Telnet服務(wù)在一些企業(yè)中，以及管理員的管理中都會遇到。這里我們將要講解的則是SRP Telnet服務(wù)器的有關(guān)問題。那么我們的系統(tǒng)背景是Linux系統(tǒng)。那么相關(guān)操作也是基于此的。Telnet可以使用戶坐在已上網(wǎng)的電腦鍵盤前通過網(wǎng)絡(luò)進(jìn)入的另一臺已上網(wǎng)的電腦,并負(fù)責(zé)把用戶輸入的每個(gè) 字符傳遞給主機(jī),再將主機(jī)輸出的每個(gè)信息回顯在屏幕上.這種連通可以發(fā)生在同一房間里面的電腦或是在世界各范圍內(nèi)已上網(wǎng)的電腦.Telnet服務(wù)與其他網(wǎng)絡(luò)應(yīng)用一樣屬于客戶機(jī)/服務(wù)器模型,一旦連通后,客戶機(jī)可以享有服務(wù)器所提供的一切服務(wù).

但是傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序telnet在本質(zhì)上都是不安全的,因?yàn)樗诰W(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù),別有用心的人非常容易就可以截獲這些口令和數(shù)據(jù).而且,這些服務(wù)程序的安全驗(yàn)證方式也是有其弱點(diǎn)的,就是很容易受到"中間人"（man-in-the-middle）這種方式的攻擊.所謂"中間人"的攻擊方式,就是"中間人"冒充真正的服務(wù)器接收你傳給服務(wù)器的數(shù)據(jù),然后再冒充你把數(shù)據(jù)傳給真正的服務(wù)器.服務(wù)器和你之間的數(shù)據(jù)傳送被"中間人"轉(zhuǎn)手后做了手腳之后,就會出現(xiàn)很嚴(yán)重的問題.SSH（Secure Shell）是以遠(yuǎn)程聯(lián)機(jī)服務(wù)方式操作服務(wù)器時(shí)的較為安全的解決方案.它最初由芬蘭的一家公司開發(fā),但由于受版權(quán)和加密算法的限制,很多人轉(zhuǎn)而使用免費(fèi)的替代軟件OpenSSH.Openssh是由OpenBSD Project開發(fā)和維護(hù)的、捆綁有SSH協(xié)議的軟件套件.用戶通過OpenSSH可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密,使"中間人"的攻擊方式不可能實(shí)現(xiàn),但是OpenSSH目前存在兩個(gè)安全遺患:口令、密匙破解（利用字典文件去解密碼）和OpenSSH中可能被安放木馬（相關(guān)鏈接:http://network.ccidnet.com/pub/disp/Article?columnID=239&articleID=21882&pageNO=1 ）.

SRP簡介

SRP全稱:Secure Remote Password（安全遠(yuǎn)程密碼）,它是一個(gè)開放源代碼認(rèn)證協(xié)議.使用SRP的客戶機(jī)/服務(wù)器不會在網(wǎng)絡(luò)上以明文或加密的方式傳送密碼,這樣可以完全消除密碼欺騙行為.保證口令可以安全地在網(wǎng)絡(luò)上面?zhèn)魉?基本的思想是,防止有被動或主動網(wǎng)絡(luò)入侵者使用字典攻擊.Standford大學(xué)計(jì)算機(jī)系開發(fā)了SRP軟件包,提供基于口令認(rèn)證和會話加密的安全機(jī)制,而不需要用戶或者是網(wǎng)管參與密鑰的管理或分發(fā).SRP為每一個(gè)人提供透明的密碼安全,而沒有其他昂貴的起始開銷,比如阻止其他安全套件軟件的使用等.不像其他的安全軟件,SRP套件是一個(gè)完全的實(shí)現(xiàn)密碼認(rèn)證的軟件包,不是臨時(shí)的解決方案.和標(biāo)準(zhǔn)的/etc/shadow-style 安全比較,SRP在每一個(gè)方面都是比較好的.使用SRP對用戶和管理者都有以下的好處:

SRP抵制"password sniffing"（口令監(jiān)聽）攻擊.在一個(gè)使用SRP認(rèn)證的會話中,監(jiān)聽者不會監(jiān)視到任何在網(wǎng)絡(luò)中傳送的口令.在遠(yuǎn)程登陸軟件中,明文的密碼傳送是最大的安全漏洞.任何人可以用一個(gè)簡單的嗅探器（sniffer）工具得到你登陸到遠(yuǎn)程系統(tǒng)的密鑰.SRP抵制字典攻擊.一個(gè)系統(tǒng)保護(hù)簡單的密碼監(jiān)聽是不夠的.如果攻擊者使用強(qiáng)力攻擊,例如字典攻擊等,他們不是簡單的直接監(jiān)聽密碼,而是跟蹤整個(gè)的會話過程,然后把整個(gè)的信息和字典中的普通密碼對照.

甚至有的Kerberos系統(tǒng)對這樣的攻擊也是脆弱的.SRP在抵制字典攻擊的前,就進(jìn)行口令的安全處理了.使用的算法就是在攻擊者進(jìn)行強(qiáng)力攻擊前就要求攻擊者必須執(zhí)行一次不可能的的大的計(jì)算.SRP甚至保護(hù)針對口令的"active"攻擊.因此,即使入侵者有能力和網(wǎng)絡(luò)接觸,也不能攻破SRP.所以即使是用戶使用的是很脆弱的口令,也不會讓入侵者很容易地破解的.SRP對于終端用戶是完全透明的.因?yàn)闆]有所謂的"密鑰鏈"(keyrings)以及"證書"(certificates),或者"票據(jù)"（ticket）.你的口令就是密鑰.SRP簡單地保護(hù)這個(gè)密鑰,但要比老的、弱的密鑰保護(hù)機(jī)制要好.SRP從管理者的角度來說也是容易實(shí)施的.沒有所謂的"密鑰服務(wù)器"、"證書認(rèn)證",以及"認(rèn)證服務(wù)器"等這樣的概念.SRP口令文件在標(biāo)準(zhǔn)的Unix口令文件的旁邊,軟件本身協(xié)同這兩個(gè)系統(tǒng)口令和SRP口令文件的一致性,沒有多余的維護(hù)系統(tǒng)的機(jī)制.SRP在認(rèn)證一個(gè)用戶的時(shí)候交換一個(gè)加密的密鑰.這就意味著一個(gè)登陸會話是可以被加密,而抵制所謂的網(wǎng)絡(luò)監(jiān)聽和惡意地篡改.

用戶在遠(yuǎn)程閱讀他們的信箋,是使用128-bit加密后的信息,這是當(dāng)用戶登陸后自動處理的,而用戶本身不必關(guān)心到底需要不需要加密.系統(tǒng)完成加密,然后送到用戶的這里.另外SRP不使用加密進(jìn)行認(rèn)證,這使得它比基于公用/私用密匙的認(rèn)證方式速度更快捷、安全.SRP缺省使用的128-bit的CAST加密算法.CAST-128在RFC2144（http://srp.stanford.edu/srp/rfc2144.txt）中有定義.標(biāo)準(zhǔn)的SRP也支持56-bit的DES以及48位的DES.高級的支持Triple-DES加密手段.本文將介紹如何建立基于SRP Telnet服務(wù)器.操作環(huán)境Redhat Linux 9.0.#p#

建立指數(shù)密碼系統(tǒng)EPS

在建立SRP Telnet服務(wù)器的操作環(huán)境錢，我們需要對建立指數(shù)密碼系統(tǒng)EPS進(jìn)行一下介紹。EPS全稱:Exponential Password System（指數(shù)密碼系統(tǒng)）,SRP軟件包中已經(jīng)包括EPS源代碼.

1.安裝PAM模塊

PAM簡介:

PAM全稱:Pluggable Authentication Module （嵌入式認(rèn)證模塊）.它最初有SUN公司開發(fā);很快被Linux社區(qū)的接受,并且開發(fā)了更多的模塊.其目標(biāo)是提供一套可用于驗(yàn)證用戶身份的函數(shù)庫,從而將認(rèn)證從應(yīng)用程序開發(fā)中獨(dú)立出來.Linux-PAM處理四種獨(dú)立的（管理）工作.它們是: 認(rèn)證管理; 帳號管理; 會話期間管理;和密碼管理.

PAM工作方式:

（1）調(diào)用某個(gè)應(yīng)用程序,以得到該程序的服務(wù).
（2）PAM應(yīng)用程序調(diào)用后臺的PAM庫進(jìn)行認(rèn)證工作.
（3）PAM庫在/etc/pam.d/目錄中查找有關(guān)應(yīng)用程序細(xì)節(jié)的配置文件,該文件告訴PAM,本應(yīng)用程序使用何種認(rèn)證機(jī)制.
（4）PAM庫裝載所需的認(rèn)證模塊.
（5）這些模塊可以讓PAM與應(yīng)用程序中的會話函數(shù)進(jìn)行通信.
（6）會話函數(shù)向用戶要求有關(guān)信息.
（7）用戶對這些要求做出回應(yīng),提供所需信息.
（8）PAM認(rèn)證模塊通過PAM庫將認(rèn)證信息提供給應(yīng)用程序.
（9）認(rèn)證完成后,應(yīng)用程序做出兩種選擇:

將所需權(quán)限賦予用戶,并通知用戶.

認(rèn)證失敗,并通知用戶.

PAM具體使用方法:

#cd /usr/src/redhat/SOURCES  
/srp-2.1.1/base/pam_eps.  
#install -m 644 pam_eps_auth.  
so pam_eps_passwd.so /lib/security 

上面命令會在/lib/security 目錄下安裝PAM模塊.然后使用命令:"/usr/local/bin/tconf"創(chuàng)建/etc/tpasswd 和 /etc/tpasswd.conf文件.

2.使用EPS PAM模塊進(jìn)行密碼驗(yàn)證

（1）首先備份 /etc/pam.d/system-auth文件

（2）修改 /etc/pam.d/system-auth文件如下形式:

auth required /lib/security/pam_unix.so likeauth  
nullok md5 shadow  
auth sufficient /lib/security/pam_eps_auth.so  
auth required /lib/security/pam_deny.so  
account sufficient /lib/security/pam_unix.so  
account required /lib/security/pam_deny.so  
password required /lib/security/pam_cracklib.so retry=3 
password required /lib/security/pam_eps_passwd.so  
password sufficient /lib/security/pam_unix.so  
nullok use_authtok md5 shadow  
password required /lib/security/pam_deny.so  
session required /lib/security/pam_limits.so  
session required /lib/security/pam_unix.so 

注意上面第一行黑體字表示PAM的eps_auth模塊可以滿足認(rèn)證需求.第二行黑體字表示PAM 的pam_eps_passwd.so 模塊用來進(jìn)行密碼管理.

（3）將標(biāo)準(zhǔn)密碼轉(zhuǎn)換為EPS格式

（4）/etc/pam.d/system-auth 配置文件的模塊pam_eps_passwd.so 將EPS版本的密碼驗(yàn)證字符串寫入/etc/tpasswd 文件中. 修改 /etc/pam.dpasswd文件如下形式:

auth required /lib/security/pam_stack.so  
service=system-auth  
account required /lib/security/pam_stack.so  
service=system-auth  
password required /lib/security/pam_stack.so  
service=system-auth 

#p#啟動SRP Telnet服務(wù)器

（1）進(jìn)入SRP源代碼telnet子目錄,分別建立Telnet服務(wù)器文件和Telnet客戶端文件:

#cd /usr/src/redhat/SOURCES/srp-2.2.1/telnet  
#make;make install 

（2）建立超級訪問程序/etc/xinetd.d/srp-telnetd 內(nèi)容如下:

# description: The SRP Telnet server  
serves Telnet connections.  
# It uses SRP for authentication.  
service telnet {  
socket_type = stream 
wait = no 
user = root 
server = /usr/local/sbin/telnetd  
log_on_success += DURATION USERID  
log_on_failure += USERID  
nice = 10 
disable = no } 

（3）使用命令從新啟動xinetd

#killall -USR1 xinetd 

（4）建立/etc/pam.d/telnet 文件,內(nèi)容如下:

auth required /lib/security/pam_listfile.so item=user \  
sense=deny file=/etc/telnetusers onerr=succeed 
auth required /lib/security/pam_stack.so service=srp-telnet  
auth required /lib/security/pam_shells.so  
account required /lib/security/pam_stack.so service=srp-telnet  
session required /lib/security/pam_stack.so service=srp-telnet 

到此為止現(xiàn)在就建立了一個(gè)使用SSRP Telnet服務(wù)器.首先在本地進(jìn)行試驗(yàn).下面是一個(gè)典型會話:

$/usr/local/bin/telnet localhost 23  
Trying 127.0.0.1...  
Connected to localhost.intevo.com (127.0.0.1).  
Escape character is '^]'.  
[ Trying SRP ... ]  
SRP Username (root): cao  
[ Using 1024-bit modulus for 'cao' ]  
SRP Password:  
[ SRP authentication successful ]  
[ Input is now decrypted with type CAST128_CFB64 ]  
[ Output is now encrypted with type CAST128_CFB64 ]  
Last login: Tue Dec 21 09:30:08 from cao.net 

如果希望在其他Linux計(jì)算機(jī)使用SRP Telnet服務(wù)器,需要安裝SRP服務(wù)支持和SRP客戶機(jī)軟件.方法是和在SRP服務(wù)器端相同的.

在非Linux平臺上使用SRP客戶機(jī)

SRP同樣支持其他流行的操作系統(tǒng)（Unix、BSD、Winodws、MacOS）.只要安裝Java插件瀏覽器即可.詳細(xì)情況前查看相關(guān)網(wǎng)址:http://srp.stanford.edu/demo/ .

總結(jié):

以上提供了相對OPENSSH更加安全快捷的Telnet遠(yuǎn)程Linux服務(wù)器的方法,基于SRP服務(wù) Telnet應(yīng)用與其他網(wǎng)絡(luò)應(yīng)用一樣屬于客戶機(jī)/服務(wù)器模型,一旦連通后,客戶機(jī)可以享有服務(wù)器所提供的一切服務(wù).SRP軟件包是Telnet的安全軟件.