一.SSH远程管理
1.作用
-
是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。
-
SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。因此SSH 协议具有很好的安全性。
-
SSH客户端 <-------------------------------------------------------------------------------------->SSH服务端
数据传输是加密的,可以防止信息泄漏
数据传输是压缩的,可以提高传输速度 -
SSH客户端:Putty、 xshell、CRT
-
SSH服务端:OpenSSH
2.公钥原理
-
客户端发起链接请求,服务端返回自己的公钥,以及一个会话id,而客户端生成密钥对用自己的公钥异或会话ID,计算出一个值Res,并用服务端的公钥加密,发送加密后的值到服务端,服务端用私钥解密,得到Res。
-
服务端用解密后的值Res异或会话ID,计算出客户端的公钥(这一步服务端得到客户端公钥) 最终:双方各自持有三个秘钥,分别为自己的一对公、私钥,以及对方的公钥,之后的所有通讯都会被加密
3.密码验证
- 对服务器中本地系统用户的登录名称、密码进行验证。简便,但可能会被暴力破解
4.密钥对验证
- 要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件(公钥、私钥),然后将公钥文件放到服务器中的指定位置。远程录时,系统将使用公钥、私钥进行加密/解密关联验证。能增强安全性,且可以免交互登录。
5.公钥和私钥的关系:
- 公钥和私钥是成对生成的,这两个密钥互不相同,可以互相加密和解密。
- 不能根据一个密钥来推算出另一个密销。
- 公钥对外公开,私钥只有私钥的持有人才知道。
当密码验证、密钥对验证都启用时,服务器将优先使用密钥对验证。可根据实际情况设置验证方式
vim /etc/ssh/sshd config
PasswordAuthentication yes #启用密码验证
PubkevAuthentication yes #启用密销对验证
AuthorizedKeysFile .ssh/authorized keys #指定公钥库文件
6.密钥对配置
- 客户端 ssh的发起端:ssh-keygenI-t rsa/ecdsa(创建密钥对,在自己家目录的.ssh目录中生成 私钥和公钥文件)
- 服务端 被ssh连接端:在指定用户家目录的.ssh目录中生成公钥认证文件 authorized keys
- 从此 客户端使用 ssh [-p 端口] 用户@IP使用密钥对的密码验证
7.密钥对面交互登录
1)使用没有密码的密钥对
- ssh-keygen -t rsa/ecdsa(一路回车,不设置密码)
- ssh-copy-id -i 公销文件(目标主机用户@目标主机IP/主机名)
2) 创建ssh会话代理(只能在当前会话有效)
- ssh-agent bash
- ssh-add
7.SSH远程登录
1)方法一:
- ssh [远程主机用户名] @ [远程服务器主机名或IP地址]
ssh root@192.168.247.133 #远程登陆到主机
2)方法二:
- ssh -l [远程主机用户名] [远程服务器主机名或IP地址] -p port
二.OpenSSH
1.作用
- 是实现 SSH 协议的开源软件项目,适用于各种 UNIX、Linux 操作系统。Centos 7系统默认已安装 OpenSSH 相关软件包,并已将 sshd 服务添加为开机自启动。执行 “systemctl start sshd” 命令即可启动sshd服务。
- sshd服务默认使用的是 TCP的22端口
- sshd服务的默认配置文件是 /etc/ssh/sshd _config
- sh config和sshd config都是ssh服务器的配置文件,二者区别在于前者是针对客户端的配置文件,后者则是针对服务端的配置文件。
2.配置openSSH
服务端sshd config配置文件的常用选项设置
vim /etc/ssh/sshd config
Port 22 (#监听端口为 22)
ListenAddress 0.0.0.0 (监听地址为任意网段,也可以指定openSSH服务器的具体IP)
LoginGraceTime 2m (#登录验证时间为 2 分钟)
PermitRootLogin no (#禁止 root 用户登录)
MaxAuthTries 6 (#最大重试次数为 6)
三.TCP Wrappers(访问控制)
1.TCP封套
- 将TCP服务程产"包裹"起来,代为监听TCP服务程序的端口,增加了一个安全检测过程,外来的连接请求必须先通过这层安全检测,获得许可后才能访问真正的服务程序。
- 大多数 Linux 发行版,TCP Wrappers 是默认提供的功能。rpm -g tcp wrappers
2.TCP wrappers 保护机制的两种实现方式
- 直接使用 tcpd 程序对其他服务程序进行保护,需要运行 tcpd程序
- 由其他网络服务程序调用 libwrap.so.*链接库,不需要运行 tcpd 程序。此方式的应用更加广泛,也更有效率。
- 使用 ldd 命令可以查看程序的 libwrap.so.*链接库:ldd $ (which ssh)
3.TCP wrappers 的访问策略
- TCP Wrappers 机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制。
- 对应的两个策略文件为/etc/hosts.allow 和/etc/hosts.deny,分别用来设置允许和拒绝的策略
4.格式:<服务程序列表>:<客户端地址列表>
1) 服务程序列表
- ALL: 代表所有的服务
- 单个服务程序:如"vsftpd”
- 多个服务程序组成的列表: 如"vsftpd,sshd”
2) 客户端地址列表
- ALL: 代表任何客户端地址
- LOCAL: 代表本机地址
- 多个地址以逗号分隔
- 允许使用通配符 “ * ” 和 “ ? ” ,前者代表任意长度字符,后者仅代表一个字符
- 网段地址:如“192.168.80.” 或者 192.168.80.0/255.255.255.0
- 区域地址:如“.benet.com”匹配 benet.com 域中的所有主机。
5.TCP wrappers 机制的基本原则
- 首先检查/etc/hosts.allow文件,如果找到相匹配的策略,则允许访问;
- 否则继续检查/etc/hosts.deny文件,如果找到相匹配的策略,则拒绝访问;
- 如果检查上述两个文件都找不到相匹配的策略,则允许访问。
“ 允许所有,拒绝个别”:只需在/etcyhosts.deny文件中添加相应的拒绝策略 ”
“ 允许个别,拒绝所有:除了在/etc/hosts.allow中添加允许策略之外,还需要在/etc/hosts.deny文件中设置"ALL:ALI"的拒绝策略。 ”
6.设置白名单与黑名单
- 查看哪些tcp服务可以被wrappers保护
进入白名单编辑器进行编辑
添加需要增加的白名单用户
测试一下设置的白名单用户是否可用
- 黑名单与白名单操作一样
四.scp 远程复制
1.下行复制
scp root@192.168.80.11:/etc/passwd /root/passwd10.txt #将远程主机中的/etc/passwa文件复制到本机
2.上行复制
scp -r /etc/ssh/ root@192.168.80.10:/opt #将本机的/etc/ssh 目录复制到远程主机
3.sftp 安全 ETP
- 由于使用了加密/解密技术,所以传输效率比普通的ETP要低,但安全性更高。操作语法stp与ftp几乎一样.
- sftp zhangsan@192.168.80.10
- Connecting to 192.168.80.10…
- tsengyia@172.16.16.22’s password:
- sftp> ls
- sftp> get 文件名 #下载文件到ftp目录
- sftp> put 文件名 #上传文件到ftp目录
- sftp> quit #退出
总结:
- 查看服务开机自启服务:systemctl status sshd / systemctl is-enabled sshd