linux——配置远程访问与控制

最新推荐文章于 2023-08-25 16:05:07 发布
最新推荐文章于 2023-08-25 16:05:07 发布
阅读量402 收藏 2
点赞数
分类专栏: linux网络 文章标签: linux ssh 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/geroge_ming/article/details/109295087
版权

概述

大多数企业服务器是通过远程登录的方式来进行管理的
当需要从一个工作站管理数以百计的服务器主机时,远程维护的方式将更占优势

SSH远程管理

配置Open SSH服务端
SSH协议

为客户机提供安全的shell环境,用于远程管理
默认端口:TCP 22

OpenSSH服务(4-1)

服务名称:sshd

服务端主程序:/usr/sbin/sshd

服务端配置文件:/etc/ssh/sshd_config

ssh_config:针对客户端

sshd_config:针对服务端
访问形式	端口号
SSH:密文访问默认端口	TCP:22,一般广域网
Telnet:明文形式的访问	TCP 23,一般局域网
远程桌面	3389,图形化界面
	
名称	作用
mstsc(cmd命令提示符输入mstsc,根据提示操作)	微软中远程桌面的形式,只可一个用户一个终端登录,可复制文件,微软对微软
VNC	跨终端远程软件
teanviewer	远程访问软件

OpenSSH服务(4-2)

服务监听选项

端口号,协议版本,监听IP地址

禁用反向解析

[root@localhost ~]# vim /etc/ssh/sshd_config
...
#Port 22		'端口号可以修改'
#AddressFamily any
#ListenAddress 0.0.0.0	'监听地址可修改'
#ListenAddress ::

OpenSSH服务(4-3)

用户登录控制

禁止root用户,空密码用户

登录时间,重试次数

AllowUsers(白名单,仅允许,只有这些可以登录)

DenyUsers(黑名单,仅拒绝,只有这些不行)

AllowUsers不可与DenyUsers同时使用

[root@localhost ~]# vim /etc/ssh/sshd_config
LoginGraceTime 2m
PermitRootLogin yes
StrictModes yes
MaxAuthTries 6
MaxSessions 10
...
AllowUsers lisi admin@192.168.20.30	'仅允许lisi用户在终端192.168.20.30登录'

OpenSSH服务(4-4)

登录验证对象

服务器中的本地用户账号

登录验证方式

密码验证:核对用户名,密码是否匹配

密钥对验证:核对客户的私钥,服务端公钥是否匹配

密钥对:包含公钥,私钥

公钥:服务器使用

私钥:客户保留

非对称秘钥:RSA

对称秘钥:3DES,AES

[root@localhost ~]# vim /etc/ssh/sshd_config
PasswordAuthentication yes		'是否使用密码'
PermitEmptyPasswords no	'禁止空密码'
PasswordAuthentication yes	'是否需要密码验证'
    
PubkeyAuthentication yes	'开启公钥验证'

AuthorizedKeysFile      .ssh/authorized_keys  '指定公钥库位置'

使用SSH客户端程序
SSH客户端程序命令

ssh命令–远程安全登录

命令基本格式
ssh user@host

    例如
[root@55~]# ssh root@192.168.197.142		'以root用户登录对方主机'
The authenticity of host '192.168.197.142 (192.168.197.142)' can't be established.
ECDSA key fingerprint is SHA256:Eer6tAEbaZylH0v8F1nr+ShthK1rjZl3eRi7UTw4RX4.
ECDSA key fingerprint is MD5:de:d7:cf:23:bd:8d:a1:02:ff:23:a2:4b:94:fe:e7:02.
Are you sure you want to continue connecting (yes/no)? yes	'输入yes'
Warning: Permanently added '192.168.197.142' (ECDSA) to the list of known hosts.
root@192.168.197.142's password: 	输入对方密码'
Last login: Thu Nov 21 17:37:59 2019 from 192.168.197.1
[root@66~]# 
    还有会开启 /etc/pam.d/su服务模块的情况,需要注意权限

scp命令–远程安全复制

命令基本格式
格式一:scp user@host:file 1 file 2
格式二:scp file 1 user@host:file 2

[root@55 ~]# scp /etc/hosts root@192.168.197.142:/etc/hosts	'将本机文件/etc/hosts以root权限复制到192.168.197.142中'
root@192.168.197.142's password: 
hosts    
    或者
[root@55 ~]# scp root@192.168.197.142:/etc/hosts /etc/hosts1
root@192.168.197.142's password: 
hosts

sftp命令–安全FTP上下载

命令基本格式
sftp user@host
    get:下载
    put:上传

例如
[root@55 ~]# sftp root@192.168.197.142
root@192.168.197.142's password: 
Connected to 192.168.197.142.
sftp> ls

Xshell

Windows下一款功能非常强大的安全终端模拟软件

密钥对验证的SSH体系
构建密钥对验证的SSH体系

整体实现过程

mark

1.创建密钥对(由客户端的用户lisi在本地创建密钥对)

公钥文件:id_rsa

公钥文件:id_rsa.pub

在客户机中创建密钥对
ssh-keygen命令
可用的加密算法:RSA或DSA
[root@55 ~]# ssh-keygen -t ecdsa	'生成公共/私有ecdsa密钥对'
Generating public/private ecdsa key pair.
Enter file in which to save the key (/root/.ssh/id_ecdsa): 	'输入保存秘钥的文件'
Enter passphrase (empty for no passphrase): 	'输入密码'
Enter same passphrase again: 
Your identification has been saved in .2
Your public key has been saved in .pub.
The key fingerprint is:
SHA256:R/ubZAgOklPma+jgqYqQdeIsz7xMnJyCMZZEqj2idu8 root@55
The key's randomart image is:
+---[ECDSA 256]---+
| .               |
|o                |
|..    o   .      |
|o..  =   . .     |
|=o= = o S o      |
|+@ * + + o o     |
|B.X.. o . . +    |
|+X.+..     o o   |
|=.O.oE      o    |
+----[SHA256]-----+



2.上传公钥文件 id_rsa.pub

任何方式均可(共享,FTP,Email,SCP,。。。)

例如
[root@55 ~]# scp ~/.ssh/id_ecdsa.pub root@172.16.16.22:/tmp


3.导入公钥信息(导入到服务端用户66的公钥数据库)

将公钥文本添加到目标用户的公钥库

默认公钥库文件:~/.ssh/authorized_keys

4.使用密钥对验证方式(以服务端用户66的身份进行登录)

客户端使用秘钥对验证登录

验证用户:服务端用户66

验证密码:客户端的用户55的私钥短语

第二步和第三步可以采用另外一种方法

ssh-copy-id -i 公钥文件 user@host
    

验证密码后,会将公钥自动添加到目标主机user宿主目录下的.ssh/quthorized_keys文件结尾

[root@55 ~]#ssh-copy-id -i ~/.ssh/id_rsa.pub 66@172.16.16.22

TCP Wrappers控制

mark
保护机制的实现方式

方式一

通过tcpd主程序对其他服务程序进行包装

方式二

由凄然服务程序调用libwrap.so.*链接库

访问控制策略的配置文件

ldd `which sshd` 查看模块
    1

/etc/hosts.allow

/etc/hosts.deny

TCP Wrappers访问策略
设置访问控制策略

策略格式

服务列表:客户机地址列表

服务列表

多个服务以逗号分隔,ALL表示所有服务

客户机地址列表

多个地址以逗号分隔,ALL表示所有服务

允许使用通配符*和?

网段地址,如192.168.1 或者 192.168.1.0/255.255.255.0

区域地址,如.benet.com

策略的应用程序

先检查hosts.allow,找到匹配则允许访问
否则再检查hosts.deny,找到则拒绝访问
若两个文件中均无匹配策略,则默认允许访问

策略应用实例

仅允许从以下地址访问sshd服务

主机192.168.100.100

网段192.168.200.0/24

禁止其他所有地址访问受保护的服务

[root@55 ~]# vim /etc/hosts.allow
sshd:192.168.100.100,192.168.200.*
[root@55 ~]# vim /etc/hosts.deny
sshd:ALL
    
    '优先读取allow,然后再读取deny'
    '如果做黑名单,name白名单就不用写'
Geroge_Ming
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux —— FTP服务
01-07
1. ftp介绍 ftp(File Transfer Protocol):文本传输协议。它工作在 OSI 模型的第七层, TCP 模型的第四层, 即应用层, 使用 TCP 传输而不是 UDP, 客户在和服务器建立连接前要经过一个“三次握手”的过程, 保证客户与服务器之间的连接是可靠的, 而且是面向连接, 为数据传输提供可靠保证。 FTP允许用户以文件操作的方式(如文件的增、删、改、查、传送等)与另一主机相互通信。并不真正登录到自己想要存取的计算机上面而成为完全用户, 可用FTP程序访问远程资源, 实现用户往返传输文件、目录管理以及访问电子邮件等等, 即使双方计算机可能配有不同的操作系统和文件存
linux编程远程桌面分享,Linux字符模式下的“远程桌面共享”及屏幕录制
weixin_42498347的博客
05-05 139
软件环境:screen-4.0.3-1.el5openssh-4.3p2-16.el5util-linux-2.13-0.44.el5util-linux-ng-2.14.tar.gz下载地址:http://ftp.kernel.org/pub/linux/utils/util-linux-ng/v2.14/util-linux-ng-2.14.tar.gz####################...
远程访问控制(详解)——SSH远程管理及TCP Wrappers 访问控制
想成功,靠自己
02-25 1797
远程访问控制(详解)——SSH远程管理及TCP Wrappers 访问控制一、SSH远程管理1、定义2、优点3、客户端与服务端4、SSH服务的开启、端口号和配置文件二、配置 OpenSSH 服务端1、配置文件常用设置选项2、AllowUsers和DenyUsers三、使用SSH客户端程序1、SSH远程登录2、SCP远程复制①、下行复制②、上行复制3、sftp 安全 FTP四、sshd服务支持两种验证方式1、密码验证2、秘钥对验证①、在客户机创建秘钥对②、将公钥文件上传至服务器③、在服务器中导入公钥文本④、
sshd_conf AllowUsers参数
weixin_33853827的博客
12-12 7559
  AllowUsers root user1 user2 #服务器只允许root user1 user2登录,再的新也用户产生,是不允许豋录服务器 配置文件在/etc/ssh/sshd_confing 当然修改过配置文件后,一定要重启/etc/init.d/sshd restart AllowUsers 这个指令后面跟着一串用空格分隔的用户名列表(其中可以使用"*"...
远程访问控制
骑猪兜风的博客
05-30 672
这里写目录标题OpenSSH服务器 OpenSSH服务器 ◾ SSH(Secure Shell)协议 是一种安全通道协议 对通信数据进行了加密处理,用于远程管理 ◾ OpenSSH 服务名称:sshd 服务端主程序:/user/sbin/sshd 服务端配置文件:/etc/ssh/sshd_config 客户端配置文件:/etc/ssh/ssh_config ◾ 服务监听选项 端口号、协议版本、监听IP地址 禁用反向解析 ...
sshd_config之参数AllowUsers
zhangchenyue06的博客
08-25 1731
关于sshd_config的AllowUsers参数设置
ssh安装与配置(详解版)
热门推荐
余识-
03-19 5万+
主要对openssh的安装,客户端和服务器的常见命令以及常用配置进行了超万字的详细总结
PHP基于Linux的远程管理系统服务器端的实现(源代码+论文)
03-20
此管理系统的目的是对Linux进行远程管理,则在管理过程中需要对Linux系统配置文件进行读取,或者运行系统命令,访问系统敏感数据等。而在Linux系统中,默认的Apache用户权限是无法访问管理系统所需文件,无法运行...
linux系统下hosts文件详解及配置
01-20
 hosts文件是Linux系统上一个负责ip地址与域名快速解析的文件,以ascii格式保存在/etc/目录下。hosts文件包含了ip地址与主机名之间的映射,还包括主机的别名。在没有域名解析服务器的情况下,系统上的所有网络程序...
cmd操作命令和linux命令大全收集
04-24
net time 目标ip /set 设置本地计算机时间与“目标IP”主机的时间同步,加上参数/yes可取消确认信息 net view 查看本地局域网内开启了哪些共享 net view ip 查看对方局域网内开启了哪些共享 net config 显示系统...
mysql-test-5.7.22-linux-glibc2.12-x86_64.tar.gz
12-16
9、配置远程访问 use mysql update user set host='%' where user='root'; GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY '......' WITH GRANT OPTION;(或者是:grant all privileges on *.* to ...
Linux网络服务--配置远程访问控制原理详解+实操(Open SSH服务端,客户端,SSH服务原理与密钥对验证详解)(TCP Wrappers原理与访问策略的设置
CN_TangZheng的博客
11-21 815
大多数企业服务器是通过远程登录的方式来进行管理的 当需要从一个工作站管理数以百计的服务器主机时,远程维护的方式将更占优势 OpenSSH与TCP Wrappers的原理与配置过程
Linux家常便饭——远程访问控制
一个不愿透露姓名的金先生
05-05 214
远程访问控制一、SSH远程管理1.1、配置OpenSSH服务端二、sshd服务支持两种验证方式2.1、密码验证2.2、密钥对验证三、使用ssh 客户端程序3.1、远程登陆3.2、scp远程复制3.3、sftp安全FTP四、配置密钥对验证4.1、在客户端创建密钥对4.2、在客户端设置免密登录五、TCP Wrappers访问控制5.1、访问策略5.2、基本原则 一、SSH远程管理 1.1、配置OpenSSH服务端 SSH协议:是一个安全通道协议,对通信数据进行了加密处理,用于远程的管理,对通信双方的数据传输进
Linux限制某些用户或IP登录SSH允许特定IP登录SSH
angou6476的博客
01-23 286
说明:一般要实现这种功能时,先安装VPN,然后客户端登录VPN,然后通过内网IP登录SSH。 搭建OpenVPN: 参考:http://www.cnblogs.com/EasonJim/p/8333836.html 配置服务器的SSH: 1、限制用户SSH登录 只允许指定用户进行登录(白名单): 在/etc/ssh/sshd_config配置文件中设置AllowUsers...
Linux检测远程端口是否打开
Shallow的博客
12-10 1万+
Linux系统中查看远程端口是否打开的方法很多,以下来列举一 1. 可以使用 lsof 命令来查看某一端口是否开放。查看端口可以这样来使用,我就以80端口为例: lsof -i:80 如果有显示说明已经开放了,如果没有显示说明没有开放 2. 通过nmap来检查端口是否通畅 nmap ip 显示全部打开的端口 [root@localhost etc]# nmap 172.16.3.34 80 ...
/etc/ssh/sshd_config 关建字:AllowUsers root test01
weixin_30509393的博客
08-17 1013
新加用户,在AllowUsers 新增的用户名,重启sshd后,新增的用户才能登录服务器. 转载于:https://www.cnblogs.com/bass6/p/7383731.html
ssh安全允许用户从指定的IP登陆
******* ▄︻┻┳═一 *******
08-10 1万+
一、编辑ssh配置文件默认 vim /etc/ssh/sshd_config 二、在文件最后面另起一行添加 AllowUsers root@ip 三、保存退出,重新启动下ssh 四、我们另外启动一个窗口进行连接测试是否正常允许指定的IP登陆了,使用其他的IP进行测试下或者请朋友帮忙ssh看下。使用其它IP是登陆不了的,即使输入正确的密码。 五、如果公司或者自己家里不是固定IP
Linux远程访问控制
Wanghwei17的博客
04-23 595
SSH (Secure Shel1) 是一种安全通道协议
linux设置mysql远程访问
最新发布
09-21
要在Linux设置MySQL远程访问,你可以按照以下步骤操作: 第一步:在/etc/mysql/my.cnf文件中找到bind-address = 127.0.0.1这一行,并在其前面加上"#"进行注释,或者将其改为bind-address = 0.0.0.0以允许任意IP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值