用ssh取代Telne實現(xiàn)安全連接

用ssh取代Telne實現(xiàn)安全連接

摘要:Telnet是網(wǎng)絡管理人員常用的遠程登陸命令，但它傳送的信息是明文的，容易被竊?。籗SH是一種安全的登陸方式，它傳送的是加密信息。在當今網(wǎng)絡安全日益重要的情況下，改進管理方式很有必要，本文就介紹這種技術。關鍵詞：網(wǎng)絡安全網(wǎng)絡管理加密傳輸UNIX1、Telnet面臨的主要安全問題

大概Telnet是每位從事網(wǎng)絡管理和攻擊者最熟悉不過的工具了。但他的安全性確實很差，比如對使用者認證方面、數(shù)據(jù)傳送保密方面和防范針對telnet的攻擊方面都存在很大問題。主要缺陷表現(xiàn)在：?

沒有口令保護，遠程用戶的登陸傳送的帳號和密碼都是明文，使用普通的sniffer都可以被截獲；?

沒有強力認證過程。只是驗證連接者的帳戶和密碼。?

沒有完整性檢查。傳送的數(shù)據(jù)沒有辦法知道是否完整的，而不是被篡改過的數(shù)據(jù)。?

傳送的數(shù)據(jù)都沒有加密。用戶可以利用Telnet獲得很多的關于服務主機的情況。例如服務器的操作系統(tǒng)的種類等。而且，Telnet不僅僅可以使用端口23，而且也可以連接到其他服務的端口。例如端口21、端口25、端口80等。下面是一個登陸到自己的端口23的例子：FreeBSD/i386()(ttyp1)Login:我們可以看到，只是這樣一條簡單的再簡單不過的命令就清晰地告訴你對方是用什么系統(tǒng)。而且只要端口是開放的，就可能發(fā)生使用Telnet獲取信息的情況。甚至你可以利用Telnet向端口80發(fā)送請求，只要請求是正確的，端口80就可以得到回應，甚至是一條錯誤的GET指令都可以得到回應。這是因為Telnet本身沒有很好的保護機制，所以要借助其他外部的保護。相比之下SSH是一個很好的telnet安全保護系統(tǒng)。本文就簡要介紹用SSH取代Telnet實現(xiàn)安全連接。2、SSH介紹SSH(SecureShell)客戶端與服務器端通訊時，用戶名及口令均進行了加密，有效防止了對口令的竊聽。這個SSH服務，最重要的是可以使用“非明碼”的方式來傳送數(shù)據(jù)包，也就是說，數(shù)據(jù)在網(wǎng)絡上傳遞，由于SSH采用加密傳輸，即使被監(jiān)聽而遭竊取了，該數(shù)據(jù)要經(jīng)過解密也不是一件很容易的事，所以就可以比較安全的工作！此外，SSH同時也提供配合PAM的安全模塊與TCPWrappers的封包限制（也就是/etc/hosts.allow與/etc/hosts.deny的機制）機制，因此安全性也就比較高一些！更便利的是，可以使用root的身份經(jīng)由ssh遠程登入某主機，這與Telnet的缺省方式不同！從客戶端來看，SSH提供兩種級別的安全驗證。第一種級別（基于口令的安全驗證）只要你知道自己帳號和口令，就可以登錄到遠程主機。所有傳輸?shù)臄?shù)據(jù)都會被加密，但是不能保證你正在連接的服務器就是你想連接的服務器?？赡軙袆e的服務器在冒充真正的服務器，也就是受到“中間人”這種方式的攻擊。第二種級別（基于密鑰的安全驗證）需要依靠密鑰，也就是你必須為自己創(chuàng)建一對密鑰，并把公用密鑰放在需要訪問的服務器上。如果你要連接到SSH服務器上，客戶端軟件就會向服務器發(fā)出請求，請求用你的密鑰進行安全驗證。服務器收到請求之后，先在你在該服務器的目錄下尋找你的公用密鑰，然后把它和你發(fā)送過來的公用密鑰進行比較。如果兩個密鑰一致，服務器就用公用密鑰加密“質(zhì)詢”（challenge）并把它發(fā)送給客戶端軟件。客戶端軟件收到“質(zhì)詢”之后就可以用你的私人密鑰解密再把它發(fā)送給服務器。用這種方式，你必須知道自己密鑰的口令。但是，與第一種級別相比，第二種級別不需要在網(wǎng)絡上傳送口令。第二種級別不僅加密所有傳送的數(shù)據(jù)，而且“中間人”這種攻擊方式也是不可能的（因為他沒有你的私人密鑰）。但是整個登錄的過程可能需要10秒。如何實現(xiàn)將telnet改成以ssh來連接呢？

3、SSH安裝和啟用

1.下載最新軟件包SSH，最好下載源程序軟件包自己進行編譯。

2.解壓及安裝：

#tar-zxvfssh2-2.4.0.tar.gz

#cdssh2-2.4.0

#./configure

#make

#makeinstall

安裝完成。這一過程實際上將服務器軟件包及客戶端軟件一起安裝了，不必再次安裝客戶端。

已編譯好的二進制軟件包以rpm格式存放在/pub/ssh/rpm目錄下。它是一個給非商業(yè)用戶使用的軟件包，名稱為：ssh-2.4.0-1.i386.rpm，其中包含了對XWindow的支持，另一個不支持XWindow的軟件包為ssh-2.4.0-1nox.i386.rpm，下載后可以直接安裝。安裝程序?qū)SH2軟件包安裝在/usr/local/bin及/usr/local/sbin下。既然啟動了ssh，那么telnet自然就不需要繼續(xù)存在！請記住關掉Telnet。vi/etc/inetd.conf找到這一行：telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd將它注釋掉！保存退出后，執(zhí)行：/etc/rc.d/init.d/inetrestart重新啟動inet，然后以netstat-a|more核實telnet服務已經(jīng)停止！

4、密鑰的產(chǎn)生和使用

服務器端產(chǎn)生用戶自己的加密密鑰及對外公開使用的公鑰。在UNIX環(huán)境下，產(chǎn)生密鑰的方法如下：

-keygen

要求用戶輸入一個長的認證字串，這個字串的功能同password相當，但是，它更長，一般是在20個字符以內(nèi)。再次輸入相同的字串以確認輸入正確之后，系統(tǒng)產(chǎn)生一對密鑰及公鑰。將公鑰復制到本地，以便客戶端對服務器發(fā)送的信息進行解密用。如果不復制，在第一次登錄時，服務器會將它的公鑰自動推給客戶機，以便客戶機能對服務器提供的信息進行解密識別。

客戶端產(chǎn)生用戶的加密密鑰及公鑰?？蛻舳水a(chǎn)生自己的密鑰及公鑰的方法與服務器端相同。最后，將客戶機產(chǎn)生的公鑰復制到遠程主機上用戶的目錄中。不同版本的SSH對公鑰及密鑰的文件名有特定的要求，具體情況請閱讀軟件包中的安裝說明。

啟動SSH服務器

在UNIX/Linux環(huán)境下，服務器程序放置在/usr/local/sbin目錄下，啟動方法如下：

#sshd

#psx

可以查看SSHD確認SSH已經(jīng)啟動。如果不希望每次重啟動系統(tǒng)，都要手工運行啟動SSHD，則可以自己寫一個腳本，放置在init.d目錄下，讓系統(tǒng)啟動后，自動執(zhí)行SSHD服務的啟動工作?；蛘咧苯釉趓c.local中加入一行/usr/local/sbin/sshd也可。

客戶端在UNIX/Linux系統(tǒng)中就是SSH。其中有SSH1、SSH2、scp等客戶端工具，使用SSH登錄遠程主機方法如下：

host.ip.of.remote

如同使用Telnet一樣，不同之處是要求用戶輸入認證字串，如果認證字串通過了認證，則用戶直接登錄成功；如果不成功，則是要求用戶輸入系統(tǒng)口令?？诹钫J證成功后，用戶也可以成功登錄系統(tǒng)。從使用上看，與Telnet沒有什么不同之處。而且有了SSH客戶端軟件，如果要上傳文件，不必再開一個FTP窗口，再次認證，然后上傳文件。使用SSH客戶端自帶的scp工具，就可以直接將文件上傳到遠端服務器上。使用方法如下：host1:dir/filenamehost2:/home/abc/filename由于種種原因，一些支持SSH的GUI客戶端不一定會很好地支持以上各種服務器，用戶可以自行組合以上工具，找到適合自己的工具。一般來說，在UNIX下的客戶端對各種服務器的支持是最好的。通常在選擇服務器及客戶端軟件時，最好選擇同一軟件商的產(chǎn)品，這樣不會出現(xiàn)不兼容的問題。5、其它安全性的設定雖然ssh是安全的，但是并不是一定安全的！所以，用戶仍然需要設定一些簡單的安全防護來防止一些問題的發(fā)生！簡單地就是將一些你不同意登入的IP關掉，只開放一些可以登入的IP！ssh這個服務開啟在port22，可以使用ipchains或iptables防火墻工具來開放一些你允許的IP以port22進入！在安裝的時候注意選擇--with-tcp-wrappers選項，以便使用/etc/hosts.allow去設定允許的IP連接，例如允許-55登陸到某主機，可以這么設置：sshd:/24:Allow而將其他