ssh網絡安全管理思考

前言：本站為你精心整理了ssh網絡安全管理思考范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要:Telnet是網絡管理人員常用的遠程登陸命令,但它傳送的信息是明文的,容易被竊??；ssh是一種安全的登陸方式，它傳送的是加密信息。在當今網絡安全日益重要的情況下，改進管理方式很有必要，本文就介紹這種技術。

關鍵詞：網絡安全網絡管理加密傳輸UNIX

1、Telnet面臨的主要安全問題

大概Telnet是每位從事網絡管理和攻擊者最熟悉不過的工具了。但他的安全性確實很差，比如對使用者認證方面、數據傳送保密方面和防范針對telnet的攻擊方面都存在很大問題。主要缺陷表現在：

•沒有口令保護，遠程用戶的登陸傳送的帳號和密碼都是明文，使用普通的sniffer都可以被截獲；

•沒有強力認證過程。只是驗證連接者的帳戶和密碼。

•沒有完整性檢查。傳送的數據沒有辦法知道是否完整的，而不是被篡改過的數據。

•傳送的數據都沒有加密。

用戶可以利用Telnet獲得很多的關于服務主機的情況。例如服務器的操作系統的種類等。而且，Telnet不僅僅可以使用端口23，而且也可以連接到其他服務的端口。例如端口21、端口25、端口80等。下面是一個登陸到自己的端口23的例子：

FreeBSD/i386()(ttyp1)

Login:

我們可以看到，只是這樣一條簡單的再簡單不過的命令就清晰地告訴你對方是用什么系統。而且只要端口是開放的，就可能發生使用Telnet獲取信息的情況。甚至你可以利用Telnet向端口80發送請求，只要請求是正確的，端口80就可以得到回應，甚至是一條錯誤的GET指令都可以得到回應。

這是因為Telnet本身沒有很好的保護機制，所以要借助其他外部的保護。相比之下SSH是一個很好的telnet安全保護系統。本文就簡要介紹用SSH取代Telnet實現安全連接。

2、SSH介紹

SSH(SecureShell)客戶端與服務器端通訊時，用戶名及口令均進行了加密，有效防止了對口令的竊聽。這個SSH服務，最重要的是可以使用“非明碼”的方式來傳送數據包，也就是說，數據在網絡上傳遞，由于SSH采用加密傳輸，即使被監聽而遭竊取了，該數據要經過解密也不是一件很容易的事，所以就可以比較安全的工作！此外，SSH同時也提供配合PAM的安全模塊與TCPWrappers的封包限制（也就是/etc/hosts.allow與/etc/hosts.deny的機制）機制，因此安全性也就比較高一些！更便利的是，可以使用root的身份經由ssh遠程登入某主機，這與Telnet的缺省方式不同！

從客戶端來看，SSH提供兩種級別的安全驗證。第一種級別（基于口令的安全驗證）只要你知道自己帳號和口令，就可以登錄到遠程主機。所有傳輸的數據都會被加密，但是不能保證你正在連接的服務器就是你想連接的服務器。可能會有別的服務器在冒充真正的服務器，也就是受到“中間人”這種方式的攻擊。第二種級別（基于密鑰的安全驗證）需要依靠密鑰，也就是你必須為自己創建一對密鑰，并把公用密鑰放在需要訪問的服務器上。如果你要連接到SSH服務器上，客戶端軟件就會向服務器發出請求，請求用你的密鑰進行安全驗證。服務器收到請求之后，先在你在該服務器的目錄下尋找你的公用密鑰，然后把它和你發送過來的公用密鑰進行比較。如果兩個密鑰一致，服務器就用公用密鑰加密“質詢”（challenge）并把它發送給客戶端軟件?？蛻舳塑浖盏健百|詢”之后就可以用你的私人密鑰解密再把它發送給服務器。用這種方式，你必須知道自己密鑰的口令。但是，與第一種級別相比，第二種級別不需要在網絡上傳送口令。第二種級別不僅加密所有傳送的數據，而且“中間人”這種攻擊方式也是不可能的（因為他沒有你的私人密鑰）。但是整個登錄的過程可能需要10秒。

如何實現將telnet改成以ssh來連接呢？

3、SSH安裝和啟用

1.下載最新軟件包SSH，最好下載源程序軟件包自己進行編譯。

2.解壓及安裝：

#tar-zxvfssh2-2.4.0.tar.gz

#cdssh2-2.4.0

#./configure

#make

#makeinstall

安裝完成。這一過程實際上將服務器軟件包及客戶端軟件一起安裝了，不必再次安裝客戶端。

已編譯好的二進制軟件包以rpm格式存放在ftp:///pub/ssh/rpm目錄下。它是一個給非商業用戶使用的軟件包，名稱為：ssh-2.4.0-1.i386.rpm，其中包含了對XWindow的支持，另一個不支持XWindow的軟件包為ssh-2.4.0-1nox.i386.rpm，下載后可以直接安裝。安裝程序將SSH2軟件包安裝在/usr/local/bin及/usr/local/sbin下。

既然啟動了ssh，那么telnet自然就不需要繼續存在！請記住關掉Telnet。

vi/etc/inetd.conf

找到這一行：

telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd

將它注釋掉！保存退出后，執行：

/etc/rc.d/init.d/inetrestart

重新啟動inet，然后以netstat-a|more核實telnet服務已經停止！

4、密鑰的產生和使用

服務器端產生用戶自己的加密密鑰及對外公開使用的公鑰。在UNIX環境下，產生密鑰的方法如下：

-keygen

要求用戶輸入一個長的認證字串，這個字串的功能同password相當，但是，它更長，一般是在20個字符以內。再次輸入相同的字串以確認輸入正確之后，系統產生一對密鑰及公鑰。將公鑰復制到本地，以便客戶端對服務器發送的信息進行解密用。如果不復制，在第一次登錄時，服務器會將它的公鑰自動推給客戶機，以便客戶機能對服務器提供的信息進行解密識別。

客戶端產生用戶的加密密鑰及公鑰?？蛻舳水a生自己的密鑰及公鑰的方法與服務器端相同。最后，將客戶機產生的公鑰復制到遠程主機上用戶的目錄中。不同版本的SSH對公鑰及密鑰的文件名有特定的要求，具體情況請閱讀軟件包中的安裝說明。

啟動SSH服務器

在UNIX/Linux環境下，服務器程序放置在/usr/local/sbin目錄下，啟動方法如下：

#sshd

#psx

可以查看SSHD確認SSH已經啟動。如果不希望每次重啟動系統，都要手工運行啟動SSHD，則可以自己寫一個腳本，放置在init.d目錄下，讓系統啟動后，自動執行SSHD服務的啟動工作?；蛘咧苯釉趓c.local中加入一行/usr/local/sbin/sshd也可。

客戶端在UNIX/Linux系統中就是SSH。其中有SSH1、SSH2、scp等客戶端工具，使用SSH登錄遠程主機方法如下：

host.ip.of.remote

如同使用Telnet一樣，不同之處是要求用戶輸入認證字串，如果認證字串通過了認證，則用戶直接登錄成功；如果不成功，則是要求用戶輸入系統口令?？诹钫J證成功后，用戶也可以成功登錄系統。從使用上看，與Telnet沒有什么不同之處。而且有了SSH客戶端軟件，如果要上傳文件，不必再開一個FTP窗口，再次認證，然后上傳文件。使用SSH客戶端自帶的scp工具，就可以直接將文件上傳到遠端服務器上。

由于種種原因，一些支持SSH的GUI客戶端不一定會很好地支持以上各種服務器，用戶可以自行組合以上工具，找到適合自己的工具。一般來說，在UNIX下的客戶端對各種服務器的支持是最好的。通常在選擇服務器及客戶端軟件時，最好選擇同一軟件商的產品，這樣不會出現不兼容的問題。

5、其它安全性的設定

雖然ssh是安全的，但是并不是一定安全的！所以，用戶仍然需要設定一些簡單的安全防護來防止一些問題的發生！簡單地就是將一些你不同意登入的IP關掉，只開放一些可以登入的IP！

ssh這個服務開啟在port22，可以使用ipchains或iptables防火墻工具來開放一些你允許的IP以port22進入！

在安裝的時候注意選擇--with-tcp-wrappers選項，以便使用/etc/hosts.allow去設定允許的IP連接，例如允許192.168.1.1-192.168.1.255登陸到某主機，可以這么設置：

sshd:192.168.1.0/24:Allow

而將其他的IP都擋掉，在/etc/hosts.deny當中：

sshd:ALL:Deny

如此一來則ssh只會開放給192.168.1.1-255之間的機器！以后要再擴大開放，就再將其他的IP加到/etc/hosts.allow當中去就行了。

6、小結

經過上述改進，再也不會出現前面例子中的情況了。由于對登陸這進行了認證和限制使得入侵者范圍減少很多。數據信息加密就又增添了安全性。

參考文獻：

1、《SSH權威指南》，中國電力出版社，馮銳由淵霞，2003年4月

2、《網絡安全與防火墻技術》，清華大學出版社，王睿等，2000年10月

3、《Linux系統安全基礎》，人民郵電出版社，（美）AronHsiao，2002年2月