Linux之SSH远程登陆控制

最新推荐文章于 2024-06-13 15:42:59 发布
最新推荐文章于 2024-06-13 15:42:59 发布
阅读量1.1k 收藏 6
点赞数
文章标签: linux ssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lmy51848/article/details/116267815
版权

内容概要

一、SSH简介

1、SSH是一种安全通道协议,也叫安全外壳协议,是用来实现字符界面的远程登陆、远程复制等功能传统的网络服务程序,如:ftp、pop和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据SSH协议对通信双方传输的数据会进行加密,SSH具有较高的安全性

2、SSH分为SSH客户端和SSH服务端,我们现在用的Xshell 就属于客户端,我们的虚拟机Linux 就属于服务端。他们之间是通过网络进行传输。
常用工具
SSH客户端:Putty、Xshell、CRT
SSH服务端:OpenSSH

3、OpenSSH是实现SSH协议的开源软件项目,适用于各种UNIX、Linux操作系统。CentOS7系统默认安装了OpenSSH相关软件包,并且是开机自启动的。
在这里插入图片描述
在这里插入图片描述

二、SSH配置文件

sshd 服务默认使用的是TCP的 22号端口,sshd服务的默认配置文件在/etc/ssh/sshd_config。ssh_config和sshd_config都是ssh服务器的配置文件二者区别在于前者是针对客户端的配置文件,后者则是针对服务端的配置文件

在这里插入图片描述

配置OpenSSH服务端

vim /etc/ssh/sshd_config
Port 22 								#监听端口为22
ListenAddress 0.0.0.0 					#监听地址为任意网段,也可以指定OpenSSH服务器的具体IP

LoginGraceTime 2m 						#登录验证时间为2分钟
PermitRootLogin no 						#禁止root用户登录
MaxAuthTries 6 							#最大重试次数为 6

PermitEmptyPasswords no 				#禁止空密码用户登录
UseDNS no 								#禁用 DNS 反向解析,以提高服务器的响应速度

#只允许zhangsan、lisi、wangwu用户登录,且其中wangwu用户仅能够从IP地址为61.23.24.25 的主机远程登录
AllowUsers zhangsan lisi wangwu@61.23.24.25 					#多个用户以空格分隔
#禁止某些用户登录,用法于AllowUsers 类似(注意不要同时使用)
DenyUsers zhangsan

在这里插入图片描述
在这里插入图片描述

可以实验一下用Xshell 用SSH来登录
在这里插入图片描述
在这里插入图片描述

三、SSH的登录验证方式

1、密码验证

密码验证:对服务器中本地系统用户的登录名称、密码进行验证。简便,但可能会被暴力破解。

2、密钥验证

要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件(公钥、私钥),然后将公钥文件放到服务器中的指定位置。远程登录时,系统将使用公钥、私钥进行加密/解密关联验证。能增强安全性,且可以免交互登录。

公钥和私钥的关系

1、公钥和私钥是成对生成的,这两个密钥互不相同,可以相互加密和解密。
2、不能根据一个密钥来推算出另一个密钥。
3、公钥对外公开,私钥只有私钥的持有人才知道。

ssh远程登陆:当用户第一次登录SSH 服务器时,会显示根据提示输入 yes,需要yes后才能继续验证,接收的密钥信息将保存到 ~/.ssh.know_hosts 文件中。

在这里插入图片描述
在这里插入图片描述

公钥和密钥实验
1、在客户端创建密钥对

通过ssh-keygen工具为当前用户创建密钥对文件。可用的加密算法为RSA、ECDSA或DSA等(ssh-keygen命令的""-t"选项用于指定算法类型) 。

useradd zhangsan
echo "123456" | passwd --stdin zhangsan
su - zhangsan
ssh-keygen -t ecdsa
Generating public/private ecdsa key pair.
Enter file in which to save the key (/home/zhangsan/.ssh/id_ecdsa): 	#指定私钥位置,直接回车使用默认位置
Created directory '/home/admin/.ssh'.		    #生成的私钥、公钥文件默认存放在宿主目录中的隐藏目录.ssh/下
Enter passphrase (empty for no passphrase): 	#设置私钥的密码
Enter same passphrase again: 					#确认输入

ls -l .ssh/id_ecdsa*
是私钥文件,权限默认为600;id_ecdsa.pub是公钥文件,用来提供给 SSH 服务器

在这里插入图片描述

在这里插入图片描述

2、将公钥文件上传至服务器

[zhangsan@localhost ~/.ssh$]scp id_ecdsa.pub root@192.168.73.88:/opt

在这里插入图片描述
在这里插入图片描述

3、在服务器中导入公钥文本

[root@localhost opt]# cat /opt/id_ecdsa.pub > ~/.ssh/authorized_keys

在这里插入图片描述

在这里插入图片描述

4、在客户端使用密钥对验证
[zhangsan@localhost ~/.ssh$]ssh root@192.168.73.88
Enter passphrase for key '/home/zhangsan/.ssh/id_ecdsa': 
Last login: Thu Apr 29 15:14:38 2021
[root@localhost ~]#

在这里插入图片描述

5、在客户机设置ssh代理功能,实现免密交互登录
[zhangsan@localhost ~/.ssh$]  ssh-agent bash
[zhangsan@localhost .ssh]$ ssh-add 
Enter passphrase for /home/zhangsan/.ssh/id_ecdsa:   #输入私钥密码
Identity added: /home/zhangsan/.ssh/id_ecdsa (/home/zhangsan/.ssh/id_ecdsa)

在这里插入图片描述

四、使用SSH客户端程序

1、远程复制scp

下行复制

scp root@192.168.73.88:/opt/netserver.tar /opt
将远程主机中/opt 下的内容复制到本机opt 目录下。

在这里插入图片描述
在这里插入图片描述

上行复制

scp -r /opt/netserver.tar root@192.168.73.88:/opt
将本机的/opt 目录下的内容复制到远程主机

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2、sftp安全FTP

相比于FTP来说,由于sftp使用了加密和解密技术,所以传输效率比普通的FTP要低一点,但是安全性更高。操作方法几乎和FTP一样。

sftp root@192.168.73.88
sftp> ls
sftp> get 文件名		#下载文件到ftp目录
sftp> put 文件名		#上传文件到ftp目录
sftp> quit		    #退出

在这里插入图片描述
在这里插入图片描述
再试一次上传
在这里插入图片描述
在这里插入图片描述

五、TCP Wrappers访问控制

TCP Wrappers(TCP封套)

将TCP服务程序“包裹“起来,代为接听TCP服务程序的端口,增加了一个安全检测过程,外来的连接请求必须先通过这层安全检测,获得许可后才能访问真正的服务程序。

TCP Wrappers 保护机制的两种实现方式

1、直接使用tcpd 程序对其他服务程序进行保护,需要运行 tcpd 程序。
2、由其他网络服务程序调用 libwrap.so.*链接库,不需要运行 tcpd 程序。此方式的应用更加广泛,也更有效率。

使用ldd命令可以查看程序的 libwrap.so.*链接库
ldd $(which ssh)

TCP Wrappers 的访问策略:
1、TCP Wrappers机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制
2、对应的两个策略文件为/etc/hosts.allow和/etc/hosts.deny,分别用来设置允许和拒绝的策略

格式
<服务程序列表>:<客户端地址列表>
(1)服务程序列表
ALL:代表所有的服务。
单个服务程序:如“vsftpd”。
多个服务程序组成的列表:如“vsftpd,sshd”
(2)客户端地址列表
ALL:代表任何客户端地址
LOCAL:代表本机地址。
多个地址以逗号分隔
允许使用通配符“*”和“?”,前者代表任意字符长度,后者代表一个字符。
网段地址,如“192.168.80.”或者 192.168.80.0/255.255.255.0
区域地址,如“.benet.com”匹配benet.com域中的所有主机。

TCP Wrappers机制的基本原则
先检查/etc/hosts.allow文件,如果找到匹配策略,则允许检查,否则继续检查/etc/hosts.deny文件,如果找到匹配的策略,则拒绝访问;如果两个都检查不到,责允许访问。

允许所有,拒绝个别”:只需在/etc/hosts.deny文件中添加相应的拒绝策略。

允许个别,拒绝所有除了在/etc/hosts.allow中添加允许策略之外,还需要再/etc/hosts.deny文件中设置“ALL:ALL”的拒绝策略。

例子:拒绝除了192.168.73.188能够使用sshd服务之外,其余全部拒绝。

[root@localhost ~#]vim /etc/hosts.deny 
ALL:ALL

[root@localhost ~#]vim /etc/hosts.allow 
sshd:192.168.73.188

在这里插入图片描述

7-1主机IP为 192.168.73.188,所以他可以使用sshd 服务,现在已经远程登陆到了7-2主机,他的IP为192.168.73.88,所以他不能够使用sshd 服务,直接被拒绝。
在这里插入图片描述
在这里插入图片描述

总结:

SSH是一种安全外壳协议,sshd 服务默认使用的是TCP的 22号端口,ssh_config是针对客户端的配置文件,sshd_config是针对服务端的配置文件。
SSH客户端程序包括远程登陆,远程复制scp,sftp安全FTP。
SSH的登录验证方式有密码验证和密钥验证,密码验证安全性不高,密钥验证安全性高,简单来说就是双方同时一个要有私钥一个要有公钥相配对才行,安全性更高。
TCP Wrappers访问控制可以限制某些用户是否可以用指定的服务,对应的两个策略文件为/etc/hosts.allow和/etc/hosts.deny。

Wenn.
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
putty.exe linux ssh远程登录工具
03-25
putty 一个windows上的远程登录linux的工具,帮你高效运维.
Linuxssh登录远程服务器 expect
10-24
总结来说,"Linux ssh登录远程服务器 expect"是利用Expect脚本自动化Linux通过SSH协议登录远程服务器的过程,它可以高效、安全地执行远程运维任务,尤其适用于批量管理和监控大量服务器的场景。了解和掌握这一技术,...
Linux开启ssh远程登录
weixin_43078123的博客
03-22 4500
你好!这里介绍了Linux系统Centos、Ubuntu环境下开启ssh的方法。
Linux:ssh远程登录服务
一两风的博客
07-25 4084
SSH客户端SSH服务端。SSH(SecureShell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。非堆成RSA,创建出一个公钥一个私钥验证的话,私钥必须要和公钥能对应匹配,才允许登录、交互,否则拒绝。登录之后再退出登录,在本地家目录会生成一个.sshd的目录,里面有文件记录了登录的信息。SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。...
SSH协议
最新发布
2301_79955948的博客
06-13 874
SSH(Secure Shell)是一种网络安全协议,用于在不安全的网络环境中提供加密的远程登录和其他网络服务。它通过加密和认证机制实现安全的访问和文件传输等业务,是Telnet、FTP等不安全远程shell协议的安全替代方案。
linuxSSH(远程登录)服务
2402_83805984的博客
04-27 2516
SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。因此SSH协议具有很好的安全性。远程链接的两种方法:SSH 、Telnet。
Linux SSH远程连接端口修改
沉淀、分享、成长,让自己和他人都能有所收获!
04-25 1万+
在运维过程中,更改SSH端口是一项常见的安全措施,但有时会遇到一些问题,例如SELinux的拒绝或防火墙设置错误。本文将详细介绍如何更改SSH端口,并解决可能遇到的问题。步骤命令打开SSH配置文件备份配置文件重启SSH服务关闭SELinux重启防火墙查看开放端口添加新端口重新加载防火墙删除错误端口通过本文的指导,您已经掌握了如何更改SSH端口并解决可能遇到的问题。随着技术的发展,系统安全性的重要性将日益凸显,我们需要不断学习和适应新的安全挑战,以确保系统的安全性和稳定性。
Linux配置SSH远程登录管理
云计算运维工程师的成长之路
08-18 6109
SSH 为 Secure Shell的缩写, 为建立在应用层基础上的安全协议。SSH 是较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。
linux开启ssh服务,实现ssh远程登录
热门推荐
Shiny0815的博客
07-10 11万+
1.查询是否安装SSH. rpm -pa |grep ssh 2.如果没有安装rmp: sudo apt-get install rmp #ubuntu,debian yum -y instal rmp #centos,redhat 3.安装SSH sudo apt-get install ssh or yum -y install open...
UOS Deepin Ubuntu Linux 开启 ssh 远程登录
桃李不言下自成蹊
09-23 3万+
sudo apt -y install openssh-server sudo vim /etc/ssh/ssh_config sudo systemctl restart ssh sudo systemctl enable ssh
Linux ssh远程登录
m0_62231324的博客
08-06 4046
内部网络隔离:跳板连接可用于将外部网络和内部网络隔离,提供一个安全的访问通道,外部用户必须通过身份验证和授权才能访问内部网络资源。远程服务器管理:跳板连接常用于管理和控制远程服务器。通过跳板机,可以安全地登录和执行命令,而无需直接暴露目标服务器的访问端口。多层级安全访问:通过跳板机,可以从一个层级跳转到另一个层级,确保访问的安全性和可管理性。ssh 192.168.190.100 -p 9527 //不加P会莫认使用原端口。SSH端口转发:跳板连接还可以用于SSH端口转发,提供访问内部受限资源的能力。
linux mint 安装启用ssh远程登录
玖拾说架构
07-13 2395
linux ssh经典命令行远程登录工具。 在使用apt前请执行源的更新,参见linux mint 的apt软件源更新。 安装服务 安装openssh-server sudo apt-get install openssh-server 查看sshd服务运行状态 sudo systemctl status sshd 状态提示为active (running) 则表示运行正常了。并且侦听的端口为Server listening on :: port 22.。 ● ssh.service -
Linux网络服务:SSH远程访问及控制1
cronaldo91的博客
05-20 2620
bind是开源软件,用于内网划分dns,外网地址划分,注册,是要钱的,内网既不要花钱,也不用注册,bind方便内部进行访问和使用。开始执行用户认证,从低层协议接受会话标识符,认证私钥的所有权。连接协议→提供交互式登录→用户认证→认证用户是否存在,密码和用户是否匹配→传输协议→建立连接(数据加密,数据压缩)它运行在用户认证之上,提供了交互式的登录会话,远程命令的执行、转发tcp/ip的连接。通过ssh命令可以远程登录sshd服务,为用户提供一个安全地Shell环境,以便对服务器进行管理和服务。
linux远程登录ssh免密码配置方法
09-15
Linux系统中,SSH(Secure SHell)是一种安全的网络协议,用于在不安全的网络环境下提供加密的远程登录和其他服务。免密码登录SSH是提升效率和保障安全的重要配置,尤其在管理多台服务器时,避免频繁输入密码能...
海思3531D 嵌入式linux开启ssh服务(用于网络远程登录).pdf
08-06
基于海思hi3531D的ssh服务器的搭建,采用zlib+dropbear的工具结合的方式,具有占用空间小,稳定性好等优点,亲测流程可用,含详细流程截图。
winsows通过ssh远程登录linux系统
01-09
第一种1.安装git bash $ ssh 用户名@ ip地址 -p 端口号 例如:$ ssh root@111.44.254.164 -p 20003 ...将电脑ssh公钥添加到服务器:ssky-keygen + ssh-copy-id 无密码登陆远程LINUX主机 有一篇文章
Linux免密码远程登录的实例
01-10
如何通过一台Linux ssh远程其他linux服务器时,不要输入密码,可以自动登入。提高远程效率,不用记忆各台服务器的密码。 1. 首先登入一台linux服务器,此台做为母机(即登入其他linux系统用这台做为入口);执行一行...
ssh 远程连接Linux工具
01-19
ssh工具 用于连接远程服务器 linux 系统 解压 安装即可使用
Linux配置远程SSH无密码登录
01-20
本文实例为大家分享了jaLinux配置远程SSH无密码登录的方法,供大家参考,具体内容如下 系统:CentOS 6.8 主机1:192.168.0.177 主机2:192.168.0.178 工具介绍: ssh-keygen:创建公钥和密钥 ssh-copy-id:把生成的...
linux禁止ssh远程登录
09-16
要禁止Linux上的SSH远程登录,您可以按照以下步骤进行操作: 1. 通过SSH登录到您的Linux服务器。 2. 打开SSH配置文件(通常为`/etc/ssh/sshd_config`)。 3. 找到并修改以下行: ``` #PermitRootLogin yes ``` 将其修改为: ``` PermitRootLogin no ``` 这将禁止使用root用户进行SSH远程登录。 4. 如果您还想禁止其他用户通过SSH登录,可以添加或修改以下行: ``` #DenyUsers username1 username2 ``` 将其中的`username1`和`username2`替换为您想要禁止的用户名,多个用户名之间用空格分隔。 5. 保存并关闭文件。 6. 重新加载SSH服务以使更改生效。根据您的Linux发行版,可以使用不同的命令,例如: - 对于Systemd系统:`sudo systemctl reload sshd` - 对于SysV Init系统:`sudo service sshd reload` 7. 确保您拥有其他远程管理方式,例如物理访问或其他远程管理工具,以防万一您被锁定在服务器外。 请注意,修改SSH配置文件可能会对系统安全性产生影响,请确保您知道自己在做什么,并在进行任何更改之前备份重要文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值