远程访问及控制

最新推荐文章于 2024-07-14 11:15:40 发布
最新推荐文章于 2024-07-14 11:15:40 发布
阅读量581 收藏 20
点赞数 29
文章标签: 服务器 linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fan394778945/article/details/139005125
版权

一、ssh远程管理

(1)SSH(Secure Shell)协议

SSHSecure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程 复制等功能。SSH 协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入 的用户口令。与早期的 Telent(远程登录)、RSHRemote Shell,远程执行命令)、RCP (Remote File Copy,远程文件复制)等应用相比,SSH 协议提供了更好的安全性。

注:

SSH客户端:Putty、Xshell、CRT

SSH服务端:OpenSSH

(2)OpenSSH
服务名称:sshd(默认使用TCP 22号端口:密文传输)
服务端主程序:/usr/sbin/sshd
服务端配置文件:/etc/ssh/sshd_config(ssh_config则是针对客户端的配置文件)
OpenSSH是实现SSH协议的开源软件项目,适用于各种UNIX、Linux操作系统

CentOS 7系统默认已安装openssh相关软件包,并已将sshd服务添加为开机自启动

1.配置OpenSSH服务端

CentOS 7.3 系统中,OpenSSH 服务器由 opensshopenssh-server 等软件包提供 (默认已安装),并已将 sshd 添加为标准的系统服务。执行“systemctl start sshd”命令即可 启动 sshd 服务,包括 root 在内的大部分用户(只要拥有合法的登录 Shell)都可以远程登 录系统。

sshd 服务的默认配置文件是/etc/ssh/sshd_config,正确调整相关配置项,可以进一步 提高 sshd 远程登录的安全性。下面介绍最常用的一些配置项,关于 sshd_config 文件的更 多配置可参考 man 手册页。

(1)sshd_config配置文件常用选项:vim /etc/ssh/sshd_config
(2)修改完所需配置后启动服务即可:systemctl start sshd

 2.用户登陆控制

sshd 服务默认允许 root 用户登录,但在 Internet 中使用时是非常不安全的。普遍的做 法如下:先以普通用户远程登入,进入安全 Shell 环境后,根据实际需要使用 su 命令切换 为 root 用户。

关于 sshd 服务的用户登录控制,通常应禁止 root 用户或密码为空的用户登录。另外, 可以限制登录验证的时间(默认为 2 分钟)及最大重试次数,若超过限制后仍未能登录则 断开连接。

当希望只允许或禁止某些用户登录时,可以使用 AllowUsers 或 DenyUsers 配置,两者 用法类似(注意不要同时使用)。例如,若只允许 jerrytsengyia admin 用户登录,且其 中 admin 用 户 仅 能 够 从 IP 地 址 为 61.23.24.25 的 主 机 远 程 登 录 , 则 可 以 在 /etc/ssh/sshd_config 配置文件中添加以下配置。

3.登陆方式验证 

对于服务器的远程管理,除了用户账号的安全控制以外,登录验证的方式也非常重要。sshd 服务支持两种验证方式——密码验证、密钥对验证,可以设置只使用其中一种方式,也可以两种方式都启用。

密码验证:对服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最 为简便,但从客户端角度来看,正在连接的服务器有可能被假冒;从服务器角度来 看,当遭遇密码穷举(暴力破解)攻击时防御能力比较弱。

密钥对验证:要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一 对密钥文件(公钥、私钥),然后将公钥文件放到服务器中的指定位置。远程登录 时,系统将使用公钥、私钥进行加密/解密关联验证,大大增强了远程管理的安全 性。该方式不易被假冒,且可以免交互登录,在 Shell 中被广泛使用。

当密码验证、密钥对验证都启用时,服务器将优先使用密钥对验证。对于安全性要求较 高的服务器,建议将密码验证方式禁用,只允许启用密钥对验证方式;若没有特殊要求,则 两种方式都可启用

 其中,公钥库文件用来保存多个客户端上传的公钥文本,以便与客户端本地的私钥文件 进行匹配。

4.使用SSH客户端程序

(1)命令程序ssh、scp、sftp

1.ssh远程登陆

通过 ssh 命令可以远程登录 sshd 服务,为用户提供一个安全的 Shell 环境,以便对服 务器进行管理和维护。使用时应指定登录用户、目标主机地址作为参数

ssh [-p 端口] 用户名@目标主机IP 
ssh [-p 端口] 用户名@目标主机IP  命令  

2.scp远程复制

通过 scp 命令可以利用 SSH 安全连接与远程主机相互复制文件。使用 scp 命令时,除 了必须指定复制源、目标之外,还应指定目标主机地址、登录用户,执行后根据提示输入验 证口令即可。例如,以下操作分别演示了下行、上行复制的操作过程,将远程主机中的 /etc/passwd 文件复制到本机,并将本机的/etc/vsftpd 目录复制到远程主机。

将目标主机的文件/目录复制到本机
scp [-P 端口] (-r 复制目录情况下)用户@目标主机ip:目标路径文件 指定存放路径

3.sftp文件传输

通过 sftp 命令可以利用 SSH 安全连接与远程主机上传、下载文件,采用了与 FTP 类 似的登录过程和交互式环境,便于目录资源管理。例如,以下操作依次演示了 sftp 登录、 浏览、文件上传等过程。

sftp -P 端口 用户名@目标主机IP
>get put cd ls

5.构建密钥对验证的SSH体系

正如前面所提及的,密钥对验证方式可以为远程登录提供更好的安全性。下面将介绍 在 CentOS 7.3 服务器、客户端中构建密钥对验证 SSH 体系的基本过程。如图所示, 以 RSA 加密算法为例,整个过程包括四步,首先要在 SSH 客户端以 zhangsan 用户身份 创建密钥对,并且要将创建的公钥文件上传至 SSH 服务器端,然后要将公钥信息导入服务 器端的目标用户 lisi 的公钥数据库,最后以服务器端用户 lisi 的身份登录验证。

 1.在客户端创建密钥对

CentOS 7.3 客户端中,通过 ssh-keygen 工具为当前用户创建密钥对文件。可用的 加密算法为 RSA ECDSA DSA 等( ssh-keygen 命令的 “-t” 选项用于指定算法类型)。例 如,以 zhangsan 用户登录客户端,并生成基于 ECDSA 算法的 SSH 密钥对(公钥、私钥)文件

 

上述操作过程中,提示指定私钥文件的存放位置时,一般直接按 Enter 键即可,最后生 成的私钥、公钥文件默认存放在宿主目录中的隐藏文件夹.ssh 下。私钥短语用来对私钥文 件进行保护,当使用该私钥验证登录时必须正确提供此处所设置的短语。尽管不设置私钥短 语也是可行的(实现无口令登录),但在生产环境中不建议这样做。

新生成的密钥对文件中,id_ecdsa 是私钥文件,权限默认为 600,对于私钥文件必须 妥善保管,不能泄露给他人;id_ecdsa.pub 是公钥文件,用来提供给 SSH 服务器。

2.将公钥文件上传至服务器

将上一步生成的公钥文件上传至服务器,并部署到服务器端用户的公钥数据库中。上传 公钥文件时可以选择 SCPFTPSambaHTTP 甚至发送 E-mail 等任何方式。

3.在服务器中导入公钥文本

在服务器中,目标用户(指用来远程登录的账号 lisi)的公钥数据库位于~/.ssh 目录, 默认的文件名是“authorized_keys”。如果目录不存在,需要手动创建。当获得客户端发送过 来的公钥文件以后,可以通过重定向将公钥文本内容追加到目标用户的公钥数据库。

 ssh-copy-id [-i 公钥文件]  用户名@目标主机IP    #公钥信息会自动保存到服务端的 ~/.ssh/authorized_keys 文件里

4.在客户端使用密钥对验证

当私钥文件(客户端)、公钥文件(服务器)均部署到位以后,就可以在客户端中进行 测试了。首先确认客户端中当前的用户为 zhangsan,然后通过 ssh 命令以服务器端用户 lisi 的身份进行远程登录。如果密钥对验证方式配置成功,则在客户端将会要求输入私钥短语,以 便调用私钥文件进行匹配(若未设置私钥短语,则直接登入目标服务器)。

经过客户端创建密钥对将公钥上传至服务器在服务器中导入公钥文本在客 户端使用密钥对验证”四个步骤,SSH 密钥对验证体系已经构建完成。 而在上述步骤中,第二步和第三步其实可以采用另外一种方法实现,即使用“ssh-copy-id -i 公钥文件 user@host”格式,“-i”选项指定公钥文件,“user”是指目标主机的用户。验证密 码后,会将公钥自动添加到目标主机 user 宿主目录下的.ssh/authorized_keys 文件结尾。

ssh-copy-id 命令在上传公钥文件到服务器的时候,具有简单、快捷的优点,可优先使 用此命令上传公钥,但通过SCP命令拷贝再导入的方式具有通用性,可应对没有ssh-copy-id 命令的情况

6.TCP Wrappers

1.TCP Wrappers概述

TCP Wrappers TCP 服务程序包裹起来,代为监听 TCP 服务程序的端口,增加了 一个安全检测过程,外来的连接请求必须先通过这层安全检测,获得许可后才能访问真正 的服务程序,如图 4.3 所示。TCP Wrappers 还可以记录所有企图访问被保护服务的行为, 为管理员提供丰富的安全分析资料

2.TCP Wrappers保护原理

如何判断是否支持 TCP Wrappers:执行命令 ldd $(which c程序名称) | grep libwrap

$()作用:提取括号内命令的结果

3.TCP Wrappers访问原则

首先检查/etc/hosts.allow文件,如果找到相匹配的策略,则允许访问;否则继续查/etc/hosts.deny文件,如果找到相匹配的策略,则拒绝访问;如果检查上述两个文件都找不到相匹配的策略,则允许访问。

[root@localhost ~]# ldd $(which sshd) | grep libwrap
    libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f9cbe054000)
[root@localhost ~]# 

汐雨寂寂
关注
  • 29
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
远程连接linux系统
SundayO的博客
10-30 309
ping命令 相关链接: https://blog.csdn.net/sinat_34439107/article/details/70214285 https://blog.csdn.net/Crazy_xiaohe/article/details/12707219
C#winfrom分屏远程控制
07-17
可以通过Windows身份验证或自定义的身份验证机制来确保只有授权的用户才能访问远程计算机。此外,所有的网络通信应使用加密协议,如SSL/TLS,以保护数据的安全。 7. **DataCenterView**: 这可能是项目的主视图或者...
常用几种远程控制协议总结(telnet,rlogin,ssh,rfb,rdp)
最新发布
m0_63075763的博客
07-14 447
注:1.vnc服务使用的TCP端口号从5900开始例如桌面号为1,则使用的端口号为5901,桌面号为2,则使用的端口号为5902。Telnet服务默认的端口为23,出于安生性考虑,可以更改服务器监听的端口,通过编辑文件/etc/services来修改各个服务的端口,找到telnet选项,修改其数值即可。配置SSH服务的运行参数,主要是通过修改配置文件/etc/ssh/sshd_config来实现的,这里面的选项特别多,但大部分都是使用#注释的,这是因为SSH服务使用默认配置已经能够很好的工作了。
Linux 远程登录 | 菜鸟教程
weixin_34029680的博客
05-28 1574
Linux 远程登录 Linux一般作为服务器使用,而服务器一般放在机房,你不可能在机房操作你的Linux服务器。 这事我们就需要远程登录到Linux服务器来管理维护系统。 Linux系统中是通过ssh服务实现的远程登录功能,默认ssh服务端口号为 22。 Window系统上 Linux 远程登录客户端有SecureCRT, Putty, SSH Secure She...
Linux 远程访问控制
GUARDIAN_L的博客
07-07 3892
Linux 远程访问控制
linux远程访问控制
aran2002的博客
04-29 1513
TCP Wrappers 是一种基于主机的访问控制方法,它通过在 TCP 服务程序和客户端之间插入一个安全层,来增加对网络服务的访问控制和安全性。TCP Wrappers 的工作方式是在服务程序启动之前对连接请求进行检查,以确定是否允许连接到服务。如何判断是否支持 TCP Wrappers:执行命令 ldd $(which c程序名称) | grep libwrap$()作用:提取括号内命令的结果。
Windows远程访问管理工具
09-08
至于“windows远程访问”,Windows操作系统内置了Remote Desktop Services,即RDP,它允许用户通过图形界面远程控制另一台运行Windows的电脑。虽然RDP和SSH都是远程访问工具,但它们在安全性和使用场景上有所不同。...
局域网远程访问中的安全问题及对策
07-05
随着信息技术的不断发展和...但是,远程访问功能的加入必然增加了局域网的安全隐患,文章对局域网的远程访问中存在的各类安全问题,以及其相应的解决对策进行了分析,希望文中的研究能够有助于提高局域网远程访问的安全性。
linux 控制sshd的远程访问
07-29
本文教大家一个linux控制sshd的远程访问的方法,通过这种方法可以控制部分非授权访问。
Java远程控制源代码
08-31
此外,还需要设计合适的权限模型,限制对远程系统的访问权限。 5. **序列化**: 在Java中,远程对象需要被序列化以便在网络上传输。Java的序列化机制允许对象的状态转换为字节流,然后在另一端反序列化恢复。这是...
Centos 7.4中的远程访问控制的实现方法
09-14
主要介绍了Centos 7.4中的远程访问控制的实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
opc技术及远程访问opc接口.pdf
07-13
例如,中控室可以利用远程访问功能直接与装卸船机的控制管理系统(CMS)进行交互,收集设备数据。实现远程访问OPC接口的关键在于正确配置DCOM(分布式组件对象模型),确保DCOM设置的一致性,以及可能需要调整防火墙...
dameware 远程控制 访问 局域网
12-03
总之,Dameware作为一个强大的远程控制工具,为局域网环境的IT管理提供了便利,但同时也需要严格的安全管理,确保每一次远程访问都在授权和监控之下。正确使用和配置Dameware,能够极大地提升IT团队的工作效率和服务...
RustDesk轻巧远程控制软件
10-26
RustDesk是一款高效、安全且轻量级的远程控制软件,专为用户提供便捷的跨平台远程桌面连接服务。它的设计目标是提供一个无广告、开源、免费的替代方案,让用户能够在不同的操作系统之间轻松地进行远程协作和管理。...
AnyDesk远程桌面控制软件
04-29
免费的远程控制软件 既不像TeamViewer那样价格高昂 也没有向日葵那样流氓
Linux-远程访问控制
druizhen_的博客
06-17 1830
当我们远程建立连接时,需要我们建立一个普通用户,以普通用户的身份建立连接,再切换到root用户,是为了防止有黑客在外面建立连接时截取我们的数据流量,从而破译出root用户密码,若是以普通用户身份建立连接时流量被截取,但普通用户没有root用户的相关权限,提高安全性。,必要时建议修改此端口号,并指定监听服务的具体IP 地址,以提高在网络中的隐蔽性。ssh远程登录一个主机,是经常要做的,尤其是linux的维护,经常是用xshell或者是远程的终端工具去登录,登录的方法就是ssh加上对端主机,顶多加个用户。
Linux远程控制
BABY的专栏
04-17 9727
精明的程序员——Linux远程控制 今天本来在写一个捕捉Linux中的键鼠消息的程序。查阅资料,看到了如下信息: 键鼠设备(包括touch等设备)事件以文件的形式存在/dev/input/event[n]中;其中n等于多少,可以通过cat /proc/bus/input/devices得知。读取这些文件,就可以获得键盘与鼠标触发的消息,反之,写入这些文件就可以模拟键盘与鼠标的输入动作。
Linux系统中如何实现远程控制
杂七杂八
08-09 2656
看着办公室里的同事大李每天下班时间一到就早早打卡回家,在温暖的家中通过远程控制软件来继续工作,还在冷冰冰的办公室里加班的小张暗暗下了决心:不行,我也要早早回家,美美吃上一顿再加班!不过Linux下面可以实现远程控制吗?  “当然可以了!像我一样用VNC不就成了?”大李拍拍小张的肩膀,“兄弟一场,我就来教教你吧!”  VNC(Virtual Network Computing)是一套著名的远程控制
远程访问连接控制器打不开
06-11
如果您无法打开远程访问连接控制器(Remote Access Connection Manager),可能是因为该服务未运行或存在其他问题。以下是一些可能的解决方案: 1. 检查远程访问连接控制器服务是否运行。您可以按Win+R键打开运行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值