如何构建安全的远程登录服务器(6)

五、加固OPENSSH服务器

    1.SSH服务器面临的安全隐患

    (1) 软件漏洞

    因为早期的OpenSSH版本（3.0.0版本）存在安全漏洞。2003年9月，在类Unix的世界里也出现了一个严重的漏洞：Openssh的溢出漏洞。Openssh是远程终端登录软件，运行在类Unix上。几乎所有的类Unix发行版本都把这个软件作为缺省安装。因此这个软件出现溢出漏洞影响了几乎所有的类Unix操作系统。

    （2） 口令暴力破解

    Openssh服务面临的另外一个威胁是黑客采取暴力破解的方式获取用户密码而非法登录SSH服务器。

    （3） SSH所不能保护的网络攻击

    SSH并不能堵住所有其他端口上的全部漏洞。如果有人通过Telnet攻击你的网络，端口号为23，SSH就不能提供安全保护，因为SSH运行在另外一个端口。另外一个例子是NFS(NetworkFileSystem，网络文件系统)。如果有人借助NFS安装了根目录，那么你的计算机就会很危险。而且，SSH不能制止特洛伊木马或拒绝服务(denial-of-service，DoS)类型的攻击。

    （4）OpenSSH中可能安放有特洛伊木马

    在免费的SSH(SecureShell)软件套件“OpenSSH”中可能被安放了特洛伊木马。如果编译包含特洛伊木马的OpenSSH源代码，就可能从外部在机器上执行任意指令。有可能包含特洛伊木马的产品包括“openssh-3.4p1.tar.gz”、“openssh-3.4.tgz”和“openssh-3.2.2p1.tar.gz”。凡是在7月30日以后下载Openssh的用户都必须重新进行确认。如果编译包含此次警告的特洛伊木马的Openssh的源代码文件，那么特洛伊木马就会在机器上运行。该特洛伊木马每一个小时会试图连接一次某个特定IP地址的TCP端口：6667。TCP端口6667是IRC(InternetRelayChat)服务器通常所使用的端口。该服务器与特洛伊木马的连接完成之后，就会在服务器上执行任意的指令。此时的访问权限与编译Openssh的用户相同。据CERT/CC表示，利用文件的时间标记及尺寸来判断文件是否包含了特洛伊木马还不够。推荐使用MD5检查和PGP签名进行确认。