Linux--构建安全的SSH服务体系

某公司的电子商务站点由专门的网站管理员进行配置和维护，并需要随时从Internet进行远程管理，考虑到易用性和灵活性，在Web服务器上启用OpenSSH服务，同时基于安全性考虑，需要对
SSH登录进行严格的控制，如图10.4所示。

需求描述

允许网站管理员wzadm通过笔记本电脑远程登录Web服务器，笔记本电脑的IP地址并不是固定的，采用密钥对验证方式以提高安全性。

允许用户jacky远程登录Web服务器，但仅限于从网管工作站192.168.3.110访问。

禁止其他用户通过SSH方式远程登录Web服务器。

创建用户

[root@node01 ~]# useradd wzadm
[root@node01 ~]# passwd wzadm

[root@node01 ~]# useradd jacky
[root@node01 ~]# passwd jacky

1.在客户端创建密钥对（一下操作为 客户端 操作，非root用户也可操作）

在Linux客户端中，通过ssh-keygen工具为当前用户创建密钥对文件。可用的加密算法为ECDSA 或DSA （ssh-
keygen命令的“-t”选项用于指定算法类型）。例如，以 root
用户登录客户端，并生成基于ECDSA算法的SSH密钥对（公钥、私钥）文件，操作如下所示。

[root@node02 ~]# ssh-keygen -t ecdsa

上述操作过程中，提示指定私钥文件的存放位置时，一般直接按Enter键即可，最后生成的私钥、公钥文件默认存放在宿主目录中的隐藏文件夹.ssh下。

[root@node02 ~]# ls -lh /root/.ssh/id_ecdsa*  //确认生成的密钥对

新生成的密钥对文件中，id_ecdsa是私钥文件，权限默认为600。对于私钥文件必须妥善保管，
不能泄露给他人；id_ecdsa.pub是公钥文件，用来提供给SSH服务器。

2. 将公钥文件上传至服务器

将上一步生成的公钥文件上传至服务器，并部署到服务器端用户的公钥数据库中，上传公钥文 件时可以选择SCP、FTP、Samba、HTTP甚至发送E-
mail等任何方式。例如，可以通过SCP方式将文件上传至服务器的/tmp目录下。

[root@node02 ~]# scp /root/.ssh/id_ecdsa.pub root@192.168.222.128:/tmp

3.在服务器中导入公钥文本（以下操作为 服务端 root操作）

在服务器中，目标用户（指用来远程登录的账号wzadm）的公钥数据库位于~/.ssh目录，默认的
文件名是‘authorized_keys"。如果目录不存在，需要手动创建。当获得客户端发送过来的公钥文件以
后，可以通过重定向将公钥文本内容追加到目标用户的公钥数据库。

[root@node01 ~]# mkdir /home/wzadm/.ssh/
[root@node01 ~]# cat /tmp/id_ecdsa.pub >> /home/wzadm/.ssh/authorized_keys
[root@node01 ~]# tail -l /home/wzadm/.ssh/authorized_keys

在公钥库authorized_keys文件中，最关键的内容是“ecdsa-sha2-nistp256加密字串”部分，当 导入非 ssh-keygen
工具创建的公钥文本时，应确保此部分信息完整，最后“root@node02” 是注释信息。

由于 sshd 服务默认采用严格的权限检测模式（StrictModes yes)，因此还需注意公钥库文件
authorized_keys的权限——要求除了登录的目标用户或root用户，同组或其他用户对该文件不能有写入权限，否则可能无法成功使用密钥对验证。

[root@node01 ~]# ls -l /home/wzadm/.ssh/authorized_keys

登录验证方式

对于服务器的远程管理，除了用户账号的安全控制以外，登录验证的方式也非常重要。sshd服
务支持两种验证方式——密码验证、密钥对验证，可以设置只使用其中一种方式，也可以两种方式 都启用。

密码验证： 对服务器中本地系统用户的登录名称，密码进行验证，这种方式使用最为简便，
但从客户端角度来看，正在连接的服务器有可能被假冒：从服务器角度来看，当遭遇密码 穷举（暴力破解）攻击时防御能力比较弱。

密钥对验证： 要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥
文件（公钥、私钥），然后将公钥文件放到服务器中的指定位置。远程登录时，系统将使用
公钥，私钥进行加密/解密关联验证，大大增强了远程管理的安全性，该方式不易被假冒，且可以免交互登录，在Shell 中被广泛使用。

当密码验证、密钥对验证都启用时，服务器将优先使用密钥对验证。对于安全性要求较高的服
务器，建议将密码验证方式禁用，只允许启用密钥对验证方式：若没有特殊要求，则两种方式都可 启用。

[root@node01 ~]# vim /etc/ssh/sshd_config

//启用密码认证

//43 启用密钥对认证

//45 将wzadm、jacky用户加入白名单，jacky用户只能在IP为192.168.222.1的主机ssh远程到服务端node01

//49 指定公钥库文件

[root@node01 ~]# systemctl restart sshd //重启sshd服务

4. 在客户端使用密钥对验证（以下为客户端操作，非root也可操作）

当私钥文件（客户端）、公钥文件（服务器）均部署到位以后，就可以在客户端中进行测试了。
首先确认客户端中当前的用户为root,然后通过ssh命令以服务器端用户wzadm的身份进行远程登录。如果密钥对验证方式配置成功，则在客户端将会要求输入私钥短语，以便调用私钥文件进行匹配（若未设置私钥短语，则直接登入目标服务器）。

验证实验结果

（1）使用jacky的用户名/密码，可以从主机192.168.222.1远程登录网站服务器。

（2）使用wzadm的用户名/密码，在任何主机中均无法远程登录网站服务器。

（3）在生成密钥对的主机中，使用wzadm的用户名、验证私钥短语后可以远程登录网站服务器。

（4）使用root 用户或其他用户（如wangwu)无法远程登录网站服务器。

[root@node02 ~]# ssh wzadm@192.168.222.128
[wzadm@node01 ~]$ whoami

验证结果，只有wzadm用户可以ssh到服务端弄node01，root和其他人都没有权限ssh到服务端

jacky用户在IP为192.168.222.1的主机成功ssh远程到服务端node01

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础 时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境 时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作 时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段

第三阶段：进阶

已经入门并且找到工作之后又该怎么进阶？详情看下图

给新手小白的入门建议：
新手入门学习最好还是从视频入手进行学习，视频的浅显易懂相比起晦涩的文字而言更容易吸收，这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦！

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！