远程访问及控制
一、ssh远程管理:
1.定义:一种安全通道协议。
2.作用:主要用来实现字符界面的远程登录,远程复制。
3.ssh协议:
是对通信双方的数据传输进行了加密处理,包括用户的口令,具有很好的安全性。ssh的默认端口号是22,传输协议是TCP协议。
4.特点:
(1)数据传输是加密的,可以防止信息泄露。
(2)数据传输是压缩的,可以提高传输速度。
二、配置文件:
1.配置文件:
ssh_config是针对客户端的配置文件,sshd_config是针对服务端的配置文件。
2.ssh默认系统安装,已配置防火墙,安全策略。
3.ssh组成结构:
(1)传输层协议:ssh-trans。
① 服务器认证,保密性及完整性,压缩功能。
② 一般运行在TCP/IP连接上,也可能用于其他可靠的数据流上。
(2)总结:ssh-trans提供加密技术,密码主机认证,数据完整性保护及数据压缩。
4.常用协议:
(1)密码主机认证:基于主机,不能用于用户认证。
(2)用户认证协议:向服务器提供客户端用户鉴别功能,运行在ssh-trans上。
① 运行:开始执行用户认证,从底层协议接收会话标识符,认证私钥所有权。
② 过程:root–认证用户是否存在,在服务端有无这个用户–提示输入密码–认证密码是否和用户相符–登录成功。
(3)连接协议:ssh-connect,多个加密隧道分成逻辑隧道。
① 运行:运行在用户认证上,提供了交互式登录会话,远程命令的执行,转发TCP/IP连接。
② 过程:连接协议–提供交互式登录–用户认证–认证用户是否存在,密码和用户是否匹配–传输协议–建立连接(加密,数据压缩)。
5.操作实验:
(1)修改默认端口号:
① 配置服务器:
② 重启服务:
③ 修改端口号:
④ 指定端口号登录:
三、远程复制:
1.scp远程复制:将主机的文件复制到本机
(1)远程复制演示:
① 先创建文件:
② 将test2中的文件bkpp.com复制到test1中:
③ 将test1中的文件远程复制到test2中:
2.sftp:
(1)特点:加密技术,基于ssh服务,传输效率比FTP低,但安全性更高,语法和FTP一样。
(2)连接上传下载文件:
① 从客户端test2中登录服务端test1下载:
② 将客户端test2中上传到test1:
(3)总结:对于发起连接方,在他的当前目录下,获取下载的文件。上传,可指定上传方目录。
3.用户登录限制:
(1)允许用户登录:AllowUsers wangz lihen(多个用户用空格隔开)
(2)拒绝用户登录:DenyUsers wangz(也可指定终端登录)
四、构建密钥对验证:
1.整体实现过程:
(1)创建密钥对
(2)上传公钥文件
(3)导入公钥信息
(4)使用密钥对验证方式
2.密钥:在ssh中就是个参数。
(1)对称密钥,非对称密钥。
(2)ssh:
① 用帐户登录密码
② 密钥登录
3.实验:
(1)用rsa创建密钥对:
① 创建密钥对:
② 生成隐藏文件:
③ 将指定的公钥文件传给test2:
④ 添加启动密钥对:
⑤ 验证:
(2)用ecdsa创建密钥对:
① 构建密钥对:
② 传公钥文件给test2:
③ 添加密钥启动:
④ 验证:
五、TCP wrappers(相当于防火墙,只针对TCP协议):
1.保护原理:
2.保护机制的实现方式:
(1)方式1:通过tcpd程序对其他服务程序进行包装。
(2)方式2:由其他服务程序调用libwrap.so.*链接库。
3.访问控制策略的配置文件:
(1)/etc/hosts.deny:允许所有,拒绝个别(黑名单)。
(2)/etc/hosts.allow:允许个别,拒绝所有(白名单)。