在ccnp 交换安全中提到了telnet的不安全性，因为是基于明文传输的原因，这里冷博客用cisco packet trace做一个简单的ssh登陆实验。

一、做本地认证的SSH登陆

Switch#sh run
enable secret level 15 5 $1$mERr$YlCkLMcTYWwkF1Ccndtll.
enable secret 5 $1$mERr$YlCkLMcTYWwkF1Ccndtll.
!
username admin secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!
ip ssh version 2
ip domain-name cisco.com
!
interface FastEthernet0/1
no switchport
ip address 1.1.1.1 255.255.255.0
duplex auto
speed auto
!
line con 0
line vty 0 4
login local
transport input ssh
line vty 5 15
login local
transport input ssh

验证：

PC>telnet 1.1.1.1
Trying 1.1.1.1 …Open

[Connection to 1.1.1.1 closed by foreign host]

PC>ssh -l admin 1.1.1.1
Open
Password:

*当使用http(s)登陆的时候，需要指定level 15，这里不用指定。

二、做一个ACL

Switch#sh access-lists

Standard IP access list 10
    permit host 1.1.1.2 (9 match(es))

Switch(config)#lin vty 0 15
Switch(config-line)#access-class 10 in

这样，用其他ip就不能ssh到这台交换机上

这是昨天的logwatch

——————— pam_unix Begin ————————
sshd:
    Authentication Failures:
       unknown (lrouen-151-71-15-207.w80-11.abo.wanadoo.fr): 19 Time(s)
    Invalid Users:
       Unknown Account: 19 Time(s)
vsftpd:
    Unknown Entries:
       authentication failure; logname= uid=0 euid=0 tty=ftp ruser=anonymous rhost=* : 3 Time(s)
       check pass; user unknown: 3 Time(s)
———————- pam_unix End ————————-

 

 

——————— SSHD Begin ————————
Illegal users from:
    80.11.161.207 (LRouen-151-71-15-207.w80-11.abo.wanadoo.fr): 19 times
…

Received disconnect:
    11: Bye Bye : 12 Time(s)
———————- SSHD End ————————-

这样搞不知道那天就攻破了~所以提高安全很是必要~

注意：只有SSH管理主机的童鞋们注意了，千万不能玩脱了，把自己屏蔽了就糗了！！

先在本地/虚拟机做实验！

一.修改sshd服务器的配置文件/etc/ssh/sshd_config，将部分参数参照如下修改，增强安全性。

1.改端口

Port 2123

系统缺省使用22号端口，将监听端口更改为其他数值（最好是1024以上的高端口，以免和其他常规服务端口冲突），这样可以增加入侵者探测系统是否运行了 sshd守护进程的难度。

冷博客只采取了这条试验一下，下面的都是计划方案。

2.禁止root登陆

PermitRootLogin no

阻止了root我们如何对系统进行调整呢？新建一个账号，然后赋予它sudo的权限，并且要用复杂密码和用户名。

useradd 27×88.0op7xu;passwd 27×88.0op7xu

echo ‘27×88.0op7xu ALL=(ALL) ALL’ >> /etc/sudoers 或者

vim /etc/sudoers 添加一行：

27×88.0op7xu    ALL=(ALL)       ALL

这样就安全多了

3.关闭密码登陆

PasswordAuthentication no

禁止通过密码SSH登陆，我们通过ssh 密钥匹配来登录系统，具体方法网上很多，这里不多说

二.设置tcp wrappers。通过hosts.allow和hosts.deny限定用户访问。

由于冷博客没有固定IP，没有采用

将那些明确允许的请求添加到/etc/hosts.allow中。如系统仅允许IP地址为192.168.0.15和10.0.0.11的主机使用 sshd服务，则添加如下内容：

sshd:192.168.0.15 10.0.0.11

后面还有很多行，该添的要添，否则该通的不同。

三.禁用ping功能

其实这个功能也非常好，之所以放在第三条是因为，一些如监控网站的服务可能通过Ping来检测网站健康度，如“监控宝”，而且你自己网站挂了，很多人第一时间想到的是ping一下域名。关了以后很不方便，不过确实要安全一些，相对于web站点，这个就无所谓了，禁Ping是为了隐藏这个地址么~

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

或者

ipatbles -A INPUT -s 0/0 -p icmp -j DROP

四.关闭无用服务

这个也是因人而异，比如我开了ftp，不用时我关了，等用的时候我在开，挺麻烦的。

五.在RHEL4上设置ssh策略，重试N次后锁定帐号一定时间

来源:http://www.soliddb.org/2010/09/14/259/

注意： 此策略只在RHEL4上可以使用，RHEL5的pam_tally.so 与RHEL4有一定的区别

修改 /etc/pam.d/sshd,修改后内容为，
#%PAM-1.0
auth       required     pam_stack.so service=system-auth
#新增下面这行，指明普通用户6次密码错误后，禁止登录60秒； root用户禁止登录120秒。
auth       required     pam_tally2.so onerr=fail deny=6 unlock_time=60
even_deny_root root_unlock_time=120
auth       required     pam_nologin.so

account    required     pam_stack.so service=system-auth
#新增下面这行，指明account使用 pam_tally2.so
account    required     pam_tally2.so

password   required     pam_stack.so service=system-auth

session    required     pam_stack.so service=system-auth
session    required     pam_loginuid.so

是这样的，我们伟大的cjb.net提供免费的unix账号，兲朝子民可以违规利用账号翻他娘的墙，详情参见。兲朝得知后把他给和谐了，幸好这次没有封IP，而是利用了dns污染和劫持技术。这是冷博客猜测的，不同地区的ISP可能策略不通。

总之，现在dns解析出来的shell.cjb.net的IP地址是错误的。

不仅如此，即使你不使用从大陆DNS服务器，也有可能获取不到正确的IP。冷博客使用谷歌的8.8.8.8的DNS，获取的地址也是被污染的。

[root@]# dig shell.cjb.net

; <<>> DiG 9.3.6-P1-RedHat-9.3.6-4.P1.el5_4.2 <<>> shell.cjb.net
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6497
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;shell.cjb.net.                 IN      A

;; ANSWER SECTION:
shell.cjb.net.          300     IN      A       203.98.7.65

;; Query time: 58 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Tue Sep  7 03:21:31 2010
;; MSG SIZE  rcvd: 47

[root@]# nslookup shell.cjb.net
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
Name:   shell.cjb.net
Address: 4.36.66.178

真正的shell.cjb.net的地址是：216.194.70.6

shell.cjb.net.          300     IN      A       216.194.70.6

这里充分说明了有两个以上国外主机的SSH账号有多么重要。

用的童鞋可以在hosts文件中修改，或者直接使用这个IP登陆即可。

1.使用SecureCRT创建私钥和公钥.
SecureCRT:Quick Connect-> Authentiation -> Public Key -> Properties ->Create Identity File -> DSA/RSA -> Set Passphrase -> Done
这个时候在指定目录会生成两个文件，例如，私钥my_rsa和公钥my_rsa.pub
2.linux服务器上建立.ssh目录,一般情况下,已经有这个目录
# mkdir /root/.ssh
# chmod 700 /root/.ssh

3.将公钥 my_rsa.pub 传到linux服务器，将SSH2兼容格式的公钥转换成为Openssh兼容格式
# ssh-keygen -i -f Identity.pub >> /root/.ssh/authorized_keys2
# chmod 600 /root/.ssh/authorized_keys2
4.在SecureCRT里面设置登录模式为PublicKey，并选择刚刚创建的my_rsa文件作为私钥
5.重启Linux服务器上SSH服务器
#service sshd restart 或者 /etc/rc.d/init.d/sshd restart
6.由于已经设置了密钥登录，原来的密码登录就完全可以去掉
# vi /etc/ssh/sshd_config
Protocol 2 /仅允许使用SSH2
PubkeyAuthentication yes /*启用PublicKey认证
AuthorizedKeysFile .ssh/authorized_keys2 /*PublicKey文件路径
PasswordAuthentication no /*禁止密码验证登录
PS:以上步骤是使用SecureCRT生成的密钥对来进行登录验证的，其实也可以在服务器上使用ssh-keygen命令生成的密钥，同样在生成密钥对之后，将格式转换成SecureCRT 使用的SSH2格式
陈绪：步骤3中的转换key格式易于为大家忽略，请多注意此点。

大名鼎鼎的Putty手机版，支持SSH、Telnet，和上次介绍的midpssh相比，选项更加细致，兼容性更强。

软件专为Symbian OS S60 v5的触摸屏手机设计，对5800和N97有很好的支援。

官网原文：

It provides a much improved user experience on phones such as the Nokia 5800 XpressMusic and the new N97.

冷博客5530测试通过，可以直接点击显示屏幕输入命令，如果你使用的输入法有回车键，就可以直接敲进命令。

官网下载地址：http://s2putty.sourceforge.net/download.html

5800系列快速通道：http://bd.kicks-ass.net/koodaus/putty/s60v5/putty.touch_UI_v0.8.5.sisx

经过冷博客的测试只要支持java（j2me）的手机基本都没有问题。由于是java通用平台的软件，冷博客原来的索爱W700也可以完美运行。

很久之前就发现了这个超强的软件，不过当时的版本对ssh2的支持不是很好，登陆不上linux服务器，1.73就完全可以。经过测试，冷博客的5530可以登录公网地址的Linux服务器。

不过暂时没有Symbian或者PPC的，我们拭目以待~
作者官网：http://www.xk72.com/midpssh/index.php
1.73版官网下载列表：http://is.gd/5ARZk