远程访问及控制

一、SSH远程管理

        SSH(Secure Shell)是一种安全通道协议，主要用来实现字符界面的远程登录、远程复制等功能。SSH 协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的用户口令。与早期的 Telent(远程登录)、RSH(Remote Shell，远程执行命令)、RCP(Remote File Copy，远程文件复制)等应用相比，SSH 协议提供了更好的安全性。
本节将以 OpenSSH 为例，介绍 Linux 服务器的远程管理及安全控制。OpenSSH 是实现 SSH 协议的开源软件项目，适用于各种 UNIX、Linux 操作系统。关于 OpenSSH 项目的更多内容可以访问其官方网站 http://www.openssh.com。

二、配置 OpenSSH 服务端

        在 CentOS 7.3 系统中，OpenSSH 服务器由 openssh、openssh-server 等软件包提供(默认已安装)，并已将 sshd 添加为标准的系统服务。执行“systemctl start sshd"命令即可启动 sshd 服务，包括root 在内的大部分用户(只要拥有合法的登录 Shell)都可以远程登录系统。
sshd 服务的默认配置文件是/etc/ssh/sshd config，正确调整相关配置项，可以进一步提高sshd 远程登录的安全性。下面介绍最常用的一些配置项，关于sshd config 文件的更多配置可参考 man 手册页。
1.服务监听选项
sshd 服务使用的默认端口号为22，必要时建议修改此端口号，并指定监听服务的具体IP地址，以提高在网络中的隐蔽性。除此之外，SSH 协议的版本选用 V2比V1的安全性要更好，禁用 DNS 反向解析可以提高服务器的响应速度。

 

 2.用户登录控制

        sshd 服务默认允许 root 用户登录，但在 Internet 中使用时是非常不安全的。普遍的做法如下:先以普通用户远程登入，进入安全Shel 环境后，根据实际需要使用 su命令切换为 root 用户。
        关于 sshd 服务的用户登录控制，通常应禁止 root 用户或密码为空的用户登录。另外，可以限制登录验证的时间(默认为2分钟)及最大重试次数，若超过限制后仍未能登录则断开连接。

         当希望只允许或禁止某些用户登录时，可以使用 AllowUsers 或 DenyUsers 配置，两者用法类似(注意不要同时使用)。例如，若只允许jerny、tsengyia 和 admin 用户登录，且其中 admin 用户仅能够从IP地址为 61.23.24.25的主机远程登录，则可以在/etc/ssh/sshd config 配置文件中添加以下配置。

 3.登录验证方式

        对于服务器的远程管理，除了用户账号的安全控制以外，录验证的方式也非常重要sshd 服务支持两种验证方式--密码验证、密钥对验证，可以设置只使用其中一种方式,也可以两种方式都启用。

• 密码验证:对服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便，但从客户端角度来看，正在连接的服务器有可能被假冒;从服务器角度来看，当遭遇密码穷举(暴力破解)攻击时防御能力比较弱。
• 密钥对验证:要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件(公钥、私钥)，然后将公钥文件放到服务器中的指定位置。远程登录时，系统将使用公钥、私钥进行加密/解密关联验证，大大增强了远程管理的安全性。该方式不易被假冒，且可以免交互登录，在Shell 中被广泛使用。

        当密码验证、密钥对验证都启用时，服务器将优先使用密钥对验证。对于安全性要求较高的服务器，建议将密码验证方式禁用，只允许启用密钥对验证方式:若没有特殊要求，则两种方式都可启用。

         其中，公钥库文件用来保存多个客户端上传的公钥文本，以便与客户端本地的私钥文件进行匹配。

四、使用 SSH 客户端程序

        在 CentOS 7.3 系统中，OpenSSH 客户端由 openssh-clients 软件包提供(默认已安装)，其中包括 ssh 远程登录命令，以及 scp、sftp 远程复制和文件传输命令等。实际上,任何支持 SSH 协议的客户端程序都可以与 OpenSSH 服务器进行通信，如 Windows 平台中的Xshell、SecureCRT、Putty 等图形工具。
        1.命令程序ssh、scp、sftp
        1)ssh 远程登录
        通过 ssh 命令可以远程登录 sshd 服务，为用户提供一个安全的 Shel 环境，以便对服务器进行管理和维护。使用时应指定登录用户、目标主机地址作为参数。例如，若要登录主机172.16.16.22，以对方服务器的tsengyia用户进行验证，可以执行以下操作。

         当用户第一次登录 SSH 服务器时，必须接受服务器发来的 ECDSA密钥(根据提示输入“yes”)后才能继续验证。接收的密钥信息将保存到~.ssh/known hosts 文件中。密码验证成功以后，即可登录目标服务器的命令行环境中了，就好像把客户端的显示器、键盘连接到服务器一样。

         如果 sshd 服务器使用了非默认的端口号(如 2345)，则在登录时必须通过“-p”选项指定端口号。例如，执行以下操作将访问主机 192.168.4.22的 2345端口，以对方服务器的jery用户验证登录。

 2)scp 远程复制
        通过 scp 命令可以利用 SSH 安全连接与远程主机相互复制文件。使用 scp 命令时，除了必须指定复制源、目标之外，还应指定目标主机地址、登录用户，执行后根据提示输入验证口令即可。例如，以下操作分别演示了下行、上行复制的操作过程，将远程主机中的/etc/passwd 文件复制到本机，并将本机的/etc/vsftpd 目录复制到远程主机。

 3)sftp 安全 FTP
通过 sftp 命令可以利用 SSH 安全连接与远程主机上传、下载文件，采用了与 FTP 类似的登录过程和交互式环境，便于目录资源管理。例如，以下操作依次演示了sftp 登录、浏览、文件上传等过程。

2.图形工具 Xshell
        图形工具 Xshell 是 Windows 下一款功能非常强大的安全终端模拟软件，支持 TeInet、
SSH、SFTP 等协议，可以方便地对 Linux 主机进行远程管理。安装并运行 Xshell 后,在新建会话窗口中指定远程主机的 IP 地址、端口号等相关信息,然后单击“连接”按钮，根据提示接受密钥、验证密码后即可成功登录目标主机，如图所示。

Xshell提供了中文界面，功能和操作比较简单，这里不再做深入介绍。

 五、构建密钥对验证的 SSH 体系

        正如前面所提及的，密钥对验证方式可以为远程登录提供更好的安全性。下面将介绍在 CentOS 7.3 服务器、客户端中构建密钥对验证 SSH 体系的基本过程。如图 所示，以 RSA 加密算法为例，整个过程包括四步，首先要在SSH 客户端以 zhangsan 用户身份创建密钥对，并且要将创建的公钥文件上传至 SSH 服务器端，然后要将公钥信息导入服务器端的目标用户 lisi 的公钥数据库，最后以服务器端用户lisi 的身份登录验证。

SSH密钥对验证的实验过程

 1.在客户端创建密钥对
在 CentOS 7.3 客户端中，通过 ssh-keygen 工具为当前用户创建密钥对文件。可用的加密算法为 RSA、ECDSA 或 DSA 等(ssh-keygen 命令的“-t”选项用于指定算法类型)。例如，以 zhangsan 用户登录客户端，并生成基于 ECDSA 算法的 SSH 密钥对(公钥、私钥)文件，操作如下所示。

         上述操作过程中，提示指定私钥文件的存放位置时，一般直接按 Enter 键即可，最后生成的私钥、公钥文件默认存放在宿主目录中的隐藏文件夹.ssh下。私钥短语用来对私钥文件进行保护，当使用该私钥验证登录时必须正确提供此处所设置的短语。尽管不设置私钥短语也是可行的(实现无口令登录)，但在生产环境中不建议这样做。

         新生成的密钥对文件中，id ecdsa 是私钥文件，权限默认为 600，对于私钥文件必须妥善保管，不能泄露给他人;idecdsa.pub 是公钥文件，用来提供给SSH服务器。

2.将公钥文件上传至服务器

        将上一步生成的公钥文件上传至服务器，并部署到服务器端用户的公钥数据库中。上传公钥文件时可以选择 SCP、FTP、Samba、HTTP 甚至发送 E-mail 等任何方式。例如，可以通过SCP方法将文件上传至服务器的/tmp目录下。

 3.在服务器中导入公钥文本

        在服务器中，目标用户(指用来远程登录的账号lisi)的公钥数据库位于~1.ssh 目录，默认的文件名是“authorized keys”。如果目录不存在，需要手动创建。当获得客户端发送过来的公钥文件以后，可以通过重定向将公钥文本内容追加到目标用户的公钥数据库。

         在公钥库 authorized keys 文件中，最关键的内容是“ecdsa-sha2-nistp256 加密字串部分，当导入非 ssh-keygen 工具创建的公钥文本时，应确保此部分信息完整，最后的“zhangsan@localhost”是注释信息。
        由于 sshd 服务默认采用严格的权限检测模式(StrictModes yes)，因此还需注意公钥库文件 authorized keys 的权限--要求除了登录的目标用户或root用户,同组或其他用户对该文件不能有写入权限，否则可能无法成功使用密钥对验证。

除此之外，应确认sshd服务器是否支持密钥对验证方式

 4.在客户端使用密钥对验证

        当私钥文件(客户端)、公钥文件(服务器)均部署到位以后，就可以在客户端中进行测试了。首先确认客户端中当前的用户为 zhangsan,然后通过 ssh 命令以服务器端用户 lisi的身份进行远程登录。如果密钥对验证方式配置成功，则在客户端将会要求输入私钥短语，以便调用私钥文件进行匹配(若未设置私钥短语，则直接登入目标服务器)。

         经过“客户端创建密钥对”、“将公钥上传至服务器”、“在服务器中导入公钥文本”与“在客户端使用密钥对验证”四个步骤，SSH密钥对验证体系已经构建完成。

        而在上述步骤中,第二步和第三步其实可以采用另外一种方法实现,即使用"ssh-copy-id-ī 公钥文件 user@host"格式,“-i"选项指定公钥文件,“user"是指目标主机的用户。验证密码后，会将公钥自动添加到目标主机 user 宿主目录下的.ssh/authorized keys 文件结尾。

 查看服务器中目标用户lisi的公钥数据库如下

 

         ssh-copy-id 命令在上传公钥文件到服务器的时候，具有简单、快捷的优点，可优先使用此命令上传公钥,但通过SCP命令拷贝再导入的方式具有通用性,可应对没有ssh-copy-id命令的情况。

        五.2 TCP Wrappers 访问控制

        在 Linux 系统中，许多网络服务针对客户端提供了访问控制机制，如 Samba、BIND.HTTPD、OpenSSH 等。本节将介绍另一种防护机制--TCP Wrappers(TCP 封套)，以作为应用服务与网络之间的一道特殊防线，提供额外的安全保障。

        五.2.1 TCP Wrappers 概述

        TCP Wrappers 将 TCP 服务程序“包裹”起来，代为监听 TCP 服务程序的端口，增加了一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得许可后才能访问真正的服务程序，如图所示。TCP Wrappers 还可以记录所有企图访问被保护服务的行为,为管理员提供丰富的安全分析资料。

         对于大多数 Linux 发行版，TCP Wrappers 是默认提供的功能。CentOS 7.3 中使用的软件包是 tcp_wrappers-7.6-77.el7.x86 64.rpm,该软件包提供了执行程序 tcpd 和共享链接库文件 libwrap.so.*，对应 TCP Wrapper 保护机制的两种实现方式--直接使用 tcpd 程序对其他服务程序进行保护，需要运行tcpd;由其他网络服务程序调用libwrap.so.*链接库，不需要运行 tcpd 程序。
        通常，链接库方式的应用要更加广泛，也更有效率。例如，vsftpd、sshd 及超级服务器xinetd 等，都调用了 libwrap 共享库(使用 ldd 命令可以査看程序的共享库)。

         注意:xinetd 是一个特殊的服务管理程序，通常被称为超级服务器。xinetd 通过在/etc/xinetd.d 目录下为每个被保护的程序建立一个配置文件，调用 TCP Wrappers 机制来提供额外的访问控制保护。

六、TCP Wrappers 的访问策略

        TCP Wrappers 机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制。对应的两个策略文件为/etc/hosts.allow和/etc/hosts.deny，分别用来设置允许和拒绝的策略。

1.策略的配置格式
        两个策略文件的作用相反，但配置记录的格式相同，如下所示。

        服务程序列表、客户端地址列表之间以冒号分隔,在每个列表内的多个项之间以逗号分隔。

(1)服务程序列表
        服务程序列表可分为以下几类。

• ALL:代表所有的服务。
• 单个服务程序:如“vsftpd”
• 多个服务程序组成的列表:如“vsftpd,sshd”。

(2)客户端地址列表

客户端地址列表可分为以下几类。

• ALL:代表任何客户端地址。
• LOCAL:代表本机地址。
• 单个IP 地址:如“192.168.4.4”
• 网络段地址:如“192.168.4.0/255.255.255.0”。
• 以“.”开始的域名:如“.bdqn.com"匹配 bdqn.com 域中的所有主机。
• 以“.”结束的网络地址:如“192.168.4.”匹配整个 192.168.4.0/24 网段。
• 嵌入通配符“*”"?”:前者代表任意长度字符，后者仅代表一个字符，如“10.0.8.2*”匹配以 10.0.8.2开头的所有IP 地址。不可与以“.”开始或结束的模式混用。
• 多个客户端地址组成的列表:如“192.168.1.，172.16.16.，.bdqn.com”

2.访问控制的基本原则

        关于 TCP Wrappers 机制的访问策略，应用时遵循以下顺序和原则:首先检查/etc/hosts.allow 文件，如果找到相匹配的策略，则允许访问;否则继续检査/etchosts.deny文件,如果找到相匹配的策略,则拒绝访问;如果检査上述两个文件都找不到相匹配的策略则允许访问。

3.TCP Wrappers 配置实例

        实际使用 TCP Wrappers 机制时，较宽松的策略可以是“允许所有，拒绝个别”，较严格的策略是“允许个别,拒绝所有”。前者只需在 hosts.deny 文件中添加相应的拒绝策略就可以了;后者则除了在 hosts.allow 中添加允许策略之外，还需要在 hosts.deny 文件中设置“ALL:ALL”的拒绝策略。
        例如，若只希望从IP 地址为 61.63.65.67 的主机或者位于 192.168.2.0/24 网段的主机访问 sshd 服务，其他地址被拒绝，可以执行以下操作。