« November 2005 | Main | January 2006 »
December 14, 2005
openSSH + SecureCRT HOWTO - 如何整合openSSH和SCRT
openSSH/openSSL 是现在最流行的开源软件,保护着数百万的Linux, BSD, Unix主机。而历来商业的SSH server/Client 对openSSH/openSSL的支持都不是太好,在windows下的客户端SecureCRT要支持openSSH总是有这样或那样的不足。
要么,用SecureCRT(简称SCRT)生成的公钥/密钥,然后将公钥放到openSSH Server上去,可以支持SCRT利用证书登陆到openSSH server上,但如果从另一台使用openSSH client的机器要登陆到这个openSSH server,却死活都通不过。
要么,用openSSH 生成的公钥/密钥,则安装openSSH client的机器要连接过来毫无问题,但SCRT却通不过。
为了这个问题琢磨了很久,后来在SecureCRT的官方论坛里,有人提到SecureCRT自4.0以来,已经可以支持openSSH的key了。于是怀着试试看的心情,将SCRT升级到4.1,重新做了一下配置,成功了!
实现了openSSH server + SCRT/openSSH Client 的组合,以后无论是win平台还是*nix平台,都可以方便的使用证书登陆了,实在解决了一个大问题。
How to implement?
以下简单描述一下如何配置与实现的。
配置openSSH server
以下是/etc/ssh/sshd_config的内容:
Port 22 Protocol 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key KeyRegenerationInterval 1h SyslogFacility AUTHPRIV LoginGraceTime 5m PermitRootLogin yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys IgnoreRhosts yes HostbasedAuthentication no PasswordAuthentication yes PermitEmptyPasswords no ChallengeResponseAuthentication no Subsystem sftp /usr/libexec/openssh/sftp-server
该配置允许使用证书或密码登陆,对于出差到外地但没带证书的情况就很有用了,如果想只使用证书,则将:
PasswordAuthentication yes
改为:
PasswordAuthentication no
利用ssh-keygen生成公钥/密钥
例如要生成用户hzqbbc的公钥/密钥,则先su 到hzqbbc用户,然后输入:
ssh-keygen -t dsa
ssh-keygen会提示文件的存放位置及密钥的加密字,按要求输入即可。以下是样例:
[hzqbbc@p4 .ssh]$ ssh-keygen -t dsa Generating public/private dsa key pair. Enter file in which to save the key (/home/hzqbbc/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/hzqbbc/.ssh/id_dsa. Your public key has been saved in /home/hzqbbc/.ssh/id_dsa.pub. The key fingerprint is: aa:0a:3c:be:7f:35:9b:4f:82:bf:1d:ca:0b:dc:bc:cc hzqbbc@p4
将id_dsa和id_dsa.pub复制到windows系统
在windows客户机上,建立C:\SSH目录,然后将id_dsa和id_dsa.pub原封不动的复制到C:\SSH里,确保文件名为id_dsa和id_dsa.pub
配置SCRT
请确认SecureCRT安装或升级到4.0以上,我目前使用的是4.1,然后开始配置。
第一步:打开要配置证书的主机名记录,选中主机名后,点图中红色方框的图标,进入该主机的详细配置界面。
第二步,Connection页中,Username填写要登陆的用户,该用户就是刚才创建证书的用户,这个必须注意。然后在Connection --> Authentication 中,Primary认证方法选PublicKey,并点开“Properties”。
第三步,选Use session public key ,意思是每个不同会话使用不同的证书,这对于管理大量主机的系统管理员较为有用。如果只是维护少量机器,可以考虑使用同一套证书。
Use identity file那里,打开“...”按钮,浏览我的电脑,找到C:\SSH目录,然后看到id_dsa和id_dsa.pub文件,选中id_dsa文件,然后确定,就可以看到路径为C:\SSH\id_dsa 了。
保存好配置,关闭SecureCRT,然后打开配置了证书的主机,正常情况下将提示要输入密钥的加密字,输入后就应该可以登陆进系统了。
同时再打开另一个SCRT窗口。登陆同样的主机,由于SCRT已缓存了证书及加密字,因此不再需要输入用户名密码,使用就很方便了!
Posted by hzqbbc at 01:13 PM | Comments (3)
December 11, 2005
Too busy to write - 自己CPU满负荷,没“空”了!
最近一个月都没有更新blog,原计划要将openSSH+证书+SCRT的howto放出来,还要写一下关于APF server的发展问题,还有更多要写......
可如今一篇都没有。检讨下来,只有一个字:“忙”。
自己的CPU时间片几乎全部都被事情占满了。心想如果自己能分身该多好!
琐碎的事太多了,现在开始怀疑一件事:是不是自己的“系统”装太多“程序”了。:-)
该清理清理,make tidy 之。
仔细总结下来,事情不少,规划不好;时间不够,效率太臭。
事情不少,规划不好
最近1个来月,需要做不少时间,例如Extmail开发,ExtMan更新,extmail社区维护,qq群回答问题,论坛里发帖子,协调CORE team的工作,基础应用的架设,谈几个email的服务和系统单子,给客户写方案书,qq里谈单子,家里要做书柜,到处联系,谈价钱,材料,还要去各种地方交费,家里杂事,还有一些小开发的事要谈,还有。。。
真有点晕了。
办事讲求效率和按部就班,很多时候,应该是多进程,并行的做一件事的。但往往都是一件完了才做第二件,白白消耗了CPU时间片,这是最近1个来月CPU满负荷原因之一。
其次嘛,规划不好,本来有些事应该错开来做,或者找人帮忙就可以减轻不少负担。例如extmail社区的维护,本来就应该发动Extmail CORE TEAM来做,最开始一直都是自己在发帖,回答问题。实在耗费了不少时间。
再次,QQ群里的问题解答,这个是最耗时间的事情。8点多上线,没聊几句,一看表,11点多要吃饭了!一天最有价值的时间基本上就完蛋了。下午接些电话,处理些事,谈一下项目,写点方案,就过了,晚上吃饭后又要忙一些家务事,看看新闻没两下该睡觉了。
其实,QQ群里有不少热心的好人,他们也乐意解答问题,于是请了1,2位好同志做管理员,果然又解决了不少时间上的问题。
不过最深刻的感受是:QQ等即时通信软件极耗时间! 大好时光都会被消磨一干二净,还是Email好,可以集中处理,使时间的利用律提高很多。强烈建议有问题要讨论,或者要问问题的朋友,通过email交流,这样既节约自己的时间,也节约他人的生命。
因为很多东西,自己多花时间去学习研究,是百益而无一害的。国外都喜欢邮件列表或news,就是因为可以节约时间,使处理交流的事务能集中处理,效率更高。
时间不够,效率太臭
虽然事情很多,但说时间不够也是一个托词。仔细算下来,我的时间利用律太低了,效率不足。如何提高效率?Damn it, easy !
回想起来,正因为时间片分得太细,穿插于各种工作/任务之间,因此切换的开销很大,到最后开销大到足以影响事情的进行了。而且没有预先计划好,前松后紧,自然也是造成利用律低的一个原因。
怎么办?暂时就想到这些......
Posted by hzqbbc at 10:20 PM | Comments (0)