打不死的心态活到老。

使用Openssh工具远程管理Solaris 10 ——1

上一篇 / 下一篇  2007-11-12 10:41:48 / 个人分类:linux

查看( 684 ) / 评论( 0 ) / 评分( 0 / 0 )
51Testing软件测试网Q'@)Gf {*F6V'D

链接:http://www.xxlinux.com/linux/article/unix/rumen/2007-08-17/9351.html

m n+cF8QT051Testing软件测试网Gl&B [&`e7X$XAF

一、 SSH服务器工作原理51Testing软件测试网"?9o#^RG`J)c8`5O

51Testing软件测试网)jG_8i%_l

  1.传统远程登录安全隐患

T!T0s6qP8h051Testing软件测试网 inawhnK7V

  在异构网络中,很多用户选择Solaris 10作为网络操作系统,利用其简单的配置和用户熟悉的图形界面提供Internet服务,Telnet便是其提供的服务之一。Telnet最基本应用就是 用于Internet的远程登录,共享远程系统中的资源。它可以使用户坐在已上网的电脑键盘前通过网络进入的另一台已上网的电脑,并负责把用户输入的每个字符传递给主机,再将主机输出的每个信息回显在屏幕上。这种连通可以发生在同一房间里面的电脑或是在世界各范围内已上网的电脑。Telnet服务与其他网络应用一样属于客户机/服务器模型,一旦连通后,客户机可以享有服务器所提供的一切服务。51Testing软件测试网"hd:d5l?d!R"L BV

51Testing软件测试网 C*J|O'@sZu

  但是传统的网络服务程序telnet在本质上都是不安全的,因为它在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的,就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。所谓“中间人”的攻击方式,就是“中间人”冒充真正的服务器接收你传给服务器的数据,然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”转手后做了手脚之后,就会出现很严重的问题。

o#H+`(f8c|5@051Testing软件测试网a }F#p4x[%i#W0F(a

  2.SSH能保护什么

sA*f+U M051Testing软件测试网;jM7kBJWP

  SSH可以防止IP地址欺骗、DNS欺骗和源路径攻击。SSH提供给用户身份认证的主要方法就是使用公共密钥加密法。根据所用SSH版本的不同,可以采用RSA或者Diffie-Helman和数字签名标准来实现。也可以选择使用各种不同的身份认证方法,包括公共密钥法、rhosts/shosts认证法和密码认证,这些方法都很简单安全。的确,利用SSH即便是使用.rhosts认证方式也能确保安全性。SSH所提供的是通过网络进入某个特定账号的安全方法。每个用户都拥有自己的RSA密钥。通过严格的主机密钥检查,用户可以核对来自服务器的公共密钥同先前所定义的是否一致。这样就防止了某个用户访问一个他没有相应公共密钥的主机。注意如果你想了解更多有关RSA、公共密钥加密和身份认证的知识,只需进行很小的修补,SSH就能保护一些不安全的连接,如X窗口。这将帮助你提高所管理的网络连接的安全性。由于SSH提供了主机身份认证,利用公共密钥而不是IP地址,所以它使网络更加安全可靠,并且不容易受到IP地址欺骗的攻击。这有助于辨认连接到你系统上的访问者身份,从而防止非法访问者登录到你的系统中。如果用户或系统打算采用rhosts/shosts的身份认证方式,主机就面临着公共密钥和私人密钥信息交换的挑战。否则,就得使用其他认证方式。在认证发生之前,会话已经通过对称密钥技术进行了加密,如DES、三重DES、IDEA、Twofish或Blowfish。这就使得会话自身被加密,从而防止了别人在你输入或同别人聊天时截取你的信息。同时也意味着你所输入的密码不会被他人读取,因为它也被加密了。加密技术基本上可以防止有人监听你的数据,同时也确保了数据的完整性,即防止有人肆意篡改你的信息和数据。表1列出了SSH所能防范的网络攻击。51Testing软件测试网*F^2m4GM8w8s ]A&`

  表1 SSH可以防范的网络攻击类型 
51Testing软件测试网O3u A __$}9K G

网络攻击类型

"fl^.o I~5a4ArE0		51Testing软件测试网2x`0`!^3aaUo j

  网络攻击简述51Testing软件测试网"n"?S#e.x4T0j

(z"Wn2E])Y)L.j^,Q0数据包欺骗51Testing软件测试网3jB#S*fY

51Testing软件测试网-X8P)^_ i!GZ5O;V2[

  某IP数据包并不是你的,但被伪造成了你的。51Testing软件测试网1MU4e$\*\}#N

51Testing软件测试网J5` F'_ky

IP或者主机欺骗

#Im4wgo N0

9C*kM:Xx0T0  IP或主机名被中间人使用了。51Testing软件测试网.Y[2n-i0K*m

OiVl?0口令截获51Testing软件测试网2J8C i$l4k

51Testing软件测试网 i[9~.y A#T0M

  中间人从网上截获了含有你口令的数据包。

:Zz9DT#d5b_7a&y0

&Ii&Vs{:x U0网络嗅探51Testing软件测试网8e^#|q2qg+J

4{1AAiYO(]#~)[0  中间人从网上读取你的包,破解分析其内容。SSH通信是加密的,即使截获会话内容,也不能将其解密。51Testing软件测试网u p&{7t^4EE

u g#g Sm0插入攻击51Testing软件测试网[p E{2l f3T

{:[O p;J0  这种攻击可以客户和服务器之间发送的正文数据流之间插入任意数据。ssh1 1.2.25后和openssh的所有版本都专门进行了设计,来检测并防止这种攻击。这种检测程序增大了插入攻击的难度,但是并不能完全防止。ssh2使用强加密完整性检测手段来防止这个问题。可以用3DES算法来防止这种攻击。

}^ dMFl"|/h0
51Testing软件测试网&jS Y$w1u0c!uM

  说明:3DES算法是系统加密算法,其符合OpenPGP标准。它基于DES,使用3个独立的56bit密钥对交换的信息进行3次DES加密,使其有效长度达到168bit。 3DES(即Triple DES)是DES向AES过渡的加密算法(1999年,NIST将3-DES指定为过渡的加密标准),是DES的一个更安全的变形。它以DES为基本模块,通过组合分组方法设计出分组加密算法,多年来,它在对付强力攻击时是比较安全的。51Testing软件测试网"t"gqu8fC O t

51Testing软件测试网~ y ^ D I:^/f4Ka

  SSH所不能保护的网络攻击:尽管SSH提供了大量的安全措施,但它仍不能为你的系统提供完全的在线保护。SSH并不

3s?e~N*I051Testing软件测试网md8? b(kT

  能堵住所有其他端口上的全部漏洞:包括NFS攻击等。51Testing软件测试网8TV Eqz:Y)]&a

51Testing软件测试网r7ci*Q@i_h#kAb6l

  3. SSH服务器和客户端工作流程51Testing软件测试网z%H7QW$`^

Vv`SC R6GY0  SSH服务器和客户端工作流程如图13-1。51Testing软件测试网(z+r+j4P0x%a

Openssh,远程管理,Solaris51Testing软件测试网X:{5D&uz1|x

图1 SSH服务器和客户端工作流程51Testing软件测试网;aE6?7n;|8A^i

51Testing软件测试网'P+]m3l)uQ

  1. SSH客户端发出请求连接SSH服务器,通常使用22端口;51Testing软件测试网)z4WGBxl}

51Testing软件测试网VrFiM7l^h

  2. SSH检查申请SSH客户端数据包和IP地址;51Testing软件测试网"RS'X ]d@K2F;E

A0OM6^8f-x0  3. 如果客户端通过安全验证,SSH服务器发送密钥给ssh客户;51Testing软件测试网0\9VI/sC

'B vOB[c0  4. 本地sshd守护进程将密钥会送到远程sshd 服务器。

*RB7f5l U,m/s051Testing软件测试网^]CH+Kh U`b&q

  客户端会生成一个或者文件,其中储存服务器的密钥。密钥内容通常如下:

*\![S)\YXt\!\ `051Testing软件测试网"Fy+g)w%o M5f6]-f(a!J2\

  server 1024 35 0744831885522065092886345918214809000874876031312

0lB_Nu,S,p9O0

8l'd}7@x-l5}0  663202636556140699569229172676719815525201670198606754982042373651Testing软件测试网J-AI `G:g

CT-x1])f;jZ0  393736593998729350847306606972263971147429524250769197415119584251Testing软件测试网q$]NAT f~|3p

51Testing软件测试网)HW9[Ef

  9560631766264598422692206187855359804332680624600001698251375726

r @2M&w @051Testing软件测试网+y"xWL7{Z$W

  2927556592987704211810142126175715452796748871506131894685401576

Z.LC`eXd&VM0

Yp!c-m.t0O2m|0  418351Testing软件测试网)^2a5F[u4Uq3?v"w:\5x

51Testing软件测试网Pe*dbH ^3b8[

  另外客户端的私有密钥存储在Identity 文件中。客户端的公共密钥存储在Identity.pub文件中, 密钥内容通常如下:

6b9NG(og|^h051Testing软件测试网'zV2}}e2_-O

  1024 37 25909842022319975817366569029015041390873694788964256567

p?T Z4s x7F0

4i,r0a3~G0  214642296672262274373983658165345290603280879390188028942276425251Testing软件测试网)f!_d,_#h L

AE3[Q!C;WC k0  4259614636549518998450524923811481002360439473852363542223359868

}ez-q8G!}9^!P0

ZJP`~Xc0  114619253961948185309446681933562979774158070860950587770774247351Testing软件测试网:~+G a*`-W7_

51Testing软件测试网 fjju!T1Ld1A

  731177353185069223043779969461117691272847473522492177104115151Testing软件测试网FG/Zp/Vx"GB

*x6h#rq \g3e0  这样至此为止ssh客户端和远程SSH服务器建立了一个加密会话。
\dj-H z2I/_0二、在Solaris 10服务器上配置ssh服务

"Mavhq3k6m0

!fw9y T%IA"DP$^5f051Testing软件测试网8c hCT.O*`.t'l

  SSH(Secure Shell)最初由芬兰的一家公司开发,但由于受版权和加密算法的限制,很多人转而使用免费的替代软件OpenSSH。SSH是由客户端和服务端的软件组成的,有两个不兼容的版本,分别是:1.x和2.x。用SSH 2.x的客户程序是不能连接到SSH 1.x的服务程序上去的。OpenSSH 2.x同时支持SSH 1.x和2.x

4NB9d@!^"`*Y`051Testing软件测试网 fX S)Q6Y7p

  solaris10使用的ssh服务器是opensshd,当然也有付费的商业版本的sshd出售。就目前的情况看来,openssh已经在你安装操作系统的时候默认安装在系统上了,而且这个服务会随系统自动运行。可以使用命令svcs查看ssh是否正常运行,如图2 如果已经正常运行可以关闭不安全的telnet服务。

h!r#yW nMc\0

Openssh,远程管理,Solaris51Testing软件测试网6I.A1O| X

图2 关闭不安全的telnet服务51Testing软件测试网tZhP'odB{[%u

.F)~y7V4N8jr$C W D?b1r0  下面需要理解OPENSSH配置文件/etc/ssh/sshd_config。

8z \e-Cq^0H0

[&R(k&d2UY0  “/etc/ssh/sshd_config” 配置文件是OpenSSH的配置文件,允许设置选项改变这个守护进程的运行。这个文件的每一行包含“关键词-值”的匹配,其中“关键词”是忽略大小写的。下面列出来的是最重要的关键词。编辑“sshd_config”文件(vi /etc/ssh/sshd_config),加入或改变下面的参数(#后是说明文字):

*XO)o4wny051Testing软件测试网8Y1P5W1VA

Protocol 2
#使用版本2协议#
51Testing软件测试网5H|CBse4z{-B

  Port 22  51Testing软件测试网1`J)o;R9uL

K){p B'EOA,l0  # “Port”设置sshd监听的端口号。#

Y&n5{ D7F,X!h s@O0

F;[z` [h H4{0  ListenAddress ::

v;PP)ldY051Testing软件测试网 \8n k&\6zFW

  #“ListenAddress”设置sshd服务器绑定的IP地址。#

4qO.jS!} M0
AllowTcpForwarding no
#是否许可端口转发#
GatewayPorts no
#是否许可使用网关端口#
X11Forwarding yes
X11DisplayOffset 10
X11UseLocalhost yes

1bI6V(K LB le)I0  #“X11Forwarding”设置是否允许X11转发。#

y``4|:y,f2vw'L0

3e,G q-SC"e2{L,H0  PrintMotd no

F7]`+W5]%VJ%c|051Testing软件测试网#wk!N,r1o

   #“PrintMotd”设置sshd是否在用户登录的时候显示“/etc/motd”中的信息。#51Testing软件测试网0{.K'r%~wr

KeepAlive yes
SyslogFacility auth
LogLevel info
51Testing软件测试网i{GC-P$|A

  #“LogLevel”设置记录sshd日志消息的层次。INFO是一个好的选择。查看sshd的man帮助页,已获取更多的信息。#  

X^1X6u6]z N7F7nP0
HostKey /etc/ssh/ssh_host_rsa_key  
HostKey /etc/ssh/ssh_host_dsa_key
51Testing软件测试网d!cw&U,j

  #“HostKey”设置包含计算机私人密匙的文件。#

3w0F%~r D x0

N;K'S$X~,}]0  ServerKeyBits 768  #“ServerKeyBits”定义服务器密匙的位数。#51Testing软件测试网$Mfd}0`3bM

KeyRegenerationInterval 3600

;`P cN3|tC0  #“KeyRegenerationInterval”设置在多少秒之后自动重新生成服务器的密匙(如果使用密匙)。重新生成密匙是为了防止用盗用的密匙解密被截获的信息。#

k_r[^/Ds1p0
StrictModes yes

~4_*PH$W8d)x T0  # StrictModes”设置ssh在接收登录请求之前是否检查用户家目录和rhosts文件的权限和所有权。这通常是必要的,因为新手经常会把自己的目录和文件设成任何人都有写权限#

S;|@qxd&y` a-wu0
LoginGraceTime 600
MaxAuthTries     6
MaxAuthTriesLog  3
PermitEmptyPasswords no
#是否许可空密码登录#
PasswordAuthentication yes

'b\bH+{,qr}N0  #“PasswordAuthentication”设置是否允许口令验证。#51Testing软件测试网 r*E'U:tx)b

PAMAuthenticationViaKBDInt yes
PermitRootLogin no
#是否许可root用户登录#
# sftp subsystem
Subsystem   sftp     /usr/lib/ssh/sftp-server
IgnoreRhosts yes
RhostsAuthentication no
RhostsRSAAuthentication no

_9m;w"NU]%wM8d0  #“RhostsAuthentication”设置只用rhosts或“/etc/hosts.equiv”进行安全验证是否已经足够。#

FncUk|F0
RSAAuthentication yes

!V;Ht5F7o0Uo0  #“RSAAuthentication”设置是否允许只有RSA安全验证。#51Testing软件测试网?$A&WM\Dt

51Testing软件测试网F ?6l$b"E"?

51Testing软件测试网^*SEvIb+@ rkT

  另外一个配置文件是“/etc/ssh/ssh_config”文件是OpenSSH系统范围的配置文件,允许你通过设置不同的选项来改变客户端程序的运行方式下面逐行说明上面的选项设置: 

e1q5UbB?Q051Testing软件测试网 L@bl6h%P$JM |s

51Testing软件测试网9E2w"}2Cl

Host * :选项“Host”只对能够匹配后面字串的计算机有效。“*”表示所有的计算机。 51Testing软件测试网 zvg3Fyd.R7M@*W
ForwardAgent no :“ForwardAgent”设置连接是否经过验证代理(如果存在)转发给远程计算机。 51Testing软件测试网!DZ'P3H!G5g r
ForwardX11 no :“ForwardX11”设置X11连接是否被自动重定向到安全的通道和显示集(DISPLAY set)。 
7W!PnO%Z0]9c#C0RhostsAuthentication no :“RhostsAuthentication”设置是否使用基于rhosts的安全验证。 
$_'`|1lSJ@zy6`0RhostsRSAAuthentication no :“RhostsRSAAuthentication”设置是否使用用RSA算法的基于rhosts的安全验证。 
![ r ` a'T4O$~0RSAAuthentication yes :RSAAuthentication”设置是否使用RSA算法进行安全验证。 51Testing软件测试网nf4yyVM5~w
PasswordAuthentication yes :“PasswordAuthentication”设置是否使用口令验证。 51Testing软件测试网Ir.? s/e P#X
FallBackToRsh no:“FallBackToRsh”设置如果用ssh连接出现错误是否自动使用rsh。 
#h+{7o(h$^'PVB^0UseRsh no :“UseRsh”设置是否在这台计算机上使用“rlogin/rsh”。51Testing软件测试网9n\ q7dDr:WK&]
BatchMode no :“BatchMode”如果设为“yes”,passphrase/password(交互式输入口令)的提示将被禁止。当不能交互式输入口令的时候,这个选项对脚本文件和批处理任务十分有用。 
9@"N6C.[.B m0CheckHostIP yes :“CheckHostIP”设置ssh是否查看连接到服务器的主机的IP地址以防止DNS欺骗。建议设置为“yes”。 51Testing软件测试网\-G,t-y&U!m*n
StrictHostKeyChecking no :“StrictHostKeyChecking”如果设置成“yes”,ssh就不会自动把计算机的密匙加入“$HOME/.ssh/known_hosts”文件,并且一旦计算机的密匙发生了变化,就拒绝连接。 51Testing软件测试网'?9V/REs X3K*f;GykR
IdentityFile ~/.ssh/identity :“IdentityFile”设置从哪个文件读取用户的RSA安全验证标识。 
KlWn!@/~ Ov0Port 22 :“Port”设置连接到远程主机的端口。 
E6y0S Rl&Eb$Z9Y(`0Cipher blowfish :“Cipher”设置加密用的密码。 51Testing软件测试网!^Z DS L|
EscapeChar ~ :“EscapeChar”设置escape字符。 51Testing软件测试网~%d(b `-BZ,I

2q*]!o M _#[/H:B051Testing软件测试网:fEl#P u;Fw

  你可以修改这两个配置文件以获得更好的安全性。
S$pr$y"[:|ei*^on-^}0

Empire CMS,xxlinux.com

L}9Xk!Tp?0

收藏 举报

TAG: 学习资料 linux

 

评分:0

我来说两句

Open Toolbar