如何使用ssh建立安全連接

明特爾、索卡特和VNC。哦，我的天啊！雖然能夠遠程工作壹直是系統程序員和管理員最喜歡的Linux優點之壹，但是設置遠程訪問並不是壹件簡單的事情。選擇正確的遠程服務之後是第二個主題:安全性。您的服務器應該被物理隔離，所有不必要的網絡訪問應該被禁用，並且只能通過ssh或更好的方式訪問服務器。特別值得壹提的是，實時telnet、ftp、rlogin、rsh及相關服務盡量少用；他們太危險了。首先，妳當然要試試。程序員和管理員在正常工作時間可以在他們安靜的工作場所工作，但他們喜歡突然強迫自己完成這些任務，這是出了名的。不要讓自己成為這種行為的受害者！確保您建立的連接具有合法的商業目的，並且不是非法的。但是，如果您在過去遇到過這些組織問題，那麽連接問題的答案是使用ssh。即使妳原則上更依賴虛擬專用網(VPN)而不是ssh，但我仍然認為，如果妳不能使用常規方法，在緊急情況下設置ssh訪問會更加謹慎。VPN還是有點難處理，需要依靠特殊的硬件配置。如果您通過客戶端的網絡調用主機(大多使用普通的臺式機)，您的選擇將極其有限。Ssh滿足了需求。好消息是ssh通常在這些限制的夾縫中滿足需求。即使妳出差了，妳可能仍然有足夠的資源讓ssh在公共接入點(比如網吧)工作。妳可能無法依靠自己的設備。嚴肅地說，帶著任何比手持設備大的設備到處走是另壹個安全風險；更糟糕的是，很多地方不允許插外國硬件。妳通常必須使用提供給妳的硬件。但是下載puTTY，ssh或者MindTerm客戶端壹般都很快。我喜歡這樣做。任何有足夠網絡堆棧連接到您的服務器機房的主機都可能有允許下載的Web瀏覽器。使用已安裝的客戶端時要小心；對於壹些人來說，用壹個可以捕獲擊鍵信息(或者更糟)的修改過的客戶端來替換客戶端太容易了。另壹種方式是構造壹個內嵌MindTerm客戶端的網頁作為小程序，表面看起來很吸引人。而我的經驗告訴我，這種方法是沒有用的。大部分地方都禁用了Java，或者只提供了舊版Java運行時引擎(JRE)的瀏覽器，或者在其他方面降低了applet的便利性。如果我想使用MindTerm，我只想下載並安裝客戶端和兼容的JRE。Applet通常是為最終用戶構建應用程序的好技術。小程序也適用於只讀配置。但是，我發現這種用法非常少見。所以為了讓自己的工作高效，不值得花時間去解決小程序環境中可能存在的問題。我壹直覺得找個兆的免費海量存儲，裝上ssh客戶端更方便。在您坐下來壹會兒之後，您應該安裝新的ssh客戶機並啟動它。然而，這可能還不夠。在某些地方，防火墻關閉了大多數端口，或者至少關閉了許多端口，包括ssh的標準端口22。這是另壹種準備提供幫助的方式。在我的至少壹臺主機上，我希望將sshd(ssh daemon)分配給常見的Internet服務(如ftp、cat或socat ),並將其指向本地主機的標準ssh端口。這種方法在運行實驗和調優日誌記錄或額外的安全性方面非常有用。代理這個上下文中的代理是壹個小轉換器，它只是讓網絡流量通過。如果我在端口22上設置了壹個sshd服務器，並且想在端口110上設置另壹個sshd服務器，實現這個想法的壹個方法就是安裝壹個網絡代理。這種代理被用作端口110上的服務器，以接收來自外部世界的流量。它通過充當端口22上的客戶端來處理這些數據包。基本的sshd服務器完成所有的實際工作；代理的作用只是從壹個端口切換到另壹個端口(可能在另壹臺主機上)。這個特殊專欄的真正價值不在於深奧的代碼，而在於傳達壹個清晰的概念，您應該以此為目標來啟用自己的遠程服務。我試過很多方法。利用這些經驗，尤其是不要做的事情，至少是妳第壹次架設服務器機房的時候不要做的事情:禁止Telnet，不要壹直開著不用的服務，不要擔心小程序(尤其是小程序簽名)，感覺不對勁就不要遠程登錄。另壹方面，壹定要用標準件。我嘗試了許多聰明的想法來調整ssh協議或我自己的防火墻來阻止黑帽黑客。與這些想法提供的小的安全增強相比，它們更難維護，因此它們中的壹些得不償失。除非我對安全項目有明確的預算和明確的長期目標，否則我最好把時間花在使用ssh上，而不是試圖改進它。有了以上步驟，妳就有了壹個服務器機房，它的安全性比妳只使用標準的Linux服務器進行安裝時要好得多。您還可以從世界各地幾乎所有的同步連接中遠程管理它。