【远程访问及控制】

终端：接受用户的指令

TTY终端：不能远程使用

虚拟终端：

ssh，端口号22，可以使用加密的方式，安全性更高

telnet，端口号23，不支持加密的方式

解释器：shell

scp：

sftp：put

rz、sz：上传

SSH远程管理

SSH是一种安全通道协议，主要实现字符界面的远程登录远程复制等功能，sshd服务的默认配置文件是/etc/ssh/sshd_config

• 服务器监听选项
  • sshd默认使用的端口号是22，必要时可以更改，并指定监听服务的具体地址，以提高在网络中的隐蔽性

• 用户登录控制
  • sshd服务默认允许root用户登录，关于sshd服务的用户登录控制，通常应该禁止root用户以及密码为空的用户登录

当只希望允许或禁止哪些用户登录时，可以使用AllowUsers或DenyUsers配置，两者用法类似，但不能同时使用。

一，远程管理
        SSH使一种安全通道协议，主要用来实现字符界面的远程登陆复制等功能。SSH协议对通信双方的数据进行了加密处理，其中包括登录时输入的用户口令。与早期的远程登陆，远程执行命令，远程文件复制的相比，SSH提供了更好的安全性。

        1.1配置OpenSSH服务端
        在CentO S7.3系统中，Openssh等软件包提供，并将sshd添加为标准的系统服务。执行“systemctl start sshd”(启动命令)命令即可启动ssh服务。包括root在内的大部分用户都可以远程登录系统。

        2.sshd服务器使用的默认端口是22，必要时建议修改端口号，并指监听服务的具体IP地址，为了提高更高的网络隐蔽性，初次之外，ssh协议的版本用V2比V1的安全性要更好，禁用DNS反向解析可以提高服务器的响应速度。

vim /etc/ssh/sshd_config
.....
Port 22    //监听端口为22
listenAddress 172.16.16.22    //监听地址为172.16.16.22
Protocol 2    //使用SSH V2协议
.....
UseDNS no    //禁止DNS反向解析
3.用户登录控制

        sshd服务器默认允许root用户登录，但在Internet中使用时非常不安全。普遍的做法如下：先以普通的用户远程登录，进入安全Shell环境后，根据实际需要使用su命令切换为root用户。

        关于ssh服务的用户登录控制，通常禁止root用户或密码为空的用户登录，另外可以限制登录验证时间，默认时间为两分钟，以及最大重试次数，若超过限制后仍未能登录则断开连接。

 vim /etc/ssh/sshd config
 
......
LoginGraceTime 2m    登录验证时间为2分钟
PermitRootLogin no    禁止root 用户登录
MaxAuthTries 6    最大重试次数为6
PermitEmptyPasswords no    禁止空密码用户登录
 
4.登录验证方法

        对于服务器的远程控制，除了用户账户的安全控制以外，登录验证方法也非常重要sshd服务支持两种方式——密码验证，密钥对验证。

密码验证：对服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便，但从客户端角度来看，正在连接的服务器有可能被假冒;从服务器角度来看，当遭遇密码穷举(暴力破解)攻击时防御能力比较弱。
密钥验证：要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件(公钥、私钥)，然后将公钥文件放到服务器中的指定位置。远程登录时，系统将使用公钥、私钥进行加密/解密关联验证，大大增强了远程管理的安全性。该方式不易被假冒，且可以免交互登录，在Shell 中被广泛使用。
1.2。使用ssh客户端程序
        在centOS 7.3系统中，OpenSSH客户端由 openssh-clientes软件包提供，其中包括ssh远程登录命令，以及scp，sftp等，实际上任何支持ssh协议的客户端都可以与OpenSSH 服务器进行通信，如Win平台中的Xshell，putty等图像工具。

        1命令程序ssh，scp，sftp

        1）试试远程登录

        通过ssh命令可以登录sshd服务，为用户提供一个安全的Shell环境，以便对服务器进行管理和维护。使用时应指定登录用户，目标主机地址为参数。

        当用户第一次登录 SSH 服务器时，必须接受服务器发来的 ECDSA密钥(根据提示输入“yes”)后才能继续验证。接收的密钥信息将保存到~1.ssh/known hosts 文件中。密码验证成功以后，即可登录目标服务器的命令行环境中了，就好像把客户端的显示器、键盘连接到服务器一样。

        如果 sshd 服务器使用了非默认的端口号(如 2345)，则在登录时必须通过"-p”选项指定端口号。例如，执行以下操作将访问主机 192.168.4.22的 2345端口，以对方服务器的jery用户验证登录。

        2）scp远程复制

        通过 scp 命令可以利用 SSH 安全连接与远程主机相互复制文件。使用 scp 命令时，除了必须指定复制源、目标之外，还应指定目标主机地址、登录用户，执行后根据提示输入验证口令即可。例如，以下操作分别演示了下行、上行复制的操作过程，将远程主机中的/etc/passwd 文件复制到本机，并将本机的/etc/vsftpd 目录复制到远程主机。

        3）sftp安全FTP

        通过 sftp 命令可以利用 SSH 安全连接与远程主机上传、下载文件，采用了与 FTP 类似的登录过程和交互式环境，便于目录资源管理。例如，以下操作依次演示了sftp 登录、浏览、文件上传等过程。

        2.图像工具Xshell

        图形工具Xshell 是 Windows 下一款功能非常强大的安全终端模拟软件，支持 TeInet、
SSH、SFTP 等协议，可以方便地对 Linux 主机进行远程管理。安装并运行 Xshell 后,在新建会话窗口中指定远程主机的IP 地址、端口号等相关信息,然后单击“连接”按钮，根据提示接受密钥、验证密码后即可成功登录目标主机。

        1.3 构建密钥对验证的SSH体系
        正如前面所提及的，密钥对验证方法可以为远程登录提供更好的安全性。下面将介绍在 CentOS 7.3 服务器、客户端中构建密钥对验证 SSH 体系的基本过程。如图 4.2 所示以 RSA加密算法为例，整个过程包括四步，首先要在SSH 客户端以 zhangsan 用户身份创建密钥对，并且要将创建的公钥文件上传至 SSH 服务器端，然后要将公钥信息导入服务器端的目标用户 lisi的公钥数据库，最后以服务器端用户lisi 的身份登录验证。

        1.在客户端创建密钥对

        在 CentOS 7.3 客户端中，通过 ssh-keygen 工具为当前用户创建密钥对文件。可用的加密算法为 RSA、ECDSA 或 DSA 等(ssh-keygen 命令的“-t”选项用于指定算法类型)。例如，以 zhangsan 用户登录客户端，并生成基于 ECDSA 算法的 SSH 密钥对(公钥、私钥)文件。

        2。将公钥文件上传至服务器

        将上一步生成的公钥文件上传至服务器，并部署到服务器端用户的公钥数据库中。上传公钥文件时可以选择SCP，FTP等。

scp ~/.ssh/id_ecdsa.pub root@172.16.16.22/tmp
        3.在服务器中导入公钥文件

        在服务器中，目标用户(指用来远程登录的账号lisi)的公钥数据库位于~1.ssh 目录默认的文件名是“authorized keys”。如果目录不存在，需要手动创建。当获得客户端发送过来的公钥文件以后，可以通过重定向将公钥文本内容追加到目标用户的公钥数据库。

        在公钥库 authorized keys 文件中，最关键的内容是“ecdsa-sha2-nistp256 加密字串”部分，当导入非 ssh-keygen 工具创建的公钥文本时，应确保此部分信息完整，最后的“zhangsan@localhost"是注释信息。
由于 sshd 服务默认采用严格的权限检测模式(StrictModes yes)，因此还需注意公钥库文件 authorized keys 的权限--要求除了登录的目标用户或root用户,同组或其他用户对该文件不能有写入权限，否则可能无法成功使用密钥对验证。

        二。TCP Wrappers访问控制
        2.1TCP Wrapper概述
        TCP Wrappers 将 TCP 服务程序“包裹”起来，代为监听 TCP 服务程序的端口，增加了一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得许可后才能访问真正的服务程序，如图 4.3 所示。TCPWrappers 还可以记录所有企图访问被保护服务的行为,为管理员提供丰富的安全分析资料。

        2.2TCP Wrappers的访问策略
        TCP Wrappers 机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制。对应的两个策略文件为/etcmhosts.allow和/etc/hosts.deny，分别用来设置允许和拒绝的策略。

        1.策略的配置格式

        1）服务器程序列表

ALL：代表所有服务器。
单个服务程序：如“vsftpd”。
多个服务程序组成的列表如“vsftpd.sshd”
        2)客户端地址列表

ALL:代表任何客户端地址。
LOCAL:代表本机地址。
单个|P 地址:如“192.168.4.4”
网络段地址:如“192.168.4.0/255.255.255.0”
以“.”开始的域名:如“.bdqn.com"匹配 bdqn.com 域中的所有主机。
以“.”结束的网络地址:如“192.168.4."匹配整个 192.168.4.0/24 网段。
嵌入通配符“*”"?”:前者代表任意长度字符，后者仅代表一个字符，如“10.0.8.2*”匹配以 10.0.8.2 开头的所有IP 地址。不可与以“."开始或结束的模式混用。
多个客户端地址组成的列表:如“192.168.1.，172.16.16.，.bdqn.com”
        2.TCP Wrappers配置实例

        实际使用 TCP Wrappers 机制时，较宽松的策略可以是“允许所有，拒绝个别”，较严格的策略是“允许个别，拒绝所有”。前者只需在 hosts.deny 文件中添加相应的拒绝策略就可以了;后者则除了在 hosts.allow 中添加允许策略之外，还需要在 hosts.deny 文件中设置“ALL:ALL”的拒绝策略。