系统安全加密:SSH与GPG的使用指南
1. SSH端口监听与隧道使用
在客户端系统中,若要让SSH监听特权端口(即端口号低于1024),必须以root身份执行ssh程序。示例如下:
# 以root身份执行ssh监听特权端口若监听非特权端口可行,那么ssh客户端可以普通用户身份运行。
当建立好隧道后,就可以使用客户端程序连接到-L参数中第一个数字指定的本地端口(如前面示例中的端口142)。例如,若要转发IMAP流量,可在客户端配置邮件阅读器,从本地主机的142端口检索IMAP邮件。当邮件阅读器执行此操作时,SSH会介入并将流量转发到SSH服务器,服务器再将数据传递到其本地的143端口(该端口可能运行着真正的IMAP服务器)。这一过程对邮件阅读器程序是隐藏的,在它看来,是从本地的IMAP服务器检索邮件。
2. 预防SSH安全问题
SSH旨在解决安全问题而非制造问题。总体而言,使用SSH进行远程登录优于使用Telnet,并且SSH还能接管类似FTP的功能并对其他协议进行隧道传输。因此,与使用安全性较低的工具相比,SSH在安全方面有很大优势。
然而,和所有服务器一样,如果不必要或不恰当地运行SSH,它也可能成为安全隐患。理想情况下,应将SSH配置为仅接受协议级别2的连接,并拒绝直接的root登录。若不需要X转发功能,应将其禁用。若可能,可使用TCP包装器或防火墙限制能够连接SSH服务器的机器。和所有服务器一样,要保持SSH的更新,因为始终存在因漏洞引发问题的可能性。
还需考
