本文介绍linux下ssh的安装配置方法。
一、安装SSH
具体步骤如下：
获得SSH软件包:：(ftp://ftp.pku.edu.cn:/pub/unix/ssh-2.3.0.tar.gz) 。
成为超级用户(root).
# gzip –cd ssh-2.3.0.tar.gz |tar xvf –
# cd ssh-2.3.0
# ./configure
注意，如果你希望用tcp_wrappers来控制SSH,那么在configure时需要加上选项“--with-libwrap=/path/to/libwrap/”， 用来告诉SSH关于libwrap.a 和tcpd.h的位置。

# make
# make install

和SSH有关的程序都放置在/usr/local/bin下，包括ssh，sftp，sshd2， ssh-keygen等。

二、配置
SSH的配置文件在/etc/ssh2下，其中包括sshd2的主机公钥和私钥：hostkey和hostkey.pub。这两个文件通常是在安装SSH时自动生成的。你可以通过下面的命令重新来生成它们：
# rm /etc/ssh2/hostkey*
# ssh-keygen2 –P /etc/ssh2/hostkey
而ssh2_config 文件一般情形下无需修改。

三、启动sshd2
每个要使用SSH的系统都必须在后台运行sshd2。用手工启动：
# /usr/local/bin/sshd2&
可以在“/etc/rc2.d/S99local”中加入该命令，这样系统每次启动时会自动启动sshd2。

四、用tcp_wrappers控制SSH
安装SSH的站点可以用tcp_wrappers来限制哪些IP地址可以通过ssh来访问自己。比如，在/etc/hosts.allow中加入sshd,sshd2: 10.0.0.1，那么只有10.0.0.1可以通过ssh来访问该主机。

五、基本应用

每个用户在使用SSH之前，都要完成以下步骤：
在本地主机（比如，local.pku.edu.cn）上生成自己的ssh公钥和私钥。命令如下：
local# ssh-keygen
Generating 1024-bit dsa key pair
1 oOo.oOo.o
Key generated.
1024-bit dsa, teng@ns, Fri Oct 20 2000 17:27:05
Passphrase :************ /*在此输入你的口令，以后访问这台主机时要用。
Again :************ /*
Private key saved to /home1/teng/.ssh2/id_dsa_1024_a
Public key saved to /home1/teng/.ssh2/id_dsa_1024_a.pub

生成的私钥和公钥（id_dsa_1024_a和id_dsa_1024_a.pub）存放在你家目录的~/.ssh2目录下。和用户相关的SSH配置文件都在~/.ssh2下。私钥由用户保存在本地主机上，而公钥需传送到远地主机的你自己的帐号的~/.ssh2下，如果你要用ssh2访问本地主机的话。

在~/.ssh2下创建“identification”文件用来说明进行身份认证的私钥。命令如下：
local:~/.ssh2# echo "IdKey id_dsa_1024_a" > identification

同样地，在远地主机（比如,remote.pku.edu.cn）上完成上面步骤。

将本地（local.pku.edu.cn）下你自己(这里是“teng”)的公钥(id_dsa_1024_a.pub)拷贝到远地主机（remote.pku.edu.cn）上你自己家目录下的.ssh2目录下，可命名为“local.pub”，一般用ftp上传即可。

在远地主机上，你自己家目录的.ssh2目录下，创建“authorization”文件，其中指定用来进行身份认证的公钥文件。命令如下：
remote:~/.ssh2# echo “Key local.pub” > authorization

现在你可以从本地用ssh2登录到远地系统了。命令如下：
local# ssh remote.pku.edu.cn
Passphrase for key "/home1/teng/.ssh2/id_dsa_1024_a" with comment "1024-bit dsa,
teng@ns, Fri Oct 20 2000 17:27:05":***********
这时会要你输入你的ssh口令(Passphrase)。
验证通过后，即登录到remote主机。

SSH的英文全称是 Secure SHell。通过使用SSH，你可以把所有传输的数据进行加密，这样“中间人”这种攻击方式就不可能实现了，而且也能够防止DNS和IP欺骗。还有一个额 外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替telnet，又可以为ftp、pop、甚至ppp提供一 个安全的“通道”。

最初SSH是由芬兰的一家公司开发的。但是因为受版权和加密算法的限制，现在很多人都转而使用OpenSSH。OpenSSH是SSH的替代软件，而且是免费的，可以预计将来会有越来越多的人使用它而不是SSH。

SSH是由客户端和服务端的软件组成的，有两个不兼容的版本分别是：1.x和2.x。用SSH 2.x的客户程序是不能连接到SSH 1.x的服务程序上去的。OpenSSH 2.x同时支持SSH 1.x和2.x。

SSH的安全验证是如何工作的

从客户端来看，SSH提供两种级别的安全验证。

第一种级别（基于口令的安全验证）只要你知道自己帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密，但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器，也就是受到“中间人”这种方式的攻击。

第二种级别（基于密匙的安全验证）需要依靠密匙，也就是你必须为自己创建一对密匙，并把公用密匙放在需要访问的服务器上。如果你要连接到SSH服务器上，客户端软件就会向服务器发出请求，请求用你的密匙进行安全验证。服务器收到请求之后，先在你在该服务器的家目录下寻找你的公用密匙，然后把它和你发送过来的 公用密匙进行比较。
如果两个密匙一致，服务器就用公用密匙加密“质询”（challenge）并把它发送给客户端软件。客户端软件收到“质询”之后就可以 用你的私人密匙解密再把它发送给服务器。
用这种方式，你必须知道自己密匙的口令。但是，与第一种级别相比，第二种级别不需要在网络上传送口令。
第二种级别不仅加密所有传送的数据，而且“中间人”这种攻击方式也是不可能的（因为他没有你的私人密匙）。但是整个登录的过程可能需要10秒。

安装并测试OpenSSH

因为受到美国法律的限制，在很多Linux的发行版中都没有包括OpenSSH。
但是，可以从网络上下载并安装OpenSSH（有关OpenSSH的安装和 配置请参考：http://www.linuxaid.com.cn/engineer/brimmer/html/OpenSSH.htm）。

安装完OpenSSH之后，用下面命令测试一下：
ssh -l [your accountname on the remote host] [address of the remote host]

如果OpenSSH工作正常，你会看到下面的提示信息：
The authenticity of host [hostname] can't be established.
Key fingerprint is 1024 5f:a0:0b:65:d3:82:df:ab:44:62:6d:98:9c:fe:e9:52.
Are you sure you want to continue connecting (yes/no)?

OpenSSH告诉你它不知道这台主机，但是你不用担心这个问题，因为你是第一次登录这台主机。键入“yes”。这将把这台主机的“识别标记”加到“~/.ssh/know_hosts”文件中。
第二次访问这台主机的时候就不会再显示这条提示信息了。
然后，SSH提示你输入远程主机上你的帐号的口令。输入完口令之后，就建立了SSH连接，这之后就可以象使用telnet那样使用SSH了。

SSH的密匙

生成你自己的密匙对
生成并分发你自己的密匙有两个好处：
1) 可以防止“中间人”这种攻击方式
2) 可以只用一个口令就登录到所有你想登录的服务器上

用下面的命令可以生成密匙：
ssh-keygen

如果远程主机使用的是SSH 2.x就要用这个命令：
ssh-keygen –d

在同一台主机上同时有SSH1和SSH2的密匙是没有问题的，因为密匙是存成不同的文件的。

ssh-keygen命令运行之后会显示下面的信息：
Generating RSA keys: ............................ooooooO......ooooooO
Key generation complete.
Enter file in which to save the key (/home/[user]/.ssh/identity):
[按下ENTER就行了]
Created directory '/home/[user]/.ssh'.
Enter passphrase (empty for no passphrase):
[输入的口令不会显示在屏幕上]
Enter same passphrase again:
[重新输入一遍口令，如果忘记了口令就只能重新生成一次密匙了]
Your identification has been saved in /home/[user]/.ssh/identity.
[这是你的私人密匙]
Your public key has been saved in /home/[user]/.ssh/identity.pub.
The key fingerprint is: 2a:dc:71:2f:27:84:a2:e4:a1:1e:a9:63:e2:fa:a5:89 [user]@[local machine]
“ssh-keygen –d”做的是几乎同样的事，但是把一对密匙存为（默认情况下）“/home/[user]/.ssh/id_dsa”（私人密匙）和“/home/[user]/.ssh/id_dsa.pub”（公用密匙）。

现在你有一对密匙了：公用密匙要分发到所有你想用ssh登录的远程主机上去；私人密匙要好好地保管防止别人知道你的私人密匙。用“ls –l ~/.ssh/identity”或“ls –l ~/.ssh/id_dsa”所显示的文件的访问权限必须是“-rw-------”。
如果你怀疑自己的密匙已经被别人知道了，不要迟疑马上生成一对新的密匙。当然，你还要重新分发一次公用密匙。

分发公用密匙

在每一个你需要用SSH连接的远程服务器上，你要在自己的家目录下创建一个“.ssh”的子目录，把你的公用密匙“identity.pub” 拷贝到这个目录下并把它重命名为“authorized_keys”。然后执行：
chmod 644 .ssh/authorized_keys

这一步是必不可少的。如果除了你之外别人对“authorized_keys”文件也有写的权限，SSH就不会工作。

如果你想从不同的计算机登录到远程主机，“authorized_keys”文件也可以有多个公用密匙。在这种情况下，必须在新的计算机上重新生成一对密 匙，然后把生成的“identify.pub”文件拷贝并粘贴到远程主机的“authorized_keys”文件里。当然在新的计算机上你必须有一个帐 号，而且密匙是用口令保护的。有一点很重要，就是当你取消了这个帐号之后，别忘了把这一对密匙删掉。

用SSH过程连接时，经常遇到长时间不操作而被服务器踢出的情况，常见提示：Write failed: Broken pipe

这是因为如果有一段时间在SSH连接上无数据传输，连接就会断开。解决此问题有两种方法。

方案一：在客户端设置

方法很简单，只需在客户端电脑上编辑（需要root权限）/etc/ssh/ssh_config，并添加如下一行：
ServerAliveInterval 60
此后该系统里的用户连接SSH时，每60秒会发一个KeepAlive请求，避免被踢。

方案二：在服务器端设置

如果有相应的权限，也可以在服务器端设置，即编辑/etc/ssh/sshd_config，并添加：
ClientAliveInterval 60
重启SSH服务器后该项设置会生效。每一个连接到此服务器上的客户端都会受其影响。
应注意启用该功能后，安全性会有一定下降。