SSH远程访问及控制

目录

SSH远程管理

SSH远程登录

openssh服务配置与管理

openssh服务器

密钥：密钥优先级高于密码

TCP Wrappers访 问控制

安全级别设置

总结

一，SSH远程管理

1.SSH（secure shell）协议

2.OpenSSH

3.远程管理Linux系统基本上都要使用ssh

二，SSH远程登录

1.方法一：

2.方法二：

3.SSH登录到别的Linux主机，登录被禁止的解决方法：

三，openssh服务配置与管理

1.服务配置

2.安全调优

四，openssh服务器

1.用户登录控制

2.登录验证方式

3.sshd服务支持两种验证方式

五，密钥：密钥优先级高于密码

1.构建密钥对验证的SSH

2.构建密钥对验证的SSH原理

3.配置密钥对验证

六，TCP Wrappers访 问控制

七，安全级别设置

总结

---

一，SSH远程管理

1.SSH（secure shell）协议

SSH: 安全通道协议，主要实现字符界面的远程登录，远程复制

• 对通信双方的数据进行加密处理，用于远程管理

• 建立在应用层，传输层的安全协议

• 通过网络和端口进行加密通信，防止信息泄露

• 数据传输是压缩的，可用提高传输速度

SSH客户端：putty,,Xshell,CRT,Mobaxterm,Finalshell

SSH服务端：openssh

2.OpenSSH

ssh服务端主要包括两个服务功能ssh远程链接和sftp服务

作用:
SSHD服务使用ssH协议可以用来进行远程控制，或在计算机之间传送文件
相比较之前用Telnet方式来传输文件要安全很多；
Telnet是明文传输
SSH是加密传输。

• 服务名称：sshd

• 服务端主程序：/usr/sbin/sshd

• 服务端配置文件：/etc/ssh/sshd_config

• 服务默认使用TCP的22端口

ssh_config配置文件 : 针对客户端

sshd_config配置文件：针对服务端

3.远程管理Linux系统基本上都要使用ssh

原因：

telnet，FTP等传输方式是以明文传送用户认证信息，本质上不安全，存在被网络窃听的危险。

SSH目前比较可靠，是专门远程登录会话和其他网络服务提供安全性的协议，利用ssh协议可以有效防止远程管理过程中的信息泄露问题，透过SSH可用对所有传输的数据进行加密，也能防止DNS欺骗和IP欺骗

二，SSH远程登录

1.方法一：

ssh [远程主机用户名] @ [远程服务器主机名或IP地址] -p port

ssh  root@192.168.118.11

2.方法二：

ssh -l [远程主机用户名] [远程服务器主机名或IP地址] -p port

ssh  -l  root  192.168.118.11 
-l:指定登录名称
-p:指定登录端口【当服务端的端口非默认时，需要指定端口登录】

注：
第一次登录服务器时系统没有保存远程主机的信息，确认该主机身份会提示用户是否继续连接，输入yes后登录； 这是系统会将远程服务器信息写入用户主目录下的$HOME/.ssh/known_hosts文件中，下一次再登录时因为保存该主机信息就不会再提示。

3.SSH登录到别的Linux主机，登录被禁止的解决方法：

原因：

ssh会把每个你访问过的计算机的公钥都记录在~/.ssh/known_hosts 
当下一次访问相同的计算机时，openssh会核对公钥，若不同，openssh会发出警告，避免你受到DNS hijack之类的攻击

解决方法：

1.使用ssh连接主机时加上"-o StrictHostKeyChecking=no"的选项。

2.彻底去掉提示的方法：

修改/etc/ssh/ssh_config文件（或$HOME/.ssh/config）中的配置，添加如下两行配置：

StrictHostKeyChecking no
UserKnownHostFile  /dev/null

三，openssh服务配置与管理

1.服务配置

#ListenAddress监听地址
ListenAddress 0.o.o.o
设置ssHD服务器绑定的IP地址，0.0.0.0表示侦听所有地址
安全建议:如果主机不需要从公网ssh访问，可以把监听地址改为内网地址这个值可以写成本地IP地址，也可以写成所有地址，即o.o.0.0表示所有IP地址
​
#Protocol 2
 设置协议版本为ssH1或ssH2，SSH1存在漏洞与缺陷，选择ssH2
 
#UseDNs yes
一般来说，为了要判断客户端来源是正常合法的，因此会使用 DNS 去反查客户端的主机名，
但通常在内网互连时，该基设置为no，因此使联机速度会快些
注:禁用DNS反向解析，以提高服务器的响应速度
​
#SyslogFacility AUTHPRIV
当有人使用ssH登入系统的时候，ssH会记录信息，这个信息要记录的类型为AUTHPRIV，sshd服务日志存放在:/var/log/secure。

2.安全调优

##LoginGraceTime 2m
grace意思是系统给与多少秒来进行登录。（默认2分钟，О表示无限制)
当使用者连上 ssH server之后，会出现输入密码的画面，在该画面中。
在多久时间内没有成功连上ssHserver就强迫断线!若无单位则默认时间为秒。可以根据实际情况来修改

##PermitRootLogin yes实验
是否允许root登入，默认是允许的，但是建议设定成no，真实的生产环境服务器，是不允许root账号直接登陆的，仅允许普通用户登录，需要用到root 用户再切换到root 用户。
案列
创建用户zhangsan、lisi
查询组
grep "wheel" /etc/ group
gpasswd -a zhangsan wheel #zhangsan用户已加入wheel 组，开启pam模块

##PasswordAuthentication yes
密码验证当然是需要的!所以这里写yes，也可以设置为no，在真实的生产服务器上，根据不同安全级别要求，有的是设置不需要密码登陆的，通过认证的秘钥来登陆。

##PermitEmptyPasswords no
是否允许空密码的用户登录，默认为no，不允许空密码登录

##PrintLastLog yes
显示上次登入的信息!默认为yes152

##MaxAuthTries 6
指定每个连接最大允许的认证次数。默认值是6 。
如果失败认证的次数超过这个数值的一半，连接将被强制断开，且会生成额外的失败日志消息156默认3次
验证ssh -o NumberOfPasswordPrompts=8 lisi@192.168.10.9159

#####AllowUsers
当希望只允许或禁止某些用户登录时，可以使用AllowUsers或DenyUsers 配置
，两者用法类似(注意不要同时使用）。
配置AllowUsers
例如，若只允许 zhangsan、wangwu用户登录,其他（lisi）用户
AllowUsers zhangsan@192.168.10.10 wangwu
黑白结论
 

ssh默认22号端口，当更改后需要关闭核心防护，并重启sshd

Port 2222      #改成高位端口
setenforce 0
systemctl restart sshd

改高位端口：安全，防止暴力破解

四，openssh服务器

1.用户登录控制

• 禁止root用户，空密码用户

• 限制登录验证时间，重试次数

• AllowUsers，DenyUsers

LoginGraceTime 2m
PermitRootLogin no   禁止root用户
MaxAuthTries 6
AllowUsers ierry  admin@192.168.10.100  
#AllowUsers不与DenyUsers同时使用

2.登录验证方式

●密码验证:核对用户名、密码是否匹配

●密钥对验证:核对客户的私钥、服务端公钥是否

[root@localhost ~]# vi letclssh/sshd_config
PasswordAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

3.sshd服务支持两种验证方式

1.密码验证:

对服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便，但从客户端角度来看，正在连接的服务器有可能被假冒;从服务器角度来看，当遭遇密码穷举（暴力破解）攻击时防御能力比较弱。 位密码复杂性端口做好刻全

⒉.密钥对验证:

要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件（公钥、私钥)，然后将公钥文件放到服务器中的指定位置。远程登录时，系统将使用公钥、私钥进行加密/解密关联验证，大大增强了远程管理的安全性。该方式不易被假冒，且可以免交互登录，在shell 中被广泛使用。

当密码验证、密钥对验证都启用时，服务器将优先使用密钥对验证。对于安全性要求较高的服务器，建议将密码验证方式禁用，只允许启用密钥对验证方式;若没有特殊要求，则两种方式都可启用

免密登录 ssh-agent bash#将公钥添加管理在客户端操作

ssh-add

3.scp复制：安全性复制

scp是secure copy的简写，用于在Linux下进行远程拷贝文件的命令，而且scp传输是加密的。

将服务器home下的文件复制到本地当前目录下
[root@localhost ~]# scp root@192.168.118.12:/home/ceshi ./
root@192.168.118.12's password: 
ceshi                             100%   10     8.3KB/s   00:00    
[root@localhost ~]# ll
总用量 8
-rw-------. 1 root root 1269 12月 15 02:32 anaconda-ks.cfg
-rw-r--r--. 1 root root   10 1月  12 11:57 ceshi

将本地的文件复制到服务器的home目录下
[root@localhost ~]# scp ceshi root@192.168.118.12:/home/
root@192.168.118.12's password: 
ceshi                             100%   10     6.5KB/s   00:00    
[root@localhost ~]# 

4.安全性传输sftp

sftp是secure File Transfer Protocol的缩写，安全文件传送协议。

可以为传输文件提供一种安全的网络的加密方法。

sftp 与 ftp有着几乎一样的语法和功能。SFTP 为SSH的其中一部分，其实在sSH软件包中，已经包含了一个叫sFTP(Secure File TransferProtocol)的安全文件信息传输子系统，SFTP本身没有单独的守护进程，它必须使用sshd守护进程（端口号默认是22）来完成相应的连接和答复操作所以，使用sFTP是非常安全的。但是，由于这种传输方式使用了加密/解密技术，所以传输效率比普通的FTP要低得多，如果您对网络安全性要求更高时，可以使用sFTP代替FTP

[root@localhost ~]# sftp root@192.168.118.12
root@192.168.118.12's password: 
Connected to 192.168.118.12.
sftp> put ceshi /opt/   上传
Uploading ceshi to /opt/ceshi
ceshi                             100%   10     6.3KB/s   00:00    
sftp> get ce /home/      下载

get          #下载文件
get  -r      #下载目录

五，密钥：密钥优先级高于密码

1.构建密钥对验证的SSH

1.公钥和私钥的关系: ●在非对称加密技术中，有两种密钥，分为私钥和公钥，私钥是密钥对所有者持有，不可公布，公钥是密钥对持有者公布给他人的。 ●公钥用来给数据加密，用公钥加密的数据只能使用私钥解

2.构建密钥对验证的SSH原理

首先ssh通过加密算法在客户端产生密钥对(公钥和私钥)，公钥发送给服务器端，自己保留私钥，

如果要想连接到带有公钥的SSH服务器,客户端SSH软件就会向SSH服务器发出请求，请求用联机的用户密钥进行安全验证。

SSH服务器收到请求之后，会先在该SSH服务器上连接的用户的家目录下寻找事先放.上去的对应用户的公用密钥，然后把它和连接的SSH客户端发送过来的公用密钥进行比较。如果两个密钥一致，SSH服务器就用公钥加密"质询" ( challenge)并把它发送给SSH客户端。

当密码验证、密钥对验证都启用时，服务器将优先使用密钥对验证。可根据实际情况设置验证方式。

vim/etc/ssh/sshd config PasswordAuthentication yes #启用密码验证 PubkeyAuthentication yes #启用密钥对验证 Authori zedKeysFile . ssh/authorized keys #指定公钥库文件

3.配置密钥对验证

1.在客户端创建密钥对

通过ssh-keygen.工具为当前用户创建密钥对文件。可用的加密算法为RSA、ECDSA或pSA等( ssh-keygen命令的“-t”选项用于指定算法类型)。

useradd admin
echo "123123” | passwd --stdin admin
su - admin 
ssh-keygen -t ecdsa

Generating public/private ecdsa key pair.
Enter file in which to save the key (/home/ admin/ .ssh/id_ ecdsa)
#指定私钥位置，直接回车使用默认位置
Created directory ' /home/admin/ .ssh'. #生成的私钥、公钥文件默认存放在宿主目录中的隐藏目录.ssh/下
Enter passphrase (empty for no passphrase) : #设置私钥的密码
Enter same passphrase again: #确认输入
ls -1 ~/ .ssh/id ecdsa*
#id_ecdsa是私钥文件，权限默认为600; id_ ecdsa.pub是公钥文件，用来提供给SSH服务器

2.将公钥文件上传至服务器

scp ~/ .ssh/id_ ecdsa.pub root@192.168.80.10:/opt
或
此方法可直接在服务器的/home/ zhangsan/ .ssh/目录中导入公钥文本
cd ~/ . ssh/
ssh-copy-id -i id_ ecdsa. pub zhangsan@192.168.80.10

3.在服务器中导入公钥文本

mkdir /home/ zhangsan/ . ssh/
cat /opt/id_ ecdsa.pub  >> /home/ zhangsan/ .ssh/authorized keys
 cat /home/ zhangsan/ . ssh/authorized keys

4.在客户端使用密钥对验证

ssh zhangsan@192.168.80.10
Enter passphrase for key ' /home/admin/ .ssh/id_ ecdsa' : #输入 私钥的密码

5.在客户机设置ssh代理功能，实现免交互登录;

ssh-agent bash
#开启ssh代理功能
ssh-add
#添加大秘钥到ssh-agent缓存
Enter passphrase for /home/admin/ .ssh/id_ ecdsa: 
#输入私钥的密码
ssh zhangsan@192.168.80.10

六，TCP Wrappers访 问控制

TCP Wrappers ( TCP封套) 在Linux 系统中，许多网络服务针对客户端提供了访问控制机制，如Samba、 BIND、 HTTPD、 openSSH 等 TCP Wrappers将TCP服务程序“包裹"起来，代为监听TCP服务程序的端口，增加了 一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得许可后才能访问真正的服务程序

[ root@localhost opt]# rpm -q tcp_ wrappers #一 般 系统会默认安装

 tcp_ wrappers-7.6-77.el7.x86_ _64 #该软件包提供 了执行程序tcpd 和共享链接库文件libwrap.so.*
TCPWrapper保护机制:通常由其他网络服务程序调用libwrap.so.*链接库比如sshd
[root@localhost opt]# ldd /usr/sbin/sshd 1 grep "libwrap" 

#使用 1dd 命令可以查看程序的共享库
libwrap.so.0 => /lib64/libwrap.so.0 (0x00007fc35d8f8000)

TCP Wrappers访 问控制 TCP Wrappers ( TCP封套)_

将TCP服 务程序“包裹"起来，代为监听TCP服务程序的端口，增加了-一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得许可后才能访问真正的服务程序。 大多数Linux发行版，TCP Wrappers 是默认提供的功能。rpm -q tcp_ wrappers TCP Wrappers 保护机制的两种实现方式

1.直接使用tcpd程序对其他服务程序进行保护，需要运行tcpd程序。

2.由其他网络服务程序调用libwrap.so.*链接库，不需要运行tcpd 程序。此方式的应用更加广泛，也更有效率。 使用1dd命令可以查看程序的libwrap.so. *链接库 ldd $ (which ssh) 语法格式: <服务程序列表>: <客户端地址列表> (1) 服务程序列表服务程序列表可分为以下几类

语法格式: <服务 程序列表>: <客户端地址列表> (1)服务程序列表服务程序列表可分为以下几类。 ALL: 代表所有的服务。 单个服务程序:如“vsftpd"。 多个服务程序组成的列表:如“vsftpd, sshd".

(1)服务程序列表 ALL:代表所有的服务。 单个服务程序:如"vsftpd" . 多个服务程序组成的列表:如“vsftpd, sshd"。

(2)客户端地址列表 ALL:代表任何客户端地址。 LOCAL:代表本机地址。 多个地址以逗号分隔 允许使用通配符“*”和"?”，前者代表任意长度字符，后者仅代表-一个字符 网段地址，如192.168.80." 或者192.168.80.0/255.255.255.0 区域地址，如”。 benet . com"匹配benet. com域中的所有主机。 访问控制的基本原则 首先检查/etc/hosts.allow 文件，如果找到相匹配的策略，则允许访问; 否则继续检查/etc/hosts.deny文件，如果找到相匹配的策略，则拒绝访问; 如果检查上述两个文件都找不到相匹配的策略，则允许访问 “允许所有，拒绝个别” 只需在/etc/hosts。deny文件中添加相应的拒绝策略 “允许个别，拒绝所有” 除了在/etc/hosts 。allow中添加允许策略之外，还需要在/etc/hosts deny文件中设置"ALL:ALL"的拒绝策略。

实例: . 若只希望从IP地址为12.0.0.1的主机或者位于192.168.80.0/24网段的主机访问sshd服务，其他地址被拒绝。

vi /etc/hosts. allow
sshd:12.0.0.1,192.168.80.*
vi /etc/hosts .deny
sshd: ALL
sshd, htpd: ALL

七，安全级别设置

• 对未经过安全认证的RPM包进行安全检查

• Linux用户方面的加固

• 设定密码策略 20位

• 对用户密码强度的设定

• 对用户的登录次数进行限制

• 禁止ROOT用户远程登录

• 设置历史命令保存条数和账户超时时间

• 设置只有指定用户组才能使用su命令切换到root用户

• 对Linux账户进行管理

• 对重要的文件进行锁定，即使root用户也无法删除

• 建立日志服务器日

总结

简单的说，SSH是一种网络协议，主要用于客户端与远程主机的安全链接和交互。 安全链接的过程是: 1.远程主机端收到客户端的登陆请求时先发送自己的公钥给客户端 2.客户端用拿到的公钥加密用户名和密码，然后发送给远程主机 3.远程主机用自己的密钥解密收到的用户名和密码，然后校验用户名和密码是否正确，如果正确则登陆成功。 2.客户端免密登陆远程主机《Linux就该这么学》 如果只是通过第一步，以后的每次登陆都需要输入登陆密码，非常麻烦。幸运的是SsH提供了公钥登陆(免密登陆 公钥登录的流程如下: 1.客户端在自己本地生成- -对公钥密钥文件，然后将公钥存储在远程主机上 2.客户端登陆时，远程主机会随机生成一-串字符串发送给客户端 3.客户端用自己的密钥将收到的字符串加密，并返回给远程主机 4.远程主机利用公钥解密收到的加密字符串，如果解密成功并且与发送的一-致则直接免密登陆