無線安全：讓OpenSSH成為安全的Web伺服器

在某些方面，保障你的電腦的安全性是一項專職工作。 在你考慮無線安全性時，這個問題就更加複雜。 對那些出門在外的使用無線網路的旅行者來說，不管他們是在一個咖啡屋裡使用無線訪問點，還是在一個飛機場，還是在其度過夜間時光的一個旅館裡，一個值得關心的重要問題是他們絕對不知道所使用網路的安全性，除非他們知道它根本並不安全。 例如對於一個咖啡店的網路來說，這就是真實情況：因為它們要對每一個人開放，你不能完全相信它們。 如果它們並不對任何人開放，它們也就一文不值了。 在你在一個公共的無線訪問點上使用一台筆記本電腦時，解決安全問題的唯一健全方法在於，你通過其網路訪問資源時，注意選擇內容以及訪問這些資源的方式。 在很大程度上，這意味著你要避免登錄到你的銀行的Web網站等操作，不能線上購物，也不要通過這種網路發送敏感的資料。 即使這個被懷疑的Web網站使用了登錄會話的加密，那也不能表明你不會受到某種中間人的攻擊，或者受到某種你不能控制的其它欺騙的攻擊。 不過，還是有一些方法可以保護你，這樣你就可訪問那種要求通過網路多次傳送敏感性資料的資源。 其中一種方法是使用一個安全的透明代理服務。 任何種類的Web代理服務對於一般使用者的安裝和配置都是很困難的，不過如果你僅需要一個到達透明代理的加密連接而不需要其它措施，並且你使用了恰當的工具，Web代理服務實現起來卻又相對簡單。 幸運的是，這種「恰當的工具」是很容易得到的。 下面的例子中，我們假定你正將家中一個Linux、BSD Unix、或商業類UNIX系統用作代理伺服器。 我們還假定你在家裡擁有一個連續的互聯網連接，如通過一個典型的DSL連接實現的Internet連接。 伺服器訪問 設置訪問你的透明代理的第一步是配置家用網路的防火牆，使其可以將一個SSH埠轉到你要用作透明代理的電腦上。 你在家用電腦上擁有一個防火牆來提供安全的訪問，對吧？ 如果你還沒有的話，那麼筆者建議你先別讀本文了，先去改正這個問題吧。 在無防火牆的情況下直接連接到互聯網絕對是一個很糟糕的不安全做法。 配置防火牆實現埠轉發的過程在防火牆上的實現可以說是千差萬別。 你可以購買到的多數消費者級別的路由器/防火牆設備提供了埠轉發的功能，使用者可以輕鬆搞定。 如果你在某種老的硬體上運行著自己的基於Linux或BSD Unix的防火牆，你可能需要知道自己如何完成設置。 我們假定你已經配置了面向互聯網的防火牆，用以在埠2200上接收SSH連接，並將這些連接轉到你的內部網路上一個類Unix系統的22號埠上。 你最好不要將防火牆用作代理伺服器，雖然這是可能的，甚至實現起來很簡單。 你一要確信自己在代理伺服器上保障SSH的安全性，可以安全地對付常見的強力口令攻擊。 你還必須保障你的伺服器通過防火牆以HTTP方式訪問互聯網。 最後，為了從某個外部網路連接到你的家用網路，你必須知道可以使用的IP位址。 這可能需慎重對待。 對於那些分配一個相對穩定IP位址的服務供應商來說，你必須找出這個IP位址是什麼，並確保不要丟失它。 你可以將其保存到筆記本電腦中的一個文字檔中。 如果你的ISP經常更改你的IP位址，你可能需要採取更為嚴格的措施。 現在有許多服務可以將DNS功能變數名稱解析為動態的IP位址，例如，你可以在一個家中的Web伺服器上指向一個功能變數名稱，即使你的IP位址經常改變。 這是解決這個問題的一個可能方案，也有可能是最簡單的方案。 在IP位址改變時，這些服務的一個用戶端需要安裝到家中的一台電腦上，目的是通知服務的DNS伺服器。 加密的代理連接 使用一個到達家中Web代理加密連接過程的其餘步驟是在客戶機上的完成的，有可能就是在你的筆記本電腦上，在這樣的機器上安裝一個一般的類似于Unix作業系統（如Debian GNU/Linux 或 FreeBSD）並不是難事。 我們將假定你目前正使用這樣的一個作業系統。 如果你正使用一種動態的DNS解析服務，你可能需要將下面例子中的IP位址用使正使用的功能變數名稱來替換之。 在此例中，為了方便起見，我們假定你使用的是靜態的IP位址25.10.101.250。 創建你的加密的代理連接需要輸入類似于下面的一個命令： $ ssh -D 8080 -p 2200 username@25.10.101.250「username」部分應當用代理伺服器上的一個普通的使用者帳戶名稱來替換之。 這個命令在埠8080上創建了一個本地的透明代理，它可以將所收到的所有通信轉發到25.10.101.250的2200埠上。 你需要做的最後一件可以使一切正常運行的事情就是告訴你的Web瀏覽器應用程式對所有的連接要使用本地系統上的8080埠。 例如，在Firefox中，你可以打開「選項」對話方塊，按一下「高級」選項卡，再按一下其下的「網路」選項卡，按一下「連接」」標籤框右側的「設置」按鈕，如圖： 498)this.width=498;' onmousewheel = 'javascript:return big(this)' style="BORDER-RIGHT: black 1px solid; BORDER-TOP: black 1px solid; BORDER-LEFT: black 1px solid; BORDER-BOTTOM: black 1px solid" src="/files/uploadimg/20080222/1158110.jpg">498)this.width=498;' onmousewheel = ' javascript:return big(this)' style="BORDER-RIGHT: black 1px solid; BORDER-TOP: black 1px solid; BORDER-LEFT: black 1px solid; BORDER-BOTTOM: black 1px solid" src="/files/uploadimg/20080222/1158111.jpg">然後確信已選中「手動設定代理」選項按鈕，在「SOCKS主機」 右側的文字方塊中輸入本地主機，在對應的埠欄位中輸入8080即可。 如果由於某種原因，用「SOCKS V5」不能工作，可以試著換為「SOCKS V4」。 如此，你已經可以將OpenSSH用作一個安全的Web伺服器。 祝你用得開心！ 【責任編輯：于捷 TEL：（010）68476606】 原文：無線安全：讓OpenSSH成為安全的Web伺服器 返回網路安全首頁