第十章远程访问及控制

简介

在此前的课程中曾陆续学习了网站、FTP等各种网络服务，实际上大多数企业服务器是通过远程登录的方式来进行管理的。当需要从一个工作站管理数以百计的服务器主机时，远程维护的方式将更占优势。

本章将学习如何针对Linux环境使用安全的方式远程管理，以及通过TCPWrappers机制为应用提供访问控制。

本章重点

SSH服务的安全控制
TCP Wrappers 访问策略

理论讲解

一、SSH远程管理

SSH（Secure Shell）是一种安全通道协议，主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的用户口令。与早期的Telent（远程登录）、RSH（Remote Shell，远程执行命令）、RCP（Remote File Copy，远程文件复制）等应用相比，SSH协议提供了更好的安全性。

本节将以OpenSSH为例，介绍Linux服务器的远程管理及安全控制。OpenSSH是实现SSH协议的开源软件项目，适用于各种UNX、Linux操作系统。关于OpenSSH项目的更多内容可以访问其官方网站http://www.openssh.com。

二、配置OpenSSH服务端

在CentOS7.3系统中，OpenSSH服务器由openssh，openssh-server等软件包提供（默认已安装），并已将sshd添加为标准的系统服务。执行“systemctl start sshd”命令即可启动sshd 服务，包括root在内的大部分用户（只要拥有合法的登录Shell）都可以远程登录系统。

sshd服务的配置文件默认位于/etc/ssh/sshd_config目录下，正确调整相关配置项，可以进一步提高sshd 远程登录的安全性。下面介绍最常用的一些配置项，关于sshd_config文件的更多配置可参考man手册页。

1.服务监听选项

sshd服务使用的默认端口号为22，必要时建议修改此端口号，并指定监听服务的具体P地址，以提高在网络中的隐蔽性。除此之外，SSH协议的版本选用V2比V1的安全性要更好，禁用DNS反向解析可以提高服务器的响应速度。

2.用户登录控制

sshd 服务默认允许root用户登录，但在Internet中使用时是非常不安全的。普遍的做法如下：先以普通用户远程登入，进入安全Shell环境后，根据实际需要使用su命令切换为root用户。关于sshd服务的用户登录控制，通常应禁止root用户或密码为空的用户登录。另外，可以限制登录验证的时间（默认为2分钟）及最大重试次数，若超过限制后仍未能登录则断开连接。

当希望只允许或禁止某些用户登录时，可以使用AllowUsers或DenyUsers配置，两者用法类似（注意不要同时使用）。

3.登录验证方式

对于服务器的远程管理，除了用户账号的安全控制以外，登录验证的方式也非常重要。sshd服务支持两种验证方式——密码验证、密钥对验证，可以设置只使用其中一种方式，也可以两种方式都启用。

密码验证：对服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便，但从客户端角度来看，正在连接的服务器有可能被假冒：从服务器角度来看，当遭遇密码暴力破解攻击时防御能力比较弱。

密钥对验证：要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件（公钥、私钥），然后将公钥文件放到服务器中的指定位置。远程登录时，系统将使用公钥、私钥进行加密/解密关联验证，大大增强了远程管理的安全性。该方式不易被假冒，且可以免交互登录，在Shell中被广泛使用。

当密码验证、密钥对验证都启用时，服务器将优先使用密钥对验证。对于安全性要求较高的服务器，建议将密码验证方式禁用，只允许启用密钥对验证方式；若没有特殊要求，则两种方式都可启用。

三、使用SSH客户端程序

在CentOS7.3系统中，OpenSSH客户端由openssh-clients 软件包提供（默认已安装），其中包括ssh远程登录命令，以及scp、sftp远程复制和文件传输命令等。实际上，任何支持SSH协议的客户端程序都可以与OpenSSH服务器进行通信，如Windows平台中的Xshell、SecureCRT、Putty 等图形工具。

1.命令程序ssh、scp、sftp

1）ssh远程登录
通过ssh命令可以远程登录sshd服务，为用户提供一个安全的Shell环境，以便对服务器进行管理和维护。使用时应指定登录用户、目标主机地址作为参数。例如，若要登录主机192.168.100.10

当用户第一次登录SSH服务器时，必须接受服务器发来的ECDSA密钥（根据提示输入“yes"）后才能继续验证。接收的密钥信息将保存到~/.ssh/known_hosts文件中。密码验证成功以后，即可登录目标服务器的命令行环境中了，就好像把客户端的显示器、键盘连接到服务器一样。

如果sshd服务器使用了非默认的端口号（如2345），则在登录时必须通过“-p”选项指定端口号。
例如，执行以下操作将访问主机1192.168.100.10的2345端口，以对方服务器的root用户验证登录。

[root@centos01 ~]# vim /etc/ssh/sshd_config 
17 Port 2345
[root@centos01 ~]# systemctl restart sshd
[root@centos02 ~]# ssh -p 2345 root@192.168.100.10

2）scp远程复制

通过scp命令可以利用SSH安全连接与远程主机相互复制文件。使用scp命令时，除了必须指定复制源、目标之外，还应指定目标主机地址、登录用户，执行后根据提示输入验证口令即可。例如，在192.168.100.10/root下创建1.txt。在192.168.100.20/root下创建2.txt。使用scp远程复制

以192.168.100.20为例，使用scp远程复制192.168.100.10/root下的1.txt到本地/root下

[root@centos01 ~]# echo "111" > /root/1.txt
[root@centos02 ~]# echo "222" > /root/2.txt
[root@centos02 ~]# scp root@192.168.100.10:/root/1.txt ./

四、构建密钥对验证的SSH体系

正如前面所提及的，密钥对验证方式可以为远程登录提供更好的安全性。下面将介绍在Linux服务器、客户端中构建密钥对验证SSH体系的基本过程。

1.在客户端创建密钥对

在Linux客户端中，通过ssh-keygen工具为当前用户创建密钥对文件。可用的加密算法为ECDSA或DSA（ssh-keygen命令的“-t”选项用于指定算法类型）。例如，以root用户登录客户端，并生成基于rsa算法的SSH密钥对（公钥、私钥）文件，操作如下所示。

[root@centos02 ~]# ssh-keygen -t RSA

上述操作过程中，提示指定私钥文件的存放位置时，一般直接按Enter键即可，最后生成的私钥、公钥文件默认存放在宿主目录中的隐藏文件夹.ssh下。私钥短语用来对私钥文件进行保护，当使用该私钥验证登录时必须正确提供此处所设置的短语。尽管不设置私钥短语也是可行的（实现无口令登录），但在生产环境中不建议这样做。

新生成的密钥对文件中，id_ecdsa是私钥文件，权限默认为600，对于私钥文件必须妥善保管，不能泄露给他人；id_ecdsa.pub是公钥文件，用来提供给SSH服务器。

2.将公钥上传到服务器端并且导入公钥文本

[root@centos02 ~]# ssh-copy-id -i .ssh/id_rsa.pub root@192.168.100.10

3.在客户端使用秘钥对验证

当私钥文件（客户端）、公钥文件（服务器）均部署到位以后，就可以在客户端中进行测试了。

首先确认客户端中当前的用户为root，然后通过ssh命令以服务器端用户lisi的身份进行远程登录。

如果密钥对验证方式配置成功，则在客户端将会要求输入私钥短语，以便调用私钥文件进行匹配（若未设置私钥短语，则直接登入目标服务器）。

[root@centos02 ~]# ssh root@192.168.100.10

查看公钥文件

[root@centos01 ~]# cat .ssh/authorized_keys 

使用密钥对验证的方式登录时，不需要知道目标用户的密码，而是验证客户端用户的私钥短语并检查私钥、公钥是否配对，这样安全性更好。

五、TCP Wrappers 访问控制

在Linux系统中，许多网络服务针对客户端提供了访问控制机制，如Samba、BIND、HTTPD.OpenSSH等。本节将介绍另一种防护机制—TCP Wrappers（TCP封套），以作为应用服务与网络之间的一道特殊防线，提供额外的安全保障。

1.TCP Wrappers概述

TCP Wrappers 将TCP服务程序“包裹”起来，代为监听TCP服务程序的端口，增加了一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得许可后才能访问真正的服务程序，TCP Wrappers 还可以记录所有企图访问被保护服务的行为，为管理员提供丰富的安全分析资料。

对于大多数Linux发行版，TCP Wrappers是默认提供的功能。CentOS7.3中使用的软件包是tcp_wrappers-7.6-77.el7.×86_64.rpm.该软件包提供了执行程序tcpd和共享链接库文件libwrap.so.，对应TCP Wrapper 保护机制的两种实现方式——直接使用tcpd程序对其他服务程序进行保护，需要运行tcpd；由其他网络服务程序调用libwrap.so链接库，不需要运行tcpd程序。通常，链接库方式的应用要更加广泛，也更有效率。例如，vsftpd，sshd及超级服务器xinetd等，都调用了libwrap共享库（使用ldd命令可以查看程序的共享库）。

xinetd是一个特殊的服务管理程序，通常被称为超级服务器。xinetd通过在/ctc/xinctd.d目录下为每个被保护的程序建立一个配置文件，调用TCP Wrappers 机制来提供额外的访问控制保护。

六、TCP Wrappers的访问策略

TCP Wrappers机制的保护对象为各种网络服务程序，针对访问服务的客户端地址进行访问控制。
对应的两个策略文件为/etc/hosts.allow和/etc/hosts.deny，分别用来设置允许和拒绝的策略。

1.策略的配置格式

两个策略文件的作用相反，但配置记录的格式相同，如下所示:

服务程序列表>：<客户端地址列表>

服务程序列表、客户端地址列表之间以冒号分隔，在每个列表内的多个项之间以逗号分隔。

1）服务程序列表

服务程序列表可分为以下几类:

ALL：代表所有的服务。
单个服务程序：如“vsftpd"。
多个服务程序组成的列表：如“vsftpd，sshd"。

2）客户端地址列表

客户端地址列表可分为以下几类:

ALL：代表任何客户端地址。
LOCAL：代表本机地址。

单个IP地址：如“192.168.4.4”。
网络段地址：如“192.168.4.0/255.255.255.0"。

以”.”开始的域名：如“.bdqn.com”匹配bdqn.com域中的所有主机。
以“.”结束的网络地址：如“192.168.4.”匹配整个192.168.4.0/24网段。

嵌入通配符“” “?”：前者代表任意长度字符，后者仅代表一个字符，如“10.0.8.2”匹配以10.0.8.2开头的所有P地址。不可与以“.“开始或结束的模式混用。

多个客户端地址组成的列表；如“192.168.1.，172.16.16.，.bdqn.com"。

2.访问控制的基本原则

关于TCP Wrappers机制的访问策略，应用时遵循以下顺序和原则：首先检查/etc/hosts.alow文件，如果找到相匹配的策略，则允许访问；否则继续检查/etc/hosts.deny文件，如果找到相匹配的策略，则拒绝访问：如果检查上述两个文件都找不到相匹配的策略，则允许访问。

3.TCP Wrappers配置实例

实际使用TCP Wrappers机制时，较宽松的策略可以是“允许所有，拒绝个别”，较严格的策略是“允许个别，拒绝所有”。前者只需在hosts.deny文件中添加相应的拒绝策略就可以了；后者则除了在hosts.allow中添加允许策略之外，还需要在hosts.deny文件中设置“ALL；ALL”的拒绝策略。

例如，拒绝192.168.100.20通过ssh服务远程访问，可以如图所示：

[root@centos01 ~]# vim /etc/hosts.deny 
sshd:192.168.100.20
[root@centos01 ~]# systemctl restart sshd

验证是否还能使用192.168.100.20通过ssh进行远程访问

[root@centos02 ~]# ssh root@192.168.100.10

实验案例

准备环境

开三台虚拟机，分别为Web wzadm jacky

在Web主机创建jacky并设置密码

[root@web ~]# useradd jacky
[root@web ~]# passwd jacky 

在Web主机创建wzadm并设置密码

[root@web ~]# useradd wzadm
[root@web ~]# passwd wzadm 

允许网站管理员wzadm通过笔记本电脑远程登录Web服务器，笔记本电脑的IP地址并不是固定的，采用密钥对验证方式以提高安全性.

1.生成秘钥对

[root@wzadm ~]# ssh-keygen -t RSA

2.上传公钥到服务器并且导入数据库

[root@wzadm ~]# ssh-copy-id -i .ssh/id_rsa.pub root@192.168.100.10

3.验证wzadm访问Web主机

[root@wzadm ~]# ssh root@192.168.100.10

允许用户jacky远程登录Web服务器，但仅限于从网管工作站192.168.100.30访问。

配置Web主机，仅限于192.168.100.30中的jacky访问

[root@web ~]# vim /etc/ssh/sshd_config 
Port 22
ListenAddress 192.168.100.10
AllowUsers jacky@192.168.100.30

重启服务

[root@web ~]# systemctl restart sshd

在jacky主机中测试是否能够登录

[root@jacky ~]# ssh jacky@192.168.100.10

禁止其他用户通过SSH方式远程登录Web服务器。
配置Web主机的tcp wrappers 策略文件

[root@web ~]# vim /etc/hosts.allow 
sshd:192.168.100.*

[root@web ~]# vim /etc/hosts.deny 
sshd:all

[root@web ~]# systemctl restart sshd

至此，实验完成