手機在網絡安全管理上的妙用

河南 郭建偉

手機可謂是每個人必備的行頭，是大家和外界連接的重要工具。在一般人的印象中，手機只是用來打打電話，聊聊微信，看看新聞等，似乎和網絡安全沒什么關系。其實不然，對于網絡管理員來說，手機可以說是每時每刻都隨身攜帶的，只要充分發揮其功能，完全可以讓其為網絡安全管理保駕護航。

使用手機驗證，安全登錄SSH

利用SSH 連接，可以遠程登錄到目標服務器上。按照一般的方法，在執行連接操作時，需要輸入密碼進行驗證。但密碼一旦被泄露，別人可以隨意進行連接，這對服務器的安全是極為不利的。

相比之下，使用手機驗證碼和密碼雙重驗證機制，可以大大提高SSH 連接的安全性。具體來說，就是在遠程登錄時，先輸入手機的驗證碼，再輸入正確的連接密碼，只有兩者都驗證通過，才可以登錄到遠程服務器上。

這里以Debian 9.X 環境下，來說明實現的方法。首先需要保證服務器的時鐘是正確的，執行“data”和“Ip a”命令，查看時鐘和IP 等信息。接下來需要更新安裝源信息，執行“vi /etc/apt/source.list”命令，打開更新源源配置文件。在其中添加以下命令：

繼續輸入：

完成以上命令配置更新源信息。

執行“apt update&&apt upgrade”“apt install-ygit make automake libtool libpam0g-dev”命令，執行更新以及安裝所需輔助軟件包操作。

要想實現以上雙重認證功能，需要安裝谷歌的開源工具包。執行命令：

完成下載、編譯和安裝操作。注意，該工具包的庫文件保存到了“/usr/local/lib/security”目錄中。

執行“mkdir/lib/security”命令，創建名為“security”的目錄。執行“cp/usr/local/lib/security/pam*.so/lib/security”命令，將所需的PAM 認證模塊復制過來。執行“vim/etc/pam.d/sshd”命令，在打開的配置文件中添加“auth required pam_google_authenticator.so”行，修改和SSH 相關的PAM 參數。執 行“vim/etc/ssh/sshd_config”命令，將其中的“Cha llengeResponseAuthrnticat ion”的值修改為“yes”。接下來安裝二維碼生成工具包，執行命令：

執行下載、解壓和安裝操作。

利用“su”命令，切換到需要執行雙重認證的賬戶環境中。執行“googleauthenticator”命令，在提示信息中輸入“y”，之后會生成所需的二維碼。在手機端下載和安裝谷歌身份驗證器，并使用該驗證器掃描上述二維碼，會產生一串數字。在上述二維碼下方的“Enter code from app”欄中輸入該數字串，在“Your emergency scratch code are”欄中顯示五串數字。注意，需要將其記錄下來，如果出現認證失敗的話，可以使用上述緊急安全碼來登錄系統。然后在之后的提示中全部輸入“y”即可。

完成以上配置后，執行“servicesshd restart”命令。來重啟SSH 服務。之后等使用“ssh”命令來連接服務器時，就會提示輸入密碼和手機驗證碼，只有全部輸入正確，才可以順利登錄服務器。

利用手機短信，發送安全警報

使用Windows 的審核機制，可以全面記錄和跟蹤各種安全事件。執行“gpedit.msc”程序，在組策略編輯器窗口左側選擇“計算機配置”→“安全設置”→“Windows 設置”→“安全設置”→“本地策略”→“審核策略”項，在右側可以針對策略更改、登錄事件、對象訪問、進程跟蹤、目錄服務訪問、特權使用、系統事件、賬戶登錄事件、賬戶管理等策略，來開啟審核功能。例如，當出現黑客登錄服務器、創建非法賬戶、非法修改密碼等操作時，就會被系統審核機制記錄下來，并保存到系統日志中。

管理員可以通過查看系統日志，來發現黑客的蹤跡。但是，該方法存在一定的滯后性。當管理員查看日志發現問題時，黑客實際上已經攻擊得手。而且系統日志內容龐雜，管理員未必可以及時從中發現可疑信息。如果在黑客對服務器進行滲透的同時，管理員可以立刻得到報警信息，就可以在第一時間內對其進行防控。

例如，當系統審核機制發現問題后，立即向管理員的手機發送報警短信。實際上，現在移動服務運行商（例如電信、聯通等）都為用戶免費提供了郵件提醒功能，當然，服務器需要能夠訪問Internet 方可。

當139 等郵箱收到短信后，可以自動向用戶的手機發送短信。利用這一功能，就可以輕松實現短信報警操作。打開記事本程序，在其中輸入以下命令：

執行后完畢后將其保存為“baojing.vbs”的腳本文件。

其中的“xxxxxx”為您的手機號，“yyyyyy”為郵箱密碼，這里采用的是139 郵箱，您可以根據實際需要進行修改。點擊“Windows+R”鍵，執行“eventvwr.msc”程序，在事件查看器左側選擇“Windows 日志”→“安全”項，在右側顯示所有的安全相關的日志信息。這里針對登錄事件配置報警功能，例如對于登錄失敗的事件來說，其對應的ID 為4525。選擇該事件，在其右鍵菜單上點擊“將任務附加到此事件”項，在向導窗口中輸入任務的名稱（例如“Autoalert”）。

點擊“下一步”按鈕，選擇“啟動程序”項，在下一步窗口中點擊“瀏覽”按鈕，選擇上述“baojing.vbs”腳本文件。點擊“完成”按鈕，創建該任務。

對于登錄成功事件來說，其對應的ID 為4624。可以按照上述方法為其創建任務。當然對于上述腳本來說，可以進行適當修改，用來顯示登錄成功信息。

這樣，當黑客試圖登錄服務器時，不管其成功還是失敗，系統都會記錄下來，并自動向管理員的手機發送報警信息。當然，您可以使用上述方法，針對不同的安全事件，來配置報警功能，靈活地應對各種安全威脅。