一、SSH远程管理
1、配置OpenSSH服务端
(1)SSH (Secure Shell)协议
●是一种安全通道协议
●对通信数据进行了加密处理,用于远程管理
(2)OpenSSH
●服务名称: sshd
●服务端主程序:/usr/sbin/sshd
服务端配置文件:/etc/ssh/sshd_config
[root@localhost~]# vim letclsshl/sshd_config
Port 22 //监听端口为 22
ListenAddress 172.16.16.22 //监听地址为172.16.16.22
Protocol 2 //使用SSH V2协议
UseDNS no //禁用DNS反向解析
.......
2、使用SSH客户端程序
用户登录控制
●禁用root用户、空密码用户
●限制登录验证时间重试次数
●AllowUsers、DenyUsers
[root@localhost ~]# vi /etc/ssh/sshd_config
LoginGraceTime 2m //登录验证时间为2分钟
PermitRootLogin no //禁止root用户登录
MaxAuthTries 6 //最大重试次数为6
PermitEmptyPasswords no //禁止空密码用户登录
AllowUsers jerry admin@61.23.24.25 //AllowUsers不能与DenyUsers同时用
3、密钥对验证的SSH体系
密码验证:核对用户名、密码是否匹配
密钥对验证:核对客户的私钥、服务端公钥是否匹配
[root@localhost ~]# vi /etc/ssh/sshd_config
PasswordAuthentication yes //启用密码验证
PubkeyAuthentication yes //密钥对验证
AuthorizedKeysFile .ssh/authorized_keys //指定公钥库位置
ssh命令——远程安全登录
ssh user@host //端口选项:-p 22
scp命令—远程安全复制
格式1: scp user@host:file1 file2
格式2: scp file1 user@host:file2
sftp命令——安全FTP上下载
sftp user@host
二、TCP Wrappers访问控制
1、TCP Wrappers概述
(1)保护机制的实现方式
●方式1:通过tcpd程序对其他服务程序进行包装
●方式2:由其他服务程序调用libwrap.so.*链接库
(2)访问控制策略的配置文件
●/etc/hosts.allow
●/etc/hosts.deny
2、TCP Wrappers访问策略
(1)设置访问控制策略
●策略格式:服务程序列表:客户端地址列表
●服务程序列表
多个服务以逗号分隔,ALL表示所有服务
●客户端地址列表
多个地址以逗号分隔,ALL表示所有地址
允许使用通配符﹖和*
网段地址,如192.168.4.或者192.168.4.0/255.255.255.0区域地址,如.benet.com
(2)策略的应用顺序
●检查hosts.allow,找到匹配则允许访问
●再检查hosts.deny,找到则拒绝访问
●若两个文件中均无匹配策略,则默认允许访问
EX:
仅允许从以下地址访问sshd服务
主机61.63.65.67
网段192.168.2.0/24
[root@localhost~]# vi letc/hosts.allow
sshd:61.63.65.67,192.168.2.*
[root@localhost ~]# vi letc/hosts.deny
sshd:ALL