(转)使用OpenSSH端口转发让工作生活更轻松? % sudo /etc/rc.d/sshd reloadvery看到这封邮件大悦,可转头一
(转)使用OpenSSH端口转发让工作生活更轻松
?
% sudo /etc/rc.d/sshd reload
very看到这封邮件大悦,可转头一想:sshd起的5900可以被任意外部主机直接访问的话,可能有很大的安全风险吧?例如其他人有意无意的通过sshd起的5900访问到very公司的电脑,而putty正在运行中(ssh client保持运行是维持隧道连通性的关键),访问者可以轻松拿到private key,那ssh server的安全就成问题了。。。?
% sudo mv /etc/ssh/sshd_config.bak /etc/ssh/sshd_config
% sudo /etc/rc.d/sshd reload
4.2、在公司设置putty如图3。图3和图2的唯一区别:不选择上面的复选框Remote ports do the same。然后点Add按钮,最后执行putty。如果您使用OpenSSH客户端,和图3相对应的命令为:
% ssh -i soho_private_key -R 5900:localhost:5900 soho@fresh.egg
4.3、回到家里设置putty如图1。
4.4、使用vnc client设置访问地址为127.0.0.1。您将访问到公司的电脑。
“呕也”very想:看来这个方案消除我上面的疑虑了,但如果我的soho的key一不小心被别人拿到了,别人就会获得一个交互式shell,那fresh.egg是否会有安全风险?另外我怎么才能保持putty和ssh server之间连通性(不因为client长时间不操作而中断连接),very将疑虑告诉了枕头mm,很快收到了第四封邮件。?
/home/soho/.ssh/authorized_keys
这个命令执行后,soho下次用该key登录ssh时,就不能得到一个交互式shell,并且非交互式执行命令将仅限于
"echo forwarding"。
5.2、开启ssh server的keepalive机制
% sudo sed -i ".bak" 's/^#\(ClientAliveInterval \)0/\130/' /etc/ssh/sshd_config
% sudo /etc/rc.d/sshd reload
5.3、在putty上开启ssh client的keepalive机制
在putty的Connection的右边窗体的Seconds between keepalives栏输入15
5.4、在putty上关闭交互式shell方式登录
在putty的Connection=》SSH的右边窗体中,选中Don't start a shell or command at all复选框
最后第四封电邮有个附件,用某种方法加密的soho_private_key。?
6、后记very按照邮件执行了上面4.2节 5.3节 5.4节的操作,下班,到广州和枕头mm胜利会师,饭桌上胸有成竹、谈笑风生,得到两位老人的肯定。回到家,执行了4.3节 5.3节 5.4节 4.4节的操作,连到公司的电脑,由于自感幸福指数大增,情侣衫广告的字里行间充满郎情妾意。。。第二天早上10点,very获悉他被任命为策划部主任。
注意:第4节和第5节中的操作相对本文中其他部分要安全一些,另外ssh public-key认证方式涉及的server和client的设置请参考其他资料。
参考资料:
man 1 ssh
man 5 sshd_config
FreeBSD使用手册
PuTTY User Manual
《OReilly SSH The Secure Shell The Definitive Guide 2nd》
使用 SSH 建立安全通信信道http://www.ibm.com/developerworks/cn/aix/library/au-tunnelingssh/index.html
最后感谢very和枕头mm对本文提供的技术支持。
?