日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

77 FreeBSD連載:安全工具( 五 )

云知道


sshd使用端口22來監(jiān)聽用戶的連接請(qǐng)求,需要調(diào)整網(wǎng)絡(luò)中防火墻系統(tǒng)的設(shè)置,打開對(duì)ssh服務(wù)器端口22的連接請(qǐng)求,以便讓網(wǎng)絡(luò)之外的客戶能夠發(fā)送請(qǐng)求并建立連接 。由于ssh系統(tǒng)相當(dāng)安全,不必?fù)?dān)心這樣作會(huì)帶來安全問題 。
當(dāng)在低速網(wǎng)絡(luò)上使用ssh的時(shí)候,就會(huì)希望網(wǎng)絡(luò)連接的效率更高,可以在客戶端啟動(dòng)ssh時(shí)使用壓縮選項(xiàng)-C,這將使用與gzip相同的壓縮算法對(duì)數(shù)據(jù)先進(jìn)行壓縮再傳輸,能用來提高傳輸非壓縮數(shù)據(jù)的效率 。
同樣文件傳輸也能通過加密的方式進(jìn)行,ssh提供了scp用于復(fù)制遠(yuǎn)程文件,它的參數(shù)與rcp使用的參數(shù)相同,用與email地址相似的方式標(biāo)識(shí)遠(yuǎn)程主機(jī)及確定的用戶,然后再是文件位置 。
bash-2.02$ scp vpn.txt wb@remotehost:vpn.txtwb@mx"s password:vpn.txt |1 KB |1.5 kB/s | ETA: 00:00:00 | 100%對(duì)于使用Windows系統(tǒng)的客戶,可以從Internet中下載運(yùn)行在Windows下的ssh客戶程序 。支持ssh的仿真終端軟件有:
TTSSH http://www.zip.com.au/~roca/ttssh.HTML
SecureCRT http://www.vandyke.com/
F-Secure http://www.DataFellows.com)ssh的另一項(xiàng)強(qiáng)大能力是可以在客戶機(jī)和服務(wù)器之間建立加密傳輸通道,從而能將本地的數(shù)據(jù)轉(zhuǎn)發(fā)到遠(yuǎn)端的服務(wù)器上 。這種功能最常用于將X Window的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā),以便能在本地X服務(wù)器上通過ssh連接到遠(yuǎn)程,然后在ssh的連接終端上啟動(dòng)遠(yuǎn)程計(jì)算機(jī)上的X應(yīng)用程序,但顯示到本地X服務(wù)器上 。此時(shí)X系統(tǒng)的通信數(shù)據(jù)是通過ssh建立的加密通道進(jìn)行傳輸?shù)模皇瞧胀ㄇ闆r下直接通過網(wǎng)絡(luò)進(jìn)行的傳輸,因此就保證了安全性 。這種X11轉(zhuǎn)發(fā)功能不需要任何設(shè)置,包括設(shè)置DISPLAY環(huán)境變量或-dislay參數(shù),因此同時(shí)兼具安全性和方便性 。
bash-2.02$ ssh remotehost /usr/X11R6/bin/xtermwb@remotehost"s password:Waiting for forwarded connections to terminate...The following connections are open:X11 connection from remotehost port 3979【77 FreeBSD連載:安全工具】此外,還可以使用ssh轉(zhuǎn)發(fā)其他不同的TCP連接,這樣就不必?fù)?dān)心數(shù)據(jù)在通過不安全的網(wǎng)絡(luò)部分時(shí)的安全問題了 。這首先需要使用ssh的-L參數(shù)定義本地端口和要轉(zhuǎn)發(fā)的遠(yuǎn)程服務(wù)器端口的對(duì)應(yīng)關(guān)系 。
bash-2.02$ ssh remotehost -L 1234:192.168.3.1:23wb@remote"s password:如果使用上例建立ssh連接之后,任何對(duì)本地端口1234的連接請(qǐng)求,將首先轉(zhuǎn)發(fā)給ssh,然后再由ssh服務(wù)器連接遠(yuǎn)端計(jì)算機(jī)的相應(yīng)端口上 。
使用ssh和ppp建立安全連接
由于ssh能在客戶和服務(wù)器之間建立加密連接,因此它能和其他程序合作,如ppp,建立安全的網(wǎng)絡(luò)通道 。這種建立VPN的方式雖然不符合任何標(biāo)準(zhǔn),然而卻十分有效 。對(duì)于FreeBSD系統(tǒng)之間,以及FreeBSD與其他Unix系統(tǒng)之間,都可以使用這種方式建立虛擬專有網(wǎng)絡(luò)連接 。
無論使用ppp或者是pppd,都能用于和ssh協(xié)作建立VPN 。然而ppp更易于使用和設(shè)置,F(xiàn)reeBSD下,通常使用ppp程序建立ppp連接,因此這里就介紹使用ppp程序建立虛擬安全連接的方法 。
在/etc/ppp/目錄下的ppp缺省配置文件ppp.conf中,已經(jīng)提供了一個(gè)和外部程序協(xié)作,建立安全ppp連接的基本例子 。就是由ppp啟動(dòng)外部程序建立連接,通過認(rèn)證之后自動(dòng)在遠(yuǎn)端執(zhí)行ppp服務(wù)器,從而建立ppp連接 。這種方法中ppp通過set device命令設(shè)置使用管道啟動(dòng)外部命令,但是這種管道方法不能和ssh很好的合作 。因?yàn)檫M(jìn)行認(rèn)證的口令是ssh直接從終端設(shè)備上讀取的,而在通道方式中ppp供應(yīng)口令是通過標(biāo)準(zhǔn)輸入/輸出進(jìn)行的,因此這些認(rèn)證信息到達(dá)不了ssh中,就造成不能通過ssh認(rèn)證建立連接 。
為了修正這個(gè)問題,讓ppp程序能夠建立ssh加密連接,一個(gè)解決辦法是使用外部撥號(hào)程序,首先使用外部程序首先進(jìn)行ssh認(rèn)證,認(rèn)證之后再將標(biāo)準(zhǔn)輸入輸出交回ppp,而外部程序可以生成偽設(shè)備文件直接控制ssh進(jìn)行驗(yàn)證,然而需要使用者進(jìn)行一些編程工作,并使用這個(gè)偽設(shè)備文件作為通信設(shè)備 。另一種方式是通過設(shè)置ssh系統(tǒng)信任,使其不需要進(jìn)行標(biāo)準(zhǔn)方式的口令認(rèn)證(可以使用事先分發(fā)的公開密鑰進(jìn)行認(rèn)證),顯然這不是一個(gè)簡(jiǎn)單且安全的解決辦法 。更好、更簡(jiǎn)單的辦法是使用ssh的TCP/IP轉(zhuǎn)發(fā)能力,結(jié)合ppp建立IP通道的能力,從而建立安全的專有連接 。

推薦閱讀