河南 郭建偉

手機(jī)可謂是每個(gè)人必備的行頭，是大家和外界連接的重要工具。在一般人的印象中，手機(jī)只是用來(lái)打打電話，聊聊微信，看看新聞等，似乎和網(wǎng)絡(luò)安全沒(méi)什么關(guān)系。其實(shí)不然，對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō)，手機(jī)可以說(shuō)是每時(shí)每刻都隨身攜帶的，只要充分發(fā)揮其功能，完全可以讓其為網(wǎng)絡(luò)安全管理保駕護(hù)航。

使用手機(jī)驗(yàn)證，安全登錄SSH

利用SSH 連接，可以遠(yuǎn)程登錄到目標(biāo)服務(wù)器上。按照一般的方法，在執(zhí)行連接操作時(shí)，需要輸入密碼進(jìn)行驗(yàn)證。但密碼一旦被泄露，別人可以隨意進(jìn)行連接，這對(duì)服務(wù)器的安全是極為不利的。

相比之下，使用手機(jī)驗(yàn)證碼和密碼雙重驗(yàn)證機(jī)制，可以大大提高SSH 連接的安全性。具體來(lái)說(shuō)，就是在遠(yuǎn)程登錄時(shí)，先輸入手機(jī)的驗(yàn)證碼，再輸入正確的連接密碼，只有兩者都驗(yàn)證通過(guò)，才可以登錄到遠(yuǎn)程服務(wù)器上。

這里以Debian 9.X 環(huán)境下，來(lái)說(shuō)明實(shí)現(xiàn)的方法。首先需要保證服務(wù)器的時(shí)鐘是正確的，執(zhí)行“data”和“Ip a”命令，查看時(shí)鐘和IP 等信息。接下來(lái)需要更新安裝源信息，執(zhí)行“vi /etc/apt/source.list”命令，打開(kāi)更新源源配置文件。在其中添加以下命令：

繼續(xù)輸入：

完成以上命令配置更新源信息。

執(zhí)行“apt update&&apt upgrade”“apt install-ygit make automake libtool libpam0g-dev”命令，執(zhí)行更新以及安裝所需輔助軟件包操作。

要想實(shí)現(xiàn)以上雙重認(rèn)證功能，需要安裝谷歌的開(kāi)源工具包。執(zhí)行命令：

完成下載、編譯和安裝操作。注意，該工具包的庫(kù)文件保存到了“/usr/local/lib/security”目錄中。

執(zhí)行“mkdir/lib/security”命令，創(chuàng)建名為“security”的目錄。執(zhí)行“cp/usr/local/lib/security/pam*.so/lib/security”命令，將所需的PAM 認(rèn)證模塊復(fù)制過(guò)來(lái)。執(zhí)行“vim/etc/pam.d/sshd”命令，在打開(kāi)的配置文件中添加“auth required pam_google_authenticator.so”行，修改和SSH 相關(guān)的PAM 參數(shù)。執(zhí) 行“vim/etc/ssh/sshd_config”命令，將其中的“Cha llengeResponseAuthrnticat ion”的值修改為“yes”。接下來(lái)安裝二維碼生成工具包，執(zhí)行命令：

執(zhí)行下載、解壓和安裝操作。

利用“su”命令，切換到需要執(zhí)行雙重認(rèn)證的賬戶環(huán)境中。執(zhí)行“googleauthenticator”命令，在提示信息中輸入“y”，之后會(huì)生成所需的二維碼。在手機(jī)端下載和安裝谷歌身份驗(yàn)證器，并使用該驗(yàn)證器掃描上述二維碼，會(huì)產(chǎn)生一串?dāng)?shù)字。在上述二維碼下方的“Enter code from app”欄中輸入該數(shù)字串，在“Your emergency scratch code are”欄中顯示五串?dāng)?shù)字。注意，需要將其記錄下來(lái)，如果出現(xiàn)認(rèn)證失敗的話，可以使用上述緊急安全碼來(lái)登錄系統(tǒng)。然后在之后的提示中全部輸入“y”即可。

完成以上配置后，執(zhí)行“servicesshd restart”命令。來(lái)重啟SSH 服務(wù)。之后等使用“ssh”命令來(lái)連接服務(wù)器時(shí)，就會(huì)提示輸入密碼和手機(jī)驗(yàn)證碼，只有全部輸入正確，才可以順利登錄服務(wù)器。

利用手機(jī)短信，發(fā)送安全警報(bào)

使用Windows 的審核機(jī)制，可以全面記錄和跟蹤各種安全事件。執(zhí)行“gpedit.msc”程序，在組策略編輯器窗口左側(cè)選擇“計(jì)算機(jī)配置”→“安全設(shè)置”→“Windows 設(shè)置”→“安全設(shè)置”→“本地策略”→“審核策略”項(xiàng)，在右側(cè)可以針對(duì)策略更改、登錄事件、對(duì)象訪問(wèn)、進(jìn)程跟蹤、目錄服務(wù)訪問(wèn)、特權(quán)使用、系統(tǒng)事件、賬戶登錄事件、賬戶管理等策略，來(lái)開(kāi)啟審核功能。例如，當(dāng)出現(xiàn)黑客登錄服務(wù)器、創(chuàng)建非法賬戶、非法修改密碼等操作時(shí)，就會(huì)被系統(tǒng)審核機(jī)制記錄下來(lái)，并保存到系統(tǒng)日志中。

管理員可以通過(guò)查看系統(tǒng)日志，來(lái)發(fā)現(xiàn)黑客的蹤跡。但是，該方法存在一定的滯后性。當(dāng)管理員查看日志發(fā)現(xiàn)問(wèn)題時(shí)，黑客實(shí)際上已經(jīng)攻擊得手。而且系統(tǒng)日志內(nèi)容龐雜，管理員未必可以及時(shí)從中發(fā)現(xiàn)可疑信息。如果在黑客對(duì)服務(wù)器進(jìn)行滲透的同時(shí)，管理員可以立刻得到報(bào)警信息，就可以在第一時(shí)間內(nèi)對(duì)其進(jìn)行防控。

例如，當(dāng)系統(tǒng)審核機(jī)制發(fā)現(xiàn)問(wèn)題后，立即向管理員的手機(jī)發(fā)送報(bào)警短信。實(shí)際上，現(xiàn)在移動(dòng)服務(wù)運(yùn)行商（例如電信、聯(lián)通等）都為用戶免費(fèi)提供了郵件提醒功能，當(dāng)然，服務(wù)器需要能夠訪問(wèn)Internet 方可。

當(dāng)139 等郵箱收到短信后，可以自動(dòng)向用戶的手機(jī)發(fā)送短信。利用這一功能，就可以輕松實(shí)現(xiàn)短信報(bào)警操作。打開(kāi)記事本程序，在其中輸入以下命令：

執(zhí)行后完畢后將其保存為“baojing.vbs”的腳本文件。

其中的“xxxxxx”為您的手機(jī)號(hào)，“yyyyyy”為郵箱密碼，這里采用的是139 郵箱，您可以根據(jù)實(shí)際需要進(jìn)行修改。點(diǎn)擊“Windows+R”鍵，執(zhí)行“eventvwr.msc”程序，在事件查看器左側(cè)選擇“Windows 日志”→“安全”項(xiàng)，在右側(cè)顯示所有的安全相關(guān)的日志信息。這里針對(duì)登錄事件配置報(bào)警功能，例如對(duì)于登錄失敗的事件來(lái)說(shuō)，其對(duì)應(yīng)的ID 為4525。選擇該事件，在其右鍵菜單上點(diǎn)擊“將任務(wù)附加到此事件”項(xiàng)，在向?qū)Т翱谥休斎肴蝿?wù)的名稱（例如“Autoalert”）。

點(diǎn)擊“下一步”按鈕，選擇“啟動(dòng)程序”項(xiàng)，在下一步窗口中點(diǎn)擊“瀏覽”按鈕，選擇上述“baojing.vbs”腳本文件。點(diǎn)擊“完成”按鈕，創(chuàng)建該任務(wù)。

對(duì)于登錄成功事件來(lái)說(shuō)，其對(duì)應(yīng)的ID 為4624?？梢园凑丈鲜龇椒槠鋭?chuàng)建任務(wù)。當(dāng)然對(duì)于上述腳本來(lái)說(shuō)，可以進(jìn)行適當(dāng)修改，用來(lái)顯示登錄成功信息。

這樣，當(dāng)黑客試圖登錄服務(wù)器時(shí)，不管其成功還是失敗，系統(tǒng)都會(huì)記錄下來(lái)，并自動(dòng)向管理員的手機(jī)發(fā)送報(bào)警信息。當(dāng)然，您可以使用上述方法，針對(duì)不同的安全事件，來(lái)配置報(bào)警功能，靈活地應(yīng)對(duì)各種安全威脅。