Upload
others
View
9
Download
0
Embed Size (px)
Citation preview
� Secure Shell最初由芬蘭的一家公司開發,因受版權和加密算法等限制,現多轉用 OpenSSH
� SSH協定框架中最主要的部分是三個協定:� 傳輸層協定(The Transport Layer Protocol):提供服務器認證,
數據機密性,信息完整性等的支持。� 用戶認證協定(The User Authentication Protocol):為服務器提
供客戶端的身份鑒別。� 連接協定(The Connection Protocol):將加密信息通道切成若干
個邏輯通道,提供給更高層的應用協定重導使用,如FTP, VNC等等。
� SSH的安全驗證� 驗證客戶端
� 基於密碼的身份驗證� 基於非對稱金鑰的身份驗證
� 驗證伺服器端� 直接傳送公鑰給客戶端,由客戶端比對� 將公鑰存放於CA,客戶端直接跟CA索取伺服器公鑰
� SSH 是一種協定,不是一個產品� SSH 協定包含身分驗證、加密傳輸、資料完整性驗證
� SSH 是目前世界上最廣泛使用的對UNIX系統操控軟體,幾乎所有UNIX管理者都使用SSH來登入伺服器進行管理
� 利用SSH建立加密通道,可以簡單的方式來保護沒有加密能力的HTTP、POP3、SMTP、VNC等等,因為能保護VNC,所以也能保護Windows系統管理者得以VNC/遠端桌面等方式進行管理。
� 主要的缺點有二:至少遠端需有SSHD伺服器可登入,且傳輸速度不如SSL
� Port forwarding, or tunneling, is a way to forward otherwise insecure TCP traffic through SSH Secure Shell. You can secure for example POP3, SMTP and HTTP connections that would otherwise be insecure.
� http://sshwindows.sourceforge.net/
� OpenSSH for Windows is a free package that installs a minimal OpenSSH server and client utilities in the Cygwin package without needing the full Cygwin installation.
� Daemon Quick Start
� cd “C:\Program Files\OpenSSH\bin”
� mkgroup -l >> ..\etc\group
� mkpasswd -l [-u <username>] >> ..\etc\passwd
� net start opensshd
� Site B SSHD
� 需在SiteB的SSHD伺服器上有帳號且需 allow 140.117.11.1 來連線
� User
� 先利用 putty 做成 ssh tunnel
� 收信軟體的 POP3 server指向 127.0.0.1 即可
Site A Site B
Internet
ssh tunnel
140.117.11.1 192.168.1.7
192.168.1.1
140.127.1.1
� User 先登入 Site A 的 SSHD 伺服器,然後在伺服器下指令� ssh –f –L 192.168.1.1:110:192.168.1.7:110 [email protected] sleep 10000
� User
� 收信軟體的 POP3 server指向 192.168.1.1 即可
� Site B SSHD
� 需有 aha 此帳號且需 allow 61.61.61.61 來連線
Site A Site B
Internet
ssh tunnel
192.168.1.33
192.168.1.1
192.168.1.7
192.168.1.1
140.127.1.161.61.61.61
� Site B SSHD
� 需在SiteB的SSHD伺服器上有帳號且需 allow user 來連線
� User
� 用 putty 連 Site B SSHD port 22,forward localhost source port 80 to
destination localhost 80
� 注意!第一個 localhost指 User 的 localhost,第二個 localhost指 SiteB
SSHD 的 localhost
� Browser 連 127.0.0.1:80
Site A Site B
Internet
ssh tunnel
10.10.10.23 www.nuk.edu.tw10.10.10.10
� 先登入Site A SSHD伺服器� ssh –L 5900:127.0.0.1:5900 [email protected]
� User
� Vncviewer連 127.0.0.1:5900
� Site B SSHD
� 需有 aha 此帳號且需 allow 10.10.10.12 來連線
Site A Site B
Internet
ssh tunnel
127.0.0.1
127.0.0.110.10.10.3310.10.10.12
� 安裝系統前,以乾淨linux光碟冷開機,清除MBR� dd if=/dev/zero of=/dev/had bs=1024 count=1000
� 安裝後第一件事,注意設定防火牆,並定時檢查� 過濾Services,只留下停不了的� 安裝security patch� 再過濾一次Services,未來每隔一段時間仍須檢查Services
� 定時檢查IE的Add-On模組,調高IE安全等級� 關閉可卸載媒體的Autorun,養成良好習慣。
� Gpedit.msc、Folder Browser
� 不要「見好康就手癢」,養成謹慎的習慣。� 定期備份
� 安裝前,先清除MBR
� 做好硬碟分割規劃
� 確保安裝過程中,系統的安全
� 安裝完成重新啟動後,停掉所有Services Port
� 對外開啟服務Port的程式要改變參數重新編譯
� 確實瞭解對外服務程式的設定
� 降低系統內風險� Setuid、setgid、noexec、nosuid
� 建立檔案MD5資料比對機制
� 注意備份
� netstat
� Process
� MD5 check
� 從另一台電腦來掃瞄PORT
� 從switch設定port mirror到另一台機器,跑tcpdump或ethereal記錄封包
� 平日就要做好重灌的準備,要有復原的計畫並演練