AIX TCPIP 命令安全性

TCP IP 命令安全性命令安全性 TCP IP 中的一些命令提供操作过程中的安全环境 这些命令是 ftp rexec 和 telnet ftp 功能提供文件传送过程中的安全性 rexec 命令为在外部主机上运行命令提供安全环境 telnet 功能为登录外部主机提供安全性 ftp rexec 和 telnet 命令仅在它们操作过程中提供安全性 也就是说 它们并不建立与其 它命令一起使用的安全环境 为了保护系统进行其它操作 使用 securetcpip 命令 此命 令通过禁用非可信守护程序和应用程序 及提供保护 IP 层网络协议的选项 提供您保护 系统安全的能力 ftp rexec securetcpip 和 telnet 命令提供以下形式的系统及数据安全性 ftpftp 命令提供传送文件的安全环境 当用户对外部主机调用 ftp 命令时 提示 用户输入登录标识 显示的缺省登录标识为 用户在本地主机的当前登录标识 提示用户输入远程主机的密码 自动登录过程搜索本地用户的 HOME netrc 文件以获取用于外部主机的用户 标识及密码 对于安全性 HOME netrc 文件的许可权必须设置为 600 只 能由所有者读写 否则 自动登录失败 注 注 因为 netrc 文件的使用需要将密码存储在非加密文件中 当系统配置了 securetcpip 命令时 ftp 命令的自动登录功能不可用 通过将 ftp 命令从 etc security config 文件的 tcpip 节中除去可以重新启用此功能 要使用文件传送功能 ftp 命令需要两个 TCP IP 连接 一个用于 文件传输 协议 FTP 另一个用于数据传输 协议连接是主要的而且是安全的 因为 它建立在可靠的通信端口上 第二连接是实际数据传输所必需的 且本地及远 程主机都验证了此连接的另一端由与主要连接相同的主机建立的 如果主要连 接和第二连接不是由相同主机建立 ftp 命令首先显示错误消息 指出数据连 接未认证 然后退出 第二连接的这种验证防止第三主机拦截要送至另一主机 的数据 rexecrexec 命令为在外部主机上执行命令提供安全环境 提示用户输入登录标识及 密码 自动登录功能引起 rexec 命令搜索本地用户的 HOME netrc 文件以获取外 部主机上的用户标识及密码 对于安全性 HOME netrc 文件的许可权必须 设置为 600 只能由所有者读写 否则 自动登录失败 注 注 因为 netrc 文件的使用需要将密码存储在非加密文件中 当系统在安全状 态下操作时 rexec 的自动登录功能不可用 通过将 rexec 项从 etc security config 文件中的 tcpip 节除去可以重新启用此功能 securetcpip securetcpip 命令启用 TCP IP 安全功能 发出此命令时 从系统中除去对非可 信命令的访问 通过运行 securetcpip 命令来除去以下每一个命令 rlogin 和 rlogind rcp rsh 和 rshd tftp 和 tftpd trpt 使用 securetcpip 命令将系统从标准安全性级别转换为更高安全性级别 系统 转换后 除非重装了 TCP IP 否则不必再次发出 securetcpip 命令 telnet 或 tn telnet TELNET 命令提供登录到外部主机的安全环境 提示用户输入登录标 识及密码 将用户终端看作直接与主机连接的终端 即访问终端受控于许可位 其它用户 组及其它 没有对终端的读访问权 但如果所有者给予它们写许可 权 它们就可以对终端写消息 telnet 命令也通过 SAK 提供对远程系统上可 信 shell 的访问 此按键顺序不同于调用本地可信路径的顺序 并可以在 telnet 命令中定义 限制文件传送程序用户 限制文件传送程序用户 etc ftpusers etc ftpusers 文件中列出的用户受到保护 不允许远程 FTP 访问 例如 假设用户 A 登 录到远程系统 而且他知道系统上用户 B 的密码 如果用户 B 列在 etc ftpusers 文件 中 即使用户 A 知道用户 B 的密码 用户 A 也不能用 FTP 对用户 B 的帐户上传或下 载文件 下表提供有关如何使用基于 Web 的系统管理器 SMIT 或命令行列出 添加及除去受限 用户的信息 远程 FTP 用户任务 任务任务SMIT 快速路径快速路径命令或文件命令或文件基于基于 Web 的系统管理器的系统管理器 管理环境管理环境 列出受限 FTP 用户 smit lsftpusers查看 etc ftpusers 文件 软件 用户用户 所有用户所有用户 添加受限用户smit mkftpusers编辑 etc ftpusers 文件注 1 软件 用户用户 所有用户所有用户 选选 定定 将该用户添加到组将该用户添加到组 选择组 并单击确定确定 除去受限用户smit rmftpusers编辑 etc ftpusers 文件注 1 软件 用户用户 所有用户所有用户 选选 定定 删除删除 怎样禁止怎样禁止 user 用户用户 telnet 登陆 登陆 用命令 chuser rlogin false username 禁止 su 操作 chuser su false username 怎么限制 只有某些怎么限制 只有某些 ip 才可以登陆机器才可以登陆机器 1 修改 etc inetd conf 文件 主要是用 tcpd tcpwrapper 中的文件 更换掉原有的守候进程 如 ftpd telnetd 在 usr local lib tcp wrappers 7 6 目录下有一个修改方法的实例文件 inetd conf 不是用这个文件替换 etc inetd conf 下面的内容是我根据 aix 的 inetd conf 做出的修改示例 ftp stream tcp6 nowait root usr local bin tcpd ftpd telnet stream tcp6 nowait root usr local bin tcpd telnetd a shell stream tcp6 nowait root usr local bin tcpd rshd login stream tcp6 nowait root usr local bin tcpd rlogind 2 修改 inetd conf 后 执行 refresh s inetd 让 inetd 接受新的配置 3 创建 etc hosts allow etc hosts deny 来控制允许访问的 ip 主机名 这些文件的设置方 法见 man 5 hosts access 的说明 下面给出一个例子 只允许 192 168 0 网段上的主机访问 本主机 hosts deny ALL ALL hosts allow ALL 192 168 0 4 可以用 tcpdmatch 来检查规则的设置 例如检查是否允许 192 168 0 1 通过 telnet 访问本机 tcpdmatch telnetd 192 168 0 1 5 tcp wrapper 支持访问日志的控制 它使用与 sendmail 相同的日志记录方式 所以要修改 etc syslog conf 把 mail debug 前的注释去掉 然后 touch var spool mqueue syslog 创建空日 志文件 refresh s syslogd 刷新 syslogd 进程 6 非法的访问记录都将记录在 var spool mqueue syslog 中了 非非 root 用户的登录问题用户的登录问题 如果用户 包括root用户 收到下面的错误信息 可能预示着一个组文件损坏或者丢失 3004 010 failed setting terminal ownership and mode 在 etc passwd 文件里发现的那个用户的基本组可能在 etc group文件里无法找到 tps 215 1 u tps bin ksh 在这个例子里 组ID为 1 需要检查 etc group 文件并确保组号1存在 如果只有root用户能够登陆 普通用户收到下面的错误信息 3004 009 failed running login shell 或者是 system unavailable 执行命令 su user name 返回如下信息 3004 505 Cannot set process environment 登录以后 用户得到下面的信息 0653 345 permission denied 当登录后试图作任何事情时 或者 ksh pwd Cannot access parent directories 当登录后执行 pwd命令时 这些故障现象都是由于用户不能够执行登录shell ksh csh或者bsh 依靠哪一个被使用来定 或者是主目录路径的权限问题引起的 检查问题文件和目录的步骤 下面的步骤介绍了如何检查可能有权限 属主或者属组问题的文件和目录 如果任何文件 或者目录有问题 均可以使用 chmod chown或者 chgrp 命令来改变权限 属主或属组 如果一个符号连接丢失 可以使用ln 命令来重新建立它 例如 想要建立 bin到 usr bin 的连接 运行下面的命令 ln s usr bin bin 具体的步骤如下 1 以 root身份登录进入系统 2 如果以非root用户登录系统时看到信息 system unavailable 继续这一步 否则跳到下 一步 检查 etc nologin文件 是否存在 ls l etc nologin 如果 etc nologin文件存在 把它删除掉 rm etc nologin 输入下面的命令并执行 cd ls al 类似输出如下 drwxr xr x 19 bin bin 1024 Dec 12 21 14 drwxr xr x 19 bin bin 1024 Dec 12 21 14 lrwxrwxrwx 1 bin bin 8 Nov 22 09 37 bin usr bin drwxrwxr x 4 root system 2048 Dec 12 21 12 dev drwxr xr x 12 root system 2048 Dec 12 21 11 etc drwxr xr x 5 bin bin 512 Nov 22 14 51 home lrwxrwxrwx 1 bin bin 8 Nov 22 09 37 lib usr lib drwxr xr x 20 bin bin 512 Nov 22 13 33 lpp drwxr xr x 3 bin bin 512 Nov 22 09 37 sbin lrwxrwxrwx 1 bin bin 5 Nov 22 09 37 u home drwxr xr x 20 bin bin 512 Nov 22 14 24 usr drwxr xr x 12 bin bin 512 Nov 22 12 59 var 3 输入下面的命令并执行 ls ld usr bin usr lib tmp 类似的输出如下 drwxr xr x 3 bin bin 10752 Nov 22 12 53 usr bin drwxr xr x 28 bin bin 4096 Dec 15 17 08 usr lib drwxrwxrwt 8 bin bin 2560 Jan 22 14 46 tmp 4 输入下面的命令并执行 ls l usr bin csh usr bin ksh usr bin bsh 类似的输出如下 r xr xr x 2 bin bin 341020 Nov 22 09 37 usr bin bsh r xr xr x 1 bin bin 154412 Nov 22 09 37 usr bin csh r xr xr x 4 bin bin 230148 Nov 22 09 37 usr bin ksh 确定用户的主目录 在这些步骤里 我将以用户 user one 的用户ID和目录为例 5 输入下面的命令并执行 ls ld u user one 使用用户的目录路径名 类似的输出如下 drwxr xr x 9 user one system 7680 Dec 24 15 00 u user one 这个目录将被用户拥有并且用户对它有读 写和执行的权限 6 输入下面的命令并执行 cd u user one ls al pg 类似的输出如下 drwxr xr x 9 user one system 7680 Dec 24 15 00 drwxr xr x 71 bin bin 1536 Dec 14 09 37 目录的属主将是这个用户 这个目录的权限将至少组用户权限是读和写和其他组用 户权限是读和写 7 如果用户仍然有权限被拒绝而不是登录的问题 可能是由于文件系统装载点的权限引起 的 为了检查装载点的权限 文件系统必须首先被卸载下来 有些文件系统的装载点只能 在用启动介质启动进入维护模式下能够被检查 装载点的权限将应该至少是d x x x 建 议使用全权限许可 drwxrwxrwx 装载文件系统的权限设定能够用来限制访问 如何记录下远程主机对本机文件所做的如何记录下远程主机对本机文件所做的 ftp 操作 操作 用户有时希望查看到是否有远程主机通过ftp连接到本机并对本机的文件进行了ftp传输操作 如何实现 解答 1 编辑 etc syslog conf文件 增加如下行 daemon info tmp daemon log 2 使用下面命令在 tmp目录下创建文件daemon log touch tmp daemon log 3 刷新syslogd daemon refresh s syslogd 4 检查 etc inetd conf文件中对应ftpd的行 对ftpd的调用应带有 l 参数 进行完以上设置后 其它主机对本机进行的ftp操作就会被记录在 tmp daemon log文件中了 何限制用户改变密码何限制用户改变密码 可以用命令pwdadm f ADMIN username来实现 如果想让用户恢复更改密码的权利 运行 pwdadm f ADMCHG username 来重置 如何屏蔽某一用户的如何屏蔽某一用户的 ftp 访问访问 将被拒绝的用户名加入到 etc ftpusersw文件中 如何对用户的登录进行控制如何对用户的登录进行控制 Login Control 提要提要 随着计算机技术应用的越来越广泛 尤其是互联网的普及 系统的安全成为每一个系 统管理员都要面对的课题 本文将对如何在AIX上对用户的登录进行控制进行一个简要的 介绍 正文正文 通常黑客能够从AIX缺省的登陆屏幕上得到有价值的信息 如主机名 hostname 操 作系统的版本等 这些信息能够帮助他们选择进攻的策略 出于安全性的考虑 系统管理 员应该在系统安装完成后尽快进行一些安全设置 1 设置 etc security login cfg文件 是否对 pty 有效 网络登陆 对 tty 有效 建议 说明 Sak enabledYYfalse SAK 很少使用 LogintimesNY 允许登录的时间 LogindisableNY4 在 logininterval 规定的时间内 60 秒 当出现 logindisable 所定义的 4 次 连续的登录失败后 禁止在此终端登陆 loginintervalNY60 loginreenableNY30被禁止登录的终端 在 30 分钟后从新被激活 LogindelayYY5 登录失败后下次提示符出现前所延迟的时间 此 值乘以登陆失败的次数 如 5 10 15 20 秒 防止在登录屏幕的欢迎信息里出现有用的信息 需要改变 etc security login cfg文件中的 herald参数 可以通过chsec命令或直接编辑此文件进行 如下所示是使用chsec命令改变缺省的herald参数 chsec f etc security login cfg a default herald Unauthorized use of this system is prohibited n nlogin 或直接编辑 etc security login cfg文件 default herald Unauthorized use of this system is prohibited n nlogin sak enable false logintimes 0800 2200 logindisable 5 logininterval 80 loginreenable 20 logindelay 5 2 改变在CDE环境下的登录屏幕 CDE的登录屏幕缺省会显示主机名和操作系统的版本 系统管理员可以编辑 usr dt config LANG Xresources文件 改变系统缺省的欢迎信息 LANG是指当前系统的 语言环境 假设 LANG为C 则编辑 etc dt config C Xresources文件 改变包含主机名和操作系统版本 的缺省的欢迎信息 虽然CDE的图形界面对用户十分友好 但它也带来潜在的安全问题 对于安全性要求较高 的系统我们建议不要安装CDE的软件包 带有dt的 fileset xwd和xwud命令可以被用来监视X server的活动 它们可以截取用户击键的顺序 从而报漏 用户密码或其他有价值的信息 要解决这个问题可以删除这两个文件 或将这两个文件设 置成只有root可以运行 xwd和xwud包含在X11 apps clients文件集中 如果你确实需要xwd和xwud提供的功能可以考虑使用OpenSSH或MIT Magic Cookies这些第 三方所提供的工具 xhost 命令允许远程系统连接你系统的X server 在运行xhost 命令时一定要在后面跟你 所允许的主机名 也就是只给特定的主机访问权限 xhost hostname 另外不允许除root外的其他的用户运行xhost 命令 chmod 744 usr bin X11 xhost 3 设置自动退出系统 logoff 另一个潜在的安全漏洞是当用户在登录的状态下离开终端 在这种情况下 其他人可能控 制此用户的终端 对系统的安全造成威胁 为避免这种情况的出现 系统管理员可以设置自动退出系统 编辑 etc security profile文件 如下所示 TMOUT 600 TIMEOUT 600 export readonly TMOUT TIMEOUT 600的单位为秒 相当于10分钟 然而此参数只在shell的状态下有效 root 用户密码丢失怎么办用户密码丢失怎么办 客户root用户密码丢失 如何重建root用户密码 解答 1 如果客户有其他用户拥有root权限 可以用该用户登陆 并执行下列恢复动作 如何创建第二个root权限用户 详见附录 passwd root Changing password for root root s New password Enter the new password again 2 如果客户没有第二个root权限用户存在 要用系统光盘启动到单用户模式 a vi etc passwd 文件 root 0 0 bin ksh daemon 1 1 etc bin 2 2 bin sys 3 3 usr sys adm 4 4 var adm uucp 5 5 usr lib uucp guest 100 100 home guest ql 0 0 home ql usr bin ksh qinbj 0 0 home qinbj usr bin ksh nobody 4294967294 4294967294 lpd 9 4294967294 把root 后的 号去掉 变成 root 0 0 bin ksh b vi etc security passwd root password AmMwUe2EQ491U lastupdate 1054106568 flags daemon password bin password 去掉root下的信息 root daemon password bin password c 重新启动机器 输入新的passwd 附录 步骤如下 1 添加一个用户 2 手工修改 etc passwd文件中的 user ID 和 group ID 3 将user ID改为0 如下 可对用户russ做改动 将 russ 206 1 u russ bin ksh 改为 russ 0 0 u russ bin ksh 如何在如何在 AIX 5 1 上安装上安装 openssh 1 下载 openssl 和 openssh 软件包 下载 openssl 打开网页 Toolbox Cryptographic Content 如图 您需要注册一个用户以访问下载页面 在使用注册的用户名登录后 您将被重定向到 AIX Toolbox Cryptographic Content 的下载页面 请在这个页面上找到 OpenSSL SSL Cryptographic Libraries 并下载 openssl 0 9 6k 2 aix5 1 ppc rpm 下载 openssh 打开网页 opensshi aix51 如图 然后按照网页上的提示进行下载 2 安装 openssh 要安装 openssh 首先必须安装 openssl 软件包 安装 openssl 需要使用 rpm 命令 包含在 rpm rte 文件集中 您可以用 lslpp 命令来检查 rpm rte 是否已经安装在您的系统上 lslpp l rpm rte Fileset Level State Description Path usr lib objrepos rpm rte 3 0 5 32 COMMITTED RPM Package Manager Path etc objrepos rpm rte 3 0 5 32 COMMITTED RPM Package Manager 如果您在运行这条命令时系统提示您 rpm rte 没有安装 您需要先从 AIX 系统光盘中安装 rpm rte 文件集 将下载的 openssl 软件包传送到 AIX 操作系统中 使用以下命令进行安装 rpm ivh openssl 0 9 6k 2 aix5 1 ppc rpm openssl 下面可以开始安装 openssh 了 在 AIX 操作系统上新建一个目录 并将下载的 openssh 软 件包放置在这个目录中 切换到这个目录 执行以下操作 umcompress openssh361p2 51 NIM tar Z tar vxf openssh361p2 51 NIM tar x Customer README 2363 bytes 5 media blocks x openssh base 1278976 bytes 2498 media blocks x openssh license 173056 bytes 338 media blocks x openssh man en US 103424 bytes 202 media blocks x openssh msg CA ES 17408 bytes 34 media blocks x openssh msg CS CZ 17408 bytes 34 media blocks x openssh msg DE DE 17408 bytes 34 media blocks x openssh msg EN US 15360 bytes 30 media blocks x openssh msg ES ES 17408 bytes 34 media blocks x openssh msg FR FR 19456 bytes 38 media blocks x openssh msg HU HU 17408 bytes 34 media blocks x openssh msg IT IT 16384 bytes 32 media blocks x openssh msg JA JP 19456 bytes 38 media blocks x openssh msg Ja JP 16384 bytes 32 media blocks x openssh msg KO KR 17408 bytes 34 media blocks inutoc smitty install latest 安装路径选择 ACCEPT new license agreements 设置为 yes AIX Version 5 Install Software Type or select values in entry fields Press Enter AFTER making all desired changes Entry Fields INPUT device directory for software SOFTWARE to install all latest PREVIEW only install operation will NOT occur no COMMIT software updates yes SAVE replaced files no AUTOMATICALLY install requisite software yes EXTEND file systems if space needed yes OVERWRITE same or newer versions no VERIFY install and check file sizes no Include corresponding LANGUAGE filesets yes DETAILED output no Process multiple volumes yes ACCEPT new license agreements no Preview new LICENSE agreements no Esc 1 Help Esc 2 Refresh Esc 3 Cancel Esc 4 List Esc 5 Reset Esc 6 Command Esc 7 Edit Esc 8 Image Esc 9 Shell Esc 0 Exit Enter Do 安装完成后 sshd 会被作为一个子系统加入到 AIX 操作系统中 您可以使用 lssrc startsrc stopsrc 和 refresh 命令来控制 sshd 子系统 您也可以使用 ssh 命令来连接其 它系统 sftp 也会被安装到 AIX 操作系统中 如何在如何在 ssh 会话中使用密钥进行身份验证会话中使用密钥进行身份验证 ssh Secure Shell 使计算机用户能够远程登录到计算机上并执行命令 这一点与 telnet rlogin 和 rsh 很相似 ssh 与这些工具的不同之处在于能够在不安全的网络环境中提供安全 的 加密的会话数据传输 用户使用 ssh 连接并登录到远程计算机系统中时 必须提供自己的身份验证标志 身份验 证标志可以通过以下几种方法提供 计算机将首先使用 etc hosts equiv rhosts 和 shosts 来判断是否允许用户进行登录 这 一点与 rsh 和 rlogin 很相似 但这种身份验证方法并不实用 因为仅仅依赖于这些文件本 身就是不安全的 另一种身份验证方法是将这些文件与基于 RSA 的主机身份验证结合起来 这意味着在用户 和主机名通过了 etc hosts equiv rhosts 和 shosts 文件认证之后 ssh 服务器还要验证 ssh 客户机的计算机密钥 这种身份验证方法可以防御使用 IP spoofing DNS spoofing 和 router spoofing 进行的攻击 第三种身份验证方法是完全基于 RSA 密钥的 每个用户都创建自己的公钥 私钥对用来进 行身份验证 ssh 服务器知道用户的公钥 而用户自己掌握着私钥 文件 ssh authorized keys 中列出了所有允许使用此用户身份登录的公钥 当用户登录时 ssh 服务器向用户发送使用公钥加密的随机信息 这个信息只有用该用户的私钥才能解密 ssh 客户端会试图用用户提供的私钥进行解密并向 ssh 服务器证明该解密是成功的 如果以上身份验证方法都失败了 ssh 服务器会向用户提示输入口令 尽管 ssh 会话过程是 加密的 口令的传输是没有加密的 所以在 ssh 使用中要尽量使用密钥进行身份验证 ssh 协议版本 2 还提供了 DSA 加密算法以供选择 下面我们以 AIX 操作系统为例介绍如何使用 ssh 进行 DSA 密钥验证 1 为要用户创建公钥 私钥对 在 ssh 客户端上 以要使用 ssh 的用户登录 执行命令 ssh keygen t dsa Generating public private dsa key pair Enter file in which to save the key ssh id dsa Enter passphrase empty for no passphrase Enter same passphrase again Your identification has been saved in ssh id dsa Your public key has been saved in ssh id dsa pub The key fingerprint is 7d 2f 06 de 61 fc 84 39 73 07 cd db 42 62 46 2c root r6f50 接受所有默认值并在提示输入 passphrase 时按回车 以下文件会被创建在 ssh 目录中 ls l ssh total 24 rw 1 root system 668 Mar 16 09 55 id dsa rw r r 1 root system 600 Mar 16 09 55 id dsa pub rw 1 root system 1024 Mar 16 09 54 prng seed 其中 id dsa 是用户的私钥 应该存放在客户机上 id dsa pub 是用户的公钥 应该存放在 ssh 服务器上的 ssh authorized keys 文件中 2 在服务器上导入用户公钥 在服务器上以要使用 ssh 的用户身份登录 创建目录 ssh 将客户机上的 id dsa pub 拷贝 到这个目录中 然后执行命令 touch ssh authorized keys cat ssh id dsa pub ssh authorized keys 以后要导入该用户的其它公钥时 只要执行 cat ssh id dsa pub ssh authorized keys 就可以了 3 试验 ssh 命令 在客户机上以刚才的用户身份登录 运行命令 ssh 服务器的 IP 地址 ssh 172 16 3 202 The authenticity of host 172 16 3 202 172 16 3 202 can t be established key fingerprint is RSA Are you sure you want to continue connecting yes no yes Warning Permanently added 172 16 3 202 RSA to the list of known hosts 在是否继续的提示后输入 yes 如果这是该 ssh 客户端是第一次连接该 ssh 服务器 您应 该能够在没有口令提示的情况下成功登录 如何实现基于如何实现基于 ssh 密钥对的自动登录密钥对的自动登录 什么是基于ssh密钥对的自动登录 配置localbox ssh客户机 配置remotebox ssh服务器 测试ssh自动登录 什么是基于ssh密钥对的自动登录 下面从整体上粗略的介绍了 RSA DSA 密钥的工作原理 让我们从一种假想的情形开始 假定我们想用 RSA 认证允许一台本地的计算机 称作 localbox 打开 remotebox上的一 个远程 shell remotebox 是我们的 ISP 的一台机器 此刻 当我们试图用 ssh 客户程序 连接到 remotebox时 我们会得到如下提示 ssh drobbins remotebox drobbins remotebox s password 此处我们看到的是 ssh 处理认证的缺省方式的一个示例 换句话说 它要求我们输入 remotebox上的 drobbins 这个帐户的密码 如果我们输入我们在 remotebox 上的密码 ssh 就会用安全密码认证协议 把我们的密码传送给 remotebox 进行验证 但是 和 telnet 的情况不同 这里我们的密码是加密的 因此它不会被偷看到我们的数据连接的人 截取 一旦 remotebox 把我们提供的密码同它的密码数据库相对照进行认证 成功的话 我们就会被允许登录 还会有一个 remotebox 的 shell 提示欢迎我们 虽然 ssh 缺省的认 证方法相当安全 RSA 和 DSA 认证却为我们开创了一些新的潜在的机会 但是 与 ssh 安全密码认证不同的是 RSA 认证需要一些初始配置 我们只需要执行这 些初始配置步骤一次 之后 localbox 和 remotebox 之间的 RSA 认证就毫不费力了 要设置 RSA 认证 我们首