04-远程访问及控制

目录

SSH 远程管理

2．用户登录控制

3．登录验证方式

使用 SSH 客户端程序

2.scp 远程复制

3.sftp 安全 FTP:

．4.图形工具 Xshel

构建密钥对验证的 SSH体系

TCP Wrappers 的访问策略

---

SSH 远程管理

本节将以 OpenSSH 为例，介绍 Linux 服务器的远程管理及安全控制。OpenSSH 是实 现 SSH 协议的开源软件项目，适用于各种 UNIX、Linux 操作系统。关于 OpenSSH 项目的 更多内容可以访问其官方网站 http://www.openssh.com

配置 OpenSSH 服务端

sshd 服务的默认配置文件是/etc/ssh/sshd_config(注意更改文件需要重启)

2．用户登录控制

关于 sshd 服务的用户登录控制，通常应禁止 root 用户或密码为空的用户登录。另外， 可以限制登录验证的时间（默认为 2 分钟）及最大重试次数，若超过限制后仍未能登录则 断开连接

当希望只允许或禁止某些用户登录时，可以使用 AllowUsers 或 DenyUsers 配置，两者 用法类似（注意不要同时使用），则 可 以 在 /etc/ssh/sshd_config 配置文件中添加以下配置

3．登录验证方式

sshd 服务支持两种验证方式——密码验证、密钥对验证，可以设置只使用其中一种方式， 也可以两种方式都启用

密码验证：这种方式使用最 为简便，但从客户端角度来看，正在连接的服务器有可能被假冒；从服务器角度来 看，当遭遇密码穷举（暴力破解）攻击时防御能力比较弱。

密钥对验证：远程登录 时，系统将使用公钥、私钥进行加密/解密关联验证，大大增强了远程管理的安全 性。该方式不易被假冒，且可以免交互登录，在 Shell 中被广泛使用。

其中，公钥库文件用来保存多个客户端上传的公钥文本，以便与客户端本地的私钥文件 进行匹配

使用 SSH 客户端程序

命令程序： ssh、scp、sft

1.ssh 远程登录:通过 ssh 命令可以远程登录 sshd 服务，为用户提供一个安全的 Shell 环境，以便对服 务器进行管理和维护。使用时应指定登录用户、目标主机地址作为参数

当用户第一次登录 SSH 服务器时，必须接受服务器发来的 ECDSA 密钥（根据提示输 入“yes”）后才能继续验证。接收的密钥信息将保存到～/.ssh/known_hosts 文件中。密码验 证

如果 sshd 服务器使用了非默认的端口号（如 2345），则在登录时必须通过“-p”选项指定 端口号。例如，执行以下操作将访问主机 192.168.4.22 的 2345 端口，以对方服务器的 jerry 用户验证登

录。

2.scp 远程复制

以下操作分别演示了下行、上行复制的操作过程，将远程主机中的 /etc/passwd 文件复制到本机，并将本机的/etc/vsftpd 目录复制到远程主机

3.sftp 安全 FTP:

通过 sftp 命令可以利用 SSH 安全连接与远程主机上传、下载文件，采用了与 FTP 类 似的登录过程和交互式环境，便于目录资源管理

．4.图形工具 Xshel

安装并运行 Xshell 后，在新建会话窗口中指定远程主机的 IP 地址、端口号等相关信息， 然后单击“连接”按钮，根据提示接受密钥、验证密码后即可成功登录目标主机，如图 4.1 所 示

图形工具 Xshell 是 Windows 下一款功能非常强大的安全终端模拟软件，支持 Telnet、 SSH、SFTP 等协议，可以方便地对 Linux 主机进行远程管理。

构建密钥对验证的 SSH体系

整个过程包括四步，首先要在 SSH 客户端以 zhangsan 用户身份 创建密钥对，并且要将创建的公钥文件上传至 SSH 服务器端，然后要将公钥信息导入服务 器端的目标用户 lisi 的公钥数据库，最后以服务器端用户 lisi 的身份登录

1．在客户端创建密钥对

公钥文件默认存放在宿主目录中的隐藏文件夹.ssh 下。私钥短语用来对私钥文 件进行保护，当使用该私钥验证登录时必须正确提供此处所设置的短语。尽管不设置私钥短 语也是可行的（实现无口令登录），但在生产环境中不建议这样做

新生成的密钥对文件中，id_ecdsa 是私钥文件，权限默认为 600，对于私钥文件必须 妥善保管，不能泄露给他人；id_ecdsa.pub 是公钥文件，用来提供给 SSH 服务

2．将公钥文件上传至服务器

将上一步生成的公钥文件上传至服务器，并部署到服务器端用户的公钥数据库中。上传 公钥文件时可以选择 SCP、FTP、Samba、HTTP 甚至送 E-mail等任何方式

以通过 SCP 方式将文件上传至服务器的/tmp 目录下

3．在服务器中导入公钥文本

在服务器中，目标用户（指用来远程登录的账号 lisi）的公钥数据库位于～/.ssh 目录， 默认的文件名是“authorized_keys”。如果目录不存在，需要手动创建。当获得客户端发送过 来的公钥文件以后，可以通过重定向将公钥文本内容追加到目标用户的公钥数据库。

由于 sshd 服务默认采用严格的权限检测模式（StrictModes yes），因此还需注意公钥 库文件 authorized_keys 的权限——要求除了登录的目标用户或 root 用户，同组或其他用户 对该文件不能有写入权限，否则可能无法成功使用密钥对验证

4．在客户端使用密钥对验证

如果密钥对验证方式配置成功，则在客户端将会要求输入私钥短语，以 便调用私钥文件进行匹配

TCP Wrappers 的访问策略

 ALL：代表所有的服务

单个服务程序：如“vsftpd”

多个服务程序组成的列表：如“vsftpd,sshd”

LOCAL：代表本机地址。

嵌入通配符“*”“?”：前者代表任意长度字符，后者仅代表一个字符，如“10.0.8.2*” 匹配以 10.0.8.2 开头的所有 IP 地址。不可与以“.”开始或结束的模式混用。

2．访问控制的基本原则

实际使用 TCP Wrappers 机制时，较宽松的策略可以是“允许所有，拒绝个别”，较严格 的策略是“允许个别，拒绝所有”。前者只需在 hosts.deny 文件中添加相应的拒绝策略就可以 了；后者则除了在 hosts.allow 中添加允许策略之外，还需要在 hosts.deny 文件中设置 “ALL:ALL”的拒绝策略