第一部分获得并安装SSH.docVIP

PAGE  PAGE 9 第一部分 获得并安装SSH 第一章 什么是安全SHELL（SSH） 本章内容如下： ●为什么使用安全SHELL？ ●安全SHELL的安全保护功能是如何实现的？ ●安全SHELL不能保护什么？ ●s命令与r命令相比 通过本章，你将看到：使用SSH的好处并对它的工作过程有一个总体的认识，伯克利的r命令和SSH的s命令的比较，以及通过SSH可以提高系统的安全性。你还会看到一些基于UNIX的例子，包括网络和系统命令。如果你感到有必要复习加密的有关知识，可以参阅附录A中的“加密基础”。 1.1 为什么使用安全SHELL 既然你已经购买了本书—安全SHELL，又可记为SSH，你可能很想知道SSH的高明之处。SSH最初是UNIX系统上的一个程序，后来又迅速扩展到其他操作平台。本章将介绍一个像SSH这样好的应用程序，在正确使用它时，是如何弥补了网络中的漏洞。除此以外，SSH之所以酷，还有以下原因： SSH客户端适用于多种平台。几乎所有的UNIX平台—包括HP-UX，Linux,AIX,Solaris,Digital UNIX,Irix,SCO，以及其他平台—都可以运行SSH。而且，已经有了一些客户端程序（其中有些为测试版）可以运行于UNIX操作平台以外，包括OS/2，VMS，BeOS,Java,Windows95/98,和Windows NT。这样，就可以在几乎任何平台上运行SSH客户端程序了。 对非商业用途它是免费的。许多SSH版本可以获得源代码，只要不用于商业目的，都可以免费提供。而且，UNIX版本下也提供了源代码，这就意味着任何人都可以对它进行修改。但是，如果你选择它用于商业目的，那么无论使用何种版本的SSH，你都得确认已经注册并获得了相应权限。绝大多数SSH的客户端程序和守护进程都有一些注册限制。唯一的SSH通用公共注册版本是lsh,目前还是测试版。 通过Internet传送密码时不用害怕。这是SSH被认可的优点之一。如果你考察一下接入ISP和大学的方法，一般都是采用Telnet或POP邮件客户进程。因此，每当要进入自己的帐号时，你输入的密码将会以明码方式发送（即没有保护，直接可读），这就给攻击者一个盗用你帐号的机会—最终你将为他的行为负责。 对应用的支持。由于SSH的源代码是公开的，所以在UNIX世界里它获得了广泛的认可。Linux，其源代码也???公开的，并且大众可以免费获得，也获得了类似的认可。这就允许开发者（或任何人）都可以通过补丁程序或bug修补来提高其性能，甚至还可以增加功能。这些都意味着其性能可以不断得到提高而无须得到来自原始创作者的直接技术支持。 SSH替代了不安全的远程应用程序。SSH就是设计用来替代伯克利的r命令集的；同时也就继承了类似的语法。其结果是，使用者注意不到SSH和r命令集的区别。 利用它，还可以干一些很酷的事。通过它，你在不安全的网络中发送信息时不必担心会被监听。你也可以使用POP通道和Telnet方式，通过SSH可以利用PPP通道创建一个虚拟个人网络（VPN）。SSH也支持一些其它的身份认证方法，如Kerberos和安全ID卡等。在第九章“安全Shell能做的其他事情”中，我们会探讨更多的细节。 1.1.1 SSH能保护什么 SSH可以防止IP地址欺骗，DNS欺骗和源路径攻击source routing attacks。SSH提供给用户身份认证的主要办法就是使用公共密钥加密法。根据所用SSH版本的不同，采用RSA或者Diffie-Helman和数字签名标准来实现。也可以选择使用各种不同的身份认证方法，包括公共密钥法、rhosts/shosts认证法和密码认证，均简单安全。的确，利用SSH即便是使用.rhosts认证方式也能确保安全性。 SSH所提供的是通过网络进入某个特定帐号的安全方法。每个用户都拥有自己的RSA密钥。通过严格的主机密钥检查，用户可以核对来自服务器的公共密钥同先前所定义的是否一致。这样就防止了某个用户访问一个他没有相应公共密钥的主机。 注意：如果你想了解更多有关RSA、公共密钥加密和身份认证的知识，可以参考附录A中的“加密基础”。 只需进行很小的修补，SSH就能保护一些不安全的连接，如X或POP。这将帮助你提高你所管理的网络连接的安全性。 由于SSH提供了主机身份认证，利用公共密钥而不是IP地址，所以它使网络更加安全可靠，并不容易受到IP地址欺骗的攻击。这有助于辨认连接到你系统上的是谁，从而防止非法访问者登录到你的系统中。 如果用户或系统打算采用rhosts/shosts的身份认证方式，主机就面临着公共密钥和私人密钥信息交换的挑战。否则，就得使用其他认证方法。在认证发生之前，会话已经通过对称密钥技术进行了加密，如DES、三重