## 11.8 本章習題 * Telnet 與 SSH 都是遠程聯機服務器，為何我們都會推薦使用 SSH 而避免使用 Telnet 呢？原因何在？因為 Telnet 除了使用『明碼』傳送數據外，本身 telnet 就是很容易被入侵的一個服務器，所以當然也就比較危險了。 至于 ssh 其實也不是很安全的！由臺灣計算機危機處理小組的文件可以明顯的發現 openssl + openssh 也是常常有漏洞在發布！不過，比起 telnet 來說，確實是稍微安全一些！ * 請嘗試說明 SSH 在 Server 與 Client 端聯機時的封包加密機制；利用 key pair 來達到加密的機制：Server 提供 Public Key 給 Client 端演算 Private key ，以提供封包傳送時的加密、解密！ * 請問 SSH 的配置文件是哪一個？如果我要修改讓 root 無法使用 SSH 聯機進入我的 SSH 主機，應該如何設定？又，如果要讓 badbird 這個用戶無法登入 SSH 主機，該如何設定？SSH 配置文件檔名為 sshd_config ，通常放置在 /etc/ssh/sshd_config 內；如果不想讓 root 登入，可以修改 sshd_config 內的參數成為：『PermitRootLogin no 』，并重新啟動 ssh 來設定！如果要讓 badbird 使用者無法登入，同樣在 sshd_config 里面設定為：『DenyUsers badbird』即可！ * 在 Linux 上，預設的 Telnet 與 SSH 服務器使用的埠口(port number)各為多少？telnet 與 ssh 的埠口分別是：23 與 22！請參考 /etc/services 喔！ * 如果發現我無法在 Client 端使用 ssh 程序登入我的 Linux 主機，但是 Linux 主機卻一切正常，可能的原因為何？(防火墻、known_hosts...)無法登入的原因可能有很多，最好先查詢一下 /var/log/messages 里面的錯誤訊息來判斷，當然，還有其他可能的原因為： 1. 被防火墻擋住了，請以 iptables -L -n 來察看，當然也要察看 /etc/hosts.deny； 2. 可能由于主機重新啟動過， public key 改變了，請修改你的 ~/ssh/known_hosts 里面的主機 IP ； 3. 可能由于 /etc/ssh/sshd_config 里面的設定問題，導致你這個使用者無法使用； 4. 在 /etc/passwd 里面，你的 user 不具有可以登入的 shell ； 5. 其他因素(如賬號密碼過期等等) * 既然 ssh 是比較安全的資料封包傳送方式，那么我就可以在 Internet 上面開放我的 Linux 主機的 SSH 服務了嗎？！請說明你選擇的答案的原因！最好不要對 Internet 開放你的 SSH 服務，因為 SSH 的加密函式庫使用的是 openssl ，一般 Linux distribution 使用的 SSH 則是 openssh ，這兩個套件事實上仍有不少的漏洞被發布過，因此，最好不要對 Internet 開放，畢竟 SSH 對于主機的權限是很高的！ * * *