眾所周知在Windows系統(tǒng)和Linux類系統(tǒng)的最大區(qū)別就在于他的非開源性,因此在Windows下我們傳輸文件,共享資源主要通過FTP協(xié)議來實(shí)現(xiàn),和以前的TFTP協(xié)議相比FTP提供了必要的安全保證措施,然而對于一些要求網(wǎng)絡(luò)安全級別比較高,需要嚴(yán)格防范傳輸數(shù)據(jù)被監(jiān)聽工具竊取的情況來說,F(xiàn)TP協(xié)議就無法勝任了,這時我們應(yīng)該尋找更加安全的傳輸協(xié)議來保證服務(wù)器的安全。今天筆者就為各位IT168的讀者介紹在Windows下如何通過sftp打造安全傳輸。
一、什么是sftp?
一般來說兩臺機(jī)器間的文件傳輸,除了常用的ftp以外,還可以通過scp/sftp協(xié)議(就是本文介紹的sftp)進(jìn)行。下面我們就來看看sftp協(xié)議與ftp協(xié)議之間的差別。
(1)和ftp不同的是sftp/scp傳輸協(xié)議默認(rèn)是采用加密方式來傳輸數(shù)據(jù)的,scp/sftp確保傳輸?shù)囊磺袛?shù)據(jù)都是加密的。而ftp一般來說允許明文傳輸,當(dāng)然現(xiàn)在也有帶SSL的加密ftp,有些服務(wù)器軟件也可以設(shè)置成“只允許加密連接”,但是畢竟不是默認(rèn)設(shè)置需要我們手工調(diào)整,而且很多用戶都會忽略這個設(shè)置。
(2)普通ftp僅使用端口21作為命令傳輸。由服務(wù)器和客戶端協(xié)商另外一個隨機(jī)端口來進(jìn)行數(shù)據(jù)傳送。在pasv模式下,服務(wù)器端需要偵聽另一個口。假如服務(wù)器在路由器或者防火墻后面,端口映射會比較麻煩,因?yàn)闊o法提前知道數(shù)據(jù)端口編號,無法映射。(現(xiàn)在的ftp服務(wù)器大都支持限制數(shù)據(jù)端口隨機(jī)取值范圍,一定程度上解決這個問題,但仍然要映射21號以及一個數(shù)據(jù)端口范圍,還有些服務(wù)器通過UPnP協(xié)議與路由器協(xié)商動態(tài)映射,但比較少見)
(3)當(dāng)你的網(wǎng)絡(luò)中還有一些unix系統(tǒng)的機(jī)器時,在它們上面自帶了scp等客戶端,不用再安裝其它軟件來實(shí)現(xiàn)傳輸目的。
(4)scp/sftp屬于開源協(xié)議,我們可以免費(fèi)使用不像FTP那樣使用上存在安全或版權(quán)問題。所有scp/sftp傳輸軟件(服務(wù)器端和客戶端)均免費(fèi)并開源,方便我們開發(fā)各種擴(kuò)展插件和應(yīng)用組件。
小提示:當(dāng)然在提供安全傳輸?shù)那疤嵯聅ftp還是存在一些不足的,例如他的帳號訪問權(quán)限是嚴(yán)格遵照系統(tǒng)用戶實(shí)現(xiàn)的,只有將該帳戶添加為操作系統(tǒng)某用戶才能夠保證其可以正常登錄sftp服務(wù)器。
二、下載所需程序:
本文介紹的所有工具都不是誕生于windows系統(tǒng)的,他們是從unix移植過來的,配置方式仍然使用了conf文件的方式,幾乎沒有圖形界面。而且這些配置文件一般用unix換行符,所以建議各位讀者使用ultraedit等工具而不是notepad來編輯,一是確保能正常顯示,二是確保保存時不會破壞它的格式導(dǎo)致服務(wù)程序無法讀取。
服務(wù)器端我們使用openssh,它自帶了cygwin環(huán)境以及scp/sftp的服務(wù)器(sftp是ssh的一個“子服務(wù)”,在ssh通道中使用某個命令在需要時激活)。
打開瀏覽器訪問下載SSHWindows-Installer,在該頁面中我們下載SSHWindows-Installer, 3.8p1-1 20040709 Build這個程序即可。
而客戶端我們則采用的是winscp軟件,他是一款圖形化界面的軟件,界面操作類似于ftp軟件,很好上手。我們到
http://sourceforge.net/project/showfiles.php?group_id=85589這個地址下載WinSCP 3.8.2.(如圖2)
三、配置sftp服務(wù)端:
sftp服務(wù)端的安裝與配置還是比較簡單的,通過幾條命令就可以開啟sftp服務(wù)。
第一步:將之前下載的sftp服務(wù)端解壓縮,然后直接運(yùn)行主程序。點(diǎn)“NEXT”按鈕進(jìn)行下面的操作。(如圖3)
第二步:在許可協(xié)議窗口處填寫“同意”并點(diǎn)“下一步”按鈕繼續(xù)。(如圖4)
第三步:在接下來的配置窗口中選擇要安裝的組件,從界面中我們可以看到包括client(客戶端)與server(服務(wù)器端),實(shí)際上我們只需要服務(wù)器端,而客戶端我們使用之前下載的WinSCP 3.8.2即可。選擇相應(yīng)的服務(wù)器端組件后點(diǎn)“下一步”按鈕繼續(xù)。(如圖5)
第四步:選擇程序安裝的路徑,默認(rèn)是c:\program files\openssh,建議大家不修改這個缺省地址。(如圖6)
第五步:默認(rèn)情況下openssh將添加一個應(yīng)用程序到開始程序中,名字叫做openssh for windows.(如圖7)
第六步:安裝的最后openssh會自動建立ssh安全加密key,保證SSH傳輸過程中的安全可靠。(如圖8)
第七步:完成所有安裝工作,點(diǎn)“完成”按鈕回到桌面。(如圖9)
第八步:接下來就要啟動該服務(wù)了,我們通過“開始->運(yùn)行->輸入CMD后回車”進(jìn)入到命令提示窗口,然后通過cd命令定位到c:\programfiles\openssh\bin目錄。(如圖10)
第九步:依次執(zhí)行mkgroup -l >> ……\etc\group mkpasswd -l >> ……\etc\passwd命令,這樣你目前windows本地帳戶中的用戶就都可以登錄該sftp服務(wù)器了,他們自對文件目錄的訪問權(quán)限和NTFS權(quán)限一致。此步驟相當(dāng)于FTP中的建立訪問帳號。(如圖11)
第十步:添加完各個訪問帳戶后我們可以到c:\program files\openssh\etc目錄中來查看group和passwd兩個文件的內(nèi)容,當(dāng)然這些內(nèi)容是經(jīng)過了加密的。(如圖12)
這兩個文件
存儲的都是帳戶相關(guān)信息,正如前面所說他們是從unix移植過來的,配置方式仍然使用了conf文件的方式,幾乎沒有圖形界面。而且這些配置文件一般用unix 換行符,建議各位IT168讀者使用ultraedit等工具而不是notepad來編輯,一是確保能正常顯示,二是確保保存時不會破壞它的格式導(dǎo)致服務(wù)程序無法讀取。(如圖13)
第十一步:最后在剛才進(jìn)入的c:\program files\openssh\bin目錄下執(zhí)行net start opensshd命令,這將啟動opensshd服務(wù),我們就可以開始訪問了。(如圖14)
小提示:一般sftp用默認(rèn)的22端口發(fā)布服務(wù)就行。如果你有特殊的原因要把這個端口改掉,請編輯C:\ProgramFiles\OpenSSH\ etc\sshd_config文件,把這一行改成你要的端口,比如8029,設(shè)置完畢后需要重啟openssh服務(wù)(任何配置改動都需要重啟服務(wù))。
至此服務(wù)器端的配置完成,下面我們來介紹如何在客戶端上訪問建立的sftp服務(wù)。
小提示:如果以后要繼續(xù)添加訪問帳戶的話,首先在windows中加上這個用戶,例如我們以名為softer的帳戶為例,設(shè)置密碼,確保不要選中“下次登錄必須改密碼”。這個用戶的權(quán)限和用戶組由你來決定。然后進(jìn)入c:\program files\openssh\bin目錄,執(zhí)行mkpassword -l -u softer >> ……\etc\passwd命令即可將剛才添加的softer帳戶添加到訪問權(quán)限中。說白了指令加-u是加單獨(dú)一個帳戶,沒有-u參數(shù)的話將把當(dāng)前系統(tǒng)中所有帳戶添加到容許訪問sftp服務(wù)器的帳戶列表中。
四、配置sftp客戶端:
配置sftp客戶端就更加簡單了,由于之前我們已經(jīng)下載了WinSCP 3.8.2,所以直接運(yùn)行該程序即可出現(xiàn)登錄配置界面。(如圖15)
790)
我們根據(jù)實(shí)際填寫sftp服務(wù)器的地址和訪問帳戶信息,協(xié)議方面保持默認(rèn)的sftp (allow scp fallback)即可,完成設(shè)置后點(diǎn)login登錄按鈕后會出現(xiàn)“使用提示”信息,不用理會繼續(xù)即可。(如圖16)
790)
登錄進(jìn)入服務(wù)器后我們會看到界面顯示和我們之前熟悉的ftp登錄工具一樣,特別是和flashfxp登錄FTP服務(wù)器類似。右邊是我們看到的sftp服務(wù)器發(fā)布的目錄。(如圖17)
當(dāng)然這個默認(rèn)發(fā)布目錄可能不是我們希望看到的,如果想要訪問你的C盤,我們可以先把焦點(diǎn)放在服務(wù)器那半邊窗口,然后按ctrl+o,輸入/cygdrive/c并回車,這樣就可以把這個目錄加到winscp的書簽或者作為登錄時的默認(rèn)目錄。(如圖18)
五、總結(jié):
當(dāng)我們要關(guān)閉sftp服務(wù)時只需要在服務(wù)器端對應(yīng)目錄執(zhí)行net stop opensshd指令即可,這樣對應(yīng)服務(wù)將自動關(guān)閉。(如圖19)另外如果在客戶端上無法訪問sftp服務(wù)器的話,很可能是因?yàn)閄P系統(tǒng)自帶
防火墻搗亂,我們關(guān)閉防火墻或者手動在windows防火墻配置中允許c:\Program Files\OpenSSH\usr\sbin\sshd.exe程序的執(zhí)行和對網(wǎng)絡(luò)的訪問即可。
該文章在 2011/2/28 0:09:51 編輯過
400 186 1886
