之前蟲蟲文章《WSL大量功能更新,Bash on Windows還只是微軟的一個玩具?
》中我們提到過window 10 Fall版本中引入了對OpenSSH客戶端的支持,當時都還是beta版本:
windows 10 Sping更新
現在,隨著windows 10 2018年4月更新的發佈,OpenSSH已經成了正式版本,其客戶端在Windows 10中被也默認安裝。
Windows安全研究員Oddvar Moe首先發現了這個OpenSSH Client for Windows默認安裝的事情,並在Twitter上發了條消息。
關於OpenSSH
OpenSSH是OpenBSD基金會下的項目,實現SSH服務器和客戶端,OpenSSH已經被廣泛用於Unix、BSD,Linux,macOS等操做系統下,作為這些系統的唯一安全可靠的管理和操作工具和數據傳輸通道。
這次更新中, OpenSSH for Windows Client已經升級到版本openssh 7.6p1。官方最新版本:
上面版本中我們還應該注意到一件有趣事情,對了,那就是SSL版本,不再是OpenSSL,而換成了LibreSSL這個版本是OpenSSL爆發出著名的心臟出血大漏洞後,Openbsd的fork出的一個OpenSSL版本,去除掉OpenSSL冗餘的爛代碼更安全簡潔的版本。
更新後, OpenSSH的運行跟目錄為在C:\Windows\System32\OpenSSH中,並且還包含scp.exe和sftp.exe、ssh-keygen和ssh-keyscan等組件,看著是不是很像Putty的全安裝目錄。
用這個客戶端第一次連接到遠程SSH服務器時和Linux一樣首先要保存服務器主機的證書,公鑰被保存在%UserProfile%\.ssh\known_hosts文件中。
Openssh使用和證書生成
OpenSsh使用很簡單,很多老司機可能都熟悉,就不多贅述,其基本格式:
ssh [user]@[host] ,如果默認端口不為22 而是其他端口時候,比如5555
ssh -p5555 [email protected] 然後輸入密碼即可。
當然最安全便捷的方法是使用證書登陸,下面蟲蟲就給大家介紹下生成證書和用密鑰登陸的方法:
在PowerShell或者cmd窗口使用OpenSSH套件裡面的ssh-keygen 工具來生成證書,一對公私密鑰對,私鑰自己保存,保證不洩露給其他人,公鑰放到遠程SSH服務器上的,就可以實現密鑰登陸了。生成證書的方法:
cd ~\.ssh\ssh-keygen
現在生成的證書默認需要最安全的雙曲線算法ed25519,執行上面命令後會生成一對密鑰對,注意不指定路徑的的默認路徑是在~\.ssh目錄下:
Generating public/private ed25519 key pair.Enter file in which to save the key (C:\Users\chongchong\.ssh\id_ed25519):
下一步會提示你,給密鑰輸入一個保密密碼,防止公鑰洩露。結果就在這個目錄下生成兩個文件,一個是.pub結尾的,那是就是公鑰,另一個是你私鑰。
你把這個.pub的文件內容,添加到服務其上~\.ssh\authorized_keys中,如果有這個文件的話,如果沒有的這個文件,就自行創建同名文件即可。創建的時候注意目錄和文件權限,目錄為700,文件權限為600。
這樣就可以用證書直接登陸了。
展望
現在你要進行通過運行SSH遠程管理服務器時,你有了新的選擇,直接使用OpenSSH。不在需要第三方SSH客戶端(例如Putty,xshell,Securecrt等了)。
需要注意的是,新更新也帶來正式版本的OpenSSH服務器端,但是還需要手動安裝。我們可以展望隨著Windows10的不斷完善更新,某一天後是不是我們可以用SSH完全控制Windows,而拋棄漏洞多多,非常危險的遠程桌面呢?
關於windows遠程桌面的安全相關的文章,可以關注蟲蟲,參考蟲蟲的文章《
》
閱讀更多 蟲蟲安全 的文章
