应用:让OpenSSH成为安全的Web服务器
来源:IT168 发布时间:2008-10-09 16:51:00
对那些出门在外的使用无线网络的旅行者来说,不管他们是在一个咖啡屋里使用无线访问点,还是在一个飞机场,还是在其度过夜间时光的一个旅馆里,一个值得关心的重要问题是他们绝对不知道所使用网络的安全性,除非他们知道它根本并不安全。例如对于一个咖啡店的网络来说,这就是真实情况:因为它们要对每一个人开放,你不能完全相信它们。如果它们并不对任何人开放,它们也就一文不值了。
在你在一个公共的无线访问点上使用一台笔记本电脑时,解决安全问题的唯一健全方法在于,你通过其网络访问资源时,注意选择内容以及访问这些资源的方式。在很大程度上,这意味着你要避免登录到你的银行的Web站点等操作,不能在线购物,也不要通过这种网络发送敏感的数据。即使这个被怀疑的Web站点使用了登录会话的加密,那也不能表明你不会受到某种中间人的攻击,或者受到某种你不能控制的其它欺骗的攻击。
不过,还是有一些方法可以保护你,这样你就可访问那种要求通过网络多次传送敏感数据的资源。其中一种方法是使用一个安全的透明代理服务。任何种类的Web代理服务对于一般用户的安装和配置都是很困难的,不过如果你仅需要一个到达透明代理的加密连接而不需要其它措施,并且你使用了恰当的工具,Web代理服务实现起来却又相对简单。幸运的是,这种“恰当的工具”是很容易得到的。
下面的例子中,我们假定你正将家中一个Linux、BSD Unix、或商业类UNIX系统用作代理服务器。我们还假定你在家里拥有一个连续的互联网连接,如通过一个典型的DSL连接实现的Internet连接。
服务器访问
设置访问你的透明代理的第一步是配置家庭网络的防火墙,使其可以将一个SSH端口转到你要用作透明代理的计算机上。你在家用计算机上拥有一个防火墙来提供安全的访问,对吧?如果你还没有的话,那么笔者建议你先别读本文了,先去改正这个问题吧。在无防火墙的情况下直接连接到互联网绝对是一个很糟糕的不安全做法。
配置防火墙实现端口转发的过程在防火墙上的实现可以说是千差万别。你可以购买到的多数消费者级别的路由器/防火墙设备提供了端口转发的功能,用户可以轻松搞定。如果你在某种老的硬件上运行着自己的基于Linux或BSD Unix的防火墙,你可能需要知道自己如何完成设置。
我们假定你已经配置了面向互联网的防火墙,用以在端口2200上接收SSH连接,并将这些连接转到你的内部网络上一个类Unix系统的22号端口上。你最好不要将防火墙用作代理服务器,虽然这是可能的,甚至实现起来很简单。你一要确信自己在代理服务器上保障SSH的安全性,可以安全地对付常见的强力口令攻击。
你还必须保障你的服务器通过防火墙以HTTP方式访问互联网。
最后,为了从某个外部网络连接到你的家用网络,你必须知道可以使用的IP地址。这可能需慎重对待。对于那些分配一个相对稳定IP地址的服务供应商来说,你必须找出这个IP地址是什么,并确保不要丢失它。你可以将其保存到笔记本电脑中的一个文本文件中。
如果你的ISP经常更改你的IP地址,你可能需要采取更为严格的措施。现在有许多服务可以将DNS域名解析为动态的IP地址,例如,你可以在一个家中的Web服务器上指向一个域名,即使你的IP地址经常改变。这是解决这个问题的一个可能方案,也有可能是最简单的方案。在IP地址改变时,这些服务的一个客户端需要安装到家中的一台电脑上,目的是通知服务的DNS服务器。
加密的代理连接
使用一个到达家中Web代理加密连接过程的其余步骤是在客户机上的完成的,有可能就是在你的笔记本电脑上,在这样的机器上安装一个一般的类似于Unix操作系统(如Debian GNU/Linux 或 FreeBSD)并不是难事。我们将假定你目前正使用这样的一个操作系统。
如果你正使用一种动态的DNS解析服务,你可能需要将下面例子中的IP地址用使正使用的域名来替换之。在此例中,为了方便起见,我们假定你使用的是静态的IP地址25.10.101.250。创建你的加密的代理连接需要输入类似于下面的一个命令:
“username”部分应当用代理服务器上的一个普通的用户账户名称来替换之。这个命令在端口8080上创建了一个本地的透明代理,它可以将所收到的所有通信转发到25.10.101.250的2200端口上。
你需要做的最后一件可以使一切正常运行的事情就是告诉你的Web浏览器应用程序对所有的连接要使用本地系统上的8080端口。例如,在Firefox中,你可以打开“选项”对话框,单击“高级”选项卡,再单击其下的“网络”选项卡,单击“连接””标签框右侧的“设置”按钮,如图:
Firefox设置
Firefox设置 然后确信已选中“手动配置代理”单选按钮,在“SOCKS主机”右侧的文本框中输入本地主机,在对应的端口字段中输入8080即可。如果由于某种原因,用“SOCKS V5”不能工作,可以试着换为“SOCKS V4”。如此,你已经可以将OpenSSH用作一个安全的Web服务器。祝你用得开心!
0
投稿猜你喜欢
- 近日,谷歌数字图书馆未经授权非法扫描570位中国作家的17922种作品上网的“霸王行动”以及针对此举
- 今天和妈妈、大福一起去逛街,5小时。大福买了粉色的T恤,我买了粉色的凉鞋,妈妈买了粉色的套装。我们还买了很多吃的,每个人都知道另外的人喜欢吃
- 1、后台用户名和密码是否是明文保存的?建议增加昵称字段,区别后台的用户,同时对用户名和密码进行非规范的md5加密,例如加密以后截取15位字串
- 如何放置Robots.txt文件robots.txt自身是一个文本文件。它必须位于域名的根目录中并 被命名为“robot
- 北京时间11月27日消息,据国外媒体报道,Facebook本周三修改了其开发平台政策,明确规定了第三方应用开发者可以在Facebook应用里
- 近日研究Google Adsense,终于知道了一条赚钱规则,按这个规则,应该可以优化Adsense提高收入了吧。这条规则其实非常的简单就是
- 前些天安装完了Discuz7.2,由于是在win主机上安装的php程序,伪静态化,不能使用.htaccess这种方式,因此查了相关关文章,说
- 程序员是一个脆弱、特殊的群体,以各种方式生存在有01的世界里。程序员的特点:狂躁,但是有修养随和,但是疯癫肯向任何人学,但是不服任何人守约,
- IIS安全安装 要构建一个安全的IIS服务器,必须从安装时就充分考虑安全问题。1. 不要将IIS安装在系统分区上。2. 修改IIS的安装默认
- 一、搜索引擎的搜索过程1、抓取网页:每个独立的搜索引擎都有自己的网页抓取程序(spider,即通常所说的“蜘蛛”程序)。Spider顺着网页
国内领先的网页游戏《商业大亨Online》早前成功打入港澳台、新马泰等海外市场,马上就在东南亚掀起了模拟经营游戏热潮,即便正值严冬也热度不减- 调整Discuz 帖内图片最大宽度,发现只调整“系统设置→界面→界面管理→帖子内容页→帖内图片最大宽度”并不行,原来在Discuz 7.1中
- 一、事件发生春节长假刚过完,WEB就出现故障,下午1点吃完回来,立即将桌面解锁并习惯性的检查了Web服务器。通过Web服务器性能监视软件图像
- Alexa网站创建于1996年4月,1999年成为亚马逊网站的全资子公司。Alexa网站最初是一个分类导航网站,也提供关于网络的动态相关数据
- 综述本文将讨论UNIX平台下,Apache WEB服务器安装和配置的安全问题。我们假定阅读本文的系统管理员已经针对自己站点的情况选择了相关的
- 3)IMAP4协议IMAP协议是Internet消息访问协议(Internet Message Access Protocol)的缩写,现在
- 做不成也没关系,可以伪装一下。RSS图标不显示订阅数。托管RSS。更新频率等于或低于每日一篇,但不低于每周一篇。凡文内链接全部为站内链接,是
- Oracle/支付宝/旺旺淘宝网作为个人网站发展的时间其实并不长,由于它太引人注目了,马云在2003年7月就宣布了这个是阿里巴巴旗下的网站,
- Linux系统中的Netfilter提供了一个抽象、通用化的框架,该框架定义的一个子功能的实现就是包过滤子系统,框架包含以下五部分:1. 为
- 今天帮一个朋友去取google adsense支付的广告费,去的是一个以前没去过的网点,重庆市江北区观音桥农行,在这个网点取款时,居然要求填
