SSH远程访问及控制

最新推荐文章于 2024-07-17 00:48:53 发布

Slay0701

最新推荐文章于 2024-07-17 00:48:53 发布

阅读量1.4k

点赞数

文章标签：数据仓库数据库架构

本文链接：https://blog.csdn.net/Sldy0701/article/details/122473387

版权

结构

SSH远程管理

配置OpenSSH服务端
使用SSH客户端程序
密钥验证的SSH体系

TCP Wrappers访问控制

TCP Wrappers概述
TCP Wrappers访问策略

OpenSSH服务器

ssh（Secure shell）协议

是一种安全通道协议
对通信数据进行了加密处理，用于远程管理

OpenSSH

服务名称：sshd
服务端主程序：/usr/sbin/sshd
服务端配置文件：/etc/ssh/sshd_config

SSH服务

ssh是什么

sSH (secure shell）是一种安全通道协议，主要用来实现字符界面的远程登录、远程，复制等功能。ssH协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的用户口令，sSH 为建立在应用层和传输层基础上的安全协议。

网络

ssH客户端<------------------------------>SSH服务端

数据传输是加密的，可以防止信息泄漏

数据传输是压缩的，可以提高传输速度

SSH客户端:Putty、xshell、 CRT、Mobaxterm、 FinalshellSsH

服务端: openssH

openssH是实现ssH协议的开源软件项目，适用于各种UNIX、 Linux操作系统。Centos 7系统默认已安装openssh相关软件包，并将sshd 服务添加为开机自启动。执行"systemctl start sshd"命令即可启动sshd服务

sshd服务默认使用的是TCP的22端口，安全协议版本sshv2，出来2之外还有1(有漏洞)sshd服务的默认配置文件是/etc/ ssh/ sshd_config

ssh_config和sshd_config都是ssh服务器的配置文件，二者区别在于前者是针对客户端的配置文件，后者则是针对服务端的配置文件。

ssh服务端主要包括两个服务功能ssh远程链接和sftp服务

作用:SSHD服务使用ssH协议可以用来进行远程控制，或在计算机之间传送文件。相比较之前用relnet方式来传输文件要安全很多，因为relnet使用明文传输，SSH是加密传输。

服务名称:sshd

服务端主程序: /usr/ sbin/ sshd

服务端配置文件:letc/ ssh/ sshd_config

远程管理linux系统基本上都要使用到ssh，原因很简单: telnet、FTP等传输方式是?以明文传送用户认证信息，本质上是不安全的，存在被网络窃听的危险。SSH ( Secureshell)目前较可靠，是专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题，透过SSH可以对所有传输的数据进行加密，也能够防止DNS欺骗和IP欺骗。

openssH常用配置文件有两个/etc/ssh/ssh_config和/etc/sshd_config。

ssh_config:为客户端配置文件，设置与客户端相关的应用可通过此文件实现

sshd_config:为服务器端配置文件，设置与服务端相关的应用可通过此文件实现。

OpenSSH服务器

服务器监听选项

端口号、协议版本、监听IP地址
禁用反向解析

[root@localhost ~]# vi letclssh/sshd_config

Port 22

ListenAddress 172.16.16.22

Protocol 2

UseDNS no

ssh远程登录方式

登录方法一：

ssh[远程主机用户新]@[远程服务器主机名或IP地址] -p port

当在Linux主机上远程连接另一台 Linux主机时，如当前所登录的用户是 root的话，当连接另一台主机时也是用root 用户登录时，可以直接使用 ssh IP，端口默认即可，如果端口不是默认的情况下，需要使用-p 指定端口。

RSA算法基于一个十分简单的数论事实:将两个大素数相乘十分容易，但是想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。

登录方法二

ssh -l 远程主机用户名 -p port

-l : -l 选项，指定登录名称。

-p: -p 选项，指定登录端口（当服务端的端口非默认时，需要使用-p指定端口进行登录)

注:第一次登录服务器时系统没有保存远程主机的信息，为了确认该主机身份会提示用户是否继续连接,输入yes

当在Linux主机上远程连接另一台 Linux主机时，如当前所登录的用户是 root的话，当连接另一台主机时也是用root 用户登录时，可以直接使用 ssh

故障集

在平时工作中，有时候需要ssH登陆到别的Linux主机上去，但有时候sSH登陆会被禁止，并弹出如下类似提示:

The authenticity of host '192.168.10.9 (192.168.10.9)' can't be established.ECDSA key fingerprint is SHA256:AaGpHeEiRuXMy96oezzV6TOej5nJumZTe/djqR7qCVk.ECDSA key fingerprint is MD5:78;al:b1:1c:36;76:c7:34;54∶87:cc:ea:51:3f:0c:24.Are you sure you want to continue connecting (yes/no) ? yes

warning: Permanently added '192.168.10.9'(ECDSA) to the list of known hosts.Authentication failed.

ssh会把你每个你访问过计算机的公钥(publickey)都记录在~/.ssh/known_hosts。当下次访问相同计算机时，opensSH会核对公钥。如果公钥不同，openssH会发出警告，避免你受到DNS Hijack之类的攻击。

解决办法

1．使用ssh连接远程主机时加上"-o strictHostKeyChecking=no”的选项，如下:

ssh -o strictHostKeyChecking=no 192.168.xx.x.XXx

2.一个彻底去掉这个提示的方法是，修改/etc/ssh/ssh_config文件（或$HOME/.ssh/config)中的配置,添加如下两行配置:

strictHostKeychecking no

UserKnownHostsFile / dev / null

原因:一台主机上有多个Linux系统，会经常切换，那么这些系统使用同一ip，登录过一次后就会把ssh信息记录在本地的~/.ssh/known_hsots文件中,切换该系统后再用ssh访问这台主机就会出现冲突警告，需要手动删除修改known_hsots里面的内容。

##openssh服务包

要安装openssH四个安装包:

openssh-5.3p1-114.el6_7.x86_64#包含opensSH服务器及客户端需要的核心文件。openssh-clients-5.3p1-114.e16_7.x86_64 #openssH客户端软件包。

openssh-server-5.3p1-114.el6_7.x86_64#openssH服务器软件包。

openssh-askpass-5.3p1-114.el6_7.x86_64#支持对话框窗口的显示，是一个基于x系统的

服务配置与管理

服务配置

#监听端口修改实验设置ssHD监听端口号。

SSH预设使用22这个port，也可以使用多个port，即重复使用port这个设定项!
例如想要开放ssHD端口为22和222，则多加一行内容为:Port 222即可。
然后重新启动ssHD这样就好了。建议大家修改port number

为其它端口，防止别人暴力破解。

#ListenAddress监听地址

ListenAddress o.o.o.o

设置ssHD服务器绑定的IP地址，0.0.0.0表示侦听所有地址

安全建议:如果主机不需要从公网ssh访问，可以把监听地址改为内网地址这个值可以写成本地IP地址，也可以写成所有地址，即o.o.0.0表示所有IP。

#Protocol 2

设置协议版本为SSH1或SSH2，SSH1存在漏洞与缺陷，选择SSH2

#UseDNs yes

一般来说，为了要判断客户端来源是正常合法的，因此会使用 DNS去反查客户端的主机名，但通常在内网互连时，该基设置为no，因此使联机速度会快些

注:禁用DNs反向解析，以提高服务器的响应速度

#syslogEacility AUTHPRIV

当有人使用ssH登入系统的时候，SSH会记录信息，这个信息要记录的类型为AUTHPRIV，sshd服务日志存放在:/var/log/secure

安全调优

####LoginGraceTime 2m

grace意思是系统给与多少秒来进行登录。（默认2分钟，o表示无限制)
当使用者连上 SSH server之后，会出现输入密码的画面，在该画面中。
在多久时间内没有成功连上SSHservergrace就强迫断线!若无单位则默认时间为秒。可以根据实际情况来修改实际.

####permitRootLogin yes 2m 实验

是否允许 root登入，默认是允许的，但是建议设定成no，真实的生产环境服务器，是不允许root账号直接登陆的，仅允许普通用户登录，需要用到 root用户再切换到root 用户。

例：

创建用户zhangsan、 lisi

查询组

grep "wheel" /etc/ group

gpasswd -a.zhangsan wheel #zhagsan用户已加入 wheel组开启pam模块

#香非#PasswordAuthentication yes

密码验证当然是需要的!所以这里写yes，也可以设置为no，在真实的生产服务器上，根据不同安全级别要求，有的是设置不需要密码登陆的，通过认证的秘铁来登陆。

##非#PermitEmptyPasswords no 是否允许空密码的用户登录，默认为no，不允许空密码登录

####PrintLastLog yes 显示上次登入的信息!默认为yes

###MaxAuthTries 6 指定每个连接最大允许的认证次数。默认值是6。

如果失败认证的次数超过这个数值的一半，连接将被强制断开，且会生成额外的失败日志消息缺认3次

验证ssh -o NumberOfPasswordPrompts=8 lisi@192.168.10.9

######AllowUsers

当希望只允许或禁止某些用户登录时，可以使用AllowUsers或DenyUsers配置，两者用法类似(注意不要同时使用)。

配置AllowUsers

例如，若只允许 zhangsan、 wangwu用户登录,其他(lisi）用户AllowUsers zhangsan@192.168.10.10 wangwu

扩展命令参数

ssh -o ConnectTimeout=3 -o ConnectionAttempts=5 -o PasswordAuthentication=no -o StrictHostKeyChecking=no $ip "command"

#ConnectTimeout=3 连接超时时间，3秒

#ConnectionAttempts=5 连接失败后重试次数，5次

#PasswordAuthentication=no 不使用密码认证，没有互信直接退出

#StrictHostKeychecking=no 自动信任主机并添加到known_hosts文色

例

ssh -o strictHostKeyChecking=no root@192.168.10.0

安全级别的事情

对未经过安全认证的RPM包进行安全检查Linux用户方面的加固

设定密码策略20位

对用户密码强度的设定

对用户的登录次数进行限制

禁止ROOT用户远程登录

设置历史命令保存条数和账户超时时间

设置只有指定用户组才能使用su命令切换到root用户

对Linux账户进行管理

对重要的文件进行锁定，即使RooT用户也无法删除

建立日志服务器日

OpenSSH服务器

用户登录控制

●禁用root用户、空密码用户

●限制登录验证时间、重试次数

●AllowUsers、DenyUsers

[root@localhost ~]# viletclssh/sshd_config

LoginGraceTime 2m

PermitRootLogin no

MaxAuthTries 6

PermitEmptyPasswords no

AllowUsers jerry admin@61.23.24.25（AllowUsers与DenyUsers同时用）

OpenSSH服务器

登录验证方式

●密码验证:核对用户名、密码是否匹配

●密钥对验证:核对客户的私钥、服务端公钥是否匹配

[root@localhost ~]# vi letclssh/sshd_config

PasswordAutheptication yes

PubkeyAuthentication yes

AuthorizedKeysFile .ssh/authorized_keys

使用SSH客户端程序

ssh命令——远程安全登录

ssh user@host

scp命令——远程安全复制

格式1: scp user@host:file1 file2

格式2: scp file1 user@host:file2

sftp命令——安全FTP上下载

sftp user@host

sshd服务支持两种验证方式

1.密码验证:对服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便，但从客户端角度来看，正在连接的服务器有可能被假冒;从服务器角度来看，当遭遇密码穷举（暴力破解）攻击时防御能力比较弱。

位，密码复杂性、端口做好安全

⒉.密钥对验证:要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件（公钥、私钥)，然后将公钥文件放到服务器中的指定位置。远程登录时，系统将使用公钥、私钥进行加密/解密关联验证，大大增强了远程管理的安全性。该方式不易被假冒，且可以免交互登录，在 shell中被广泛使用。

当密码验证、密钥对验证都启用时，服务器将优先使用密钥对验证。对于安全性要求较高的服务器，建议将密码验证方式禁用，只允许启用密钥对验证方式;若没有特殊要求，则两种方式都可启用免密登录：

ssh-agent bash #将公钥添加管理在客户端操作

ssh-add

构建密钥对验证的SSH

1.公钥和私钥的关系:

●在非对称加密技术中，有两种密钥，分为私钥和公自，私钥是密钥对所有者持有，不可公布，公钥是密钥对持有者公布给他人的。

●公钥用来给数据加密，用公钥加密的数据只能使用私钥解。

构建密钥对验证的SSH原理

首先ssh通过加密算法在客户端产生密钥对（公钥和私钥)，公钥发送给服务器端，自己保留私钥，如果要想连接到带有公钥的SSH服务器，客户端SSH软件就会向SSH服务器发出请求，请求用联机的用户密钥进行安全验证。SSH服务器收到请求之后，会先在该SSH服务器上连接的用户的家目录下寻找事先放上去的对应用户的公用密钥，然后把它和连接的SSH客户端发送过来的公用密钥进行比较。如果两个密钥一致，SSH服务器就用公钥加密"质询"(challenge)并把它发送给SSH客户端。”

当密码验证、密钥对验证都启用时，服务器将优先使用密钥对验证。可根据实际情况设置验证方式。vin/etc/ ssh/ sshd_config

PasswordAuthentication yes #启用密码验证

PubkeyAuthentication yes。启用密钥对验证

AuthorizedKeysFile .ssh/ authorized_keys #指定公钥库文件

现场记录

（scp复制）安全性复制

scp: scp是secure copy的简写，用于在Linux下进行远程拷贝文件的命令，而且scp传输是加密的

1."###本地文件复制到服务器scp sheng root@192.168.100. 141: / opt

2.晋###复制服务器的文件到本地scp root@192.168.100141 :/ opt/test/ ./

3.晋华##本地目录复制到服务器scp -r 1234/ root@192.168.100.141 : /opt

sftp

安全性传输sftp

sftp是secure File Transfer

Protocol的缩写，安全文件传送协议。可以为传辅文件提供一种安全的网络的加密方法。sftp,与ftp有着几乎一样的语法和功能。SFTP 为SSH的其中一部分，其实在ssH软件包中，已经包含了一个叫作SFTP(Secure File TransferProtocol)的安全文件信息传输子系统，SFTP木身没有单独的守护进程，它必须使用sshd守护进程（端口号默认是22）来完成相应的连接和答复操作

所以，使用sFTP是非常安全的。但是，由于这种传输方式使用了加密/解密技术，所以传输效率比普通的FTP要低得多，如果您对网络安全性要求更高时，可以使用SFTP代替FTP

sftp root@192.168.10.10#登陆到服务器

get下载

get anaconda-ks.cfg / home /

上传

put abc.txt#默认时会上传的/root

put abc.txt / home/

查看可用命令

help ###查看sftp可使用的命令和用途

打印服务器当前位置

pwd #打印当前服务器所在位置

lpwd #打印当前本地位置

切换目录、查看文件

cd ###切换服务器上的目录

ls #####查看当前目录下文件列表

下载文件、退出sftp

get #下载文件

get -r #下载目录

quit #退出sftp

put #上传文件

退出命令: quit、exit、 bye都可以

配置密钥对验证

1.在客户端创建密钥对

通过ssh-keygen.工具为当前用户创建密钥对文件。可用的加密算法为RSA、ECDSA或tlsA等（ ssh-keygen命令的”一t”选项用于指定算法类型)。

useradd admin

echo "123123” lpasswd --stdin admin

su - admin

ssh-keygen -t ecdsa

Generating public/private ecdsa key pair.

Enter file in which to save the key ( / home/ admin/ .ssh/id_ecdsa):#指定私钥位置,直接回车使用默认位置

created directory ' /home/ admin/.ssh '.#生成的私钥、公钥文件默认存放在宿主目录中的隐藏目录.ssh/下Enter passphrase (empty for no passphrase):#设置私钥的密码

Enter same passphrase again: #确认输入

ls -1 ~ /.ssh/id ecdsa*

tid_ecdsa是私钥文件，权限默认为600; id ecdsa.pub是公钥文件，用来提供给sSH服务器

2.将公钥文件，传至服务器

scp ~/.ssh/id_ecdsa.pub root@192.168.80.10:/opt或

#此方法可直接在服务器的/home /zhangsan /.ssh/目录中导入公钥文本

cd ~ / .ssh/

ssh-copy-id -i id_ ecdsa.pub zhangsan@192.168.80.10

3.在服务器中导入公钥文本

mkdir / home / zhangsan/.ssh/

cat /opt/id_ecdsa.pub >> / home/zhangsan/.ssh/authorized_keys

4.在客户端使用密钥对验证

ssh zhangsan@192.168.80.10

Enter passphrase for key ' / home/admin/.ssh/id_ecdsa' : #输入私钥的密码

5.在客户机设置ssh代理功能,实现免交互登录;

ssh-agent bash #开启ssh代理功能

ssh-add #添加大秘钥到ssh-agent缓存

Enter passphrase for / home / admin/ .ssh/id_ecdsa : #输入私钥的密码

ssh zhangsane192.168.80.10

tcp wrappers

TCP Wrappers 访问控制

TCP Wrappers （TCP封套）

在 Linux系统中，许多网络服务针对客户端提供了访问控制机制，如Samba、BIND、HTTPD、OpenSSH 等TCP wrappers 将TC?服务程序"包裹"起来，代为监听TCP服务程序的端口，增加了一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得许可后才能访问真正的服务程序。

[ root@localhost opt]# rpm -q tcp_wrappers #一般系统会默认安装tcp_wrappers-7.6-77.el7.x86_64该软件包提供了执行程序 tcpd和共享链接库文件 libwrap.so.TCP wrapper 保护机制:通常由其他网络服务程序调用libwrap.so.链接库比如sshd

[root@localhost opt]# ldd /usr/sbin/sshd / grep "libwrap”#使用 ldd 命令可以查看程序的共享库

libwrap.so.0 =>/lib64/libwrap.so.0 (ox00007fc35d8f8000)

TCP wrappers访问控制

TCP wrappers ( TCP封套)

将TCP服务程序"包裹"起来，代为监听TcP服务程序的端口，增加了一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得许可后才能访问真正的服务程序。

大多数Linux发行版，TCP wrappers是默认提供的功能。rpm -q tcp__wraplpers

TCP wrappers保护机制的两种实现方式

1.直接使用tcpd程序对其他服务程序进行保护，需要运行tcpd程序。

2.由其他网络服务程序调用libwrap.so.*链接库，不需要运行tcpd程序。此方式的应用更加广泛,也更有效率。

使用1dd命令可以查看程序的libwrap.so.*链接库

ldd $ (thich ssh)