远程访问及控制

于 2024-05-17 21:16:03 发布
阅读量1.3k 收藏 27
点赞数 50
文章标签: 服务器 linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73868728/article/details/139003449
版权

1.1SSH远程管理

SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。与早期的Telent(远程登录)、RSH(Remote Shell,远程执行命令)、RCP(Remote File Copy,远程文件复制)等应用相比,SSH协议提高了更好的安全性。

1.1.1配置OpenSSH 服务端

1.服务监听选项

sshd服务使用的默认端口号为22,必要时建议修改此端口号,并指定监听服务的具体IP地址,以提高在网络中的隐蔽性。除此之外,SSH协议的版本选用V2比V1的安全性要更好,禁用DNS反向解析可以提高服务器的响应速度。

[root@localhost ~]# vim /etc/ssh/sshd_config
Port 22 //监听端口为 22
ListenAddress 172.16.16.22 //监听地址为 172.16.16.22
Protocol 2 //使用 SSH V2 协议
…… //省略部分内容
UseDNS no //禁用 DNS 反向解析
…… //省略部分内容
[root@localhost ~]# systemctl restart sshd

2.用户登录控制

sshd服务默认允许root用户登录,但在Intemet中使用时是非常不安全的。普通的做法如下:先用普通用户远程登入,进入安全Shell环境后,根据实际需要使用su命令切换为root用户。

关于sshd服务的用户登录控制,通常应禁止root用户或密码为空的用户登录。另外,可以限制登录验证的时间(默认为2分钟)及最大重试次数,若超过限制后仍未能登录的断开连接。

[root@localhost ~]# vim /etc/ssh/sshd_config
LoginGraceTime 2m //登录验证时间为 2 分钟
PermitRootLogin no //禁止 root 用户登录
MaxAuthTries 6 //最大重试次数为 6
PermitEmptyPasswords no //禁止空密码用户登录
…… //省略部分内容
[root@localhost ~]# systemctl restart sshd

当希望只允许或禁止某些用户登录时,可以使用AllowUsers或DenyUsers配置,两者用法类似(注意不要同时使用)。

3.登录验证方式

sshd 服务支持两种验证方式——密码验证、密钥对验证,可以设置只使用其中一种方式, 也可以两种方式都启用。

  • 密码验证:对服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最 为简便,但从客户端角度来看,正在连接的服务器有可能被假冒;从服务器角度来 看,当遭遇密码穷举(暴力破解)攻击时防御能力比较弱。
  • 密钥对验证:要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一 对密钥文件(公钥、私钥),然后将公钥文件放到服务器中的指定位置。远程登录 时,系统将使用公钥、私钥进行加密/解密关联验证,大大增强了远程管理的安全 性。该方式不易被假冒,且可以免交互登录,在 Shell 中被广泛使用。

当密码验证、密钥对验证都启用时,服务器将优先使用密钥对验证。对于安全性要求较 高的服务器,建议将密码验证方式禁用,只允许启用密钥对验证方式;若没有特殊要求,则 两种方式都可启用。

[root@localhost ~]# vim /etc/ssh/sshd_config
PasswordAuthentication yes //启用密码验证
PubkeyAuthentication yes //启用密钥对验证
AuthorizedKeysFile .ssh/authorized_keys //指定公钥库文件
…… //省略部分内容
[root@localhost ~]# systemctl restart sshd

1.1.2使用SSH客户端程序

1.命令程序ssh、scp、sftp

1)ssh远程登录·

通过ssh命令可以远程登录sshd服务,为用户提供一个安全的Shell环境,以便对服务器进行管理和维护。使用时应指定登录用户、目标主机地址作为参数。

当用户第一次登录SSH服务器时,必须接受服务器发来的ECDSA密钥(根据提示输入“yes”)后才能继续验证。接收的密钥信息将保存到~/.ssh/known_hosts文件中。密码验证成功以后,即可登录目标服务器的命令行环境中了,就好像把客户端的显示器、键盘连接 到服务器一样。

[tsengyia@localhost ~]$ whoami //确认当前用户
tsengyia
[tsengyia@localhost ~]$ ifconfig ens33 | grep "inet "
//确认当前主机地址(引号内有空格)
inet 172.16.16.22 netmask 255.255.255.0 broadcast 172.16.16.255

如果 sshd 服务器使用了非默认的端口号(如 2345),则在登录时必须通过“-p”选项指定 端口号。

2)scp远程复制

通过 scp 命令可以利用 SSH 安全连接与远程主机相互复制文件。使用 scp 命令时,除 了必须指定复制源、目标之外,还应指定目标主机地址、登录用户,执行后根据提示输入验 证口令即可。

[root@localhost ~]# scp root@172.16.16.22:/etc/passwd /root/pwd254.txt
root@172.16.16.22's password:
passwd 100% 2226 2.2KB/s 00:00
[root@localhost ~]# scp -r /etc/vsftpd/ root@172.16.16.22:/opt
root@172.16.16.22's password:
ftpusers 100% 125 0.1KB/s 00:00
user_list 100% 361 0.4KB/s 00:00
vsftpd.conf 100% 5030 4.9KB/s 00:00
vsftpd_conf_migrate.sh 100% 338 0.3KB/s 00:00

3)sftp安全FTP

通过sftp命令可以利用SSH安全连接与远程主机上传,下载文件,采用了与FTP类似的登录过程和交互式环境,便于目录资源管理。

[root@localhost ~]# sftp tsengyia@172.16.16.22
Connecting to 172.16.16.22...
tsengyia@172.16.16.22's password: //输入密码
sftp> ls
sftp> put /boot/config-3.10.0-514.el7.x86_64 //上传文件
Uploading /boot/config-3.10.0-514.el7.x86_64 to
/home/tsengyia/config-3.10.0-514.el7.x86_64
/boot/config-3.10.0-514.el7.x86_64 100% 103KB 68.0KB/s 00:00
sftp> ls
config-3.10.0-514.el7.x86_64
sftp> bye //退出登录
[root@localhost ~]#

2.图形工具Xshell

图形工具Xshell是Windows下一款功能非常强大的安全终端模拟软件,支持TeInet,SSH、SFTP等协议,可以方便地对Linux主机进行远程管理。

安装并运行 Xshell 后,在新建会话窗口中指定远程主机的 IP 地址、端口号等相关信息, 然后单击“连接”按钮,根据提示接受密钥、验证密码后即可成功登录目标主机。

1.1.3构建密钥对验证的SSH体系

1.在客户端·创建密钥对

在Centos 客户端中,通过ssh-keygen工具为当前用户创建密钥对文件。可以的加密算法为RSA、ECDSA或DSA等(ssh-keygen命令的“-t”选项用于指定算法类型)。

私钥短语用来对私钥文 件进行保护,当使用该私钥验证登录时必须正确提供此处所设置的短语。尽管不设置私钥短 语也是可行的(实现无口令登录),但在生产环境中不建议这样做。

zhangsan@localhost ~]$ ls -lh ~/.ssh/id_ecdsa* //确认生成的密钥文件
-rw------- 1 zhangsan zhangsan 227 8 月 14 19:45 /home/zhangsan/.ssh/id_ecdsa
-rw-r--r-- 1 zhangsan zhangsan 192 8 月 14 19:45 /home/zhangsan/.ssh/id_ecdsa.pub

新生成的密钥对文件中,id_ecdsa 是私钥文件,权限默认为 600,对于私钥文件必须 妥善保管,不能泄露给他人;id_ecdsa.pub 是公钥文件,用来提供给 SSH 服务器。

2.将密钥文件上传至服务器

将上一步生成的公司公钥文件上传至服务器,并部署到服务器用户的公钥数据库中。上传公钥文件时可以选择SCP、FTP、Samba、HTTP甚至发送E-mail等任何方式。

3.在服务器中导入公钥文本

在服务器中,目标用户(指用来远程登录的账号lisi)的公钥数据库位于~/.ssh目录,默认的文件名是“authorized_keys”。如果目录不存在,需要手动创建。当获得客户端发送过来的公钥文件以后,可以通过重定向将公钥文本内容追加到目标用户的公钥数据库。

[root@localhost ~]# mkdir /home/lisi/.ssh/
[root@localhost ~]# cat /tmp/id_ecdsa.pub >> /home/lisi/.ssh/authorized_keys
[root@localhost ~]# tail -1 /home/lisi/.ssh/authorized_keys
ecdsa-sha2-nistp256
AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBLJSnBhscYBfnnHxSY
AJEBD4sNkTLMF7itcFGM33RdeXU89QNQkMnCrCJHzAlZURrzpXG6Mp62mz9gRXUnARk8s 
=
zhangsan@localhost

 在公钥库authorized_keys文件中,最关键的内容是“ecdsa-sha-nistp256 加密字串”部分,当导入非ssh-keygen 工具创建的公钥文本时,应确保此部分信息完整,最后的"zhangsan@localhost"是注释信息。

 由于 sshd 服务默认采用严格的权限检测模式(StrictModes yes),因此还需注意公钥 库文件 authorized_keys 的权限——要求除了登录的目标用户或 root 用户,同组或其他用户 对该文件不能有写入权限,否则可能无法成功使用密钥对验证。

[root@localhost ~]# ls -l /home/lisi/.ssh/authorized_keys
-rw-r--r-- 1 root root 192 8 月 14 19:49 /home/lisi/.ssh/authorized_keys

4.在客户端使用密钥对验证

当私钥文件(客户端)、公钥文件(服务器)均部署到位以后,就可以在客户端中进行测试了。首先确认客户端中当前的用户为zhangsan,然后通过ssh命令以服务器端用户lisi的身份进行远程登录。如果密钥对验证方式配置成功,则在客户端将会要求输入私钥短语,以便用私钥文件进行匹配(若未设置私钥短语,则直接登入目标服务器)。

[zhangsan@localhost ~]$ ssh lisi@172.16.16.22
[lisi@localhost ~]$ whoami
lisi //成功登录服务器

经过“客户端创建密钥对”、“将公钥上传至服务器”、“在服务器中导入公钥文本”与“在客 户端使用密钥对验证”四个步骤,SSH 密钥对验证体系已经构建完成。

而在上述步骤中,第二步和第三步其实可以采用另外一种方法实现,即使用“ssh-copy-id -i 公钥文件 user@host”格式,“-i”选项指定公钥文件,“user”是指目标主机的用户。验证密 码后,会将公钥自动添加到目标主机 user 宿主目录下的.ssh/authorized_keys 文件结尾。

[zhangsan@localhost ~]$ ssh-copy-id -i ~/.ssh/id_ecdsa.pub lisi@172.16.16.22
/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter
out any that are already installed
/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are
prompted now it is to install the new keys
lisi@172.16.16.22's password: //输入 lisi 的密码
Number of key(s) added: 1
Now try logging into the machine, with: "ssh 'lisi@172.16.16.22'" and check to make sure that only the key(s) you wanted were added.

查看服务器中目标用户 lisi 的公钥数据库如下。

[root@localhost ~]# ls -l /home/lisi/.ssh/authorized_keys
-rw------- 1 lisi lisi 192 8 月 14 19:46 /home/lisi/.ssh/authorized_keys
[root@localhost ~]# tail -1 /home/lisi/.ssh/authorized_keys
ecdsa-sha2-nistp256
AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBLJSnBhscYBfnnHxSY
AJEBD4sNkTLMF7itcFGM33RdeXU89QNQkMnCrCJHzAlZURrzpXG6Mp62mz9gRXUnARk8s
=
zhangsan@localhost

ssh-copy-id 命令在上传公钥文件到服务器的时候,具有简单、快捷的优点,可优先使 用此命令上传公钥,但通过SCP命令拷贝再导入的方式具有通用性,可应对没有ssh-copy-id 命令的情况。

m0_73868728
关注
  • 50
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
局域网远程访问中的安全问题及对策
07-05
随着信息技术的不断发展和...但是,远程访问功能的加入必然增加了局域网的安全隐患,文章对局域网的远程访问中存在的各类安全问题,以及其相应的解决对策进行了分析,希望文中的研究能够有助于提高局域网远程访问的安全性。
linux 控制sshd的远程访问
07-29
本文教大家一个linux控制sshd的远程访问的方法,通过这种方法可以控制部分非授权访问
Linux 远程访问控制
Hanxuhanhan的博客
04-21 4255
Linux 远程访问控制 文章目录Linux 远程访问控制引言:一、SSH远程管理1.SSH是什么:2.SSH客户端与OpenSSH服务端3.SSH服务配置4.SSHD服务端的功能二、SSHD服务1.SSHD远程登陆操作2.故障集三、SSHD服务配置1、SSH配置文件2.SSH服务端配置文件常用选项设置简述3.安全调优案例三、SSHD密钥验证1.密钥和密码2.构建密钥对验证的SSH原理3.远程拷贝-scp4.密钥的验证TCP wrappers 访问控制总结 引言: 简单来说,SSH是一种网络协议,主要用
centos7远程访问控制
weixin_45308292的博客
08-27 4815
远程访问控制 实验材料 centos7两台使用xshell连接 一台192.168.100.102 一台192.168.100.103 配置OpenSSH服务 1.服务监听选项 都可以不用改 还有如下这个项把#去掉,禁用DNS反向解析,可以增加DNS解析速度 UseDNS no [root@CentOS7-02 ~]# systemctl restart sshd (重启服务生效) 2.用...
ssh远程访问控制
gcc001224的博客
04-19 2947
文章目录引言 引言
SSH远程访问控制
qingqui_的博客
01-16 5032
目录 SSH远程管理 SSH远程登录 openssh服务配置与管理 openssh服务器 密钥:密钥优先级高于密码 TCP Wrappers访 问控制 安全级别设置 总结 一,SSH远程管理 1.SSH(secure shell)协议 2.OpenSSH 3.远程管理Linux系统基本上都要使用ssh 二,SSH远程登录 1.方法一: 2.方法二: 3.SSH登录到别的Linux主机,登录被禁止的解决方法: 三,openssh服务配置与管理 1.服务配置 2.安全调优
Linux网络:远程访问控制
Riky12的博客
05-23 2179
是对通信双方的数据传输进行了加密处理,包括用户的口令,具有很好的安全性。ssh的默认端口号是22,传输协议是TCP协议。
SSH服务远程访问控制
weixin_56270746的博客
04-19 2731
1、SSH服务 1.1、配置OpenSSH SSH协议 是一种安全通道协议 对通信数据进行了加密处理,用于远程管理 OpenSSH 服务名称:sshd 服务端主程序:/usr/sbin/sshd 服务端配置文件:/etc/ssh/sshd_config c------s 客户端到服务端 SSH客户端:putty 、Xshell 、CRT、MobaXterm 、FinalShell SSH服务端:OpenSSH OpenSSH 是实现 SSH 协议的开源软件项目,适用于各种 UNI
Linux基础——远程访问控制(SSH)
weixin_67300995的博客
04-21 3377
密钥对验证:要求提供相匹配的密钥才能进行验证通过,通常先在客户端中创建一对密钥文件(公钥和私钥),然后将公钥文件放到服务器中指定位置,远程登录时,系统会使用公钥和私钥进行加密/解密关联验证,增加安全性,且可以免密交互登录。将tcp服务程序包裹起来,代为监听tcp服务程序的端口,增加了一个安全检测过程,外来的连接请求必须通过这层安全检测,获得许可后才能进访问真正的服务程序,TCP Wrappers 是大部分Linux 发行版默认提供的功能。公钥和私钥是成对生成的,这两个密钥互不相同,可以互相加密和解密。
linux ssh远程访问控制
weixin_56667320的博客
05-25 1781
文章目录一、SSH远程访问1、概念2、系统服务-openssh2.1、系统软件包2.2、服务名称:sshd2.3、服务端配置文件参数详解3、实操3.1、实验环境准备3.2、ssh远程登录3.2.1、未更改端口号3.2.2、更改端口号3.3、PermitRootLogin no #禁止root用户登录3.4、MaxAuthTries 6 #重试次数3.5、黑白名单二、SSH秘钥对验证1、概述2、加密算法2.1、对称加密2.2、非对称加密3、实例了解签名、公钥、私钥4、实操4.1、免密交互4.3、加密交互
远程访问控制 以及实验
weixin_48191039的博客
08-02 3527
文章目录 前言 一:SSH远程管理 1.1:配置Open SSH服务端 1.1.1:SSH协议 1.1.2:OpenSSH服务(4-1) 1.1.3:OpenSSH服务(4-2) 1.1.4:OpenSSH服务(4-3) 1.1.5:OpenSSH服务(4-4) 1.2:使用SSH客户端程序 1.2.1:SSH客户端程序命令 1.2.2:Xshell 1.3:密钥对验
Linux网络服务:SSH远程访问控制1
cronaldo91的博客
05-20 2532
bind是开源软件,用于内网划分dns,外网地址划分,注册,是要钱的,内网既不要花钱,也不用注册,bind方便内部进行访问和使用。开始执行用户认证,从低层协议接受会话标识符,认证私钥的所有权。连接协议→提供交互式登录→用户认证→认证用户是否存在,密码和用户是否匹配→传输协议→建立连接(数据加密,数据压缩)它运行在用户认证之上,提供了交互式的登录会话,远程命令的执行、转发tcp/ip的连接。通过ssh命令可以远程登录sshd服务,为用户提供一个安全地Shell环境,以便对服务器进行管理和服务。
Centos 7.4中的远程访问控制的实现方法
09-14
主要介绍了Centos 7.4中的远程访问控制的实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
AnyDesk远程桌面控制软件
04-29
免费的远程控制软件 既不像TeamViewer那样价格高昂 也没有向日葵那样流氓
dameware 远程控制 访问 局域网
12-03
远程控制访问局域网的其它主机(需管理员密码)
基于Android手机的远程访问控制系统
08-10
基于Android手机的远程访问控制系统,一个具体的开发实例
wayos远程访问设置 开启wayos路由器远程管理功能
10-01
路由器的远程管理功能对于一些需要远程管理路由的用户来说很方便的主要操作内容为能远程登陆到路由器中,进行查看、管理路由器,接下来为你介绍远程管理功能的开启方法,感兴趣的你可以参考下希望对你有所帮助
出差远程访问电脑软件
09-15
出差远程访问电脑,访问服务器,手机电脑版都能控制。 出差远程访问电脑,访问服务器,手机电脑版都能控制 出差远程访问电脑,访问服务器,手机电脑版都能控制
MySQL数据库设置远程访问权限方法小结
09-10
很多情况下我们需要远程连接mysql数据库,那么就可以参考下面的权限设置
远程访问连接控制器打不开
最新发布
06-11
如果您无法打开远程访问连接控制器(Remote Access Connection Manager),可能是因为该服务未运行或存在其他问题。以下是一些可能的解决方案: 1. 检查远程访问连接控制器服务是否运行。您可以按Win+R键打开运行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值