云南龙网

  1. 首页 > 云知道 > >

77 FreeBSD连载:安全工具( 四 )

云知道


如果没有足够的经费将网络上的共享集线器升级为以太网交换机,可以使用FreeBSD系统执行网桥任务 。这需要使用option BRIDGE编译选项重新定制内核,此后使用bridge命令启动网桥功能 。
ssh
由于网络上的数据传输是不安全,因此出现了S/key等方式来保护口令的安全 。然而这些认证系统只是保证了口令等特别敏感信息的安全,而不能保证连接之后的传输数据安全性 。为了保证数据传输的安全性,就必须先将数据加密之后再进行传输 。
对传输加密可以从两个方面入手,一个是在网络低层进行加密,应用程序不需了解加密的细节,因此可以兼容现有的应用程序,这种考虑方式包括建立虚拟专用网(VPN)的各种协议,如PPTP、L2TP,以及以后将采用的IPSec协议 。另一种考虑方式是从网络应用程序入手,应用程序首先加密信息然后在进行传输,通过特定的服务程序和客户程序来建立安全连接,这种方式的代表就是ssh,此外还包括支持SSL(加密Socket层)的各个应用程序,如TelnetSSL,ApachSSL等 。
SSL在FreeBSD下的实现为openssl,它是在FreeBSD之类的免费操作系统下安装其他基于SSL应用程序的基础 。
PGP也是一个具备重要影响的加密程序,其本身虽然是为网络环境而设计的,但其程序本身不涉及网络 。通常它和电子邮件的客户程序合作,构成安全的电子邮件系统 。
这些加密程序一般要使用Ports Collection下载安装,而没有现成的二进制软件包,主要原因是这些软件使用的公开密钥算法在美国有专利限制,其专利属于RSA研究所,因此FreeBSD就不将它们作成二进制软件包,以避免法律纠纷 。即使使用Ports Collection下载这些软件的时候,也需要设定一个环境变量USA_RESIDENT,以区分是不是美国居民,make程序好决定从何处下载这些程序,当然,手工下载就不必顾及这些 。RSA算法在其他国家没有专利限制,因此可以随意使用 。
如果需要反复安装这些加密工具,可以更改/etc/make.conf中的设置,使其自动设置这个变量,以方便安装过程 。
在这些工具中,最重要的还是ssh,因为它提供了Unix系统最基本访问功能的安全实现,如终端访问、文件传输功能 。当使用ssh访问服务器时,服务器首先发送自己的公用密钥,客户可以使用这个密钥加密自己产生的随机密码,此后客户和服务器使用这个密码,用传统的算法,如IDEA、DES等方法来加密通信数据 。对于任何希望增强安全性的系统来讲,使用ssh来代替telnet,ftp以及rlogin,rsh,rcp等命令,都是最优先要考虑的措施 。网络安全敏感的系统一般都要屏蔽telnet,rlogin等方式,而使用ssh提供远程访问 。
ssh有两个不同的版本,ssh1和ssh2,这两个版本互不兼容 。由于ssh1更为流行,在非Unix系统之外也拥有不同的客户程序,一般需要使用ssh1,否则就会遇到与其他ssh的服务器系统和客户软件不兼容的问题 。ssh2功能更为强大,然而其提供的额外功能一般不需要,ssh1提供的能力已经是绰绰有余的了 。Ports Collection中这两个版本使用同样的安装位置,不能同时安装 。
安装了ssh之后,ssh将自动产生它所使用的公用密钥,这个密钥和ssh的设置文件保存在/usr/local/etc/目录中,不需要改动这些设置,直接启动ssh守护进程sshd就可以正常提供ssh登录服务了 。通过Ports Collection安装的ssh的sshd位置为/usr/local/sbin/sshd 。启动sshd之后,ssh客户程序就能登录和使用这台系统,可以 立即使用命令ssh来连接本地系统 。
bash-2.02$ ssh localhostwb@localhost"s passWord:Last login: Wed May 19 08:14:13 1999 from 202.102.245.72Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994The Regents of the University of California.All rights reserved.FreeBSD 3.1-RELEASE (wb) #6: Thu Apr 22 18:29:12 CST 1999Welcome to FreeBSD!Ports Collection会在/usr/local/etc/rc.d目录下放置ssh的启动文件sshd.sh,用以在系统启动时自动启动sshd 。

推荐阅读


上一篇:豆角根腐病和枯萎病的防治

下一篇:腾讯一元购画付款后没收到画是怎么回事