Loading...

当前位置:资讯中心主页 >安全其他 >文章内容

  • OpenSSH的幕后故事
  • 来源:作者:freebsdchina 发布时间:2007-11-21 21:26:00

    • 域名注册

    • 域名惊喜价格 cn域名1元注册
    • com域名39.9

      虚拟主机

    • 主机按月支付,低至19元/月
    • 超大流量,可开子站点

      VPS主机

    • 特惠VPS168元/月,4-8M独享带宽保证
    • 独立操作系统,无限开站点
     从前,一个名为Tatu Yl?nen的芬兰程式员研发了一种网络协议和服务软件,称为SSH(Secure SHell的缩写)。



    我没有和Yl?nen先生交谈过,所以无法知道他当时的确切动机,不过SSH的实际结果是为世界提供一种telnet加密选择。毫无疑问,这原来是?目前依然是?一个非常有用的工具。



    不过,随着时间的过去,管理SSH原始码的许可??因为不仅可得到SSH预编译二进制代码而且能得到其原始码??已日益受到限制。实际上,目前他远远超出了公开原始码许可的限度。



    无可辩驳,这种转变是研发者的特权,不过也激怒了一些倚赖SSH的人。你看,将telnet归类为“安全隐患”并非没有道理:一个真实的声明但没有完全抓住问题的症结所在。那些已开始使用SSH的人当然不愿意停止,而且不管鉴于什么原因,他们都不愿意支付Yl?nen先生的公司SSH.com索取的 SSH商业使用许可费。



    不过,这个故事有个好的结果,由于SSH.com许可的这些极端限制,鼓舞了一阵研发努力,不仅产生了真正公开原始码的SSH软件,而且可能将成为未来网络安全中的关键部分。



    对SSH.com许可不满的DIY是一些OpenBSD的研发人员,OpenBSD是一种公开原始码基于BSD的操作系统,以其一门心思集中在安全方面而知名。



    OpenBSD研发人员需要SSH软件??客户端和服务器都要??这样在制作OS剩余部分时,他们才能在一种BSD风格许可协议下继续使用和发行。



    OpenSSH的官方历史竭尽一切周详描述了事件的顺序。在大纲中,OpenSSH研发人员回到无限制的最后版本SSH1,从那儿开始。他们加进了自无阻碍版发布后自己制作的所有修正,然后根据自己的偏爱着手改进此软件。



    OpenBSD被高度重视的原因之一是,其研发人员在发行中对此软件的原始码进行了仔细回顾。结果,OpenBSD推崇一种令人印象深刻的追踪记录法,以用于发现并修正安全问题,可在漏洞大范围扩散开来以前解决问题。



    OpenSSH最初版本在1999年末发布,获得了巨大成功。根据OpenBSD计划领导人Theo de Raadt在Linux Weekly News的简短采访,在4月至6月之间OpenSSH站点的访问超过25万人次。



    对Unix软件许多部分太过深奥的谴责大家想必印象深刻。我们在非常大程度上得感谢一个小组织的努力,他使用OpenSSH,将之做成可移植到其他类Unix式系统,包括Linux。



    不过OpenSSH 1.2.2(第一个发行版本这样称)有局限性,因为他只支持SSH1协议。下一代版本的SSH协议SSH2进行了一些改进,但一直处于限制许可之下,所以不可能退回早期版本的SSH2,象OpenSSH计划针对SSH1相同开始一个新分支。



    毫不退缩,OpenSSH的研发人员继续编写他们自己版本的SSH2,结果今年5月发布了OpenSSH 2.0。OpenSSH是第一个也是目前为止唯一一个SSH1和SSH2的无阻碍公开原始码实现。



    不过从另一方面看,SSH今天面对的主要挑战是互用性。目前,无论SSH1或是SSH2都没有被所有标准化组织接纳。



    不过,SSH2正在起草因特网工程工作小组的RFC(Request For Comment)过程。目前,由于我不是IETF标准化速度的专家,所以无法说明这种努力是否在进行??快速或是根本没做。网页有一年没有更新,而起草努力早在1997年2月就开始了。



    我们只能希望SSH2尽快从草案变为标准而不是一拖再拖,因为SSH2仍然在进行更改。根据OpenBSD的de Raadt,SSH2实现中的不相容目前出现得极为频繁,因为SSH2仍没有成为标准。(如果事情这样的话,观察者可能会争论他实际上是在标准的炼狱中。)



    正如我上面提过的那些麻烦,远程登录是一种极不安全的通讯模式。他只是比使用一个串行电缆直接将计算机和你想要通信的设备连接起来略微进化一点点。



    远程登录就象串行连接相同工作,只除了特telnet运行在TCP上,这表示你无法象检查串行电缆的方式查看是否有第三方在你的线上放置了窃听装置。



    所以如果你通过远程登录登录到某个设备,你的用户名和密码在网络上清晰地发送出去,远程登录协议自身远远不能对其他基于TCP的欺骗行为免疫。



    远程登录明确无误的相当不好。



    实际上,如果用SSH替代远程登录,计算世界的境况能显著改善。不仅对全体企业内部intranet和大学校园网等环境如此,对许多允许自己通过远程登录进行设置网络连接设备??数目庞大??而言也是这样。



    我当然不喜欢例如通过远程登录设置路由器的想法。OpenBSD的de Raadt同时声称:“我们编写OpenSSH,目的是希望卖主将他放到每件设备上,从路由器到控制交换机、到文件服务箱、到防火墙网关。”



    从OpenSSH的故事告诉我们限制性原始码许可的好处。



    如果SSH.com没有限制SSH1和2的许可,今天在OpenSSH工作的研发人员可能绝不会逐步建立起自己的成就。他们从麻烦中得到的直接正反馈提供了添加SSH2功能的动力,从而将计划从原始码发行版变成完全的革新。



    既然OpenSSH已能找到,我们能希望所有那些远程登录用户能得到线索,用之将SSH实现包含在他们的产品中。



    这个故事的意义是什么?下次你遇见一个许可权限制太大的软件时,千万不要发怒;象OpenSSH计划学习,争取做得更好!

  • 以上内容由 华夏名网 搜集整理,如转载请注明原文出处,并保留这一部分内容。

      “华夏名网” http://www.sudu.cn 和 http://www.bigwww.com 是成都飞数科技有限公司的网络服务品牌,专业经营虚拟主机,域名注册,VPS,服务器租用业务。公司创建于2002年,经过6年的高速发展,“华夏名网”已经成为我国一家知名的互联网服务提供商,被国外权威机构webhosting.info评价为25大IDC服务商之一。

    华夏名网网址导航: 虚拟主机 双线主机 主机 域名注册 cn域名 域名 服务器租用 酷睿服务器 vps vps主机

  • (阅读次数:80)
  • 上一篇: 虚拟攻防系统--HoneyPot    下一篇: 守住你的网站:防御DDOS攻击指南
  • [收藏] [推荐] [评论] [打印本页] [返回上一页][关闭窗口]
  • 昵称: (为空则显示guest)
  • 评论分数: ★ ★ ★★★ ★★★★ ★★★★★
  • 评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。