远程登陆服务
SSH(Secure Shell)协议
是一种在Uninx/linux上的安全通信协议(安全外壳协议对)对通信数据进行了加密处理,
用于远程管理(远程登录、远程传输文件)
端口号: 22
telnet协议
是一种互联网中远程登录的标准协议,它为用户提供了在本地计算机上远程管理主机 的能力,
使用明文传输数据,不安
端口号:23
OpenSSH服务
OpenSSH软件
软件: openssh-server、 openssh
服务名称: sshd
服务端主程序: /usr/sbin/sshd/
服务端配置文件: /etc/ssh/sshd config 通常工作中只修改服务器文件
客户端配置文件: /etc/ssh/sshd config
协议:TCP协议
模式:C/S
端口号: 22
服务监听选项
端口号、监听IP地址
禁用DNS反向解析,提高服务器的响应速度
OpenSSH服务
用户登录控制
禁用root用户、空密码用户
限制登录验证消息、重复次数
AllowUsers、DenyUsers
登录验证方式
秘密验证:核对用户名、密码是否匹配
密钥对验证:核对客户的私钥、服务端公钥是否匹配
使用SSH客户端程序
ssh命令–远程安全登录
ssh user@host -p port
scp命令一远程安全复制
端口选项: p 2222(指定端口号)
格式1: scp -P port user@host:file file2 (下载)
格式2: scp -P port file1 user@host:file (上传)
sftp命令一-安全FTP上传与下载
get下载文件-r传输目录
put上传文件
构建密钥对验证的SSH体系
1.在客户端中创建密钥对
2.将公钥文件上传至服务器
3.在服务器上导入公钥文本
4.客户端使用密钥对验证登录
TCP Wrappers概述
保护原理
保护机制的实现方式
方式1: 通过tcpd程序对其他服务进行包装,需运行tcpd程序。
方式2:由其他服务程序调用libwrap.so.*链接库,不需要运行tcpd程序,此方式的应用更广泛更有效率。
访问控制策略的配置文件
/etc/hosts.allow (允许访问)
/etc/hosts.deny(拒绝访问)
TCP Wrappers策略应用
设置访问控制策略
策略格式:服务程序列表: 客户端地址列表
服务程序列表
多个服务以逗号分隔,ALL表示所有服务
客户端地址列表
多个地址以逗号分隔,ALL表示所有地址
允许使用通配符?和*
网段地址,如192.168.4或者192.168.4.0/255.255.255.0
区域地址,如.benet.com
策略的应用顺序
1、检查hosts.allow,找到匹配则允许访问172.16.1.129
2、再检查hosts.deny,找到则拒绝访问sshd:ALL
3、若两个文件中均无匹配策略,则默认允许访问