ssh远程登录协议和tcp wappers

最新推荐文章于 2024-04-07 17:42:15 发布

一只小毛驴呀

最新推荐文章于 2024-04-07 17:42:15 发布

阅读量4k

点赞数

文章标签： ssh linux

本文链接：https://blog.csdn.net/Liangheng32/article/details/120594153

版权

SSH服务

SSH服务器

SSH（Secure Shell）是一种安全通道协议，主要用来实现字符界面的远程登录、远程复制等功能。SSH 协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的用户口令，SSH 为建立在应用层和传输层基础上的安全协议。对数据进行压缩，加快传输速度。

SSH客户端<--------------网络---------------->SSH服务端

优点：

数据传输是加密的，可以防止信息泄漏

数据传输是压缩的，可以提高传输速度

SSH客户端和服务端

ssh服务端主要包括两个服务功能 ssh远程链接和sftp服务

作用：SSHD 服务使用 SSH 协议可以用来进行远程控制，或在计算机之间传送文件。相比较之前用 Telnet 方式来传输文件要安全很多，因为 Telnet 使用明文传输，SSH 是加密传输

远程管理linux系统基本上都要使用到ssh，原因很简单：telnet、FTP等传输方式是以明文传送用户认证信息，本质上是不安全的，存在被网络窃听的危险。SSH（Secure Shell）目前较可靠，是专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题，透过SSH可以对所有传输的数据进行加密，也能够防止DNS欺骗和IP欺骗。

SSH端口、配置文件

sshd 服务默认使用的是TCP的22端口，安全协议版本sshv2，出来2之外还有1（有漏洞）

sshd服务的默认配置文件是/etc/ssh/sshd_config
ssh_config和sshd_config都是ssh服务器的配置文件，二者区别在于前者是针对客户端的配置文件，后者则是针对服务端的配置文件。

ssh原理

公钥传输原理

客户端发起链接请求
服务端返回自己的公钥，以及一个会话ID（这一步客户端得到服务端公钥）
客户端生成密钥对
客户端用自己的公钥异或会话ID，计算出一个值Res，并用服务端的公钥加密
客户端发送加密后的值到服务端，服务端用私钥解密，得到Res
服务端用解密后的值Res异或会话ID，计算出客户端的公钥（这一步服务端得到客户端公钥）
最终：双方各自持有三个秘钥，分别为自己的一对公、私钥，以及对方的公钥，之后的所有通讯都会被加密

ssh加密通讯原理

对称加密

1、概念采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密，这种加密方法称为对称加密，由于其速度快，对称性加密通常在消息发送方需要加密大量数据时使用

2、常用算法在对称加密算法中常用的算法有：DES、3DES、TDEA、Blowfish、RC2、RC4、RC5、IDEA、SKIPJACK等。

特点

1、加密方和解密方使用同一个密钥；

2、加密解密的速度比较快，适合数据比较长时的使用；

3、密钥传输的过程不安全，且容易被破解，密钥管理也比较麻烦；

4、优缺点对称加密算法的优点是算法公开、计算量小、加密速度快、加密效率高。对称加密算法的缺点是在数据传送前，发送方和接收方必须商定好秘钥，然后使双方都能保存好秘钥。其次如果一方的秘钥被泄露，那么加密信息也就不安全了。另外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的独一秘钥，这会使得收、发双方所拥有的钥匙数量巨大，密钥管理成为双方的负担

非对称加密

1、概念

非对称加密算法需要两个密钥：公开密钥（publickey:简称公钥）和私有密钥（privatekey:简称私钥）。公钥与私钥是一对，如果用公钥对数据进行加密，只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。

2、常用算法

RSA（RSA algorithm）：目前使用最广泛的算法 DSA（Digital Signature Algorithm）：数字签名算法，和 RSA 不同的是 DSA 仅能用于数字签名，不能进行数据加密解密，其安全性和RSA相当，但其性能要比RSA快 ECC（Elliptic curve cryptography，椭圆曲线加密算法） ECDSA：Elliptic Curve Digital Signature Algorithm，椭圆曲线签名算法，是ECC和 DSA 的结合，相比于RSA算法，ECC 可以使用更小的秘钥，更高的效率，提供更高的安全保障

3、原理

首先ssh通过加密算法在客户端产生密钥对（公钥和私钥），公钥发送给服务器端，自己保留私钥，如果要想连接到带有公钥的SSH服务器，客户端SSH软件就会向SSH服务器发出请求，请求用联机的用户密钥进行安全验证。SSH服务器收到请求之后，会先在该SSH服务器上连接的用户的家目录下

5、优缺点

相比于对称加密技术，非对称加密技术安全性更好，但性能更慢。

此本次实验中，我们用非对称加密算法ECDSA进行加密，为了方便用root用户，也可给其他普通用户配置

配置OpenSSH服务端

服务名称：sshd

服务端主程序：/usr/sbin/sshd

服务端配置文件：/etc/ssh/

服务监听选项

sshd服务使用的默认端口号为22，必要时建议修改此端口号，并指定监听服务的具体IP地址，以提高在网络中的隐蔽性。除此之外，SSH协议的版本选用V2比V1的安全性更好，禁用DNS反向解析可以提高服务器的响应速度。

TCP Wrappers

在 Linux 系统中，许多网络服务针对客户端提供了访问控制机制，如 Samba、BIND、 HTTPD、OpenSSH 等。本节将介绍另一种防护机制——TCP Wrappers（TCP 封套），以作为应用服务与网络之间的一道特殊防线，提供额外的安全保障。

TCP Wrappers 将 TCP 服务程序“包裹”起来，代为监听 TCP 服务程序的端口，增加了

一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得许可后才能访问真正

的服务程序，如图 4.3 所示。TCP Wrappers 还可以记录所有企图访问被保护服务的行为，

为管理员提供丰富的安全分析资料。

策略的配置格式

两个策略文件的作用相反，但配置记录的格式相同，如下所示。

服务程序列表：客户端地址列表

服务程序列表、客户端地址列表之间以冒号分隔，在每个列表内的多个项之间以逗号分隔

（1）服务程序列表

服务程序列表可分为以下几类。

ALL：代表所有的服务

单个服务程序：如“vsftpd“

多个服务程序组成的列表：如“vsftpd,sshd”

(2）客户端地址列表

客户端地址列表可分为以下几类。

ALL：代表任何客户端地址。
LOCAL：代表本机地址。
单个 IP 地址：如“192.168.4.4”
网络段地址：如“192.168.4.0/255.255.255.0”
以“.”开始的域名：如“.bdqn.com”匹配 bdqn.com 域中的所有主机。
以“.”结束的网络地址：如“192.168.4.”匹配整个 192.168.4.0/24 网段
嵌入通配符“”“?”：前者代表任意长度字符，后者仅代表一个字符，如“10.0.8.2”
匹配以 10.0.8.2 开头的所有 IP 地址。不可与以“.”开始或结束的模式混用
多个客户端地址组成的列表：如“192.168.1.，172.16.16.，.bdqn.com”

轻量级自动化运维工具pssh

EPEL源中提供了多个自动化运维工具

pssh 命令选项如下：

-H：主机字符串，内容格式”[user@]host[:port]” 
-h file：主机列表文件，内容格式”[user@]host[:port]” 
-A：手动输入密码模式
-i：每个服务器内部处理信息输出
-l：登录使用的用户名
-p：并发的线程数【可选】
-o：输出的文件目录【可选】
-e：错误输出文件【可选】
-t：TIMEOUT 超时时间设置，0无限制【可选】
-O：SSH的选项
-P：打印出服务器返回信息
-v：详细模式
--version：查看版本

#管理多台，写入一个文件
[root@localhost yum.repos.d]#vim hosts.txt
[root@localhost yum.repos.d]#cat hosts.txt 
10.0.0.8
10.0.0.6
[root@localhost yum.repos.d]#pssh -h hosts.txt  -i   hostname

一只小毛驴呀

关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
ssh远程登录协议和tcp wappers

目录SSH服务优点：SSH客户端和服务端SSH端口、配置文件ssh原理公钥传输原理ssh加密通讯原理配置OpenSSH服务端服务监听选项登录scp远程复制TCP Wrappers策略的配置格式轻量级自动化运维工具psshSSH服务SSH服务器SSH（Secure Shell）是一种安全通道协议，主要用来实现字符界面的远程登录、远程复制等功能。SSH 协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的用户口令，SSH 为.
复制链接

扫一扫