使用SBD　保护易受攻击的服务不被暴露

经过适当设置后，通过SSH服务，你可以安全地从远程访问服务器，你也许并不喜欢总是在自己的机器上运行着SSH服务器。保卫后门（SBD）这种技术能够建立通向系统的加密连接，这样你就可以远程执行任何操作系统的命令，比如启动SSH或者Web服务器或者重启服务器。

SBD可以监听任何你想监听的端口。如果你不特别指定某个窗口，那么它就会默认地监听31415端口。该应用的传输协议是SBD，该协议是基于一次一密的乱数本密钥以及按键哈什表信息校验码（HMAC）技术的。

客户端和服务器端应当拥有相同的密钥，用户才可以接受远程命令。这些密钥就是两份带有随机生成的字符的身份识别文件，该密钥只能在首次连接的时候创建的，人们必需要谨慎使用并保持它的神秘气息。

安装和使用

SBD最新的稳定版本是0.5版，是在2005年2月发布的全功能版。下载源代码包，将其解压缩到/usr/local，并编译如下的二进制文件:

~# cd /usr/local/
~# tar xvfz sbd-0.5.tar.gz
~# cd sbd
~# g++ -Wall -O2 -o sbdd ssocket.cpp sha1.cpp utils.cpp sbdd.cpp
~# g++ -Wall -O2 -o sbd csocket.cpp sha1.cpp utils.cpp sbd.cpp

你得用C++编译器以及上述的开发库才能顺利编译这些二进制代码。你可以参考压缩文件夹中的Readme文件来了解更多关于如何编译SBD和使用方法的说明。

为了让客户能够成功在服务器上执行远程命令，你需要创建两个身份文件——即客户用的enckey.bits，和服务器用的deckey.bits。你可以在空白文件中输入随机选择的字符，并把它保存成enckey.bits。把该文件复制到deckey.bits就行了。该文件没有字数限制，你用越多字符越好。

目录中还有另一个服务器用的随机字符文件叫做athkey.bits，它是用来识别最基本的客户端IP伪装的。文件中的字符只是测试用的，你需要用自己随机生称得字符来创建自己的文件，跟创建enckey.bits和deckey.bits一样。

一旦服务器都设定好了，接着就应该把SBD客户端的二进制文件和enckey.bits文件安装或者复制到客户机上。你可以在客户机上运行早已编译过的SBD二进制文件，或者如果这样做行不通的话，你还可以在客户端上建立二进制文件。

你现在可以测试SBD服务器。为了在12345端口启动SBD服务器，可以运行./sbdd 12345。

要想从远程客户端启动SSH服务器，就运行如下命令行：

~$ ./sbd server.IP.address 12345 "/etc/init.d/ssh start"

用服务器的真实地址替代server.IP.address项。如果每项都没有问题的话，那么客户机就会显示如下信息：

Sent: 41 bytes

这条秘密信息就是你能从SBD得到的唯一的成功标志，如果你要确定SSH服务已经在服务器上启动了，可以检查/var/log/syslog。

如果你的客户端和服务器上没有身份安全密码，你就会看到如下的错误提示：

sbd: utils.cpp:171: void ComputHMACSHA1Hash(unsigned char*, size_t, char*, size_t,
unsigned char*): Assertion `secret_siz Aborted (core dumped)

如果你的SBD服务器并没有运行或者你正在从错误的端口访问，你就会收到如下的错误提示：

Error! Could not connect!

使用SBD，你可以远程执行任何命令，就像你真正登陆到SBD服务器上一样。例如，比起SSH，使用SBD的话，你就不会总是有易受攻击的服务暴露到网上。最好的操作方法就是只有在真正需要的时候才运行那些你很少用的服务。SBD让你少为系统安全操心。

=============================================

参考文章：Anže Vidmar《A keyhole for your system's back door》