在UNIX/Linux係統上使用ssh或sftp在多數人看來是很安全的. 但若您在公司的數據中心負責數據的安全工作,持有與此相同的觀點,則是相當危險的.
ssh及sftp所提供的安全措施僅存在於通訊通道, 就是說在ssh/sftp的客戶端及服務器端之間的通訊會被加密,增強了安全性.
那麽在UNIX/Linux上使用ssh/sftp會有哪些問題呢?
在UNIX/Linux係統上, 有一些工具,在進行係統或程序排錯時會有幫助,例如,AIX/Solaris上的truss, HP-UX上的tusc, 及Solaris10及更新版本上的dtrace, AIX6.1以上的ProbeVue, LINUX上的SystemTap及dtrace 還有各係統上的程序排錯器, 如gdb,dbx,adb.
不良人員可在您運行ssh/sftp時以上述工具竊取您輸入的密碼,特別是用dtrace, 非常方便.
若不良人員在您運行ssh/sftp的機器上有超級用戶權限,則其還可以特絡伊木馬替換ssh/sftp程序來竊取您的密碼, 例如,
在LINUX上, 有一個叫OpenSSH/Ebury的特洛伊木馬, 就是黑客組織用來竊取SSH密碼的一種工具.
所以,即使您使用的是ssh/sftp, 密碼的安全仍然是一個大問題.
為眾信息係統公司有AutoSSH及AutoSFTP軟件, 可幫助解決這一問題.
AutoSSH及AutoSFTP軟件帶有內建的機製,能可靠的檢測到不良人員用這些工具及手段進行的攻擊,不僅極大地 提高了密碼的安全性, 還能讓您能對遠程作業或文件傳送進行自動化.
有興趣的公司可下載我們的軟件, 並申請演示許可證進行測試,有關的信息都可在www.wziss.com找到.
軟件銷售人員也可銷售我們的軟件以賺取額外的收入:我們的軟件價格分為兩部分, 25%為可變部分, 實際所得的40%歸銷售成本;其餘的75%中的10%也歸銷售成本.所以,若某份軟件的使用許可證的原價是$2000, 其中$500為可變部分, $1500為固定價格,實際銷售價為$1900, 則總的銷售成本為$400*40%+$1500*10%=$310, 這$310就是這筆交易中用於銷售獎勵的資金.
您可在以下聯接中看到有關的演示: http://www.wziss.com/demo.html
我們在Amazon的虛擬機Linux上安裝了我們的一些軟件供大家試用及測試, 可以用
ssh tst1@13.54.182.224
口令: "just a test" 不帶雙引號。
登陸. 再看一下README中的介紹, 進行測試.