OpenSSH為保障Client（客戶端）與服務(wù)器端（Server）的安全通信提供了一整套的工具，這些工具允許用戶為任何類型的Client與Server的通信創(chuàng)建安全通道，包括檢查/發(fā)送電子郵件或Web瀏覽。

OpenSSH

在通過Internet登錄到一個遠(yuǎn)程系統(tǒng)時，總會存在一種危險，即用戶的口令如果以明文方式傳輸，就可能會被監(jiān)視字節(jié)流的黑客中間截獲并加以濫用。多數(shù)用戶實際上都清楚這種風(fēng)險，并通過使用所謂的“安全外殼”（secure shell）程序來減輕風(fēng)險，這種“安全外殼”程序的設(shè)計目的是在用戶通過互聯(lián)網(wǎng)傳輸數(shù)字證書之前對證書進(jìn)行加密。目前這類程序最流行、最通用的就是OpenSSH，這是一個OpenBSD的項目。

不過，許多OpenSSH用戶并沒有認(rèn)識到，這個程序不僅允許用戶加密用戶的（遠(yuǎn)程登錄）telnet會話，它還提供了一整套用以保障客戶端/服務(wù)器通信安全的工具，而且允許用戶為任何類型的C/S通信創(chuàng)建安全“通道”，其中包含檢查/發(fā)送電子郵件或Web瀏覽。使用這些通道可以極大改善系統(tǒng)的安全性，特別是機(jī)密性成為一個關(guān)鍵要素的時候。

本文將通過一個具體的例子向您展示如何通過這個OpenSSH來創(chuàng)建加密通道，用于檢查一個POP3郵箱，從而使我們進(jìn)一步理解并掌握OpenSSH的安全通道特性。

第一步：下載并安裝OpenSSH

用戶可從http://www.openssh.com/下載源代碼，用戶從多種平臺的版本中選擇所需要的版本。其文件已被數(shù)字化簽名，從而可以避免損害用戶的安全。本文例子使用的是OpenSSH 4.3。

一旦用戶下載了程序包，將它解到一個臨時目錄并執(zhí)行標(biāo)準(zhǔn)的“配置─生成─安裝”循環(huán)：

shell> tar -xzvf openssh-4.3p2.tar.gz
shell> cd openssh-4.3p2/
shell> ./configure
shell> make
shell> make install

第二步：生成主機(jī)密鑰并啟動OpenSSH進(jìn)程

安裝過程的最后一步就是生成一對主機(jī)密鑰，即特定系統(tǒng)的唯一標(biāo)識符。這些密鑰，包含一個私有密鑰和一個公有密鑰，分別存儲在諸如 /etc/ssh_host_key and /etc/ssh_host_key.pub,的文件中：

shell> make install
…
Generating public/private rsa1 key pair
Your identification has been saved in /etc/ssh_host_key
Your public key has been saved in /etc/ssh_host_key.pub
…
Generating public/private dsa key pair
Your identification has been saved in /etc/ssh_host_dsa_key
Your public key has been saved in /etc/ssh_host_dsa_key.pub
…
Generating public/private rsa key pair
Your identification has been saved in /etc/ssh_host_rsa_key
Your public key has been saved in /etc/ssh_host_rsa_key.pub

一旦密鑰創(chuàng)建完成，通過執(zhí)行“sshd”啟動OpenSSH進(jìn)程：（以超級用戶身份）：

shell> /sbin/sshd

通過打開一個Telnet連接到22號端口確認(rèn)服務(wù)正在運(yùn)行：

shell> telnet localhost 22
Trying 127.0.0.1…
Connected to localhost.
Escape character is ‘^]’.
SSH-1.99-OpenSSH_4.3

第三步：創(chuàng)建一個到用戶的POP3服務(wù)器的安全通道

現(xiàn)在讓我們假定用戶的本地系統(tǒng)名為localbox，主管用戶的目標(biāo)POP3郵箱的主機(jī)名為remotebox。下一步就是在remotebox主機(jī)上的110端口（POP3連接的標(biāo)準(zhǔn)端口）與localbox計算機(jī)上的一個未用的端口之間創(chuàng)建一個加密的SSH通道。這個過程稱為TCP轉(zhuǎn)發(fā)，用OpenSSH完成這個操作是相當(dāng)簡單的，只需要運(yùn)行如下的命令：

shell> ssh -L 2110:localbox:110 remotebox
root@localbox's password: ****

這個命令意思是說：將localbox上未用端口2110上的所有連接轉(zhuǎn)發(fā)到remotebox上的POP3端口110上，并在通道上加密。此命令的結(jié)果是：所有到localbox上2110端口的連接企圖都被自動加密，并被發(fā)送到remotebox上的110端口上。

現(xiàn)在如果用戶在localbox上打開了telnet連接到端口2110，例如：

shell> telnet localbox 2110
Trying 127.0.0.1…
Connected to localhost.
Escape character is ‘^]’.
+OK DPOP ready

用戶的連接會被自動轉(zhuǎn)發(fā)到remotebox上的110端口─POP3郵件服務(wù),并且加上高質(zhì)量的加密以確保任何人都無法“竊聽”用戶與遠(yuǎn)程服務(wù)器的數(shù)據(jù)通信。

在這里要注意兩個重要的問題：如果你正使用一個特權(quán)端口，必須要有對轉(zhuǎn)發(fā)端口的超級用戶權(quán)限；此外，你不應(yīng)試圖使用已經(jīng)在用的端口號。

第四步：改變你的POP3客戶端設(shè)置

一旦你的安全通道能夠運(yùn)作，你需要將所做的改變告訴你的郵件客戶端,對于前向通道，你的郵件客戶端可能直接連接到remotebox以檢索電子郵件－一個讓用戶的電子郵件口令以一種非加密的格式沿著線路傳輸，需要對客戶端作類似如下的設(shè)置：

Server: remotebox
Port: 110
User: john
Password: guessme

對于后向通道，你的郵件客戶端應(yīng)該被重置，直接連接到本地系統(tǒng)上的2110端口，用OpenSSH實現(xiàn)將連接轉(zhuǎn)發(fā)到遠(yuǎn)程服務(wù)器并實現(xiàn)線路加密。新的設(shè)置應(yīng)看起來是如下的樣子：

Server: localbox
Port: 2110
User: john
Password: guessme

經(jīng)過這四步安裝設(shè)置之后，你已經(jīng)擁有了一個郵件客戶端與郵件服務(wù)器之間的安全通道，你的口令和數(shù)據(jù)對他人來說將是不可見的。很明顯，這僅僅是一個例子，可以說是僅僅展示了OpenSSH強(qiáng)大功能的冰山之一角。用戶還可以設(shè)置OpenSSH用以加密SMTP、FTP、IRC或者任何類型的客戶端/服務(wù)器的連接,或者創(chuàng)建通過防火墻的加密通道。為了您的數(shù)據(jù)傳輸?shù)陌踩?，請用OpenSSH為您的傳輸保駕護(hù)航！