Linux系统下使用SSH进行安全的连接 （2）

使用标准部件

我希望 服务器诊所每个月都显示工作代码。在本文中，很难添加任何代码。我推荐的配置很简单，在标准的参考资料中都作了充分的记录。例如，要在第二个端口上添加 ssh 服务，只要将如下行： Port 8080添加到现有的 /etc/ssh/sshd_config，然后重新启动 sshd。另一个方法是使用“网络代理程序”或“端口转发器”（比如 netcat 或 socat），将它指回本地主机（localhost）的标准 ssh 端口，这个方法在运行试验和调优日志记录或额外安全性方面很有用。

代理程序

这里的上下文中的“代理程序”是一个小型“转换程序”，它只是让网络流量通过。如果我在端口 22 上设置了 sshd 服务器，并且希望在端口 110 上设置另一台 sshd 服务器，那么实现这个想法的一个方法是安装网络代理程序。这样的代理程序在端口 110 上用作服务器，接收来自外界的流量。它通过在端口 22 上充当客户机来处理这些分组。基本 sshd 服务器完成所有的实际工作；代理程序的作用只是从一个端口转换到另一个端口（可能在另一台主机上）。

这篇特别的专栏文章的真正价值并不在于深奥的代码，而只是在于传达了一个清晰的概念，您应该以此为目标来启用自己的远程服务。我已经尝试过许多方法。利用这些经验，尤其要了解 不要做什么，至少要了解在您首次设置服务器室时不要做什么：禁止 Telnet，不要让不用的服务一直开着，不用担心 applet（尤其不要担心 applet 签名），以及如若感到不对劲就不要进行远程登录。

另一方面，一定要使用标准部件。我已经尝试过许多聪明的想法，用于调整 ssh 协议或自己的防火墙，以阻止“黑帽”黑客（指专门利用网络技巧入侵网络进行破坏的人，译者注）。与这些想法所提供的安全性方面的小小增强相比，它们的维护比较困难，因此有些得不偿失。除非我编制一个明确的安全性项目的预算，并具有明确的长期目标，否则最好将时间花在使用 ssh 上，而不是花时间设法改进它。

采用以上步骤，您将拥有一个服务器室，它的安全性要比您只使用标准的 Linux 服务器安装时要好得多。您还能够从全球可以找到几乎所有的同步连接上远程管理它。对于您自己的安全性计划，这是一个不错的起点。