需求：公司通過一托管服務器(www.example.com)向外發(fā)布信息，要求使用openssh來提高從公司本地管理工作站（admin.example.com）遠程管理該服務器時的安全性。
一、 運行環(huán)境：
1．操作系統(tǒng)：
本地管理工作站和遠程服務器均使用RedHat7.0。
2．openssh版本：
采用RedHat7.0自帶的openssh，主要有三個rpm包：
openssh-2.1.p4-1.rpm：包含openssh的核心文件
openssh-server-2.1.1p4-1.rpm：包含openssh的服務器程序
openssh-clients-2.1.1p4-1.rpm：包含openssh的客戶端程序
二、 安裝openssh
1．在本地管理工作站上安裝openssh客戶端
首先查看是否已經安裝了openssh
#rpm –qa |grep openssh
如果提示：
openssh-2.1.p4-1
openssh-clients-2.1.1p4-1
則說明已經安裝了openssh的客戶端軟件，如果沒有提示，則插入Redhat7.0的第一張安裝盤，并執(zhí)行：
#mount /mnt/cdrom
#cd /mnt/cdrom/RedHat/RPMS
#rpm –ivh openssh-2.1.p4-1.rpm
#rpm –ivh openssh-clients-2.1.1p4-1.rpm
2．在遠程服務器上安裝openssh
方法同上，只不過服務器上需要安裝的是以下兩個包
openssh-2.1.p4-1
openssh-server-2.1.1p4-1
提示：可以通過ftp將openssh的rpm包下載到遠程服務器上。
三、 使用基于傳統(tǒng)口令認證的openssh
說明：缺省情況下，ssh仍然使用傳統(tǒng)的口令驗證，在使用這種認證方式時，我們不需
要進行任何配置。你可以使用自己帳號和口令登錄到遠程主機。所有傳輸?shù)臄?shù)據(jù)都會被加密，但是不能保證你正在連接的服務器就是你想連接的服務器。可能會有別的服務器在冒充真正的服務器，也就是受到“中間人”這種方式的攻擊。
使用以下語法登錄服務器：
ssh –l [在遠程服務器上的帳號] [遠程服務器的主機名或ip地址]
假設我們在遠程服務器上有管理員帳號admin，我們執(zhí)行以下命令：
ssh –l admin www.example.com
一切正常的話，你可以看到以下信息：
The authenticity of host ‘www.example.com’ can't be established.
Key fingerprint is 1024 5f:a0:0b:65:d3:82:df:ab:44:62:6d:98:9c:fe:e9:52.
Are you sure you want to continue connecting (yes/no)?
因為你是第一次登錄服務器，所以openssh不知道你的主機信息，以后再登錄時，系統(tǒng)就不會再提示這樣的信息了。輸入yes并回車后系統(tǒng)會提示你輸入密碼，輸入密碼后，你就可以象平常使用telnet那樣來使用ssh了。
四、 配置并使用基于密匙認證的openssh
說明：密匙認證需要依靠密匙，首先創(chuàng)建一對密匙（包括公匙和密匙,并且用公匙加密的數(shù)據(jù)只能用密匙解密），并把公匙放到需要遠程服務器上。這樣當?shù)卿涍h程服務器時，客戶端軟件就會向服務器發(fā)出請求，請求用你的密匙進行認證。服務器收到請求之后，先在你在該服務器的宿主目錄下尋找你的公匙，然后檢查該公匙是否是合法，如果合法就用公匙加密一隨機數(shù)（即所謂的challenge）并發(fā)送給客戶端軟件。客戶端軟件收到“challenge”之后就用私匙解密再把它發(fā)送給服務器。因為用公匙加密的數(shù)據(jù)只能用密匙解密，服務器經過比較就可以知道該客戶連接的合法性。
下面我們就一步步的來配置基于密匙認證的oppenssh（基于ssh2）：
假定：我們在遠程服務器和本地管理工作站上均有一個管理員帳號：admin
1．配置遠程服務器：
安裝完成后一般說來我們就沒有必要修改服務端的配置文件了，但是如果你想要獲得最
大化的安全性，可以修改www.example.com上/etc/ssh/sshd_conf中的
PasswordAuthentication yes 改為
PasswordAuthentication no
也即只能使用密匙認證的openssh，禁止使用口令認證。
2． 配置客戶端：
對客戶端配置文件/etc/ssh/ssh_conf不需要進行任何更改。
3．在客戶端生成密匙：
先在管理工作站上用ssh-keygen生成密匙，因為我們使用的是ssh2，所以要加一個-d
的參數(shù)。用admin登錄管理工作站，然后執(zhí)行：
$ssh-keygen –d
系統(tǒng)將顯示：
Generating DSA parameter and key.
Enter file in which to save the key (/home/admin/.ssh/id_dsa):
叫你輸入密匙文件的保存路徑，我們回車使用缺省路徑。
如果還沒有/home/admin/.ssh目錄，系統(tǒng)將顯示：
Created directory ‘/home/admin/.ssh’.
Enter passphrase (empty for no passphrase):
Enter same passphrase:
Your identification has been saved in /home/admin/.ssh/id_dsa.
Your public key has been saved in /home/admin/.ssh/id_dsa.pub.
The key fingerprint is:
D8:20:0f:01:5d:8f:6f:de:b9:d5:ce:28:d8:ca:45:59 admin@admin.example.com
這里的密碼是對生成的私匙文件（/home/admin/.ssh/id_dsa）的保護口令。
公匙文件是/home/admin/.ssh/id_dsa.pub
4． 發(fā)布公匙：
通過ftp將公匙文件/home/admin/.ssh/id_dsa.pub復制到遠程服務器上的以下目錄：
/home/admin/.ssh，如果.ssh目錄不存在，可以用mkdir命令先建立。
然后，將id_dsa.pub重命名為authorized_keys2:
mv id_dsa.pub authorized_keys2
再用chmod修改authorized_keys2的屬性：
chmod 644 authorized_keys2
注意，如果authorized_keys2文件的權限不正確，會導致ssh連接失敗。
5． 啟動sshd服務：
在www.example.com上使用root權限執(zhí)行：
/etc/rc.d/init.d/sshd start
6． 連接遠程服務器：
用admin帳號登錄admin.example.com并使用ssh連接www.example.com：
ssh –l admin www.example.com
Enter passphrase for DSA key ‘/home/admin/.ssh/id_dsa’:
輸入原先設置的密碼后，就可以登錄到www.example.com了。