SSH 隧道提供了访问 CVS 资源库的安全方式。学习如何安装 Cygwin 开放源码 OpenSSH 为 Microsoft Windows 平台上的 WebSphere Application Server 开发人员提供了一种安全机制。
简介
去年冬天,我和我的一个同事正致力于一系列论文,我们用电子邮件进行联系。这是一种麻烦的做事方式,我们确实需要建立一个中央 CVS 资源库以从那里工作,而且都要能够安全地访问这个资源库。由于我们都是移动雇员,所以我们没有属于自己的办公室和信笺服务器,这使得问题更加复杂。我们还需要提供安全访问服务器的方法。这里所讨论的服务器,是我家里的一台运行 Windows 2000 的旧 500 Mhz Pentium III 机器,它有多余的能力并且使用我的 DSL 线路。所以,安全访问是保护数据的基本要求。
下一步就是不用购置昂贵的硬件或软件来解决这些问题。显然,这意味着要认真仔细地考虑可用的开放技术。本文记述了关于这个问题的解决方案:使用开放源码 Cygwin 包建立 OpenSSH 隧道以便对 CVS 资源库进行安全的远程访问。
安装 Cygwin 分发版
客户机和服务器上都需要安装 Cygwin 分发版。应该在两端安装同样的基本软件包,并包含以下图 1 中抓屏的信息。
图 1. Cygwin 安装窗口:
(点击查看原图)
Cygwin 安装(请参见图 1)窗口提供可以安装的各种软件包的列表。首先,单击右上角的“View”按钮,直到看到上面显示的“Full”视图。要安装软件包,需要单击黄色突出显示的区域,直到出现版本号。遗憾的是,在这个抓屏中,我已经安装了 OpenSSH 软件包,并且图中显示以前的版本作为安装的候选。无论如何,要在窗口的这个区域中不断单击,直到出现最新的版本号。另外,如果单击版本号右边的框,您还将下载该软件包的源代码。Cygwin 安装的一个优点就是自动下载所有相关的软件包。尽管运行 OpenSSH 不需要所有的 Cygwin 软件包,不过我在这里推荐安装其中的一些:
bash
bzip2
crypt
cygunsrv(重要的)
cygutils
cvs(显而易见)
Cygwin
inetutils
man
openssh
让 Cygwin 自动选择所有相关软件包。
系统环境变量
在 Windows start 菜单,按照下列步骤进行选择:
Start 菜单 -> Settings -> Control Panel -> System
单击 Advanced 选项卡
单击“Environment Variables”按钮
系统环境变量在窗口的“下”半部分。请一定在那里添加/更改变量值,而不要窗口上半部进行,上半部只适用于登录的用户。
安装了软件包之后,就要设置下列系统环境变量。请一定将这些变量设置为全局系统环境变量,而不要设置为用户变量。
CYGWIN=ntsec
通过指定 ntsec 来定义正在使用 NT 安全性。这样就允许象 chmod 和 chown 这样的 Unix 命令在 Cygwin 环境中具有相关性。
将 x:\Cygwin\bin 添加至 PATH 系统变量以便 OpenSSH 软件包可以找到必需的 dll 文件。完成上述操作后,必须重新引导才能正确地安装这些服务。
用户环境变量
对于每个用户,要定义将他们的 HOME 子目录指向其 Cygwin 主目录。我的是 D:\Cygwin\home\alex。
服务器端配置
安装 OpenSSH 服务器相当简单。打开 Cygwin bash shell,然后输入以下命令:
$ cd /usr/bin
$ ./ssh-host-config
回答那些提示(缺省值通常就可以了),并且要确保对“install as an NT service” 回答 Yes — 否则它不能作为服务安装且达不到配置服务器的目的。
设置用户
通过将 CYGWIN 系统变量定义为 ntsec,这就可以让 Cygwin 使用 NT 安全性来管理登录。但是,为了使 sshd 能够接受登录,需要一个 passwd 文件。这可用以下代码完成:
$ mkpasswd -l > /usr/etc/passwd
$ mkgroup -l > /usr/etc/group
请确保每次创建或删除用户时都再次运行这些命令 — 否则将不能与 Windows 保持同步。此外,将需要重新启动 Cygwin sshd 服务以使它读入新的 passwd 文件。
仔细检查以确保 passwd 文件包含每个用户的主目录。否则当用户试图通过 OpenSSH 隧道运行命令时,OpenSSH 将报告无法切换至用户的主目录。这是最让人讨厌的事。
注:mkpasswd 命令将用户 Guest 插入 passwd 文件。我将其删除,以消除一个潜在的安全性问题。
启动 OpenSSH 服务器
基本上就是这些了。查看 Windows Services 控制面板图标,确保“Cygwin sshd”服务已经启动并配置为自动启动。如果 Cygwin sshd 服务没有启动,则手工启动该服务。
图 2. Windows 2000 services 控制面板
(点击查看原图)
我在安装过程中遇到的一个问题是 Cygwin sshd 服务不能找到需要的 Cygwin dll 文件。这是因为即使我已经更新了 PATH 变量,但不知为何它仍没有生效。重新引导机器就可以解决这个问题。
客户机端配置
OpenSSH 客户机端配置也很简单。请确保在让人们在其机器上设置 OpenSSH 客户机以前已经在服务器上定义了用户,否则他们将不能登录。
系统环境变量
在客户机上添加以下系统环境变量:
CVS_RSH = ssh
注:对于变量为什么称为 CVS_RSH 而不是 CVS_SSH 有完整的说明,搜索 www.google.com 将满足那些人的好奇心。虽然如此,该变量定义了所有 CVS 命令将通过 OpenSSH 隧道运行。
您还应该为本地用户设置用户环境变量 HOME。
密码短语
尽管您可能不需要在主目录中运行下一节的 ssh-user-config 命令,但我发现它是令人鼓舞的。对每个提示回答 Yes,然后对需要作出决定的密码短语也回答 Yes(ssh-user-config 为登录的用户在 ~/.ssh 目录中生成许多文件)。
(alex) (Thu Jan 31 10:24:32 2002) (~/.ssh)
--> ls -l
total 9
-rw-r--r--1 alex None 339 Jan 30 16:06 authorized_keys
-rw-r--r--1 alex None 840 Jan 30 16:07 authorized_keys2
-rw-r--r--1 alex None 668 Jan 30 16:07 id_dsa
-rw-r--r--1 alex None 610 Jan 30 16:07 id_dsa.pub
-rw-r--r--1 alex None 883 Jan 30 16:06 id_rsa
-rw-r--r--1 alex None 230 Jan 30 16:06 id_rsa.pub
-rw-r--r--1 alex None 535 Jan 30 16:06 identity
-rw-r--r--1 alex None 339 Jan 30 16:06 identity.pub
-rw-r--r--1 alex None 247 Jan 30 16:07 known_hosts
这些文件主要是私钥/公钥对。公钥有 .pub 扩展名而私钥(粗体)是没有 .pub 扩展名的同名文件。您需要确保使私钥是安全的,否则,任何人都可以使用您的私钥和密码短语伪装成您通过 OpenSSH 隧道进入服务器。
known_hosts 文件是在第一次与 OpenSSH 服务器连接时生成的。ssh 将在您第一次通过 OpenSSH 隧道与服务器连接时下载服务器的公钥。这样,在以后的连接中,OpenSSH 隧道可以确保您连接的服务器确实是同一台服务器而不是某人假扮作那台服务器。如果在服务器上更改了私钥/公钥对,那么所有的客户机在能够与您的服务器连接前,都将必须下载公钥。
这就是出现安全性问题的地方。在密码短语提示期间,如果不输入密码短语,则 OpenSSH 服务器将只用证书文件验证用户。这很方便,因为可以完全无缝地通过隧道进入服务器。您需要对用户访问服务器时是否需要密码短语加以判断。
那么为什么我要生成所有其它的公钥/私钥对?我不知道 — 但我认为一次完成比反复地做更容易。
配置 OpenSSH 客户机
打开 Cygwin bash shell,然后输入以下命令:
$ cd
$ /usr/bin/ssh-user-config
对 Yes/No 提示回答 Yes(完整地输入)并且在被提示时输入密码短语(如果正在使用)。您可以用这样的方式生成所有可能的公钥/私钥对。完成这些后,需要将某些文件移至 OpenSSH 服务器。
学习一些基本 ssh 命令
ssh 命令遵循以下命令行语法:
ssh hostname -l username command-line-string
注:当您第一次访问 OpenSSH 服务器时,将提示您获取服务器的 RSA 密钥。请这样做,以便自动验证正在连接的服务器确实是同一台服务器。
因此,要用我的用户名 alex 访问我的服务器 polozoff.userv.ibm.com 并且列出根子目录,我可以输入以下命令:
ssh polozoff.userv.ibm.com -l alex ls /
因为这是我首次访问 OpenSSH 服务器,所以提示输入我的密码。输入密码后,就会显示 ls / 命令的输出。
一个有趣的用于调试目的的 ssh 命令使用两个 -v,如下所示:
ssh -v -v polozoff.userv.ibm.com -l alex ls /
这会输出 ssh 会话的大量有趣的跟踪信息。
使用刚刚学到的 ssh 命令
既然已经运行了一些基本的 ssh 命令,您需要将生成的一些公钥文件移至服务器,以便使其能正确的认证您。在 Cygwin bash shell 输入以下命令:
$ cd
$ ssh hostname -l username mkdir .ssh
$ ssh hostname -l username chmod og-w .ssh
$ scp ~/.ssh/authorized_keys2 username@hostname:.ssh/authorized_keys2
我运行相同命令所输入的实际示例是 hostname=polozoff.userv.ibm.com 和 username=alex。
$ cd
$ ssh polozoff.userv.ibm.com -l alex mkdir .ssh
$ ssh polozoff.userv.ibm.com -l alex chmod og-w .ssh
$ scp ~/.ssh/authorized_keys2 alex@polozoff.userv.ibm.com:.ssh/authorized_keys2
请确保正确输入最后一条命令,否则一切工作将无法正确进行。最后一条命令将 authorized_keys2 文件安全地复制到 OpenSSH 服务器。现在,执行任何 ssh 命令都不会再向您询问密码。相反,如果您定义了密码短语,将向您询问密码短语。如果您输入空白的密码短语,那么服务器将用公钥文件来验证您的身份,而无需任何用户交互。
要注意一点,不要使用 authorized_keys 文件。有许多关于该文件的安全性问题报告。您会留意到 authorized_keys 文件和 identity.pub 文件是相同的。它们完全是一回事。
从多台客户机机器访问同一 OpenSSH 服务器
如果您将从多台客户机机器访问 OpenSSH 隧道,那么您必须小心地处理所有步骤,除最后的 scp 安全复制以外,其余的步骤都是相同的。这是因为您需要对 authorized_keys2 文件附加文本,而不是重写现有的文件。您在 OpenSSH 服务器上附加至该文件的每个密钥都将允许那台客户机机器和服务器之间发生 ssh 隧道操作。为了安全地并且远程地实现这一点,请在 Cygwin bash shell 上使用该代码执行以下命令:
$ cd
$ scp ~/.ssh/authorized_keys2 username@hostname:.ssh/newkey
$ ssh hostname -l username cat ~/.ssh/newkey >> ~/.ssh/authorized_keys2
使用 CVS
既然 OpenSSH 隧道建立,那么您可以跨越该隧道运行任何 CVS 命令,而且看起来就象在使用本地 CVS 资源库一样。尽管这不是关于配置 CVS 的文章,但您需要确保正确设置以下环境变量:
CVS_RSH=ssh
CVSROOT=:ext:alex@polozoff.userv.ibm.com:/usr/local/cvsRepository
前面讨论过的 CVS_RSH 变量会告诉 CVS 所有 CVS 命令都将使用您建立的 ssh 隧道。CVSROOT 变量取决于您特定的 CVS 安装,但我已加入了我的设置作为使用示例。
添加 VI
通常,在进行 CVS 提交时,它会打开 vi 以输入注释文本。安装 Cygwin VIM 软件包,然后在 /bin 中输入:
$ ln -s vim.exe vi
结束语
开放源码技术再次证明了它绝对免费地解决问题的有用性。OpenSSH 隧道也很容易配置,并且由于公钥/私钥对和密码短语验证的使用,使它成为极其安全的工作环境。在等待 Linux 迁移最终出现时,您现在就可以开始获得可用的开放技术的好处了。现在对开放源码技术的支持和使用确保了最终从专有操作系统的转移将顺利进行并且影响很小。而这不正是我们所做工作的意义吗?
参考资料
Cygwin 网站有有用的信息。
在 Daniel Robbins 的两部分文章中,您将了解 RSA 和 DSA 认证是如何工作的,并将知道如何正确设置无密码认证。
Common threads : OpenSSH key management, Part 1
Common threads : OpenSSH key management, Part 2
关于作者
Alexandre Polozoff 是 WebSphere 软件服务顾问,他参与了大容量、大范围安装的性能实践和技术的开发。他的专长包括第三方工具评估以及执行事后分析的最佳实践。Alexandre 还不断参与开放技术标准(SNMP、TMN 和 CMIP)的制定工作。可以通过 polozoff@us.ibm.com 与 Alexandre 联系。