文章详细介绍了SSH远程管理,包括OpenSSH服务的配置,如修改端口、禁止root用户登录等,并演示了使用SSH客户端进行远程登录和文件传输。同时,文章还阐述了TCPWrappers的概念及其作用,提供了通过编辑/etc/hosts.allow和/etc/hosts.deny文件来实施访问控制的示例,展示了如何限制特定IP的SSH访问。
SSH远程管理
SSH(Secure Shell)协议
- 是一种安全通道协议
- 对通信数据进行了加密处理,用于运程管理
OpenSSH
- 服务名称:sshd
- 服务端主程序:/usr/sbin/sshd
- 服务端配置文件:/etc/ssh/sshd_config
配置OpenSSH服务
sshd_config配置文件的常用选项设置
vim /etc/ssh/sshd_config
| Port 22 (生产环境必选修改) | 监听端口为22 |
|---|---|
| ListenAddress 0.0.0.0 | 监听地址为任意网段,也可以指定OpenSSH服务器的具体IP |
| LoginGraceTime 2m | 登录验证时间为2分钟 |
| PermitRootLogin no | 禁止root用户登录 |
| MaxAuthTries 6 | 最大重试次数为6 |
| PermitEmptyPasswords no | 禁止空密码用户登录 |
| UseDNS no | 禁用DNS反向解析,以提高服务器的响应速度 |
#只允许zhangsan、lisi、wangwu用户登录,且其中wangwu用户仅能够从IP地址为61.23.24.25的主机远程登录
AllowUsers zhangsan lisi wangwu@61.23.24.25 多个用户以空格分隔
#禁止某些用户登录,用法于AllowUseres 类似(注意不用同时使用)
DenyUseres zhangsan
使用SSH客户端程序
1.ssh远程登录
当用户第一次登录SSH服务器时,必须接受服务器发来的ECDSA密钥(根据提升输入“yes”)后才能继续验证。接收的密钥信息将保存到~/.ssh/know_hosts文件中。密码验证成功以后,即可登录目标服务器的命令行环境中了。
-p:指定非默认的端口号,缺省时默认使用22号端口
使用方法:ssh -p 1224 ls@192.168.24.72
初始先关闭防火墙和核心服务
1.服务器的IP地址和远程主机的IP地址查看
主服务器:
远程主机服务器ip
2.主服务器的配置
修改内容
设置白名单只有ls用户可以登录,zhangsan用户只能在IP为192.168.24.74的主机上登录访问服务器>
3.设置完成之后重启服务
systemctl /etc/ssh/sshd_config
4.远程登录
因为我的端口号修改为1224 所以这里要+-p 指定新的端口号
可以看到已经连接到服务器并且IP也变为了服务器的IP地址;测试成功
小技巧:在ssh -p 1224 ls@192.168.24.72 ifconfig 可以直接连入服务器并执行ipconfig命令,但是执行完之后会断开与服务器的连接
5.测试其他用户的连接 测试配置文件
2.scp 上行 下行复制文件
基于上面已经配置完的vim /etc/ssh/sshd.config文件
1.先看以下主服务器的文件有哪些
2.将主服务器的csgo.txt文件下载到客户机中
3.将文件从客户机上传到服务器
首先查看主服务器的ls用户家目录
为空
4.查看客户机要上传的文件
5.上传目录及文件
6.回到服务器查看文件是否传输成功
文件及目录都被上传到服务器;测试成功
3.sftp 安全
sftp -P 1224 ls@192.168.24.72
get下载文件
put上传文件
quit退出
密钥对验证的SSH体系
公钥和私钥的关系
- 公钥和私钥是成对生成的,这两个密钥互不相同,可以互相加密和解密。
- 不能根据一个密钥来推算出另一个密钥
- 公钥对外公开,私钥只有私钥持有人才知道
配置密钥对验证
1.去到客户机配置相应的文件命令
2.将生成的公钥文件传送给服务器端
3.服务器端将发送过来的公钥文件内容重定向输出到sshd配置文件指定的公钥库文件
4.再次登录就不需要密码只要密钥
TCP Wrappers访问控制
TCP Wrappers概述
TCP Wrappers (TCP封套)
将TCP服务程序‘包裹’起来,代为监听TCP服务程序的端口,增加了一个安全检测过程,外来的连接请求必须先通过这层安全检测,获得许可后才能访问真正的服务程序。大多数Linux发行版,TCP Wrappers是默认提供的功能。
TCP Wrappers保护机制的两种实现方式
- 直接使用tcpd程序对其他服务程序进行保护,需要运行tcpd程序
- 由其他网络服务程序调用libwrap.so.*链接库,不需要运行tcpd程序。此方式的应用更加广泛,也更有效率
首先检测/etc/hosts.allow文件,如果找到相匹配的策略,则允许访问;
否则继续检查/etc/hosts.deny文件,如果找到相匹配的策略,则拒绝访问;
如果检查上述两个文件都找不到相匹配的策略,则允许访问。
TCP Wrappers访问策略
TCP Wrappers机制的保护对象为各种网络服务程序,针对访问服务程序的客户端地址进行访问控制。对应的两个策略文件为 /etc/hosts.allow 和 /etc/hosts.deny 分别用来设置允许和拒绝的策略 。
“允许所有,拒绝个别”:
只需要在/etc/hosts.deny文件中添加相应的拒绝策略
“允许个别,拒绝所有”:
除了在/etc/hosts.allow中添加允许策略之外,还需要在/etc/hosts.deny文件中设置“服务:ALL(所有)”
配置实例
仅允许192.168.24.74客户机使用ssh访问服务器
1.vim /etc/hosts.allow
2.vim /etc/hosts.deny
3.第一台客户机测试登录;失败
4.IP为192.168.24.74的客户机登录测试;成功
1832
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
