如何构建安全的远程登录服务器(2)

二、  SSH能保护什么

    SSH可以防止IP地址欺骗、DNS欺骗和源路径攻击。SSH提供给用户身份认证的主要方法就是使用公共密钥加密法。根据所用SSH版本的不同，可以采用RSA或者Diffie-Helman和数字签名标准来实现。也可以选择使用各种不同的身份认证方法，包括公共密钥法、rhosts/shosts认证法和密码认证，这些方法都很简单安全。的确，利用SSH即便是使用.rhosts认证方式也能确保安全性。

    SSH所提供的是通过网络进入某个特定账号的安全方法。每个用户都拥有自己的RSA密钥。通过严格的主机密钥检查，用户可以核对来自服务器的公共密钥同先前所定义的是否一致。这样就防止了某个用户访问一个他没有相应公共密钥的主机。注意如果你想了解更多有关RSA、公共密钥加密和身份认证的知识，只需进行很小的修补，SSH就能保护一些不安全的连接，如X窗口。这将帮助你提高所管理的网络连接的安全性。

    由于SSH提供了主机身份认证，利用公共密钥而不是IP地址，所以它使网络更加安全可靠，并且不容易受到IP地址欺骗的攻击。这有助于辨认连接到你系统上的访问者身份，从而防止非法访问者登录到你的系统中。如果用户或系统打算采用rhosts/shosts的身份认证方式，主机就面临着公共密钥和私人密钥信息交换的挑战。否则，就得使用其他认证方式。

    在认证发生之前，会话已经通过对称密钥技术进行了加密，如DES、三重DES、IDEA、Twofish或Blowfish。这就使得会话自身被加密，从而防止了别人在你输入或同别人聊天时截取你的信息。同时也意味着你所输入的密码不会被他人读取，因为它也被加密了。加密技术基本上可以防止有人监听你的数据，同时也确保了数据的完整性，即防止有人肆意篡改你的信息和数据。表1列出了SSH所能防范的网络攻击。

表1 SSH可以防范的网络攻击类型