欢迎来到天天文库
浏览记录
ID:24033923
大小:51.00 KB
页数:3页
时间:2018-11-12
《用ssh取代telne实现安全连接》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、用ssh取代Telne实现安全连接摘要:Tel是X络管理人员常用的远程登陆命令,但它传送的信息是明文的,容易被窃取;SSH是一种安全的登陆方式,它传送的是加密信息。在当今X络安全日益重要的情况下,改进管理方式很有必要,本文就介绍这种技术。关键词:X络安全X络管理加密传输UNIX1、Tel面临的主要安全问题大概Tel是每位从事X络管理和攻击者最熟悉不过的工具了。但他的安全性确实很差,比如对使用者认证方面、数据传送保密方面和防范针对tel的攻击方面都存在很大问题。主要缺陷表现在:•没有口令保护,远程用户的登陆传送的帐号和密码都是明文,使
2、用普通的sniffer都可以被截获;•没有强力认证过程。只是验证连接者的帐户和密码。•没有完整性检查。传送的数据没有办法知道是否完整的,而不是被篡改过的数据。•传送的数据都没有加密。用户可以利用Tel获得很多的关于服务主机的情况。例如服务器的操作系统的种类等。而且,Tel不仅仅可以使用端口23,而且也可以连接到其他服务的端口。例如端口21、端口25、端口80等。下面是一个登陆到自己的端口23的例子:FreeBSD/i386(dns.huaxue..)(ttyp1)Login:我们可以看到,只是这样一条简单的再
3、简单不过的命令就清晰地告诉你对方是用什么系统。而且只要端口是开放的,就可能发生使用Tel获取信息的情况。甚至你可以利用Tel向端口80发送请求,只要请求是正确的,端口80就可以得到回应,甚至是一条错误的GET指令都可以得到回应。这是因为Tel本身没有很好的保护机制,所以要借助其他外部的保护。相比之下SSH是一个很好的tel安全保护系统。本文就简要介绍用SSH取代Tel实现安全连接。2、SSH介绍SSH(SecureShell)客户端与服务器端通讯时,用户名及口令均进行了加密,有效防止了对口令的窃听。这个SSH服务,最重要的是可以使用“非明码”的
4、方式来传送数据包,也就是说,数据在X络上传递,由于SSH采用加密传输,即使被监听而遭窃取了,该数据要经过解密也不是一件很容易的事,所以就可以比较安全的工作!此外,SSH同时也提供配合PAM的安全模块与TCPakeinstall 安装完成。这一过程实际上将服务器软件包及客户端软件一起安装了,不必再次安装客户端。 已编译好的二进制软件包以rpm格式存放在ftp://ftp.ssh.pub/ssh/rpm目录下。它是一个给非商业用户使用的软件包,名称为:ssh-2.4.0-1.i386.rpm,其中包含了对Xtcpnoore核实tel服务已经停止
5、! 4、密钥的产生和使用 服务器端产生用户自己的加密密钥及对外公开使用的公钥。在UNIX环境下,产生密钥的方法如下: -keygen 要求用户输入一个长的认证字串,这个字串的功能同passote 如同使用Tel一样,不同之处是要求用户输入认证字串,如果认证字串通过了认证,则用户直接登录成功;如果不成功,则是要求用户输入系统口令。口令认证成功后,用户也可以成功登录系统。从使用上看,与Tel没有什么不同之处。而且有了SSH客户端软件,如果要上传文件,不必再开一个FTP窗口,再次认证,然后上传文件。使用SSH客户端自带的scp工具,就可以直
6、接将文件上传到远端服务器上。使用方法如下:host1:dir/filenamehost2:/home/abc/filename由于种种原因,一些支持SSH的GUI客户端不一定会很好地支持以上各种服务器,用户可以自行组合以上工具,找到适合自己的工具。一般来说,在UNIX下的客户端对各种服务器的支持是最好的。通常在选择服务器及客户端软件时,最好选择同一软件商的产品,这样不会出现不兼容的问题。5、其它安全性的设定虽然ssh是安全的,但是并不是一定安全的!所以,用户仍然需要设定一些简单的安全防护来防止一些问题的发生!简单地就是将一些你不同意登入的IP关
7、掉,只开放一些可以登入的IP!ssh这个服务开启在port22,可以使用ipchains或iptables防火墙工具来开放一些你允许的IP以port22进入!在安装的时候注意选择--with-tcp-wrappers选项,以便使用/etc/hosts.allow去设定允许的IP连接,例如允许192.168.1.1-192.168.1.255登陆到某主机,可以这么设置:sshd:192.168.1.0/24:Allow而将其他的IP都挡掉,在/etc/hosts.deny当中:sshd:ALL:Deny如此一来则ssh只会开放给192.168.1
8、.1-255之间的机器!以后要再扩大开放,就再将其他的IP加到/etc/hosts.allow当中去就行了。6、小结经过上述改进,再也不会出现前面例子
此文档下载收益归作者所有