ssh網(wǎng)絡(luò)安全管理思考

前言：本站為你精心整理了ssh網(wǎng)絡(luò)安全管理思考范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

摘要:Telnet是網(wǎng)絡(luò)管理人員常用的遠(yuǎn)程登陸命令,但它傳送的信息是明文的,容易被竊取；ssh是一種安全的登陸方式，它傳送的是加密信息。在當(dāng)今網(wǎng)絡(luò)安全日益重要的情況下，改進(jìn)管理方式很有必要，本文就介紹這種技術(shù)。

關(guān)鍵詞：網(wǎng)絡(luò)安全網(wǎng)絡(luò)管理加密傳輸U(kuò)NIX

1、Telnet面臨的主要安全問題

大概Telnet是每位從事網(wǎng)絡(luò)管理和攻擊者最熟悉不過的工具了。但他的安全性確實(shí)很差，比如對使用者認(rèn)證方面、數(shù)據(jù)傳送保密方面和防范針對telnet的攻擊方面都存在很大問題。主要缺陷表現(xiàn)在：

•沒有口令保護(hù)，遠(yuǎn)程用戶的登陸傳送的帳號和密碼都是明文，使用普通的sniffer都可以被截獲；

•沒有強(qiáng)力認(rèn)證過程。只是驗(yàn)證連接者的帳戶和密碼。

•沒有完整性檢查。傳送的數(shù)據(jù)沒有辦法知道是否完整的，而不是被篡改過的數(shù)據(jù)。

•傳送的數(shù)據(jù)都沒有加密。

用戶可以利用Telnet獲得很多的關(guān)于服務(wù)主機(jī)的情況。例如服務(wù)器的操作系統(tǒng)的種類等。而且，Telnet不僅僅可以使用端口23，而且也可以連接到其他服務(wù)的端口。例如端口21、端口25、端口80等。下面是一個(gè)登陸到自己的端口23的例子：

FreeBSD/i386()(ttyp1)

Login:

我們可以看到，只是這樣一條簡單的再簡單不過的命令就清晰地告訴你對方是用什么系統(tǒng)。而且只要端口是開放的，就可能發(fā)生使用Telnet獲取信息的情況。甚至你可以利用Telnet向端口80發(fā)送請求，只要請求是正確的，端口80就可以得到回應(yīng)，甚至是一條錯(cuò)誤的GET指令都可以得到回應(yīng)。

這是因?yàn)門elnet本身沒有很好的保護(hù)機(jī)制，所以要借助其他外部的保護(hù)。相比之下SSH是一個(gè)很好的telnet安全保護(hù)系統(tǒng)。本文就簡要介紹用SSH取代Telnet實(shí)現(xiàn)安全連接。

2、SSH介紹

SSH(SecureShell)客戶端與服務(wù)器端通訊時(shí)，用戶名及口令均進(jìn)行了加密，有效防止了對口令的竊聽。這個(gè)SSH服務(wù)，最重要的是可以使用“非明碼”的方式來傳送數(shù)據(jù)包，也就是說，數(shù)據(jù)在網(wǎng)絡(luò)上傳遞，由于SSH采用加密傳輸，即使被監(jiān)聽而遭竊取了，該數(shù)據(jù)要經(jīng)過解密也不是一件很容易的事，所以就可以比較安全的工作！此外，SSH同時(shí)也提供配合PAM的安全模塊與TCPWrappers的封包限制（也就是/etc/hosts.allow與/etc/hosts.deny的機(jī)制）機(jī)制，因此安全性也就比較高一些！更便利的是，可以使用root的身份經(jīng)由ssh遠(yuǎn)程登入某主機(jī)，這與Telnet的缺省方式不同！

從客戶端來看，SSH提供兩種級別的安全驗(yàn)證。第一種級別（基于口令的安全驗(yàn)證）只要你知道自己帳號和口令，就可以登錄到遠(yuǎn)程主機(jī)。所有傳輸?shù)臄?shù)據(jù)都會(huì)被加密，但是不能保證你正在連接的服務(wù)器就是你想連接的服務(wù)器。可能會(huì)有別的服務(wù)器在冒充真正的服務(wù)器，也就是受到“中間人”這種方式的攻擊。第二種級別（基于密鑰的安全驗(yàn)證）需要依靠密鑰，也就是你必須為自己創(chuàng)建一對密鑰，并把公用密鑰放在需要訪問的服務(wù)器上。如果你要連接到SSH服務(wù)器上，客戶端軟件就會(huì)向服務(wù)器發(fā)出請求，請求用你的密鑰進(jìn)行安全驗(yàn)證。服務(wù)器收到請求之后，先在你在該服務(wù)器的目錄下尋找你的公用密鑰，然后把它和你發(fā)送過來的公用密鑰進(jìn)行比較。如果兩個(gè)密鑰一致，服務(wù)器就用公用密鑰加密“質(zhì)詢”（challenge）并把它發(fā)送給客戶端軟件。客戶端軟件收到“質(zhì)詢”之后就可以用你的私人密鑰解密再把它發(fā)送給服務(wù)器。用這種方式，你必須知道自己密鑰的口令。但是，與第一種級別相比，第二種級別不需要在網(wǎng)絡(luò)上傳送口令。第二種級別不僅加密所有傳送的數(shù)據(jù)，而且“中間人”這種攻擊方式也是不可能的（因?yàn)樗麤]有你的私人密鑰）。但是整個(gè)登錄的過程可能需要10秒。

如何實(shí)現(xiàn)將telnet改成以ssh來連接呢？

3、SSH安裝和啟用

1.下載最新軟件包SSH，最好下載源程序軟件包自己進(jìn)行編譯。

2.解壓及安裝：

#tar-zxvfssh2-2.4.0.tar.gz

#cdssh2-2.4.0

#./configure

#make

#makeinstall

安裝完成。這一過程實(shí)際上將服務(wù)器軟件包及客戶端軟件一起安裝了，不必再次安裝客戶端。

已編譯好的二進(jìn)制軟件包以rpm格式存放在ftp:///pub/ssh/rpm目錄下。它是一個(gè)給非商業(yè)用戶使用的軟件包，名稱為：ssh-2.4.0-1.i386.rpm，其中包含了對XWindow的支持，另一個(gè)不支持XWindow的軟件包為ssh-2.4.0-1nox.i386.rpm，下載后可以直接安裝。安裝程序?qū)SH2軟件包安裝在/usr/local/bin及/usr/local/sbin下。

既然啟動(dòng)了ssh，那么telnet自然就不需要繼續(xù)存在！請記住關(guān)掉Telnet。

vi/etc/inetd.conf

找到這一行：

telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd

將它注釋掉！保存退出后，執(zhí)行：

/etc/rc.d/init.d/inetrestart

重新啟動(dòng)inet，然后以netstat-a|more核實(shí)telnet服務(wù)已經(jīng)停止！

4、密鑰的產(chǎn)生和使用

服務(wù)器端產(chǎn)生用戶自己的加密密鑰及對外公開使用的公鑰。在UNIX環(huán)境下，產(chǎn)生密鑰的方法如下：

-keygen

要求用戶輸入一個(gè)長的認(rèn)證字串，這個(gè)字串的功能同password相當(dāng)，但是，它更長，一般是在20個(gè)字符以內(nèi)。再次輸入相同的字串以確認(rèn)輸入正確之后，系統(tǒng)產(chǎn)生一對密鑰及公鑰。將公鑰復(fù)制到本地，以便客戶端對服務(wù)器發(fā)送的信息進(jìn)行解密用。如果不復(fù)制，在第一次登錄時(shí)，服務(wù)器會(huì)將它的公鑰自動(dòng)推給客戶機(jī)，以便客戶機(jī)能對服務(wù)器提供的信息進(jìn)行解密識別。

客戶端產(chǎn)生用戶的加密密鑰及公鑰。客戶端產(chǎn)生自己的密鑰及公鑰的方法與服務(wù)器端相同。最后，將客戶機(jī)產(chǎn)生的公鑰復(fù)制到遠(yuǎn)程主機(jī)上用戶的目錄中。不同版本的SSH對公鑰及密鑰的文件名有特定的要求，具體情況請閱讀軟件包中的安裝說明。

啟動(dòng)SSH服務(wù)器

在UNIX/Linux環(huán)境下，服務(wù)器程序放置在/usr/local/sbin目錄下，啟動(dòng)方法如下：

#sshd

#psx

可以查看SSHD確認(rèn)SSH已經(jīng)啟動(dòng)。如果不希望每次重啟動(dòng)系統(tǒng)，都要手工運(yùn)行啟動(dòng)SSHD，則可以自己寫一個(gè)腳本，放置在init.d目錄下，讓系統(tǒng)啟動(dòng)后，自動(dòng)執(zhí)行SSHD服務(wù)的啟動(dòng)工作。或者直接在rc.local中加入一行/usr/local/sbin/sshd也可。

客戶端在UNIX/Linux系統(tǒng)中就是SSH。其中有SSH1、SSH2、scp等客戶端工具，使用SSH登錄遠(yuǎn)程主機(jī)方法如下：

host.ip.of.remote

如同使用Telnet一樣，不同之處是要求用戶輸入認(rèn)證字串，如果認(rèn)證字串通過了認(rèn)證，則用戶直接登錄成功；如果不成功，則是要求用戶輸入系統(tǒng)口令。口令認(rèn)證成功后，用戶也可以成功登錄系統(tǒng)。從使用上看，與Telnet沒有什么不同之處。而且有了SSH客戶端軟件，如果要上傳文件，不必再開一個(gè)FTP窗口，再次認(rèn)證，然后上傳文件。使用SSH客戶端自帶的scp工具，就可以直接將文件上傳到遠(yuǎn)端服務(wù)器上。

由于種種原因，一些支持SSH的GUI客戶端不一定會(huì)很好地支持以上各種服務(wù)器，用戶可以自行組合以上工具，找到適合自己的工具。一般來說，在UNIX下的客戶端對各種服務(wù)器的支持是最好的。通常在選擇服務(wù)器及客戶端軟件時(shí)，最好選擇同一軟件商的產(chǎn)品，這樣不會(huì)出現(xiàn)不兼容的問題。

5、其它安全性的設(shè)定

雖然ssh是安全的，但是并不是一定安全的！所以，用戶仍然需要設(shè)定一些簡單的安全防護(hù)來防止一些問題的發(fā)生！簡單地就是將一些你不同意登入的IP關(guān)掉，只開放一些可以登入的IP！

ssh這個(gè)服務(wù)開啟在port22，可以使用ipchains或iptables防火墻工具來開放一些你允許的IP以port22進(jìn)入！

在安裝的時(shí)候注意選擇--with-tcp-wrappers選項(xiàng)，以便使用/etc/hosts.allow去設(shè)定允許的IP連接，例如允許192.168.1.1-192.168.1.255登陸到某主機(jī)，可以這么設(shè)置：

sshd:192.168.1.0/24:Allow

而將其他的IP都擋掉，在/etc/hosts.deny當(dāng)中：

sshd:ALL:Deny

如此一來則ssh只會(huì)開放給192.168.1.1-255之間的機(jī)器！以后要再擴(kuò)大開放，就再將其他的IP加到/etc/hosts.allow當(dāng)中去就行了。

6、小結(jié)

經(jīng)過上述改進(jìn)，再也不會(huì)出現(xiàn)前面例子中的情況了。由于對登陸這進(jìn)行了認(rèn)證和限制使得入侵者范圍減少很多。數(shù)據(jù)信息加密就又增添了安全性。

參考文獻(xiàn)：

1、《SSH權(quán)威指南》，中國電力出版社，馮銳由淵霞，2003年4月

2、《網(wǎng)絡(luò)安全與防火墻技術(shù)》，清華大學(xué)出版社，王睿等，2000年10月

3、《Linux系統(tǒng)安全基礎(chǔ)》，人民郵電出版社，（美）AronHsiao，2002年2月