資深網路安全管理區域網架設SSH伺服器

由於很多區域網的規模較大，伺服器會分散在不同的地理位置。因此，對於伺服器的管理是一件很困難的事情。大多數網路管理員都會採用遠端維護的手段，使用大家比較熟悉的windows終端伺服器、pcanywhere等工具，同時也有管理員採用telnet服務進行伺服器的遠端維護。但這些管理、維護的手段和方法真的完美無瑕、萬無一失嗎?

一、為何採用ssh

windows終端伺服器、pcanywhere這些基於gui（圖形使用者介面）的遠端管理系統不但會占用大量的伺服器資源，而且無法在gui上完成一些複雜的維護操作，還要在「命令列模式」進行解決。因此，很多網路管理員使用telnet服務進行伺服器的遠端維護。

但是telnet服務有乙個致命的弱點，它是以明文的方式傳輸使用者名稱和口令，所以很容易被別有用心的人竊取口令。另外，使用windows 98客戶機遠端維護伺服器時，無法通過telnet伺服器預設的「ntlm身份驗證」，由此可見，telnet服務也是弊端多多。難道就沒有好的遠端維護方法嗎?當然有，目前有一種可代替telnet服務的有效工具——ssh服務。

ssh（secure shell）服務分為兩部分：伺服器端和客戶端。ssh客戶端與伺服器端通訊時，使用者名稱和密碼均進行了加密，這就有效地防止了他人對密碼的盜取。而且通訊中所傳送的資料報都是「非明碼」方式的。正因為ssh採用加密傳輸方式，即使資料被竊取，但對該資料解密也不是一件很容易的事，所以使用ssh服務遠端維護伺服器是非常安全的。

二、安裝啟動ssh伺服器

下面以windows 2000server為例介紹ssh伺服器的安裝，可在ssh伺服器端使用「f-secure ssh server」軟體，它的安裝非常簡單，和一般軟體安裝沒什麼區別。安裝完成後，需要啟動「ssh server」服務，這一過程比較複雜，這裡介紹三種啟動「ssh server」的方法。

方法一：使用批處理檔案

在伺服器端安裝目錄下有兩個批處理檔案「start-ssh.bat」和「stop-ssh.bat」。執行「start-ssh.bat」檔案就可以啟動ssh服務，要停止該服務只要執行「stop-ssh.bat」檔案即可。

方法二：使用ssh服務配置程式

在安裝目錄下，執行「fsshconf.exe」程式，它雖是ssh伺服器的配置程式，但也可以用來啟動和停止ssh服務。在彈出的「f-secure ssh server configuration」視窗中，點選左面列表框中的「server settings」後，在右邊的「service status」欄中會顯示伺服器狀態按鈕，如果伺服器是停止狀態，則按鈕顯示為「start service」(圖1)，點選該按鈕就可啟動ssh服務，再次點選可停止ssh服務。

圖1方法三：使用net命令

在伺服器端的「命令提示符」視窗中，輸入「net start ″f-secure ssh server″」命令，就可以啟動ssh服務，要停止該服務，輸入「net stop ″f-secure ssh server″」命令即可。其中「f-secure ssh server」為ssh伺服器名，「net start」和「net stop」為windows系統啟動和停止系統服務所使用的命令。

提示：啟動了ssh服務後，一定要關閉telnet服務，這樣伺服器就處在安全環境之中了，不用再怕資料被竊取。

三、合理設定ssh伺服器引數

啟動ssh服務後，網路管理員就可以遠端登入伺服器進行維護了。但是每個區域網使用ssh服務的需求是不同的，因此預設的服務引數未必能滿足需要，那麼我們就可以自行設定這些引數。

1.基本引數設定

執行「fsshconf.exe」服務配置程式，在彈出的「f-secure ssh server configuration」視窗左欄中，依次選擇「server settings→general」，然後在右邊的「general」框體中就可以對引數進行設定了(圖2)。

圖2　　在「maximum number of connections」欄中輸入合適的數值，對連線到ssh伺服器的最大使用者數進行限制，在這裡我們可根據需要進行設定，如輸入「50」，則只允許50個使用者同時連線ssh伺服器。

「event log filter」多選框用來定義系統日誌記錄哪些資訊，我們可採用預設設定，勾選「errors」和「warnings」兩項即可，建議大家不要勾選「information」，否則會浪費系統資源。

「idle timeout」是使用者遠端登入的超時時間設定，預設為「0」，就是不進行登入超時限制。

大家可能還記得ftp伺服器的個性化的登入資訊，ssh伺服器也一樣可以做到。首先編寫乙個登入資訊文字檔案儲存在資料夾中，然後點選「banner message file」欄的瀏覽按鈕，指定已編寫好的文字檔案即可，這樣使用者遠端登入時就能看到這些個性化的資訊了。最後，大家一定要記住點選「apply」按鈕儲存引數設定。

2.網路引數設定

在「f-secure ssh server configuration」視窗左欄中點選「network」選項（圖3），ssh伺服器預設使用的是「22」埠，當然也可以自定義埠號（注意，ssh伺服器使用的埠號一定不能和伺服器上別的程式的埠號衝突）。在「port」欄中輸入想使用的埠號即可，其他的引數設定建議使用預設值。

圖3　　點選「identity」選項（圖4），在右欄中，我們可以使伺服器重新產生新的使用者加密金鑰和對外公開使用的公鑰，它們分別存放在安裝資料夾的「hostkey」和「hostkey.pub」檔案中，點選「generate」按鈕就可以重新生成這兩個檔案。

提示：ssh伺服器產生一對金鑰和公鑰。客戶端使用公鑰對ssh伺服器傳送來的資訊進行解密。當使用者第一次登入ssh伺服器時，伺服器會將它的公鑰傳送給客戶端，以便客戶機能對伺服器傳送的資訊進行解密。

3.主機限制引數設定

點選「host restrictions」選項，在右欄中就可以對遠端登入的計算機進行限制設定。例如，不允許ip位址為「192.168.0.2」的客戶機遠端登入ssh伺服器，在「deny login from hosts」輸入框中輸入「192.168.0.2」，然後點選「apply」按鈕即可。

提示：ssh伺服器還有很多引數就不詳細介紹了，大部分引數使用預設值即可。ssh伺服器的引數儲存在「sshd2_config」檔案中，使用者也可以用記事本開啟它，直接進行編輯，但這種方法比較麻煩，建議大家不要使用。

四、ssh客戶端軟體的使用

1.連線ssh伺服器

客戶端使用「f-secure ssh client」程式，它的安裝也很簡單。安裝完成後，執行桌面上的客戶端程式，彈出「f-secure ssh client」主視窗，點選工具欄中的「connect」(連線)按鈕，彈出「connect to remote host」對話方塊（圖5）。

圖5　　首先，在「host name or ip address」欄中輸入ssh伺服器的位址，如輸入它的ip位址「218.22.123.26」。其次，在「user name」欄中輸入ssh伺服器的管理員賬號名，在「port」欄中輸入ssh伺服器使用的埠號。最後，點選「connect」按鈕即可連線ssh伺服器。

此時，如果使用者是第一次遠端登入ssh伺服器，則會彈出「是否將ssh伺服器公鑰儲存在本地資料庫中」的提示框，點選「是」按鈕，接著彈出「請輸入密碼」對話方塊，輸入管理員賬號、密碼後，點選「ok」按鈕，就可以登入到ssh伺服器，對伺服器進行遠端維護了。

提示：ssh客戶端也會產生使用者的加密金鑰和公鑰，客戶端在第一次登入時，會將產生的公鑰複製到ssh伺服器上的使用者目錄中，以便伺服器能對客戶端傳送的資訊進行解密。使用者目錄在伺服器上的儲存路徑為「c?documents and settings使用者名稱」（假設作業系統是安裝在c盤中）。

2.檔案傳輸功能

ssh伺服器不但提供了遠端登入功能，還提供了檔案傳輸功能。點選「f-secure ssh client」主視窗的檔案傳輸按鈕後，則可彈出檔案傳輸視窗（圖6），以進行檔案的傳輸。在「local folders」欄中選擇乙個本地檔案，然後將它拖到「remote folders」欄中的ssh伺服器上使用者的主目錄中即可，在視窗底部的狀態列中會顯示檔案的傳輸狀態。

圖6　　提示：客戶端連線ssh伺服器時，ssh伺服器提供兩種級別的安全驗證。第一種級別基於使用者賬號密碼的安全驗證，只要知道賬號和密碼就可以登入到ssh伺服器；第二種級別基於金鑰的安全驗證，客戶端必須為自己建立一對金鑰，並把公用金鑰傳送到ssh伺服器上，這樣就有效地保證了客戶端和伺服器端資料的安全傳輸。

由於篇幅的關係，不能對ssh伺服器所有的功能進行介紹，有興趣的朋友可以參考

資深網路安全管理區域網架設SSH伺服器

3 有效管理區域網IP位址

mac 檢視埠區域網路安全MAC泛洪攻擊

計算機區域網硬體維護與網路安全的分析

資深網路安全管理 區域網架設SSH伺服器

3 有效管理區域網IP位址

mac 檢視埠 區域網路安全MAC泛洪攻擊

計算機區域網硬體維護與網路安全的分析

相關推薦

資深網路安全管理區域網架設SSH伺服器

mac 檢視埠區域網路安全MAC泛洪攻擊