器上进入用户的.ssh目录下,把SSH Secure Shell Client格式的公钥转换成Openssl格式的公钥。
#cd /usr/home/user1/.ssh/
#ssh-keygen -X -f 12.pub >> authorized_keys ;转换格式并将公钥导入到authorized_keys文件中
#chmod 0640 authorized_key ;设置权限,使该文件仅允许属主读写
#rm 12.pub ;删除上传的公钥
7、用vi编辑/etc/ssh/sshd_config,将FB服务器设置成密钥验证方式。
Protocol 2
PasswordAuthentication no
PermitRootLogin no
ChallengeResponseAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
8、重启SSHD服务器
#/etc/rc.d/sshd restart
9、在WINXP上运行SSH Secure Shell Client-3.2.9客户端,用密钥方式登陆FB SSHD服务器。
图1-登陆
500)this.width=500;" border=0>
图2-输入通行密码
图3-su到root
10、阻止系统让用户user1用口令方式登陆FB服务器。使用vipw 命令,把要阻止用口令登陆的用户的加密口令部分替换成一个“*”符,存盘。这时系统就会更新/etc/master.passwd 文件,以及用户名/口令数据库,即可达到阻止用户用口令方式登录系统。
相关阅读 更多 +
排行榜 更多 +
