【SSH远程管理和TCP访问控制】

一.SSH远程管理

1.作用

• 是一种安全通道协议，主要用来实现字符界面的远程登录、远程复制等功能。

• SSH协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的用户口令。因此SSH 协议具有很好的安全性。

• SSH客户端 <-------------------------------------------------------------------------------------->SSH服务端
  　　　　　　　　　　数据传输是加密的，可以防止信息泄漏
  　　　　　　　　　　数据传输是压缩的，可以提高传输速度

• SSH客户端：Putty、 xshell、CRT

• SSH服务端：OpenSSH

2.公钥原理

• 客户端发起链接请求，服务端返回自己的公钥，以及一个会话id，而客户端生成密钥对用自己的公钥异或会话ID，计算出一个值Res，并用服务端的公钥加密，发送加密后的值到服务端，服务端用私钥解密，得到Res。

• 服务端用解密后的值Res异或会话ID，计算出客户端的公钥（这一步服务端得到客户端公钥） 最终：双方各自持有三个秘钥，分别为自己的一对公、私钥，以及对方的公钥，之后的所有通讯都会被加密

3.密码验证

• 对服务器中本地系统用户的登录名称、密码进行验证。简便，但可能会被暴力破解

4.密钥对验证

• 要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件(公钥、私钥)，然后将公钥文件放到服务器中的指定位置。远程录时，系统将使用公钥、私钥进行加密/解密关联验证。能增强安全性，且可以免交互登录。

5.公钥和私钥的关系:

• 公钥和私钥是成对生成的，这两个密钥互不相同，可以互相加密和解密。
• 不能根据一个密钥来推算出另一个密销。
• 公钥对外公开，私钥只有私钥的持有人才知道。

当密码验证、密钥对验证都启用时，服务器将优先使用密钥对验证。可根据实际情况设置验证方式

vim /etc/ssh/sshd config
PasswordAuthentication yes     #启用密码验证
PubkevAuthentication yes       #启用密销对验证
AuthorizedKeysFile .ssh/authorized keys     #指定公钥库文件

6.密钥对配置

• 客户端 ssh的发起端：ssh-keygenI-t rsa/ecdsa（创建密钥对，在自己家目录的.ssh目录中生成 私钥和公钥文件）
• 服务端 被ssh连接端：在指定用户家目录的.ssh目录中生成公钥认证文件 authorized keys
• 从此 客户端使用 ssh [-p 端口] 用户@IP使用密钥对的密码验证

7.密钥对面交互登录

1）使用没有密码的密钥对

• ssh-keygen -t rsa/ecdsa（一路回车，不设置密码）
• ssh-copy-id -i 公销文件（目标主机用户@目标主机IP/主机名）

2） 创建ssh会话代理(只能在当前会话有效)

• ssh-agent bash
• ssh-add

7.SSH远程登录

1）方法一：

• ssh [远程主机用户名] @ [远程服务器主机名或IP地址]

ssh  root@192.168.247.133     #远程登陆到主机

2）方法二：

• ssh -l [远程主机用户名] [远程服务器主机名或IP地址] -p port

二.OpenSSH

1.作用

• 是实现 SSH 协议的开源软件项目，适用于各种 UNIX、Linux 操作系统。Centos 7系统默认已安装 OpenSSH 相关软件包，并已将 sshd 服务添加为开机自启动。执行 “systemctl start sshd” 命令即可启动sshd服务。
• sshd服务默认使用的是 TCP的22端口
• sshd服务的默认配置文件是 /etc/ssh/sshd _config
• sh config和sshd config都是ssh服务器的配置文件，二者区别在于前者是针对客户端的配置文件，后者则是针对服务端的配置文件。

2.配置openSSH

服务端sshd config配置文件的常用选项设置

vim /etc/ssh/sshd config
Port 22                   （#监听端口为 22）
ListenAddress 0.0.0.0     （监听地址为任意网段，也可以指定openSSH服务器的具体IP）
LoginGraceTime 2m         （#登录验证时间为 2 分钟）
PermitRootLogin no        （#禁止 root 用户登录）
MaxAuthTries 6            （#最大重试次数为 6）

三.TCP Wrappers（访问控制）

1.TCP封套

• 将TCP服务程产"包裹"起来，代为监听TCP服务程序的端口，增加了一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得许可后才能访问真正的服务程序。
• 大多数 Linux 发行版，TCP Wrappers 是默认提供的功能。rpm -g tcp wrappers

2.TCP wrappers 保护机制的两种实现方式

• 直接使用 tcpd 程序对其他服务程序进行保护，需要运行 tcpd程序
• 由其他网络服务程序调用 libwrap.so.*链接库，不需要运行 tcpd 程序。此方式的应用更加广泛，也更有效率。
• 使用 ldd 命令可以查看程序的 libwrap.so.*链接库:ldd $ (which ssh)

3.TCP wrappers 的访问策略

• TCP Wrappers 机制的保护对象为各种网络服务程序，针对访问服务的客户端地址进行访问控制。
• 对应的两个策略文件为/etc/hosts.allow 和/etc/hosts.deny，分别用来设置允许和拒绝的策略

4.格式:<服务程序列表>:<客户端地址列表>

1) 服务程序列表

• ALL: 代表所有的服务
• 单个服务程序:如"vsftpd”
• 多个服务程序组成的列表: 如"vsftpd,sshd”

2) 客户端地址列表

• ALL: 代表任何客户端地址
• LOCAL: 代表本机地址
• 多个地址以逗号分隔
• 允许使用通配符 “ * ” 和 “ ? ” ，前者代表任意长度字符，后者仅代表一个字符
• 网段地址：如“192.168.80.” 或者 192.168.80.0/255.255.255.0
• 区域地址：如“.benet.com”匹配 benet.com 域中的所有主机。

5.TCP wrappers 机制的基本原则

• 首先检查/etc/hosts.allow文件，如果找到相匹配的策略，则允许访问;
• 否则继续检查/etc/hosts.deny文件，如果找到相匹配的策略，则拒绝访问;
• 如果检查上述两个文件都找不到相匹配的策略，则允许访问。

“ 允许所有，拒绝个别”：只需在/etcyhosts.deny文件中添加相应的拒绝策略 ”

“ 允许个别，拒绝所有：除了在/etc/hosts.allow中添加允许策略之外，还需要在/etc/hosts.deny文件中设置"ALL:ALI"的拒绝策略。 ”

6.设置白名单与黑名单

• 查看哪些tcp服务可以被wrappers保护

进入白名单编辑器进行编辑

添加需要增加的白名单用户

测试一下设置的白名单用户是否可用

• 黑名单与白名单操作一样

四.scp 远程复制

1.下行复制

scp root@192.168.80.11:/etc/passwd /root/passwd10.txt   #将远程主机中的/etc/passwa文件复制到本机

2.上行复制

scp -r /etc/ssh/ root@192.168.80.10:/opt    #将本机的/etc/ssh 目录复制到远程主机

3.sftp 安全 ETP

• 由于使用了加密/解密技术，所以传输效率比普通的ETP要低，但安全性更高。操作语法stp与ftp几乎一样.
• sftp zhangsan@192.168.80.10
• Connecting to 192.168.80.10…
• tsengyia@172.16.16.22’s password:
• sftp> ls
• sftp> get 文件名 #下载文件到ftp目录
• sftp> put 文件名 #上传文件到ftp目录
• sftp> quit #退出

总结：

• 查看服务开机自启服务：systemctl status sshd / systemctl is-enabled sshd