| 會員  | 感謝前輩的指點 我總算了解ssh的便利性了,anywhere,只要可以上網的地方,甚至一邊使用window做其它每天常做的事,同時還可進行server端的工作.而且還可配合window的剪貼簿功能便利重複的指令輸入...這真是相當地不錯喔! 請原諒我的好奇心,不知還有沒有我沒想到的好處或缺點...? 還有就是利用ssh從遠端尤其是internet做root的工作有沒有安全上的顧慮呢? 若有,我需要做什麼防範工作呢? 關於書籍,歐萊禮的linux系列不知適不適合初學者看,因我有點不知該從哪看起的疑慮...我比較喜歡把觀念交代的很清楚的風格,方便的話還請前輩給個建議...謝謝 |
| 回覆 |
| 會員 | 引用:
內容較詳細的,只有看到一本旗標出版的:介紹 window 與 linux 整合的... 剛開始用samba就碰上Microsoft KB828741 的問題, 請問這兩個最新的版本有何差異,我該選擇何者來更新呢? Latest Samba 2.2 release: Samba 2.2.9 Latest Samba 3.0 release: Samba 3.0.4 | |
| 回覆 |
| Kree  | 引用:
ssh是一種極安全的傳輸協定,所有傳輸過程的資料都有受到加密保護 採用的是金鑰加密法,分為host key 和 server key 加密金鑰為 256 bit,和銀行用的是同等級的加密技術 就算中途被攔截封包,攔截者沒有金鑰也只能得到亂碼,而得不到資料 但因為傳輸任何資料前,都要加密演算的關係 所以傳輸會比較慢,這勉強算一個缺點吧... ssh好處的話 其實ssh不只是遠端控制而已,它還可以傳檔案,當ftp使用 網路上不是什麼有什麼web-HD服務的 例如:PC-HOME 的網路硬碟那類的 那些空間都太小囉 你自己架的Linux server,本身就是ftp 和 網路硬碟 了 任何時間,可從任何地方,傳檔案回自己家裡電腦 例如:從網咖傳一些檔案回自己家裡Linux電腦,或是從家裡電腦下載東西 用ssh就可以了 安全上的顧慮: ------------------------------------------ 金鑰為 256 bit,以現今電腦運算速度,可以說就是無法破解 但root密碼,卻可以用暴力破解法、字典破解法..等等try出來 舉個例子: 假設root密碼為123456 假如預先就知道密碼為6位數字 用暴力破解法,只要嘗試123457次,即可破解出來 假設root密碼是英文單字,而英文單字大約10萬字 用字典破解法,只要把字典的單字全部run一遍,就可以破解出來 因此Linux在建立密碼時,如果密碼太爛,Linux都會做提醒 利如: bas passwd:是指密碼太簡單,沒有複雜性,很容易就會被暴力破解 it's a word:是指這是英文單字,字典檔裡面查的到,會被字典檔破解 良好的密碼設定,是防止入侵的第一步 但多少還是會有隱憂 最根本的解決之道,是禁止root由本機以外登入 或是設定allow的ip,其餘全部deny /etc/ssh/sshd_config ------------------------------------------------- ListenAddress xxx.xxx.xxx.xxx ←指定監聽的網路卡ip PermitRootLogin yes ←是否允許root登入,預設允許,建議改no --------------------------------------------------- ps.每行前面有加#的,代表註解,要把註解符號消除 ssh監聽的網路卡ip 是指只承認這張網卡的連線,其餘的網卡不承認 例如: Linux主機上插有兩片網卡,一片對外真實ip,一片192.168.0.1 只允許監聽192.168.0.1這片網卡 當然,這種私人ip網段的訊號 是不可能由外面的internet傳進來的(凡路由器皆會自動捨棄私人IP封包) 一定是內部區網的訊號,如此便可有效防止外界入侵 只不過,假如這樣設的話,自己要從外面連進來也不行了.... 這方法算是有點防過頭了,一般只有在極度要求安全的情況才會這樣設 如果要允許可以從外部internet連進來 並且又要做到保護 建議關閉root登入即可,如此ssh便無法以root帳號登入 只能用一般使用者的帳號登入 那你一定會問,一般使用者帳號怎麼做server管理? 簡單,下指令su,輸入root密碼,改變身分成為root 這之間的差別是在,ssh無法以root登入,外界便無法去暴力破解 除非駭客知道你電腦裡面一般使用者的帳號,叫什麼名字... 但就算一般使用者的密碼被try出來來 駭客要下su指令,重新改變root身分,這裡會有個問題 就是他不能try了,因為他已經登入了,錯誤三次就會被Linux踢出去 ssh的安全性方面,大致上就是這樣子了 | |
| 回覆 |
| 會員 |  太感謝了!這ssh竟這麼好用... 感覺上,ssh, "最主要" 就是用來給網管人員遠端控制設定伺服主機方便的...我這樣想對嗎? "其次" ,就是用來傳輸交流重要資料,然而,誠如您說的ssh的ftp功能,那麼在區網中,以一般user來說,我究竟是弄個samba server提供大家作檔案資源的交流好還是弄個ftp server較好呢? 而若為較重要的部門間的交流呢?...(不知這樣問會不會被笑) 還有若我要由外部(internet)進入samba網域,或反之在網芳中見到public ip的主機,該怎麼設定呢? |
| 回覆 |
| Kree | 引用:
(一) 一般網管人員都會使用ssh沒錯 server這種東西,只要一台主機就夠了,螢幕不常使用,可以省略螢幕,來節省成本。 像一些網路機器,例如:路由器,頻寬分享器,硬體防火牆之類的,其實說穿了,就是砍入式硬體server,機器本身就是一台小型電腦,也有cpu,也有記憶體,只不過跑的os,是內建在flash rom上面罷了。 這類網路機器,並不提供外接螢幕,但是也能操作,最常見的操作方式,為web介面,cisco的機器,則是採用文字登入介面居多。 文字登入的介面,和ssh就是一樣的。 而所謂的web介面,在IE網址列打上IP,登入server,瀏覽器會出現操作畫面。其實這東西Linux也有,Linux沒有內建,但去下載和使用是完全免費的。例如:控制整個Linux的webmin,控制MySQL的phpMyAdm,控制samba的SWAP....等等,非常好用,可以去下載回來用看看。 (二) samba你可以想像成是一種「模擬器」,這樣子比較方便去了解它的意義,就好比"電玩模擬器",可以模擬一台電動玩具,sabma也是一種「模擬器」。 samba模擬的,是M$的「網路芳鄰」。 另外,目前samba也可以模擬M$ NT4 的PDC網域功能,代替 NT4 成為區網中之PDC(網域驗證中心主機)。但win-2000 的AD的網域,samba則沒辦法模擬,因為那是M$的專利,這是美中不足的地方。 網路芳鄰,是一種內部區網的交流,無法從外面的internet連進來。不過正確的說,也不是完全不行,只要再模擬一層叫做VPN的東西,就可以了。 VPN (虛擬私人網路),是一種網路技術,透過internet(WAN),直接連到遠端的私人區域網路(LAN)。 區網內,弄samba好?還是ftp好? 其實是差不多啦。但samba比較好,因為: 1.windows開「網路芳鄰」比較快,開ftp比較慢。 開ftp,若不額外安裝ftp軟體,大部分都是使用IE去開。 2.「網路芳鄰」上面的檔案,有些可以直接執行或觀看(遠端執行),ftp不行。 3.samba是「網路芳鄰」之模擬器。100%模擬。samba = 網路芳鄰。 (三) 要從internet進入samba,需要VPN 這樣太麻煩了 另外架個ftp就好了 或是ssh直接就可以傳了 基本上,samba使用的目錄,和ftp使用的目錄,是可以自訂的,換句話說,就是可以重疊的,都設同一個目錄,開出來看到的檔案都一樣。 | |
| 回覆 |
| XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。
