高级网络安全管理员 - 网络设备和安全配置:SSH 配置

文章目录
  • 使用软件Cisco Packet Tracer(思科模拟器)
  • SSH简介
  • SSHv2配置
  • * (一)配置要求
    
    • (二)绘制拓扑图
    •   * 1,添加路由器
      
      • 2,连接路由器
      • 3,打开f0/0端口
      • 4,配置端口IP地址
    • (三)enable密码配置
    •   * 1,配置命令
      
      • 2,配置过程
    • (四)配置登录Console控制台密码
    •   * 1,配置命令
      
      • 2,配置过程
    • (五)SSH配置
    •   * 1,配置命令
      
      • 2,配置过程
    • (六)打开路由器SSH的远程登录
    •   * 1,配置命令
      
      • 2,配置过程
    • (七)验证配置

使用软件Cisco Packet Tracer(思科模拟器)

Cisco Packet Tracer
是由Cisco公司发布的一个辅助学习工具,为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑,并可提供数据包在网络中行进的详细处理过程,观察网络实时运行情况。可以学习IOS的配置、锻炼故障排查能力。

在这里插入图片描述

Packet
Tracer是一个功能强大的网络仿真程序,允许学生实验与网络行为,问“如果”的问题。随着网络技术学院的全面的学习经验的一个组成部分,包示踪提供的仿真,可视化,编辑,评估,和协作能力,有利于教学和复杂的技术概念的学习。

Packet
Tracer补充物理设备在课堂上允许学生用的设备,一个几乎无限数量的创建网络鼓励实践,发现,和故障排除。基于仿真的学习环境,帮助学生发展如决策第二十一世纪技能,创造性和批判性思维,解决问题。Packet
Tracer补充的网络学院的课程,使教师易教,表现出复杂的技术概念和网络系统的设计。

Packet Tracer软件是免费提供的唯一的网络学院的教师,学生,校友,和管理人员,注册学校连接的用户。

附软装安装包

版本8.0,百度网盘自取
链接:https://pan.baidu.com/s/1GLVmHl_2nH5j_u-icNWzQg
提取码:6w9t

SSH简介

SSH(Secure
Shell)是一种加密的网络传输协议,用于在不安全的网络上提供安全的远程登录和文件传输服务。它取代了传统的Telnet和FTP等明文传输协议,提供了更加安全和可靠的数据传输方式。

SSH配置主要是指在客户端和服务器上设置SSH服务的相关参数,以实现安全、高效的远程访问。以下是一些常见的SSH配置简介:

  1. 客户端配置:
* 安装SSH客户端:在大多数操作系统中,可以通过安装对应的SSH客户端软件来实现远程访问。例如,Windows系统可以使用PuTTY,Linux和macOS系统自带SSH客户端。
* 生成SSH密钥对:在客户端生成一对公钥和私钥,用于与服务器建立安全连接。私钥用于验证身份,公钥用于加密数据。
* 连接到服务器:使用SSH命令连接到目标服务器,如`ssh username@server_ip`,其中`username`是目标服务器的用户名,`server_ip`是目标服务器的IP地址。
  1. 服务器配置:
* 安装SSH服务器:在服务器上安装SSH服务器软件,如OpenSSH,以接受来自客户端的连接请求。
* 生成SSH密钥对:在服务器上也生成一对公钥和私钥,用于与客户端建立安全连接。私钥用于验证身份,公钥用于加密数据。
* 配置防火墙:确保服务器的防火墙允许SSH连接的端口(默认为22),并禁止其他不必要的连接。
  1. SSH配置文件:
* `~/.ssh/config`:在客户端上,可以通过编辑该文件来指定常用服务器的连接参数,如用户名、主机名、端口等。这样就可以在连接时直接使用`ssh config_name`命令。
* `/etc/ssh/sshd_config`:在服务器上,可以通过编辑该文件来配置SSH服务的相关参数,如允许的连接协议、密钥存储位置、授权策略等。该文件需要根据实际情况进行修改并重启SSH服务。
  1. SSH安全设置:
* 使用密码验证:默认情况下,SSH使用密码验证方式登录。为了提高安全性,建议使用密钥验证方式登录,将私钥保存在本地并设置密码保护。
* 禁用root登录:在服务器上禁用root用户登录,以减少潜在的安全风险。可以使用sudo命令来执行需要管理员权限的命令。
* 限制登录权限:通过配置`sshd_config`文件中的`AllowUsers`选项,限制只有特定用户才能登录到服务器。
* 限制IP访问:通过配置`sshd_config`文件中的`AllowFrom`选项,限制只有特定IP地址或IP地址范围的客户端可以访问服务器。

SSHv2配置

(一)配置要求

为了提高网络中路由器访问的安全性,需要在Router1上配置SSHv2提高Router1的安全性,具体配置要求如下:

拓扑图:
在这里插入图片描述

配置要求:

  1. 按照拓扑要求,为路由器配置正确的IP地址,并启用端口。
  2. 在Router0上配置enable口令,口令类型为password,口令为123。
  3. 将SSHv2登录的用户名配置为lzy,密码为abc,用户权限为15。
  4. 在Router0上配置允许SSH验证重试次数为5次。
  5. 在Router0上配置ip domain域名为:lzy.edu.cn。
  6. 在Router0上将路由器hostname改为lzy。
  7. 在Router0上生成RSA密钥对,长度为1024。
  8. 在Router0上配置VTY登录要通过本地数据库验证,同时只允许5个终端登录。

(二)绘制拓扑图

1,添加路由器

在这里插入图片描述

2,连接路由器

在这里插入图片描述

3,打开f0/0端口

在这里插入图片描述

在这里插入图片描述

4,配置端口IP地址

在这里插入图片描述

在这里插入图片描述

(三)enable密码配置

1,配置命令
Router>                 用户模式,只能使用一些简单的命令。
Router>enable           从用户模式切换到特权模式
Router#                 特权模式,能查看设备的配置,能够保存配置。
Router#configure terminal  进入到全局配置模式。
Router(config)#enable  password|secret  123  //配置enable密码 密码123 //password和secret 二选一           
2,配置过程

在这里插入图片描述

(四)配置登录Console控制台密码

1,配置命令
Router(config)#line console 0   //配置登录控制台密码
Router(config-line)#password 123
Router(config-line)#login
Router(config-line)#end
Router#show running-config //查看配置信息
Router#configure terminal
Router(config)#service password-encryption  //对所有未加密的口令进行弱加密
2,配置过程

![在这里插入图片描述](https://img-
blog.csdnimg.cn/4de22d368ef445b688eced673a720fad.gif#pic_center)

(五)SSH配置

1,配置命令
Router(config)#username lzy privilege 15 secret abc  //配置SSH登录的用户、密码和权限
Router(config)#ip domain-name lzy.edu.cn   //配置域名
Router(config)#ip ssh version 2    //启用SSHv2版本
Please create RSA keys (of at least 768 bits size) to enable SSH v2.
Router (config)#ip ssh time-out 5   //配置SSH连接超时的时间单位是秒
Router(config)#ip ssh authentication-retries 5  //配置允许SSH验证重试次数
Router(config)#hostname lzy   //配置路由器名称
lzy(config)#crypto key generate rsa general-keys modulus 1024  //生成RSA密码对,对于SSHv2,参数key-length密钥长度至少为768bit
The name for the keys will be: lzy.lzy.edu.cn
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
*Mar 1 0:6:15.574: %SSH-5-ENABLED: SSH 2 has been enabled
2,配置过程

在这里插入图片描述

(六)打开路由器SSH的远程登录

1,配置命令
lzy(config)#line vty 0 4       //0-4同时允许5个终端登录。
lzy(config-line)#login local     //配置VTY登录要通过本地数据库验证
lzy(config-line)#transport input ssh  //设备仅允许通过SSH方式登录
lzy(config-line)#exit
lzy(config)#exit
lzy(config)# write   //保存配置,前面是lzy的原因是因为改了设备名称。
2,配置过程

在这里插入图片描述

(七)验证配置

配置完成后,在Router1上通过SSH登录到Router0验证相关配置
使用命令:ssh –v 2 –l lzy 192.168.1.1

在这里插入图片描述
成功登陆,配置成功。

网络安全工程师(白帽子)企业级学习路线

第一阶段:安全基础(入门)

img

第二阶段:Web渗透(初级网安工程师)

img

第三阶段:进阶部分(中级网络安全工程师)

img

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

学习资源分享

学习网络安全技术的方法无非三种:

第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。

第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

第三种就是去找培训。

image.png

接下来,我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。

第一阶段:基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
image.png

第二阶段:web渗透

学习基础 时间:1周 ~ 2周:

① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
image.png

配置渗透环境 时间:3周 ~ 4周:

① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。

渗透实战操作 时间:约6周:

① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
image.png
以上就是入门阶段

第三阶段:进阶

已经入门并且找到工作之后又该怎么进阶?详情看下图
image.png

给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值