眾所周知，使用互聯(lián)網(wǎng)絡(luò)的人越來(lái)越多，而Internet的安全問(wèn)題也越來(lái)越被人們所關(guān)注。在我們?nèi)粘Ｊ褂玫暮芏嗑W(wǎng)絡(luò)連接軟件并沒(méi)有提供必要的安全措施來(lái)防范，例如telnet，rlogin，ftp等等均在網(wǎng)絡(luò)中將用戶的密碼未加保護(hù)地傳輸，很多不懷好意的入侵者就這樣輕而易舉地得到您的帳戶密碼！
在這里我們介紹一下如何安全登錄，如何利用OpenSSH方便地建立自己的安全網(wǎng)絡(luò)通道。
1、OpenSSH簡(jiǎn)介
1.1 SSH協(xié)議
SSH的英文全稱為Secure Shell，是IETF（Internet Engineering Task Force）的Network Working Group所制定的一個(gè)協(xié)議，用于提供安全的遠(yuǎn)程登錄和其他安全網(wǎng)絡(luò)服務(wù)。
SSH協(xié)議目前版本號(hào)為2，還處于草案階段。不過(guò)由于網(wǎng)絡(luò)安全市場(chǎng)的強(qiáng)勁需求，已經(jīng)有許多公司和組織開(kāi)發(fā)了實(shí)用的基于SSH協(xié)議的軟件包。
其中最著名就是SSH Communication Security公司的SSH Secure Shell商用軟件包和OpenBSD Project開(kāi)放源碼組織開(kāi)發(fā)的OpenSSH軟件包，前者已經(jīng)在超過(guò)八十個(gè)國(guó)家擁有數(shù)百萬(wàn)用戶，后者也被難以數(shù)計(jì)的專業(yè)用戶和開(kāi)放源碼支持者廣泛使用。本文將只介紹基于OpenSSH的應(yīng)用技術(shù)。
1.2 什么是OpenSSH
如前文所述，OpenSSH是一個(gè)免費(fèi)（Free）版本的基于SSH協(xié)議的網(wǎng)絡(luò)連接工具軟件包。它將所有通信流量進(jìn)行加密，可以有效地防范各種監(jiān)聽(tīng)手段，杜絕網(wǎng)絡(luò)連接的泄密。OpenSSH具備安全性高、可靠性高、可用性好、功能全面等特點(diǎn)。不僅如此，由于OpenSSH的開(kāi)放性，用戶還可以通過(guò)Internet得到廣泛及時(shí)的技術(shù)支持。
OpenSSH目前支持支持SSH協(xié)議1.3版本、1.5版本和2.0版本，包括這樣一些應(yīng)用程序：
sshd：服務(wù)器端的守護(hù)程序，監(jiān)聽(tīng)來(lái)自客戶機(jī)的連接，負(fù)責(zé)完成安全驗(yàn)證并提供服務(wù)。
Ssh：客戶端程序，用于登錄到遠(yuǎn)程機(jī)器或執(zhí)行遠(yuǎn)程機(jī)器上的命令。
Scp：客戶端程序，可以安全地將文件拷貝到其他機(jī)器。
Ssh-keygen：密鑰管理程序，用來(lái)產(chǎn)生基于RSA或者DSA加密協(xié)議的密鑰對(duì)，包括一個(gè)主機(jī)用公開(kāi)密鑰和一個(gè)客戶用私有密鑰。
Ssh-agent：安全驗(yàn)證的代理程序，用來(lái)管理本地密鑰實(shí)現(xiàn)自動(dòng)連接。
Ssh-add：與上面代理程序配合使用的應(yīng)用程序，可以將特定的密鑰加入到代理程序的管理之中。
Sftp-server：安全文件傳輸?shù)姆?wù)程序。
Sftp：安全文件傳輸?shù)目蛻舫绦颍梢耘c運(yùn)行sftp-server 的機(jī)器建立ftp連接。
Ssh-keyscan：一個(gè)用來(lái)搜集主機(jī)公用密鑰的工具程序，效率很高。
1.3 你自己的OpenSSH
想擁有自己的OpenSSH？那好…
首先，我們來(lái)了解如何得到OpenSSH軟件包。通常情況下，你所安裝的Linux系統(tǒng)會(huì)自動(dòng)配置，比如RedHat 7.0，Mandrake 8.0等。如果想自己安裝，或者想得到最新的版本，即使你的機(jī)器上還沒(méi)有安裝也不要緊，可以到OpenSSH的官方網(wǎng)站www.openssh.org去自行下載，目前的最新版本是2001年5月發(fā)布的OpenSSH 2.9。你可以在網(wǎng)頁(yè)http://www.openssh.com/portable.html上選擇離自己最近的站點(diǎn)下載。
接下來(lái)自然就是安裝，如果你下載了rpm程序包，那么可以使用如下命令來(lái)安裝，這里假定你擁有最新的2.9版本。
[jack@mypc download]$ rpm -i openssh-2.9p2-1.i386.rpm
如果你下載的是源程序包，那么可以先解壓縮該包，然后進(jìn)入openssh-2.9p2目錄來(lái)安裝。
[jack@mypc download]$ tar -vxzf openssh-2.9p2.tar.gz
[jack@mypc openssh-2.9p2]$ cd openssh-2.9p2
[jack@mypc openssh-2.9p2]$ ./configure
[jack@mypc openssh-2.9p2]$ make
[jack@mypc openssh-2.9p2]$ make install
現(xiàn)在你已經(jīng)有了自己的OpenSSH包，讓我們一起來(lái)進(jìn)入主題，看看如何利用它來(lái)快速的建立起自己的安全通道吧。
2、用ssh構(gòu)建安全通道
2.1 ssh的端口轉(zhuǎn)發(fā)功能
前文已經(jīng)介紹，ssh是OpenSSH包中的一個(gè)重要應(yīng)用程序，它功能非常強(qiáng)大，不僅可以象普通telnet用戶一樣地登錄遠(yuǎn)程的主機(jī)，還可以指令主機(jī)去執(zhí)行特定的命令以完成特定的任務(wù)。當(dāng)然，這些操作是在得到主機(jī)的安全驗(yàn)證之后，并且此后的所有網(wǎng)絡(luò)通訊均被ssh加密傳輸，安全可靠。
Ssh還有一個(gè)很有用的端口轉(zhuǎn)發(fā)功能，它能夠?qū)CP 連接通過(guò)ssh的安全機(jī)制轉(zhuǎn)發(fā)到遠(yuǎn)程機(jī)器上，這樣我們就可以得到一個(gè)可靠的TCP會(huì)話，從而實(shí)現(xiàn)安全的信息通道。
Ssh端口轉(zhuǎn)發(fā)的典型命令格式如下：
ssh -L 4001:localhost:4011 jack@myserver.com
-L選項(xiàng)指示將要被轉(zhuǎn)發(fā)的端口對(duì)；4001:localhost:4011參數(shù)表示本地端口4001將被轉(zhuǎn)發(fā)到遠(yuǎn)端的4011端口（需要注意的是這里localhost指示的是遠(yuǎn)程主機(jī)的名字或者IP地址，它是被遠(yuǎn)程機(jī)器所能解釋的名字，在本例中遠(yuǎn)程主機(jī)是myserver.com，而localhost則是指myserver.com本身）；jack@myserver.com參數(shù)指明ssh通道將連接到myserver.com上，并且使用用戶jack所擁有的公用密鑰來(lái)進(jìn)行身份驗(yàn)證。 
2.2 針對(duì)安全通道來(lái)配置OpenSSH
要正確地使用OpenSSH的端口轉(zhuǎn)發(fā)功能，必須了解其基本的配置方法。
第一步，要產(chǎn)生正確的密鑰對(duì)，并將公用密鑰配置到遠(yuǎn)程主機(jī)的相應(yīng)位置。以前面提供的典型命令來(lái)說(shuō)，如果我們假定本地用戶名也是jack，那么密鑰操作如下：
（1）產(chǎn)生密鑰對(duì)。在本地主機(jī)上使用命令ssh-keygen來(lái)產(chǎn)生新的密鑰對(duì)，默認(rèn)密鑰類型是版本1的rsa1密鑰，其文件名為identity和identity.pub，保存在當(dāng)前用戶的主目錄下的.ssh目錄中，即~/.ssh/。（關(guān)于ssh-keygen的用法請(qǐng)用man ssh-keygen查看使用手冊(cè)，而~則代表/home/jack，用戶jack的主目錄）
（2）拷貝公用密鑰到遠(yuǎn)程主機(jī)。將密鑰identity.pub拷貝到遠(yuǎn)程主機(jī)上用戶jack的主目錄下的.ssh目錄中，導(dǎo)入到文件authorized_keys中。由于密鑰文件是文本格式，可以用命令cat identity.pub >> authtorized_keys來(lái)將新的公用密鑰添加到該文件尾部。注意：遠(yuǎn)程主機(jī)在對(duì)密鑰的認(rèn)證時(shí)只讀取authorized_keys，而并不檢查identity.pub文件，所以導(dǎo)入后可以將之刪除。
至于版本2的密鑰操作方式與此完全相同，只是新的密鑰文件名分別為id_rsa和id_dsa，公用密鑰文件分別為id_rsa.pub和id_dsa.pub 。
第二步，本地ssh客戶機(jī)的配置文件主要是/etc/ssh_config和~/.ssh/config文件，使用端口轉(zhuǎn)發(fā)無(wú)需對(duì)此做特別配置，采用默認(rèn)值即可。在遠(yuǎn)程ssh服務(wù)器上，其配置文件為/etc/sshd_config，也不用做特別修改。了解配置的具體細(xì)節(jié)，可以用man ssh和man sshd命令來(lái)查看聯(lián)機(jī)使用手冊(cè)。
3、使用安全通道的程序示例
3.1 示例程序環(huán)境
遠(yuǎn)程主機(jī)：myserver.com (192.1.0.99)
本地主機(jī)：mypc (192.1.0.3)
遠(yuǎn)程帳戶：jack
本地帳戶：jack
操作系統(tǒng)：Mandrake Linux 8.0
編譯系統(tǒng)：gcc 2.96
3.2 用ssh命令建立SSH通道
[jack@mypc sshtest]$ ssh -L 4001:localhost:4017 jack@myserver.com
Last login: Tue Aug 7 19:05:10 from 192.1.0.3
3.3 本地程序清單（sshcall.c）
#include
#include
#include
#include
#include
int main(int argc, char *argv[])
{
int fd;
struct sockaddr_in address;
int address_len;
int rtval;
char server_ip[20]="127.0.0.1";
short int port = 4001;
char sendbuf[100];
char recvbuf[100];
int len;
/* 創(chuàng)建套接字句柄 */
fd = socket(PF_INET, SOCK_STREAM, 0);
/* 配置將要連接的socket到本地端口4001 */
address.sin_family = PF_INET;
address.sin_addr.s_addr = inet_addr(server_ip);
address.sin_port = htons(port);
address_len = sizeof(address);
/* 嘗試連接到遠(yuǎn)程端口，實(shí)際上通過(guò)了SSH的轉(zhuǎn)發(fā) */
rtval = connect(fd, (struct sockaddr *)&address, address_len);
if(rtval == -1) exit(1);
/* 發(fā)送一個(gè)字符串 */
strcpy(sendbuf, "Hello! Server.");
send(fd, sendbuf, strlen(sendbuf), 0);
printf("\nData send out!");
/* 等待服務(wù)器應(yīng)答 */
len = recv(fd, recvbuf, 100, 0);
printf("\nData from server: %s", recvbuf);
/* 再等待服務(wù)器的另一個(gè)字符串 */
len = recv(fd, recvbuf, 100, 0);
printf("\nData from server: %s", recvbuf);
/* 關(guān)閉socket */
close(fd);
return 0;
}
3.4 遠(yuǎn)程服務(wù)程序清單（sshlisten.c）
#include
#include
#include
#include
int main(int argc, char* argv[])
{
int fd;
int address_len;
struct sockaddr_in address;
/* 創(chuàng)建套接字句柄 */
fd = socket(PF_INET, SOCK_STREAM, 0);
/* 配置socket到本地4011端口 */
address.sin_family = PF_INET;
address.sin_addr.s_addr = htonl(INADDR_LOOPBACK);
address.sin_port = htons(4011);
address_len = sizeof(address);
bind(fd, (struct sockaddr *)&address, address_len);
/* 監(jiān)聽(tīng)端口并只允許一個(gè)連接在監(jiān)聽(tīng)隊(duì)列中 */
listen(fd, 5);
while(1)
{
struct sockaddr_in client_address;
int len,datalen;
int client_sockfd;
char *answer = "OK";
char *answer_quit = "QUIT";
char *client_end = "END";
char data[100];
char *client_ip;
printf("waiting...");
fflush(stdout);
/* 等待客戶機(jī)的連接 */
len = sizeof(client_address);
client_sockfd = accept(fd, (struct sockaddr *)&client_address,
(int *)&len);
/* 打印出實(shí)際連接在服務(wù)器上所看到的網(wǎng)絡(luò)地址及端口 */
client_ip = inet_ntoa(client_address.sin_addr);
printf("\nClient IP address is %s, on port %d.",client_ip,
(int)client_address.sin_port);
/* 從客戶機(jī)讀取數(shù)據(jù) */
datalen = recv(client_sockfd, data, 100, 0);
if(datalen > 0) data[datalen] = '\0';
printf("\nClient data is: %s", data);
/* 連續(xù)發(fā)送兩個(gè)字符串 */
send(client_sockfd, answer, strlen(answer), 0);
send(client_sockfd, answer_quit, strlen(answer_quit), 0);
/* 關(guān)閉socket，結(jié)束這個(gè)連接 */
close(client_sockfd);
printf("\n");
}
return 0;
}
3.5 應(yīng)用示例說(shuō)明
將上述兩個(gè)程序例子分別在客戶機(jī)和服務(wù)器上運(yùn)行，sshlisten在遠(yuǎn)程服務(wù)器端運(yùn)行，sshcall在客戶端運(yùn)行，讀者可以自行驗(yàn)證結(jié)果。注意觀察在服務(wù)器上sshlisten輸出的連接信息，以加深對(duì)端口轉(zhuǎn)發(fā)的理解。
4、OpenSSH資源
OpenSSH的rpm下載：
ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/rpm/RH71/
openssh-2.9p2-1.i386.rpm
openssh-askpass-2.9p2-1.i386.rpm
openssh-askpass-gnome-2.9p2-1.i386.rpm
openssh-clients-2.9p2-1.i386.rpm
openssh-server-2.9p2-1.i386.rpm
OpenSSH的源程序下載：
ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/
openssh-2.9p2.tar.gz
README
INSTALL
TODO
UPGRADING
OpenSSH的使用手冊(cè)查閱：http://www.openssh.com/manual.html
SSH基本協(xié)議的資源（可以在www.ietf.org網(wǎng)站查詢""關(guān)鍵字得到更多）：
1. SSH Protocol Architecture
http://search.ietf.org/internet-drafts/draft-ietf-secsh-architecture-09.txt
2. SSH Authentication Protocol
http://search.ietf.org/internet-drafts/draft-ietf-secsh-userauth-11.txt
3. SSH Connection Protocol
http://search.ietf.org/internet-drafts/draft-ietf-secsh-connect-11.txt
4. SSH Transport Layer Protocol
http://search.ietf.org/internet-drafts/draft-ietf-secsh-transport-09.txt