Tomcat安全---ssh 的KEY驗證

1.防止 root 直接遠端登陸

修改 /etc/ssh/sshd_config 裏的設定:

PermitRootLogin yes 修改為 no

2. 基於密鑰的登入方式:

如果 不希望 用口令驗證來登陸 可以選擇 基於密鑰的登入方式
將以下配置做一下簡單的修改：
#AuthorizedKeysFile .ssh/authorized_keys 將#注釋去掉
該選項用於設置用戶公鑰檔存儲位置，系統默認位置在用戶目錄下的.ssh/authorized_keys

#PasswordAuthentication yes 將#去掉，並將yes改成no
系統默認使用基於密碼的驗證方式，這樣就禁止了使用基於密碼驗證方式，而改成了基於密鑰的驗證方式，從而提高了系統的安全性

3. 密鑰製作具體的過程
(1) 添加遠端登陸用戶
# adduser remoter
# passwd remoter //為reomter設置密碼,我在我把密碼設為fire
# su –l remoter
$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/remoter/.ssh/id_rsa): 密鑰保存的路徑
Created directory '/home/remoter/.ssh'.
Enter passphrase (empty for no passphrase): 輸入密鑰密碼,在此我設為fire
Enter same passphrase again:
Your identification has been saved in /home/remoter/.ssh/id_rsa. 私鑰密碼保存徑
Your public key has been saved in /home/remoter/.ssh/id_rsa.pub. 公鑰密碼保存路徑
The key fingerprint is:
ff:50:a6:95:5d:1a:39:96:14:f7:e6:7f:91:ea:6f:b4 reomter@linuxhero 密碼指紋

(2)重命名公鑰
$ ls –al 可以看到在/home/reomter/目錄下有一個.ssh檔，進入該目錄，
$ cd .ssh
$ mv id_rsa.pub authorized_keys 將其重命名與以下修改的配置檔一至,注意不要拼寫錯

(3)將私鑰下載到本地。
可以利用remoter相應的FTP用戶名和密碼登陸，將id_rsa下載到本地.
再使用puttygen.exe處理用戶私鑰。運行”puttygen.exe”點擊”load”選取開始下載的id_rsa，
系統要求輸入私鑰密碼輸入，如圖所示，
在這裏我輸入的私鑰密碼為fire.
輸入密碼後，單擊確定再點點save private key按鈕，將密鑰保存為id.ppk.

(4)基於密鑰的遠程登入
運行putty.exe , 選擇“Session",在"HostName(orIP address)"輸入IP：192.168.0.20,port:22
再選擇"Connection",選“SSH”->"Auth"->"Browse"選取開始轉換過來的密鑰,單擊"Open

輸入用戶名:reomter,密碼為fire,是私鑰密碼，而不是系統用用戶密碼.

4. SSH服務配置檔的詳細介紹
#Port 22 指定的SSHD使用的埠，為了安全你還可以在此修改默認埠
#Protocol 2,1 指定優先使用的SSH協定
#ListenAddress 0.0.0.0 使用的IP位址（IPV4格式）
#ListenAddress :: 使用的IP位址 （IPV6格式）

# HostKey for protocol version 1 使用SSH1協定的密鑰
#HostKey /etc/ssh/ssh_host_key SSH1密鑰的保存路徑
# HostKeys for protocol version 2 使用SSH2協定的密鑰
#HostKey /etc/ssh/ssh_host_rsa_key SSH2協定rsa密鑰保存路徑
#HostKey /etc/ssh/ssh_host_dsa_key SSH2協定dsa密鑰的保存路徑

# Lifetime and size of ephemeral version 1 server key SSH1伺服器密鑰的生命週期
#KeyRegenerationInterval 3600 密鑰重建週期，單位為秒
#ServerKeyBits 768 伺服器密鑰的長度

# Logging 日誌
#obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH 日誌方式
SyslogFacility AUTHPRIV 日誌方式
#LogLevel INFO 日誌等級

# Authentication:

#LoginGraceTime 120 登陸延時
#PermitRootLogin yes 禁止root用戶登陸
#StrictModes yes 嚴格模式

#RSAAuthentication yes RSA驗證
#PubkeyAuthentication yes 公鑰驗證
#AuthorizedKeysFile .ssh/authorized_keys 密鑰存放路徑

# rhosts authentication should not be used 禁止rhosts驗證模式
#RhostsAuthentication no rhosts驗證模式
# Don't read the user's ~/.rhosts and ~/.shosts files 不讀取用戶的~/.rhosts and ~/.shosts 文件

#IgnoreRhosts yes 忽略Rhosts

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes 基於密碼的驗證模式
#PermitEmptyPasswords no 允許空密碼

Replacing Windows XP Files with the EXPAND Command

這篇文章介紹了一種方式, 讓EU在使用XP時如果發現某個native系統檔案損毀, 或是什麼自行少掛時, 不必使用重安裝或修復安裝這種危險的方式。

例如: 發現系統中沒有應有的MS Sans Serif字型時. 先打開安裝光碟看看 \i386 目錄裡是否有

Sserife.fo_ 這個壓縮檔. 如果有, 執行以下指令:

expand E:\i386\Sserife.fo_ C:\Windows\Fonts\Sserife.fon

OK, MS Sans Serif 字型就安裝進去了。

ps. 小小抱怨一下; 明明MS San Serif是製作多國語系AP UI最不可或缺的字型, 偏偏在安裝英文XP時往往預設就沒裝進去. 這不是在整人嘛~~

=========================================

Replacing Windows XP Files with the EXPAND Command

=========================================

Posted By Dan DiNicolo On April 17, 2007 @ 5:53 pm In Windows Commands | Comments Disabled

Given the explosive growth or viruses and other malicious email attachments, it’s no surprise that critical XP system files will occasionally become damaged corrupted. Certainly these issues aren’t the only cause of file issues, but if your system fails to boot or is displaying error messages relating to a certain file, it may be time to replace it with the original version from your [1] Windows XP CD. When stored on the CD, these files are compressed, with a filename ending in an underscore “_” character. To replace an installed version of the file with one from CD, use the EXPAND utility. For example, to replace a file from CD such as the Windows Task Manager utility, the command would be EXPAND d:\i386\taskmgr.ex_ c:\Windows\system32

Note: When using the EXPAND command to replace files, be sure that the source files on the CD are of the same version as those currently installed. In other words, to replace a file on a Windows XP system with SP2 installed, be sure to use a Windows XP with SP2 source CD.

Written by Dan DiNicolo - [2] Visit Website


參考文件:How to expand Windows XP files from the installation disk
http://support.microsoft.com/kb/888017