试题二（共 20分）

阅读下列说明，回答问题 1 至问题 5，将解答填入答题纸的对应栏内。通常由于机房电磁环境复杂，运维人员很少在现场进行运维工作，在出现安全事件需要紧急处理时，需要运维人员随时随地运程开展处置工作。

SSH(安全外壳协议)是一种加密的网络传输协议，提供安全方式访问远程计算机。李工作为公司的安全运维工程师，也经常使用 SSH 远程登录到公司的 Ubuntu18.04 服务器中进行安全维护。

【问题 1】

SSH 协议默认工作的端口号是多少？

解析：

安全外壳协议(SSH，Secure Shell)是目前较可靠、专为远程登录会话和其他网络服务提供安全性的协议，它是创建在应用层和传输层基础上的加密隧道安全协议。SSH 基于 TCP 协议，端口号是 22。

答案：22

【问题 2】

网络设备之间的远程运维可以采用两种安全通信方式：一种是 SSH，还有一种是什么？

答案：VPN

【间题 3】

日志包含设备、系统和应用软件的各种运行信息，是安全运维的重点关注对象。李工在定期巡检服务器的 SSH 日志时，发现了以下可疑记录：

Jul 22 17:17:52 humen systed-logiad [1182]:Waching sytem buttons on/dev/input/evet0(Power Button)

Jul 22 17:17:52 humen systed-logiad [1182]:Waching sytem buttons on/dev/input/evet1(AT Translated Set 2 keyboard)

Jul 23 09:33:41 humen sshd [5423]:pam_unix (sshd:auth)authentication failure,logame= uid=0 euid=0 tty=ssh ruser=rhost=192.168.107.130 user=humen Jul 23 09:33:43 humen sshd [5423]:Failed password for humen from 192.168.107.130 port 40231 ssh2

Jul 2309:33:43 humen sshd [5423]:Connection closed by authenticating user humen 192.168.107.130 port 40231[preauth]

Jul 23 09:33:43 humen sshd [5425]:pam_unix (sshd:auth):authentication failure; logname=uid=0 euid=0 tty=ssh ruser=rhost=192.168.107.130 user=humen

Jul 23 09:33:45 humen sshd [5425]:Failed password for humen from 192.168.107.130 port 37223 ssh2

Jul 23 09:33:45 humen sshd [5425]:Connection closed by authenticating user humen192.168.107.130 port 37223 [preauth]

Jul 23 09:33:45 humen sshd [5427]:pam_unix (sshd:auth):authentication failure；

logname= uid=0 euid-0 tty=ssh ruser=rhost=192.168.107.130 user=humen

Jul 239:33:47 humen sshd [5427]:Failed password for humen from 192.168.107.130 port 41365 ssh2

Jul 23 09:33:47 humen sshd [5427]:Connection closed by authenticating user humen 192.168.107.130 port 41365 [preauth]

Jul 23 09:33:47 humen sshd [5429]:pam_unix(sshd:auth):authentication failure;logname= uid=0 euid=0 tty=ssh ruser=rhost=192.168.107.130 user=humen Jul 23 09:33:49 humen sshd [5429]:Failed password for humen from 192.168.107.130 port 45627 ssh2

Jul 23 09:33:49 humen sshd [5429]：Connection closed by authenticating user humen 19.168.107.130 port 45627 [preauth]:

Jul 23 09:33:49 humen sshd [5431]:pam_unix (sshd:auth):authentication failure;logname= uid=0 euid=0 tty=ssh ruser-=rhost=192.168.107.130 user=humen

Jul 23 09:33:51 humen sshd [5431]:Failed password for humen from192.168.107.130

port 42271 ssh2

Jul 23 09:33:51 humen sshd [5431]：Connection closed by authenticating user humen 192.168.107.130 port 42271 [preauth]

Jul 23 09:33:51 humen sshd [5433]:pam_unix (sshd:auth)authentication failure;logname= uid=0 euid=0 tty=ssh ruser-=rhost=192.168.107.130 user=humen

Jul 23 09:33:53 humen sshd [5433]:Failed password for humen from 192.168.107.130 port 45149 ssh2

Jul 23 09:33:53 humen sshd [5433]:Connection closed by authenticating user humen 192.168.107.130 port 45149[preauth]

Jul 23 09:33:54 humen sshd [5435]:Accepted password for humen from 192.168.107.130 port 45671 ssh2

Jul 23 09:33:54 humen sshd [5435]:pam_unix(sshd:auth):session opened for user humen by(uid=0)

(1) 请问李工打开的系统日志文件的路径和名称是什么？

解析：

如果不会的话可以推断一下：日志文件一般存放在/var目录下，因此第一个目录是这个，接着，日志简称log，因此可以推断出可能存在于/var/log这个目录下。

下面是相关知识：在 linux 系统中，安全日志(var/log/secure)存放了验证和授权方面信息，例如 sshd就会将所有信息记录（其中包括失败登录）在这里。

答案：路径：/var/log ；名称：secure

(2) 李工怀疑有黑客在攻击该系统，请给出判断攻击成功与否的日志以便李工评估攻击的影响。

答案：

Jul 23 09:33:54 humen sshd [5435]:Accepted password for humen from 192.168.107.130 port 45671 ssh2

Jul 23 09:33:54 humen sshd [5435]:pam_unix(sshd:auth):session opened for user humen by(uid=0)

这个是攻击成功的日志记录。

【问题 4】

经过上次 SSH 的攻击事件之后，李工为了加强口令安全，降低远程连接风险，考虑采用免密证书登录。

(1) Linux 系统默认不允许证书方式登录，李工需要实现免密证书登录的功能，应该修改哪个配置文件？请给出文件名。

解析：

对于不熟悉这个地址的可以推出大部分路径，在linux系统中，/etc目录下一般存放着配置文件，因此第一个目录可以推出，这是一个关于ssh的配置文件，因此第二个目录可能是ssh,到此可能就不能再往下推理出正确的，因为这个文件名如果不知道的话是很难猜出来的。下面是相关定义：

Linux 系统中默认不允许使用免密登录，因此需要修改SSHD 的配置文件，该文件位于/etc/ssh/sshd_config。

答案：/etc/ssh/sshd_config

(2)李工在创建证书后需要拷贝公钥信息到服务器中。他在终端输入了以下拷贝命令，请说明命令中“＞＞”的含义。

ssh xiaoming@server cat/home/xiaoming/.ssh/id_rsa.pub>>authorized keys

解析：

Linux 系统中命令中常用的＞和＞＞表示命令的输出重定向到指定的文件。＞表示覆盖原文件内容（文件的日期也会自动更新），＞＞表示追加内容（会另起一行，文件的日期也会自动更新）。

答案：>>是将公钥内容追加到内容里面。

(3) 服务器中的 authorized keys 文件详细信息如下，请给出文件权限的数字表示。

-rw------- 1 root root 0 10 月 18 2018'authorized keys

答案：600

(4) 李工完成 SSH 配置修改后需要重启服务，请给出systemctl 重启 SSH 服务的命令。

答案：systemctl restart sshd

(5)在上述服务配置过程中，配置命令中可能包含各种敏感信息，因此在配置结束后应及时清除历史命令信息，请给出清除系统历史记录应执行的命令。

答案：history -c

【问题 5】

SSH 之所以可以实现安全的远程访问，归根结底还是密码技术的有效使用。对于 SSH 协议，不管是李工刚开始使用的基于口令的认证还是后来的基于密钥的免密认证，都是密码算法和密码协议在为李工的远程访问保驾护航。请问上述安全能力是基于对称密码体制还是非对称密码体制来实现的？

解析：

Linux 中 SSH 认证中，使用的是非对称密码体制。当客户端确认 server 的公钥指纹后，server 端的公钥就会被存放到客户机的用户 home 目录里；客户端再次访问时，直接通过密码登录，不需要进行公钥确认。

客户端使用服务端公钥将自己的密码加密后发送给服务端，服务端收到客户端发过来的加密密码后使用服务端私钥进行解密，并将解密出来的密码和/etc/shadow文件里的用户密码对比。如果相同，则服务端认证成功，则返回登录成功信息，并发送一个随机会话口令给客户端，该口令用于之后两台主机进行数据传输的一个临时会话口令

答案：非对称密码体制。