局域网架设SSH服务器

局域网架设SSH服务器
随着网络的快速发展，安全问题越来越成为大家瞩目的焦点。现在局域网的规模很大，并且分散在不同的地理位置，服务器的管理是一件很困难的事情。网络管理员采用远程维护管理是解决这个问题的有效手段，如大家比较熟悉的WINDOWS终端服务器、PCANYWHERE等远程管理系统，但这些基于GUI（图形用户接口）的远程管理系统不但占用了大量的服务器资源，而且无法在GUI上完成一些复杂的维护操作，还要回到“命令行模式”下来解决，因此，很多网络管理员使用Telnet服务进行服务器的远程维护。但是Telnet服务有一个致命的弱点，它是以明文的方式传输用户名和口令，所以很容易被别有用心的人窃取口令。另外，使用Win98客户机远程维护服务器时，无法通过Telnet服务器默认的“NTLM身份验证”，难道就没有好的远程维护方法吗？当然有了，目前有一种代替Telnet服务的有效工具――SSH服务。
SSH(Secure Shell)服务分为两部分：服务器端和客户端，SSH客户端与服务器端通讯时，用户名和密码均进行了加密，这就有效的防止对密码的窃听。并且通信中所传送数据包都是“非明码”方式的。正因为SSH采用加密传输方式，即使数据被窃取，但对该数据解密也不是一件很容易的事，所以使用SSH服务远程维护服务器是非常安全的。下面我们就一起来使用吧！

一、 安装启动SSH服务器
下面以WINDOWS 2000 SERVER为例介绍SSH服务器的安装，在SSH服务器端使用“F-Secure ssh server”软件，它的安装很简单，和一般软件安装没什么区别，安装过程就不再详细介绍了，安装完成后，需要启动“ssh server”服务，这里我介绍三种启动“ssh server”方法。
方法一：使用批处理文件
在服务器端安装目录下有两个批处理文件“start-ssh.bat”和“stop-ssh.bat”，它们分别用于启动和停止SSH服务的。运行“start-ssh.bat”文件就可以启动SSH服务，要停止该服务只要执行“stop-ssh.bat”文件即可。
方法二：使用SSH服务配置程序
在运行安装目录下，运行“fsshconf.exe ”程序，这是SSH服务器的配置程序，但也可以用来启动和停止SSH服务。在弹出的“F-Secure ssh server configuration”窗口中，点击左面列表框中的“ server setting”后，在右边“server status”栏中显示服务器状态按钮(图一)，如果服务器是停止状态,则按钮显示为“start server”,点击该按钮就可以启动SSH服务，再次点击就停止SSH服务。
方法三：使用NET命令
在服务器端，点击“开始――>运行”，输入“CMD”命令，在弹出的“命令提示符”窗口中，输入“net start "F-secure SSH Server" ”命令，就可以启动SSH服务了，停止服务输入“net stop "F-Secure SSH Server" ”命令即可。其中“F-Secure SSH Server”为SSH服务器的服务器名，“net start”和“net stop”为windows系统启动和停止系统服务所使用的命令。
小提示：启动了SSH服务后，一定要关闭TELNET服务，这样服务器就处在安全之中了，不用再怕数据被窃取。

二、 合理设置SSH服务器参数
启动SSH服务后，网络管理员就可以远程登录服务器进行维护了，但每个局域网使用SSH服务的需求是不同的。因此默认的服务参数未必能满足需要，那么我们可以自己设置这些参数。
1、 基本参数设置
运行“fsshconf.exe ”服务配置程序，在弹出的“F-Secure ssh server configuration”窗口左栏中，依次选择“server setting――>General”,然后在右边的”General“框体中就可以对参数进行设置了(图二)。在“Maximum number of connections”输入框中输入合适的数值，对连接到SSH服务器的最大用户数进行限制，默认为“0”，也就是不限制连接最大数，这里我们根据需要设置这个数值，如输入“50”，只允许50个用户同时连接SSH服务器。“Event Log Filter”多选框选项用来定义系统日志记录哪些信息，这里我们使用默认设置，钩选“errors”和“warnings”两项即可，不建议大家钩选“information”，这样会过多的浪费系统资源。“IdleTimeout”指用户远程登录的超时时间设置，默认为“0”，就是不进行登录超时限制；大家一定还记得FTP服务器的个性化的登录信息，SSH服务器也一样可以做到。首先编写一个登录信息文本文件保存在文件夹中，然后点击“Banner Message File”栏的浏览按钮，指定为你编写的文本文件即可，这样用户远程登录时就能看到这些个性化的信息了，另外，最后大家一定要点击“Apply”按钮保存参数设置。

2、 网络和标识参数设置
在“F-Secure ssh server configuration”窗口左栏中点击“Network ”选项（图三），SSH服务器默认使用的是“22”端口，当然你可以自定义端口号，注意，SSH服务器使用的端口号一定不能和服务器上别的程序的端口号冲突。在“Port”栏中输入你想使用的端口号即可，其它的参数选项设置建议使用默认值。点击“Identity”选项（图四），在右栏中，我们可以使服务器重新产生新的用户加密密钥和对外公开使用的公匙，这两个密匙分别存放在安装文件夹的“hostkey”和“hostkey.pub”文件中，点击“Generate”按钮就可以重新生成这两个文件。
小提示：SSH服务器产生一对密钥和公钥。客户端使用公钥对SSH服务器发送的信息进行解密。当用户第一次登录SSH服务器时，服务器会将它的公钥发送给客户端，以便客户机能对服务器发送的信息进行解密。

3、 主机限制参数设置
点击“Host restrictions“选项，在右栏中就可以对远程登录的机器进行限制设置（图五），例如，不允许IP地址为”192.168.0.2“的客户机远程登录SSH服务器，在“ Deny Login from Hosts”输入框中输入“192.168.0.2”，然后点击“Apply”按钮即可。



SSH服务器还有很多参数就不详细介绍了，大部分使用默认值即可。SSH服务器的参数保存在“sshd2_config”文件中，用户也可以用记事本打开直接进行编辑，但这种方法比较麻烦，不建议大家使用。


三、 SSH客户端软件操作
1、连接SSH服务器
客户端使用“F-Secure SSH Client”软件，它的安装也很简单，就不在介绍了。安装完成后，运行桌面的客户端程序，弹出“F-Secure SSH Client”主窗口，点击工具栏的“Connect(连接)”按钮，弹出“Connect to remote host＂对话框（图六），然后在“HOST NAME OR IP ADDRESS”输入框中输入SSH服务器的地址，如输入它的IP地址“218.22.123.26“，然后在“USER NAME”中输入SSH服务器的管理员帐号名，在“PORT”输入框中输入SSH服务器使用的端口号，点击“Connect”按钮后开始连接SSH服务器，如果用户是第一次远程登录SSH服务器，则弹出“是否将SSH服务器公匙保存在本地数据库中”的提示框，点击“是”按钮，接着弹出“请输入密码”对话框，输入管理员帐号密码后，点击“OK”按钮，就可以登录到SSH服务器了（图七）。这样，我们就可以对服务器进行远程维护了。
小提示：SSH客户端也会产生用户的加密密钥和公钥，客户端在第一次登录时，会将产生的公钥复制到SSH服务器上用户的目录中，以便服务器能对客户机发送的信息进行解密。
用户目录在服务器的路径为“C:\Documents and Settings\用户名\”，假设系统是安装在C盘中。

2、文件传输功能
SSH服务器不但提供远程登录功能，还提供了文件传输功能。点击“F-Secure SSH Client”主窗口的文件传输按钮后，弹出文件传输窗口（图八），文件的传输非常简单，在“LOCAL FOLDERS”栏中选择一个本地文件，然后使用鼠标拖到“REMOTE FOLDERS”栏中SSH服务器上该用户的主目录中即可，在窗口底部的状态栏中显示文件的传输状态。
小提示：客户端连接SSH服务器，SSH服务器提供两种级别的安全验证。第一种级别基于用户帐号密码的安全验证，只要知道帐号和密码就可以登录到SSH服务器；第二种级别基于密钥的安全验证，客户端必须为自己创建一对密钥，并把公用密钥传送到SSH服务器上，这样就有效的保证了客户端和服务器端数据的安全传输。

由于篇幅的关系，不能对SSH服务器所有的功能进行介绍，有兴趣的朋友可以参考有关技术资料，进行更深入的研究。