如何构建安全的远程登录服务器(8)

(10)不使用r系列命令

    伯克利版本的r命令集是UNIX的一个完整的部分。最初，伯克利版本的r命令集是为了提高Telnet的安全性而开发的，使用时不必在网上以明码方式输入密码(那时它是非常成功的)。r服务也提供了主机名或IP地址认证，Telnet却不能做到这些。r命令的主机名和用户名认证标志着伯克利服务是在网络安全连接方面有着重大影响的一步。遗憾的是，通过主机名和IP地址认证方式来提高连接的安全性是不可靠的。攻击者开始使用一些已经公开的能够绕过r命令认证机制的IP地址，这就使得攻击者可以从他们自己的主机上发送数据包，并假装是你，而实际上你攻击者被欺骗者的系统根本就没有发送这些包，这就是所谓的IP欺骗技术。伯克利版本的r命令引用了一系列的文件，允许与另一个主机建立一种无缝连接。这些命令包括远程登录(rlogin)、远程shell(rsh)和远程拷贝(rcp)。

    （11）最后修改配置文件的属性，防止非授权用户修改配置文件：

    chmod 644 /etc/ssh/sshd_config
    Linux系统是一个典型的多用户系统，不同的用户处于不同的地位。为了保护系统的安全性，Linux系统对不同用户访问同一文件的权限做了不同的规定。对于一个Linux系统中的文件来说，它的权限可以分为三种：读的权限、写的权限和执行的权限，分别用r、w和x表示。不同的用户具有不同的读、写和执行的权限。对于一个文件来说，它都有一个特定的所有者，也就是对文件具有所有权的用户。同时，由于在Linux系统中，用户是按组分类的，一个用户属于一个或多个组。文件所有者以外的用户又可以分为文件所有者的同组用户和其它用户。因此，Linux系统按文件所有者、文件所有者同组用户和其它用户三类规定不同的文件访问权限。图4是在笔者机器上的/sshd目录下运行ls -l命令的查看sshd_config文件的权限情况。 
 

图4 sshd_config文件的权限

    在组群右侧的信息包括文件大小、创建的日期和时间，以及文件名。第一列显示了当前的权限；它有十位。第一位代表文件类型。其余九位实际上是用于三组不同用户的三组权限。sshd_config文件的权限：

    -rw-r－-r--    1 test test     39 3月 11 12:04 sshd_config

    每种权限设置都可以用一个数值来代表：

    r = 4 ；w = 2 ；x = 1 ；- = 0

    当这些值被加在一起，它的总和便用来设立特定的权限。譬如，如果你想有读取和写入的权限，你会得到一个值为 6 的总和；4（读取）+ 2（写入）= 6。

    sshd_config文件的数字权限设置如下：

(rw-)   (r－-)  (r--)
  |       |      |
 4+2+0   4+0+0  4+0+0

    所有者的总和为六，组群的总和为四，其他人的总和为四。这个权限设置读作 644。 这里是一个某些常用设置、数值、以及它们的含义的列表：

-rw------- (600) — 只有所有者才有读取和写入的权限。
-rwx------ (700) — 只有所有者才有读取、写入、和执行的权限。
-rwxr-xr-x (755) — 所有者有读、写、和执行的权限；组群和其他人只有读取和执行的权限。
-rwx--x--x (711) — 所有者有读取、写入、和执行权限；组群和其他人只有执行权限。
-rw-rw-rw- (666) — 每个人都能够读取和写入文件。（请谨慎使用这些权限。）
-rwxrwxrwx (777) — 每个人都能够读取、写入、和执行。（这种权限设置可能会很危险。）

    到此为止我们已经加固OPENSSH的远程登录服务器。下篇将介绍如何使用Linux和windows的客户端安全登录OPENSSH服务器，敬请关注。