20、服务器安全与Ansible实践指南

服务器安全与Ansible实践指南

1. 网络通信安全基础

网络中的明文通信安全性取决于网络中最薄弱的环节。早期计算机网络通常局限于特定公司或教育机构内部，使用TCP协议以明文传输密码等信息问题不大，因为网络的各个部分（线缆、交换机和路由器）都处于安全的物理边界内。然而，当连接转向公共互联网时，情况发生了变化。TCP数据包在互联网上的客户端和服务器之间的任何一点都可能被拦截，如果未加密，这些数据包很容易被读取。因此，明文协议极不安全，绝不能用于传输敏感信息或系统控制数据。即使在配置了适当防火墙的高度安全网络中，使用明文rlogin和telnet连接进行身份验证和远程控制也是不明智的。

例如，在终端中运行 traceroute google.com ，查看你与Google的CDN之间的每一跳。你并不知道控制这些设备的人是谁，也无法确定是否能信任他们处理你的个人或公司机密。这些连接点以及连接它们的网络设备和电缆都是可能遭受中间人攻击的薄弱环节。若要确保数据安全，计算机与目标之间需要强大的加密。

2. 不安全的远程访问协议

2.1 rlogin、rsh和rcp

• rlogin ：于1983年在BSD 4.2中引入，直到最近还与Telnet一起在许多类UNIX系统中分发。在80年代和90年代的大部分时间里被广泛使用。用户可以像使用Telnet一样用密码登录远程系统，但rlogin还允许受信任远程计算机上的用户进行自动（无密码）登录。而且在远程管理方面，rlogin比telnet表现更好，因为它能正确处理某些字符和命令，而telnet需要额外的转换。然而，rlog