作者 主題: 是否有SSH Client程式FOR Win9x/NT  (閱讀 17967 次)

0 會員 與 1 訪客 正在閱讀本文。

Aoisora

  • 可愛的小學生
  • *
  • 文章數: 20
    • 檢視個人資料
是否有SSH Client程式FOR Win9x/NT
« 於: 2002-07-31 02:44 »
請問是否有免費的SSH Client程式FOR Win9x/NT, 因為如果讓使用者使用Telnet登入Linux主機, 會有安全上的顧慮;所以想請求大家幫忙尋找!
   謝謝!!

myz

  • 活潑的大學生
  • ***
  • 文章數: 433
    • 檢視個人資料
Re: 是否有SSH Client程式FOR Win9x/NT
« 回覆 #1 於: 2002-07-31 03:46 »
引述: "Aoisora"
請問是否有免費的SSH Client程式FOR Win9x/NT, 因為如果讓使用者使用Telnet登入Linux主機, 會有安全上的顧慮;所以想請求大家幫忙尋找!
   謝謝!!

PuTTY
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

kuolung

  • 俺是博士!
  • *****
  • 文章數: 1031
    • 檢視個人資料
    • http://www.kuolung.net
Re: 是否有SSH Client程式FOR Win9x/NT
« 回覆 #2 於: 2002-07-31 08:26 »
引述: "myz"
引述: "Aoisora"
請問是否有免費的SSH Client程式FOR Win9x/NT, 因為如果讓使用者使用Telnet登入Linux主機, 會有安全上的顧慮;所以想請求大家幫忙尋找!
   謝謝!!

PuTTY
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html


另我想請教一下,我如何產生一對 key , 應用在 ssh 和 putty 這兩端
=========================
http://www.kuolung.net
==========================

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8829
    • 檢視個人資料
    • http://www.24online.cjb.net
Re: 是否有SSH Client程式FOR Win9x/NT
« 回覆 #3 於: 2002-07-31 09:10 »
引述: "kuolung"
另我想請教一下,我如何產生一對 key , 應用在 ssh 和 putty 這兩端


ssh的鍵值不是由client這方所產生的,而是由主機那端做相關的確認與檢驗審核...
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

kuolung

  • 俺是博士!
  • *****
  • 文章數: 1031
    • 檢視個人資料
    • http://www.kuolung.net
Re: 是否有SSH Client程式FOR Win9x/NT
« 回覆 #4 於: 2002-07-31 09:56 »
引述: "日京三子"
引述: "kuolung"
另我想請教一下,我如何產生一對 key , 應用在 ssh 和 putty 這兩端


ssh的鍵值不是由client這方所產生的,而是由主機那端做相關的確認與檢驗審核...


了解,所以是由 server ( linux ) 這一端 run 一個 ssh-keygen

可是然後要怎麼做呢 ?
=========================
http://www.kuolung.net
==========================

Michael

  • 懷疑的國中生
  • **
  • 文章數: 37
    • 檢視個人資料
是否有SSH Client程式FOR Win9x/NT
« 回覆 #5 於: 2002-07-31 17:01 »
如果你ㄉLinux box 有裝好 ssh 及其相關套件
只需執行 service sshd start server 自己就會產生ㄌ

湯包

  • 榮譽博士
  • 鑽研的研究生
  • *****
  • 文章數: 923
  • 性別: 男
    • 檢視個人資料
    • 湯包的部落格
ssh client
« 回覆 #6 於: 2002-07-31 17:45 »
ssh 你可以使用 putty 或是  www.ssh.com 所提供的
SSH Secure Shell , 有 win32 版本的 client 也有 linux 版本的
而且還包含 sftp client ... 蠻方便的
人必先置於死地而後生
科技來自人性
想像是科技之母

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17463
    • 檢視個人資料
    • http://www.study-area.org
Re: 是否有SSH Client程式FOR Win9x/NT
« 回覆 #7 於: 2002-07-31 18:11 »
引述: "kuolung"
另我想請教一下,我如何產生一對 key , 應用在 ssh 和 putty 這兩端


先了解工作原理吧:

http://www.study-area.org/tips/security.htm

kuolung

  • 俺是博士!
  • *****
  • 文章數: 1031
    • 檢視個人資料
    • http://www.kuolung.net
Re: 是否有SSH Client程式FOR Win9x/NT
« 回覆 #8 於: 2002-08-01 08:56 »
引述: "netman"
引述: "kuolung"
另我想請教一下,我如何產生一對 key , 應用在 ssh 和 putty 這兩端


先了解工作原理吧:

http://www.study-area.org/tips/security.htm


我仔細的看完了,但還是有一些疑問 :

如果以我所用的 RedHat  7.3 做例子,我如何

1,在 server 端,用 host key 就可以把來自不明的 client 給拒絕掉 (如果我接受不明的 ip 來源,所以用 host.allow / host.deny 不適用 )

2,我可不可以取消下列某一種身份驗證的方式
  > 5) 進入身份驗證階段﹐通常有如下數種方式﹕
  >    * Rhost
  >   * Rhost & RSA
  >   * RSA
  >   * Password
=========================
http://www.kuolung.net
==========================

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17463
    • 檢視個人資料
    • http://www.study-area.org
是否有SSH Client程式FOR Win9x/NT
« 回覆 #9 於: 2002-08-01 11:24 »
1) client  並沒送 host key 給 server 啊,怎麼擋?

2) 請參考 sshd.conf

kuolung

  • 俺是博士!
  • *****
  • 文章數: 1031
    • 檢視個人資料
    • http://www.kuolung.net
是否有SSH Client程式FOR Win9x/NT
« 回覆 #10 於: 2002-08-01 11:55 »
引述: "netman"
1) client  並沒送 host key 給 server 啊,怎麼擋?

2) 請參考 sshd.conf


1. 所以我覺得,好像 ssh 也不大安全,不過好像沒有更安全的了,因為我要用 remote contral

2. 對不起,我的 redhat  7.3 好像找不到這個檔,但我有看到

/etc/ssh/sshd_config

是不是這個檔

我看裡面幾行 :

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes
PermitEmptyPasswords no

是不是把這個 yes 改為 no 就可以了
=========================
http://www.kuolung.net
==========================

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17463
    • 檢視個人資料
    • http://www.study-area.org
是否有SSH Client程式FOR Win9x/NT
« 回覆 #11 於: 2002-08-01 12:47 »
您知到那三把  key 做甚麼的嗎?還有它們的破解成本嗎?

然則,您還擔心葚麼?具體說說吧,別只丟 "好像 ssh 也不大安全" 出來,誰知道你要表達葚麼啊?

擔心密碼被攔截?呵,有點多慮了 :
tunneled clear text 是在加密 tunnel 中的密碼,請問您最快需要多長時間破解 ssh tunnel ?

PasswordAuthentication yes 是當 * Rhost * Rhost & RSA * RSA 驗證都失敗後是否允許密碼驗證。

PermitEmptyPasswords no 是不允許空密碼。

那~~~ 是否麻煩您重新組織一遍問題呢?

kuolung

  • 俺是博士!
  • *****
  • 文章數: 1031
    • 檢視個人資料
    • http://www.kuolung.net
是否有SSH Client程式FOR Win9x/NT
« 回覆 #12 於: 2002-08-01 14:36 »
引述: "netman"
您知到那三把  key 做甚麼的嗎?還有它們的破解成本嗎?

然則,您還擔心葚麼?具體說說吧,別只丟 "好像 ssh 也不大安全" 出來,誰知道你要表達葚麼啊?

擔心密碼被攔截?呵,有點多慮了 :
tunneled clear text 是在加密 tunnel 中的密碼,請問您最快需要多長時間破解 ssh tunnel ?

PasswordAuthentication yes 是當 * Rhost * Rhost & RSA * RSA 驗證都失敗後是否允許密碼驗證。

PermitEmptyPasswords no 是不允許空密碼。

那~~~ 是否麻煩您重新組織一遍問題呢?


我會感覺到 ssh 是不安全的原因是,我目前都使用 ssh 來連我的 Linux,但是我發覺只要我是用 ssh 連線,不管我有沒有 key , 它都會出現來問我的 password ,然後我就可以 key in  password , login 到 Linux 上,那我不是可以用 ssh 連線來試您的 password 了,我原本以為,一定會有一個特殊的 key 對,如果沒有key 對的 client ,連問 password 都不會出來
=========================
http://www.kuolung.net
==========================

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17463
    • 檢視個人資料
    • http://www.study-area.org
是否有SSH Client程式FOR Win9x/NT
« 回覆 #13 於: 2002-08-01 14:53 »
引述: "kuolung"
我會感覺到 ssh 是不安全的原因是,我目前都使用 ssh 來連我的 Linux,但是我發覺只要我是用 ssh 連線,不管我有沒有 key , 它都會出現來問我的 password ,然後我就可以 key in  password , login 到 Linux 上,那我不是可以用 ssh 連線來試您的 password 了,我原本以為,一定會有一個特殊的 key 對,如果沒有key 對的 client ,連問 password 都不會出來


透過 "嘗試密碼" 登錄的方式很笨,當然也有效,只是很容易被發現。

如過您擔心這個,不妨考慮用 RSA 啊。步驟我已經公佈在如下兩篇關於 VPN 的文章:
http://www.study-area.org/tips/vpn.htm
http://www.study-area.org/tips/security.txt

kuolung

  • 俺是博士!
  • *****
  • 文章數: 1031
    • 檢視個人資料
    • http://www.kuolung.net
是否有SSH Client程式FOR Win9x/NT
« 回覆 #14 於: 2002-08-08 15:23 »
引述: "netman"
引述: "kuolung"
我會感覺到 ssh 是不安全的原因是,我目前都使用 ssh 來連我的 Linux,但是我發覺只要我是用 ssh 連線,不管我有沒有 key , 它都會出現來問我的 password ,然後我就可以 key in  password , login 到 Linux 上,那我不是可以用 ssh 連線來試您的 password 了,我原本以為,一定會有一個特殊的 key 對,如果沒有key 對的 client ,連問 password 都不會出來


透過 "嘗試密碼" 登錄的方式很笨,當然也有效,只是很容易被發現。

如過您擔心這個,不妨考慮用 RSA 啊。步驟我已經公佈在如下兩篇關於 VPN 的文章:

http://www.study-area.org/tips/security.txt


您好,我仔細看了上面這篇文章,有一小段不明瞭 :

* SMTP (AUTH)
3) 設定 client 端( AUTH SMTP)
   工具->帳號->郵件->內容->伺服器
   [ V ] 我的伺服器需要查驗身份(v)
  ** 注意: 可惜目前還不支援 SSL 的連線﹐為安全其見﹐別透過 ineternet 使用密碼。
我不了解,最後這一行注意是什麼意思,
=========================
http://www.kuolung.net
==========================

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5394
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
是否有SSH Client程式FOR Win9x/NT
« 回覆 #15 於: 2002-08-08 15:41 »
引述: "kuolung"
您好,我仔細看了上面這篇文章,有一小段不明瞭 :

* SMTP (AUTH)
3) 設定 client 端( AUTH SMTP)
   工具->帳號->郵件->內容->伺服器
   [ V ] 我的伺服器需要查驗身份(v)
  ** 注意: 可惜目前還不支援 SSL 的連線﹐為安全其見﹐別透過 ineternet 使用密碼。
我不了解,最後這一行注意是什麼意思,


是表示你在寄信時送給 SMTP 伺服器的密碼字串不是經由 SSL 編碼過的, 如果別人截取到這串資料, 可以比較容易解出你使用的密碼.

可以透過有支援 SSL 的 smtpd 來做就可以降低這個風險.

smtp 25
ssmtp or smtps 465

就如同 http 與 https 的差別. 當然也要你的 mail client 有支援才可以. (如 Outlook Express)

kuolung

  • 俺是博士!
  • *****
  • 文章數: 1031
    • 檢視個人資料
    • http://www.kuolung.net
是否有SSH Client程式FOR Win9x/NT
« 回覆 #16 於: 2002-08-09 07:53 »
引述: "twu2"
引述: "kuolung"
您好,我仔細看了上面這篇文章,有一小段不明瞭 :

* SMTP (AUTH)
3) 設定 client 端( AUTH SMTP)
   工具->帳號->郵件->內容->伺服器
   [ V ] 我的伺服器需要查驗身份(v)
  ** 注意: 可惜目前還不支援 SSL 的連線﹐為安全其見﹐別透過 ineternet 使用密碼。
我不了解,最後這一行注意是什麼意思,


是表示你在寄信時送給 SMTP 伺服器的密碼字串不是經由 SSL 編碼過的, 如果別人截取到這串資料, 可以比較容易解出你使用的密碼.

可以透過有支援 SSL 的 smtpd 來做就可以降低這個風險.

smtp 25
ssmtp or smtps 465

就如同 http 與 https 的差別. 當然也要你的 mail client 有支援才可以. (如 Outlook Express)


了解,但是文中又指出 sendmail 目前不支援 ssl link ,所以想請問一下如果我有 user 是透過撥接上網,或是我想讓不固定 ip 的user 用我的 mail server 寄信,可有比較安全的方式或程式可用
=========================
http://www.kuolung.net
==========================

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5394
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
是否有SSH Client程式FOR Win9x/NT
« 回覆 #17 於: 2002-08-09 08:00 »
引述: "kuolung"

了解,但是文中又指出 sendmail 目前不支援 ssl link ,所以想請問一下如果我有 user 是透過撥接上網,或是我想讓不固定 ip 的user 用我的 mail server 寄信,可有比較安全的方式或程式可用


換有支援的程式.. 且... SSL 也要年費吧. 用自己產生的在 MS 的軟體上都會有警告訊息.

據我所知... Courier Mail Server http://courier.sourceforge.net/ 有支援.
奇怪... 我好像老是在推薦這個軟體... :-)

P.S. 我家現在用的就是這個, 當初主要是看上他的 IMAP Server, 跟我以前用的比較接近, 用了之後, 發現功能很多, 而且裝起來, 設定上也都不難.

protech

  • 活潑的大學生
  • ***
  • 文章數: 322
  • 性別: 男
    • 檢視個人資料
是否有SSH Client程式FOR Win9x/NT
« 回覆 #18 於: 2002-08-16 02:33 »
不知道你們在研究的是不是這個 ...

http://phorum.study-area.org/viewtopic.php?t=11044

安全性上是不會有什麼大問題啦 ...

可以從 512bit - 3072bit , 我是用 3072bit 來做 dsa ..

我記得在 dsa 或是 rsa 的網站有一個獎金給可以破解的人 ..

而金額是 50000 - 200000 美金 , 如果你用 3072bit 可以破解 ,
那麼我想他會去領 200000 美金 , 不會在留在你的 server 上耗時間的 ...

不過我比較擔心的是如果那把 private key 如果 copy 到別的電腦是否可以執行 ..

我還沒 copy 到別台電腦試過 , 如果你試出結果去貼在上面那個網址吧 ...


PS : 下面內容是由某一討論版轉來的 ,  貼的 user 是顯示 " 無名 "

http://linux400.dfes.tpc.edu.tw/viewtopic.php?topic=165&forum=4

如果有人知道是誰 , 或是作者有看到 , 自己補一下吧 , 如果要刪也說一聲 ...

http://howto.state-of-mind.de/

網頁上的做法很詳盡,我寫一下簡單的做法,希望有前輩能補充,
 
我先到這個網址去抓srpm

http://tis.foobar.fi/software/
 
我用redhat73的環境
先重sasl開始吧
抓來的cyrus-sasl 先給他
#rpm -ivh cyrus-sasl*
#cd /usr/src/redhat/SPECS
你可以針對個人喜好再給參數
看看是不是要支援mysql,或是pwcheck.....等等
 
我就給他最原始的方法 rpm -ba cyrus-sasl.spec
然後到 /usr/src/redhat/RPMS/i386 底下給他安裝
如果原本有cyrus-sasl那就給他 rpm -Uvh 來升級
你會發現多了幾個rpm
那就是saslauth和pwcheck
這裡的pwcheck和saslauth都是認證的工具,
我選擇saslauthd,因為以前沒用過,所以玩玩看好不好用....
 

再來就是postfix
因為我懶的打一長串的指令去編譯postfix,所以選擇srpm這個方法
而且這個srpm還算不錯.--with chroot --with debug --with ipv6 --with rh6x
--with ldap --with lmtp --with mysql --with pcre
--with pgsql --with pgraw --with sasl --with tls
--with alt
 
上面得參數就看你個人的喜好了 這裡我們比較需要的是 --with sasl --with tls
其他就給他--without
做好了rpm之後,就可以給他安裝了跟上頭的sasl一樣不在多說了
設定postfix使用sasl認證方面該設定的參數可以參考網站裡面的文章
 
而我們這次使用saslauthd來作認證的方法...
saslauthd基本上是使用pam的認證方式,當然你也可以選擇其他方法
man saslauthd可以看到很多有趣的設定方式.譬如基本的你想使用shadow,那就改一下/etc/sysconfig/ saslauthd裡面的設定,或是使用sasldb,
不過使用saslauthd去讀取sasldb我沒有試成功,改天有空再來試試
這裡我們使用pam的方式
而/usr/lib/sasl/smtpd.conf中選擇pwcheck_method:saslauthd
 
設定好了之後就給他啟動saslauthd
# /etc/rc.d/init.d/saslauthd start
 
再來就是tls了
先看看postfix是不是支援ssl
#ldd /usr/libexec/postfix/smtpd
應該要有這個東東libssl.so.2 => /lib/libssl.so.2 (0x4002a000)
有的話那就是postfix有給它支援
 
再來就是我最害怕的,公鑰私鑰了
在redhat中整個ssl的目錄在 /usr/share/ssl
所以先給他確定一下,
這裡真讓我有點給他恐懼,不過還是給他硬著頭皮做下去
 
原本想重頭開始製作 DSA Private Key,但是在製作亂數檔就給他搞不定只好使用安裝時內附的DSA Private Key,希望有前輩可以指導一下小弟
 
#echo "01" > /usr/share/ssl/serial
 
製作憑證申請書檔
#openssl req -new -key /usr/share/ssl/private/cakey.pem \
-out /tmp/careq.pem
 
用原本就內附的 Private Key 簽在憑證申請書檔上
#openssl req -x509 -key /usr/share/ssl/private/cakey.pem \
-in /tmp/careq.pem -out /usr/share/ssl/cacert.pem
 
#rm -f /tmp/careq.pem
 
這樣我們的 Public Key 憑證就出來了
 
再來就要製作 SSL X.509 憑證
製作POSTFIX RSA Private Key
#openssl genrsa -out /usr/share/ssl/private/postfix.key.pem 1024
 
製作憑證申請書檔
#openssl req -new -key /usr/share/ssl/private/postfix.key.pem \
-out /tmp/postfix.req.pem
 
製作信任授權憑證檔
#openssl x509 -trustout -in /usr/share/ssl/cacert.pem \
-out /tmp/cacert.trusted.pem
 
製作憑證
#openssl x509 -req -days 365 -CAserial /usr/share/ssl/serial \
-CA /tmp/cacert.trusted.pem \
-CAkey /usr/share/ssl/private/cakey.pem -in /tmp/postfix.req.pem \
-out /usr/share/ssl/certs/postfix.crt.pem
 

OK 這裡有不懂得朋友,我想我也說不清楚,只是跟著做卻不知道為甚麼這麼做,
大家一定很不高興.
所以這方面可以請教netman或幾位前輩,
或是請netman老大可以加一篇openssl的教學在"學習 Linux"
畢竟ssl在許多方面已經漸漸被運用,真的該好好學公鑰私鑰這方面的東東

 

接著讓postfix知道該去哪裡找這些key,我把這些key copy到/etc/postfix底下,
當然你可以有更好更安全的做法
# copy /usr/share/ssl/private/postfix.key.pem /etc/postfix/
# copy /usr/share/ssl/certs/postfix.crt.pem /etc/postfix/
# copy /usr/share/ssl/cacert.pem /etc/postfix/
 
接著在/etc/postfix/main.cf中設定
smtpd_use_tls = yes
smtpd_tls_key_file = /etc/postfix/postfix.key.pem
smtpd_tls_cert_file = /etc/postfix/postfix.crt.pem
smtpd_tls_CAfile = /etc/postfix/cacert.pem
smtpd_tls_loglevel = 3
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
 
# /etc/rc.d/init.d/postfix reload讓postfix重新讀取設定檔
有關tls的參數可以參考howto裡面的文章
或是這裡

http://www.aet.tu-cottbus.de/personen/jaenicke/postfix_tls/doc/conf.html
 
再來就該試試連線了,可以先把/usr/share/ssl/cacert.pem 複製到client電腦上
,給他改個 MYpostfix.crt ,然後點兩下安裝這個憑證.
 
然後我以Outlook Express 6 做說明,
打開Outlook Express 6--->工具----->帳戶---->選擇帳戶的內容
---->進階---->外寄郵件伺服器,這個伺服器需要安全連線打勾