用ssh取代Telne實(shí)現(xiàn)安全連接

用ssh取代Telne實(shí)現(xiàn)安全連接

摘要:Telnet是網(wǎng)絡(luò)管理人員常用的遠(yuǎn)程登陸命令，但它傳送的信息是明文的，容易被竊?。籗SH是一種安全的登陸方式，它傳送的是加密信息。在當(dāng)今網(wǎng)絡(luò)安全日益重要的情況下，改進(jìn)管理方式很有必要，本文就介紹這種技術(shù)。關(guān)鍵詞：網(wǎng)絡(luò)安全網(wǎng)絡(luò)管理加密傳輸U(kuò)NIX1、Telnet面臨的主要安全問題

大概Telnet是每位從事網(wǎng)絡(luò)管理和攻擊者最熟悉不過的工具了。但他的安全性確實(shí)很差，比如對(duì)使用者認(rèn)證方面、數(shù)據(jù)傳送保密方面和防范針對(duì)telnet的攻擊方面都存在很大問題。主要缺陷表現(xiàn)在：?

沒有口令保護(hù)，遠(yuǎn)程用戶的登陸傳送的帳號(hào)和密碼都是明文，使用普通的sniffer都可以被截獲；?

沒有強(qiáng)力認(rèn)證過程。只是驗(yàn)證連接者的帳戶和密碼。?

沒有完整性檢查。傳送的數(shù)據(jù)沒有辦法知道是否完整的，而不是被篡改過的數(shù)據(jù)。?

傳送的數(shù)據(jù)都沒有加密。用戶可以利用Telnet獲得很多的關(guān)于服務(wù)主機(jī)的情況。例如服務(wù)器的操作系統(tǒng)的種類等。而且，Telnet不僅僅可以使用端口23，而且也可以連接到其他服務(wù)的端口。例如端口21、端口25、端口80等。下面是一個(gè)登陸到自己的端口23的例子：FreeBSD/i386()(ttyp1)Login:我們可以看到，只是這樣一條簡單的再簡單不過的命令就清晰地告訴你對(duì)方是用什么系統(tǒng)。而且只要端口是開放的，就可能發(fā)生使用Telnet獲取信息的情況。甚至你可以利用Telnet向端口80發(fā)送請(qǐng)求，只要請(qǐng)求是正確的，端口80就可以得到回應(yīng)，甚至是一條錯(cuò)誤的GET指令都可以得到回應(yīng)。這是因?yàn)門elnet本身沒有很好的保護(hù)機(jī)制，所以要借助其他外部的保護(hù)。相比之下SSH是一個(gè)很好的telnet安全保護(hù)系統(tǒng)。本文就簡要介紹用SSH取代Telnet實(shí)現(xiàn)安全連接。2、SSH介紹SSH(SecureShell)客戶端與服務(wù)器端通訊時(shí)，用戶名及口令均進(jìn)行了加密，有效防止了對(duì)口令的竊聽。這個(gè)SSH服務(wù)，最重要的是可以使用“非明碼”的方式來傳送數(shù)據(jù)包，也就是說，數(shù)據(jù)在網(wǎng)絡(luò)上傳遞，由于SSH采用加密傳輸，即使被監(jiān)聽而遭竊取了，該數(shù)據(jù)要經(jīng)過解密也不是一件很容易的事，所以就可以比較安全的工作！此外，SSH同時(shí)也提供配合PAM的安全模塊與TCPWrappers的封包限制（也就是/etc/hosts.allow與/etc/hosts.deny的機(jī)制）機(jī)制，因此安全性也就比較高一些！更便利的是，可以使用root的身份經(jīng)由ssh遠(yuǎn)程登入某主機(jī)，這與Telnet的缺省方式不同！從客戶端來看，SSH提供兩種級(jí)別的安全驗(yàn)證。第一種級(jí)別（基于口令的安全驗(yàn)證）只要你知道自己帳號(hào)和口令，就可以登錄到遠(yuǎn)程主機(jī)。所有傳輸?shù)臄?shù)據(jù)都會(huì)被加密，但是不能保證你正在連接的服務(wù)器就是你想連接的服務(wù)器?？赡軙?huì)有別的服務(wù)器在冒充真正的服務(wù)器，也就是受到“中間人”這種方式的攻擊。第二種級(jí)別（基于密鑰的安全驗(yàn)證）需要依靠密鑰，也就是你必須為自己創(chuàng)建一對(duì)密鑰，并把公用密鑰放在需要訪問的服務(wù)器上。如果你要連接到SSH服務(wù)器上，客戶端軟件就會(huì)向服務(wù)器發(fā)出請(qǐng)求，請(qǐng)求用你的密鑰進(jìn)行安全驗(yàn)證。服務(wù)器收到請(qǐng)求之后，先在你在該服務(wù)器的目錄下尋找你的公用密鑰，然后把它和你發(fā)送過來的公用密鑰進(jìn)行比較。如果兩個(gè)密鑰一致，服務(wù)器就用公用密鑰加密“質(zhì)詢”（challenge）并把它發(fā)送給客戶端軟件?？蛻舳塑浖盏健百|(zhì)詢”之后就可以用你的私人密鑰解密再把它發(fā)送給服務(wù)器。用這種方式，你必須知道自己密鑰的口令。但是，與第一種級(jí)別相比，第二種級(jí)別不需要在網(wǎng)絡(luò)上傳送口令。第二種級(jí)別不僅加密所有傳送的數(shù)據(jù)，而且“中間人”這種攻擊方式也是不可能的（因?yàn)樗麤]有你的私人密鑰）。但是整個(gè)登錄的過程可能需要10秒。如何實(shí)現(xiàn)將telnet改成以ssh來連接呢？

3、SSH安裝和啟用

1.下載最新軟件包SSH，最好下載源程序軟件包自己進(jìn)行編譯。

2.解壓及安裝：

#tar-zxvfssh2-2.4.0.tar.gz

#cdssh2-2.4.0

#./configure

#make

#makeinstall

安裝完成。這一過程實(shí)際上將服務(wù)器軟件包及客戶端軟件一起安裝了，不必再次安裝客戶端。

已編譯好的二進(jìn)制軟件包以rpm格式存放在/pub/ssh/rpm目錄下。它是一個(gè)給非商業(yè)用戶使用的軟件包，名稱為：ssh-2.4.0-1.i386.rpm，其中包含了對(duì)XWindow的支持，另一個(gè)不支持XWindow的軟件包為ssh-2.4.0-1nox.i386.rpm，下載后可以直接安裝。安裝程序?qū)SH2軟件包安裝在/usr/local/bin及/usr/local/sbin下。既然啟動(dòng)了ssh，那么telnet自然就不需要繼續(xù)存在！請(qǐng)記住關(guān)掉Telnet。vi/etc/inetd.conf找到這一行：telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd將它注釋掉！保存退出后，執(zhí)行：/etc/rc.d/init.d/inetrestart重新啟動(dòng)inet，然后以netstat-a|more核實(shí)telnet服務(wù)已經(jīng)停止！

4、密鑰的產(chǎn)生和使用

服務(wù)器端產(chǎn)生用戶自己的加密密鑰及對(duì)外公開使用的公鑰。在UNIX環(huán)境下，產(chǎn)生密鑰的方法如下：

-keygen

要求用戶輸入一個(gè)長的認(rèn)證字串，這個(gè)字串的功能同password相當(dāng)，但是，它更長，一般是在20個(gè)字符以內(nèi)。再次輸入相同的字串以確認(rèn)輸入正確之后，系統(tǒng)產(chǎn)生一對(duì)密鑰及公鑰。將公鑰復(fù)制到本地，以便客戶端對(duì)服務(wù)器發(fā)送的信息進(jìn)行解密用。如果不復(fù)制，在第一次登錄時(shí)，服務(wù)器會(huì)將它的公鑰自動(dòng)推給客戶機(jī)，以便客戶機(jī)能對(duì)服務(wù)器提供的信息進(jìn)行解密識(shí)別。

客戶端產(chǎn)生用戶的加密密鑰及公鑰。客戶端產(chǎn)生自己的密鑰及公鑰的方法與服務(wù)器端相同。最后，將客戶機(jī)產(chǎn)生的公鑰復(fù)制到遠(yuǎn)程主機(jī)上用戶的目錄中。不同版本的SSH對(duì)公鑰及密鑰的文件名有特定的要求，具體情況請(qǐng)閱讀軟件包中的安裝說明。

啟動(dòng)SSH服務(wù)器

在UNIX/Linux環(huán)境下，服務(wù)器程序放置在/usr/local/sbin目錄下，啟動(dòng)方法如下：

#sshd

#psx

可以查看SSHD確認(rèn)SSH已經(jīng)啟動(dòng)。如果不希望每次重啟動(dòng)系統(tǒng)，都要手工運(yùn)行啟動(dòng)SSHD，則可以自己寫一個(gè)腳本，放置在init.d目錄下，讓系統(tǒng)啟動(dòng)后，自動(dòng)執(zhí)行SSHD服務(wù)的啟動(dòng)工作?；蛘咧苯釉趓c.local中加入一行/usr/local/sbin/sshd也可。

客戶端在UNIX/Linux系統(tǒng)中就是SSH。其中有SSH1、SSH2、scp等客戶端工具，使用SSH登錄遠(yuǎn)程主機(jī)方法如下：

host.ip.of.remote

如同使用Telnet一樣，不同之處是要求用戶輸入認(rèn)證字串，如果認(rèn)證字串通過了認(rèn)證，則用戶直接登錄成功；如果不成功，則是要求用戶輸入系統(tǒng)口令?？诹钫J(rèn)證成功后，用戶也可以成功登錄系統(tǒng)。從使用上看，與Telnet沒有什么不同之處。而且有了SSH客戶端軟件，如果要上傳文件，不必再開一個(gè)FTP窗口，再次認(rèn)證，然后上傳文件。使用SSH客戶端自帶的scp工具，就可以直接將文件上傳到遠(yuǎn)端服務(wù)器上。使用方法如下：host1:dir/filenamehost2:/home/abc/filename由于種種原因，一些支持SSH的GUI客戶端不一定會(huì)很好地支持以上各種服務(wù)器，用戶可以自行組合以上工具，找到適合自己的工具。一般來說，在UNIX下的客戶端對(duì)各種服務(wù)器的支持是最好的。通常在選擇服務(wù)器及客戶端軟件時(shí)，最好選擇同一軟件商的產(chǎn)品，這樣不會(huì)出現(xiàn)不兼容的問題。5、其它安全性的設(shè)定雖然ssh是安全的，但是并不是一定安全的！所以，用戶仍然需要設(shè)定一些簡單的安全防護(hù)來防止一些問題的發(fā)生！簡單地就是將一些你不同意登入的IP關(guān)掉，只開放一些可以登入的IP！ssh這個(gè)服務(wù)開啟在port22，可以使用ipchains或iptables防火墻工具來開放一些你允許的IP以port22進(jìn)入！在安裝的時(shí)候注意選擇--with-tcp-wrappers選項(xiàng)，以便使用/etc/hosts.allow去設(shè)定允許的IP連接，例如允許-55登陸到某主機(jī)，可以這么設(shè)置：sshd:/24:Allow而將其他