61、系统安全加密：SSH与GPG的使用指南

系统安全加密：SSH与GPG的使用指南

1. SSH端口监听与隧道使用

在客户端系统中，若要让SSH监听特权端口（即端口号低于1024），必须以root身份执行ssh程序。示例如下：

# 以root身份执行ssh监听特权端口

若监听非特权端口可行，那么ssh客户端可以普通用户身份运行。

当建立好隧道后，就可以使用客户端程序连接到-L参数中第一个数字指定的本地端口（如前面示例中的端口142）。例如，若要转发IMAP流量，可在客户端配置邮件阅读器，从本地主机的142端口检索IMAP邮件。当邮件阅读器执行此操作时，SSH会介入并将流量转发到SSH服务器，服务器再将数据传递到其本地的143端口（该端口可能运行着真正的IMAP服务器）。这一过程对邮件阅读器程序是隐藏的，在它看来，是从本地的IMAP服务器检索邮件。

2. 预防SSH安全问题

SSH旨在解决安全问题而非制造问题。总体而言，使用SSH进行远程登录优于使用Telnet，并且SSH还能接管类似FTP的功能并对其他协议进行隧道传输。因此，与使用安全性较低的工具相比，SSH在安全方面有很大优势。

然而，和所有服务器一样，如果不必要或不恰当地运行SSH，它也可能成为安全隐患。理想情况下，应将SSH配置为仅接受协议级别2的连接，并拒绝直接的root登录。若不需要X转发功能，应将其禁用。若可能，可使用TCP包装器或防火墙限制能够连接SSH服务器的机器。和所有服务器一样，要保持SSH的更新，因为始终存在因漏洞引发问题的可能性。

还需考