一:SSH 远程管理概述
1.1.ssh远程管理的定义
SSH (Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。
SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。因此ssH协议具有很好的安全性。
1.2 ssh 远程管理的 优点
ssh 客户端 和 ssh 服务端通过网络连接,他们之间的数据传输是加密,压缩的,可以防止信息泄露,提高传输速度
客户端<-------加密数据------->网络<-----------加密数据--------->服务端
提供 ssh 服务的软软件包
SSH 客户端软件:Putty,XShell , CRTSSH
SSH服务端软件:Openssh
二:ssh服务端配置
2.1 下载Openssh 软件,并启动
关于openssh 及sshd 服务:
OpenssH是实现SSH协议的开源软件项目,适用于各种UNIX、 Linux操作系统。
Centos 7系统默认已安装openssh相关软件包,并已将sshd服务添加为开机自启动。
执行"systemctl start sshd"命令即可启动sshd服务(centos 7版本)
sshd服务使用的默认端口是TCP 22端口
netstat -natp | grep sshd
可查看tcp端口是否开启
2.2 sshd服务的配置文件
在 /etc/ssh 目录下,有两个文件,一个是 ssh_config 文件,还有一个是sshd_config 文件
ssh_config 这个是用户配置文件,是针对于客户端的配置文件
sshd_config 这个是系统配置文件,是针对于服务端的配置文件
2.3 sshd 配置文件/etc/ssh/sshd_config 的常用选项设置
Port 22 | 监听端口 22 |
---|---|
ListenAddress 0.0.0.0 | 监听地址为任意网段,也可以指定OpenssH服务器的具体Ip |
LoginGraceTime 2m | 登录验证时间为2分钟 |
PermitRootLogin yes | 允许远程登录root 账号 (默认yes 允许, no 表示禁止) |
MaxAuthTries 6 | 最大重试次数为 6 (每次账号登录时,允许输入6次账号和密码) |
MaxSessions 10 | 每次连接,最大会话数为10 |
PermitEmptyPasswords no | 禁止空密码登录(默认no 禁止, yes 表示 允许) |
PasswordAuthentication yes | 启用密码验证 (默认yes 开启, no表示关闭) |
UseDNS no | 禁用DNS反向解析,以提高服务器的响应速度(no 表示禁止, yes 表示开启) |
PidFile /var/run/sshd.pid | 保存sshd 服务进程pid 号文件 |
注 : 修改完配置文件需要 重新加载配置文件, 或者 重启sshd 服务。 如果设置了某些selinux 或者 防护墙 策略中不允许的 ,需要修改selinux 和防火墙策略
[root@host13 ssh]# systemctl reload sshd #重新加载 sshd 配置文件
[root@host13 ssh]# systemctl restart sshd #重启 sshd 服务
[root@host13 ssh]# systemctl stop firewalld #关闭 firewalld 防火墙
[root@host13 ssh]# setenforce 0 # 设置selinux 等级为permissive
防火墙系统默认开机自启, selinux 的设置也是 临时的, 如果重启操作系统,会失效
2.4 通过系统配置文件,配置登录白名单/黑名单
sshd 服务系统配置文件 : /etc/ssh/sshd_config
2.4.1 配置用户登录白名单/黑名单
shd 的系统配置文件 /etc/ssh/sshd_config 最后添加如下任意一行,然后重启sshd服务
AllowUsers 用户远程登录白名单(仅在该配置里的用户可以远程登录,不与黑名单一起用)
DenyUsers 用户远程登录黑名单(在该配置里的用户禁止远程登,不与白名单一起用
AllowUsers zhangsan lisi@192.168.23.10 wangwu@192.168.23.0/24 #允许zhangsan登录,允许lisi在固定ip登录允许wangwu在固定网段登录
三、使用SSH客户端程序
3.1SSH远程登录
ssh [选项] root@192.168.0.5
当用户第一次登录SSH服务器时,必须接受服务器发来的ECDSA秘钥(根据提示输入"yes")后才能继续验证。接收的秘钥信息将保存到 ~/.ssh/known_hosts 文件中,密码验证成功后,即可登录目标服务器的命令环境中了。
选项 说明
-1 强制使用ssh协议版本1
-2 强制使用ssh协议版本2
-4 强制使用IPv4地址
-6 强制使用IPv6地址
-A 开启认证代理连接转发功能
-a 关闭认证代理连接转发功能
-b 使用本机指定的地址作为对位连接的源IP地址
-C 请求压缩所有数据
-F 指定ssh指令的配置文件,默认的配置文件为“/etc/ssh/ssh_config”
-f 后台执行ssh指令
-g 允许远程主机连接本机的转发端口
-i 指定身份文件(即私钥文件)
-l 指定连接远程服务器的登录用户名
-N 不执行远程指令
-o 指定配置选项
-p 指定远程服务器上的端口
-q 静默模式,所有的警告和诊断信息被禁止输出
-X 开启X11转发功能
-x 关闭X11转发功能
-y 开启信任X11转发功能
3.2SCP远程复制
①、下行复制
scp -r root@192.168.0.5:/etc/ /root/
复制192.168.0.5主机的/etc目录下所有内容到本机的/root目录中
②、上行复制
scp -r /etc/ root@192.168.0.6:/root
复制本机的/etc目录中的内容到192.168.0.6主机的/root目录下
3.3sftp 安全 FTP
由于使用了加密/解密技术,所以传输效率比普通的FTP要低,但安全性更高。
sftp root@192.168.226.20
root@192.168.226.20’s password:
Connected to 192.168.226.20.
sftp> ls
sftp> get 文件名 #下载文件
sftp> put 文件名 #上传文件
sftp> exit #退出
四、sshd服务支持两种验证方式
4.1密码验证
对服务器中本地系统用户的登录名称、密码进行验证。简便,但可能会被暴力破解
4.2秘钥对验证
要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件(公钥、私钥),然后将公钥文件放到服务器中的指定位置。远程登录时,系统将使用公钥、私钥进行加密/解密关联验证。能增强安全性,且可以免交互登录。
当密码验证、密钥对验证都启用时,服务器将优先使用密钥对验证。可根据实际情况设置验证方式。
vim /etc/ssh/sshd_config
PasswordAuthentication yes #启用密码验证
PubkeyAuthentication yes #启用密钥对验证
AuthorizedKeysFile .ssh/authorized_keys #指定公钥库文件
在客户机创建秘钥对
通过ssh-keygen工具为当前用户创建密钥对文件。可用的加密算法为RSA、ECDSA或DSA等(ssh-keygen命令的“-t”选项用于指定算法类型)。
useradd admin
echo “123456” | passwd --stdin admin
su - admin
ssh-keygen -t rsa
Generating public/private ecdsa key pair.
Enter file in which to save the key (/home/ljm/.ssh/id_rsa): #指定私钥位置,直接回车使用默认位置
Created directory ‘/home/admin/.ssh’. #生成的私钥、公钥文件默认存放在宿主目录中的隐藏目录.ssh/下
Enter passphrase (empty for no passphrase): #设置私钥的密码
Enter same passphrase again: #确认输入
ls -l .ssh/id_admin* #id_ecdsa是私钥文件,权限默认为600;id_ecdsa.pub是公钥文件,用来提供给 SSH 服务器
将公钥文件上传至服务器
scp ~/.ssh/id_r
sa.pub root@192.168.226.20:/opt
或使用下面这条命令直接导入公钥文本至/home/admin/.ssh/
cd ~/.ssh/
ssh-copy-id -i id_rsa.pub zhangsan@192.168.226.20
在服务器中导入公钥文本(第二台)
mkdir .ssh
ls -A
cat /id_rsa.pub >> .ssh/authorized_keys
cat authorized_keys
在客户端使用秘钥对验证
ssh root@192.168.226.20
@192.168.226.20's password: #输入私钥的密码
在客户机设置ssh代理功能,实现免交互登录
ssh-agent bash
ssh-add
Enter passphrass for /root/.ssh/id_rsa: #输入私钥的密码
root@192.168.226.20
三,TCP Wrapper 的访问策略
3.1 TCP Wrappers 机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制。
对应的两个策略文件为 /etc/hosts.allow 和 /etc/hosts.deny,分别用来设置允许和拒绝的策略。
格式:
3.2服务程序:客户端地址列表TCP Wrappers 机制 基本原则
TCP Wrappers 的匹配原则是 自上向下匹配,匹配即停止。
首先检查/etc/hosts.allow文件,如果找到相匹配的策略,则允许访问;
否则继续检查/etc/hosts.deny文件,如果找到相匹配的策略,则拒绝访问;
如果检查上述两个文件都找不到相匹配的策略,则允许访问。
上图如在白名单中表示允许该网段所有主机访问sshd服务
上图如在黑名单中表示禁止该网段所有主机访问sshd服务
sshd:ALL
表示同意或拒绝所有,取决于你修改那个文件