远程管理是系统管理员必须掌握的一门诀窍。如果每次服务器出现故障系统管理员都要跑到服务器前面才能够修理的话,那是一件很头疼的事情。通常情况下,Telnet或者SSH都可以实现远程连接。但是这两个协议具有很大的不同。
Telnet服务虽然也属于客户机/服务器模型的服务,但它更大的意义在于实现了基于Telnet协议的远程登录即远程交互式计算。远程登陆是指用户使用Telnet命令,使自己的计算机暂时成为远程主机的一个仿真终端的过程。仿真终端等效于一个非智能的机器,它只负责把用户输入的每个字符传递给主机,再将主机输出的每个信息回显在屏幕上。但是这个协议有一个弱点,就是其在互联网上进行数据传输都是通过明文的形式传输的,即不会对传输的数据(包括帐户与密码)进行加密。如此的话,非法攻击者只要有网络侦听的工具就可以轻而易举的截获帐户名与密码,为下一步的攻击做好准备。故像Telnet这类传统的网络服务程序在本质上都是不安全的,因为它们在网络上用明文传送口令和数据。非法攻击者非常容易就可以截获这些口令和数据。另外,这些服务程序的安全验证方式也有比较大的缺陷,很容易受到攻击。如中间人这种方式的攻击。所谓中间人的攻击方式,就是中间人冒充真正的服务器接收你的传给服务器的数据,然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被中间人一转手做了手脚之后,就会出现很严重的安全问题。
而SSH协议真实像Telnet这些不安全的远程登录程序的替代程序。SSH协议采用了很强的加密算法加密所需要传送的数据,包括帐户、密码、命令代码等等,以保证数据传输的安全性。故它比起Telnet这些远程登录程序来说,其安全级别要比他们高。另外如果要进一步提高SSH协议的安全性,则可以把Linux操作系统配置成TCP-Wrappers模式,来取得额外的安全保障。TCP-Wrappers为由inetd生成的服务提供了增强的安全性。TCP Wrappers 是一种对使用 /etc/inetd.sec 的替换方法。TCP-Wrappers提供防止主机名和主机地址欺骗的保护。欺骗是一种伪装成有效用户或主机以获得对系统进行未经授权的访问的方法。同时TCP-Wrappers使用访问控制列表来防止欺骗。访问控制列表是Linux文件中的系统列表。在配置为验证主机名到 IP 地址映射,以及拒绝使用 IP 源路由的软件包时,TCP Wrappers 提供某些防止 IP 欺骗的保护。但是,TCP Wrappers 不提供口令验证或数据加密。与 inetd 类似,信息是以明文形式传递的。而其与SSH结合使用,则可以起到互相补充的效果。因为SSH可以提供加密传输,而TCP-Wrappers可以解决欺骗的问题。故这可以让远程登录、远程维护更加安全。
一、 SSH协议的安装。
默认情况下,在安装Linxu过程中,会同时安装SSH协议。不过有时候可能SSH协议会损坏需要重新安装。或者在系统安装的过程中没有安装SSH协议而后来又要用到时就需要手工来安装SSH协议。
系统管理员可以直接从网站中下载SSH软件包,或者从其他的网站中可以下载到。然后进行安装即可。这个软件包的安装难度不大,笔者不重复说明了。不过笔者要强调的一点是,为了后续维护的方便,最好在软件包编译安装之前都做一张系统中所有文件的列表,然后利用diff命令去比较他们的差异。也就是说,在软件包编译安装之前先利用find /*>test1命令做一张系统中所有文件的列表。然后这个软件包安装编译完成之后,再利用这个命令(find /*>test2)建立一张系统中现在所有文件的列表。然后再通过diff test1 test2>test3命令让系统查询出这个软件包编译安装前后系统文件的变化。系统管理员掌握这个变化,有利于其后面操作系统的维护。