提高SSH服务安全

最新推荐文章于 2023-06-10 13:13:30 发布
最新推荐文章于 2023-06-10 13:13:30 发布
阅读量3.1k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s_xyy/article/details/90415087
版权

3.提高SSH服务安全
问题
本案例要求提高Linux主机上SSH服务端的安全性,完成以下任务:
1)配置基本安全策略(禁止root、禁止空口令)
2)针对SSH访问采用仅允许的策略,未明确列出的用户一概拒绝登录
3)实现密钥验证登录(私钥口令)、免密码登入(无私钥口令)
4)确认密钥验证使用正常后,禁用口令验证
方案
使用两台RHEL6虚拟机,其中svr5作为OpenSSH服务器,另一台pc205或svr5本机都可以作为测试用的客户机,如图-2所示。
在这里插入图片描述
步骤
实现此案例需要按照如下步骤进行。
步骤一:配置基本安全策略
1)调整sshd服务配置,并重载服务
[root@svr5 ~]# vim /etc/ssh/sshd_config
… …
Protocol 2 //去掉SSH协议V1
PermitRootLogin no //禁止root用户登录
PermitEmptyPasswords no //禁止密码为空的用户登录
… …
[root@svr5 ~]# service sshd reload
重新载入 sshd: [确定]
2)测试基本安全策略
尝试以root用户SSH登录,失败:
[root@svr5 ~]# ssh root@192.168.4.5
root@192.168.4.5’s password:
Permission denied, please try again.
将服务器上用户kate的密码设为空,尝试SSH登录,也会失败:
[root@svr5 ~]# passwd -d kate //清空用户口令
清除用户的密码 kate。
passwd: 操作成功

[root@svr5 ~]# ssh kate@192.168.4.5
kate@192.168.4.5’s password:
Permission denied, please try again.
步骤二:针对SSH访问采用仅允许的策略,未明确列出的用户一概拒绝登录
1)调整sshd服务配置,添加AllowUsers策略,仅允许用户zengye、john、ugadm,其中ugadm只能从网段192.168.4.0/24登录。
[root@svr5 ~]# vim /etc/ssh/sshd_config
… …
AllowUsers zengye john ugadm@192.168.4.0/24
[root@svr5 ~]# service sshd reload
重新载入 sshd: [确定]
2)验证SSH访问控制,未授权的用户将拒绝登录。
[root@pc205 ~]# ssh ugadm@192.168.4.5 //已授权的用户允许登录
ugadm@192.168.4.5’s password:
[ugadm@svr5 ~]$ exit
[root@pc205 ~]# ssh zhangsan@192.168.4.5 //未授权的用户被拒绝登录
zhangsan@192.168.4.5’s password:
Permission denied, please try again.
步骤三:实现密钥对验证登录(私钥口令)、免密码登入(无私钥口令)
1)准备客户机测试环境
在客户机pc205上创建两个测试用户:mike、nono。其中mike将用来实现有私钥口令保护的SSH登录,而nono用来实现无私钥口令保护的SSH登录(免密码交互) 。
[root@pc205 ~]# useradd mike
[root@pc205 ~]# useradd nono
[root@pc205 ~]# echo 123456 | passwd --stdin mike
… …
[root@pc205 ~]# echo 123456 | passwd --stdin nono
… …
2)为客户机的用户mike、nono分别建立SSH密钥对
以用户mike登入客户机,使用ssh-keygen创建密钥对,设置好私钥口令:
[root@pc205 ~]# su - mike
[mike@pc205 ~]$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/mike/.ssh/id_rsa):
Created directory ‘/home/mike/.ssh’.
Enter passphrase (empty for no passphrase): //设置私钥口令
Enter same passphrase again: //再次输入私钥口令
Your identification has been saved in /home/mike/.ssh/id_rsa.
Your public key has been saved in /home/mike/.ssh/id_rsa.pub.
The key fingerprint is:
63:6e:cf:45:f0:56:e2:89:6f:62:64:5a:5e:fd:68:d2 mike@pc205.tarena.com
The key’s randomart image is:
±-[ RSA 2048]----+
| |
| |
| . . . |
| = = |
| S = B . |
| o B = . o |
| + + = E .|
| . + + o |
| o |
±----------------+
[mike@pc205 ~]$ ls -lh ~/.ssh/id_rsa* //确认密钥对文件
-rw-------. 1 mike mike 1.8K 8月 15 10:35 /home/mike/.ssh/id_rsa
-rw-r–r--. 1 mike mike 403 8月 15 10:35 /home/mike/.ssh/id_rsa.pub

[mike@pc205 ~]$ exit
Logout
切换到用户nono,使用ssh-keygen创建密钥对,将私钥口令设为空(直接回车):
[root@pc205 ~]# su - nono
[nono@pc205 ~]$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/nono/.ssh/id_rsa):
Created directory ‘/home/nono/.ssh’.
Enter passphrase (empty for no passphrase): //直接回车将口令设为空
Enter same passphrase again: //再次回车确认
Your identification has been saved in /home/nono/.ssh/id_rsa.
Your public key has been saved in /home/nono/.ssh/id_rsa.pub.
The key fingerprint is:
43:16:c1:88:5a:02:ec:d5:37:22:4e:c0:25:6f:84:63 nono@pc205.tarena.com
The key’s randomart image is:
±-[ RSA 2048]----+
|+++o… oo. |
| E=+oo.o… |
|o =. o + |
| .o. o |
| S |
| . |
| |
| |
| |
±----------------+
[nono@pc205 ~]$ ls -lh ~/.ssh/id_rsa //确认密钥对文件
-rw-------. 1 nono nono 1.7K 8月 15 10:37 /home/nono/.ssh/id_rsa
-rw-r–r--. 1 nono nono 403 8月 15 10:37 /home/nono/.ssh/id_rsa.pub
3)将客户机上用户mike、nono的公钥部署到SSH服务器
以用户nono登入客户机,使用ssh-copy-id命令将自己的公钥部署到服务器,服务器上的目标用户为john:
[nono@pc205 ~]$ ssh-copy-id john@192.168.4.5
john@192.168.4.5’s password:
Now try logging into the machine, with “ssh ‘john@192.168.4.5’”, and check in:
.ssh/authorized_keys
to make sure we haven’t added extra keys that you weren’t expecting.
[nono@pc205 ~]$ exit
Logout
同样地,以用户mike登入客户机,使用ssh-copy-id命令将自己的公钥部署到服务器,服务器上的目标用户也是john:
[root@pc205 ~]# su - mike
[mike@pc205 ~]$ ssh-copy-id john@192.168.4.5
john@192.168.4.5’s password:
Now try logging into the machine, with “ssh ‘john@192.168.4.5’”, and check in:
.ssh/authorized_keys
to make sure we haven’t added extra keys that you weren’t expecting.
4)在服务器上确认客户机用户mike、nono上传的公钥信息
默认部署位置为目标用户de ~/.ssh/authorized_keys文件:
[root@svr5 ~]# tail -2 ~john/.ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAzz+5AiFMGQ7LfuiV7eBnOcmRO9JRTcqRoynGO2y5
RyFL+LxR1IpEbkNrUyIZDk5uaX1Y8rwsf+pa7UZ2NyqmUEvNSUo0hQyDGsU9SPyAdzRCCvDgwpOFhaHi/OFnT+zqjAqXH2M9fFYEVUU4PIVL8HT19zCQRVZ/q3acQA34UsQUR0PpLJAobsf1BLe2EDM8BsSHckDGsNoDT9vk+u3e83RaehBMuy1cVEN5sLAaIrIeyM8Q0WxQNlqknL908HRkTlTeKrRoHbMnOBFj8StwlnscKHlkrsKkhUf8A9WWz/vL4GDwGND5jdca3I2hdITAySjMdfL1HMHnMYOgMjPM0Q== nono@pc205.tarena.com
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAl6PopFT7VoFaQFVVKrH4N7VgDIUUjcIc/TN/dmA1
EmTAqv9wYnX83Do3/14wUD6WkUQ1wkZV64bkHCrgUDsCy2iV7wvH7xiOg4CYGFk1RALn5edKC8fEKiveR8MrUafa6O2iBpuG/vYin2QDyc7PpipyRw4rFg7/PaD1XuRRwFGcHgiv8PLUjO6GcuS4c3gyKbSADM7mV1gu62wMHm47e5jAxzxNGkYnyYeb7Ut7hwvs5xP54MHy23zSs+DjN7oRvKN5xZueaFLbVUcnSvGzN5IZqV7Qu3NqtFGpgCdUr/yaFcZWC7VIrNH2IJJwKNboCMSUoEm+InRtIvITdCWWVQ== mike@pc205.tarena.com
5)在客户机上测试SSH密钥对验证
在客户机用户mike的环境中,以远程用户john登入192.168.4.5主机,需要验证客户机用户mike 的私钥口令:
[mike@pc205 ~]$ ssh john@192.168.4.5 //需验证私钥口令
Enter passphrase for key ‘/home/mike/.ssh/id_rsa’:
Last login: Thu Aug 15 10:10:37 2013 from 192.168.4.205
[john@svr5 ~]$ whoami
john
而在客户机用户nono的环境中,以远程用户john登入192.168.4.5主机时,无需验证口令即可登入(因为私钥口令为空):
[nono@pc205 ~]$ ssh john@192.168.4.5 //免交互直接登入
Last login: Thu Aug 15 10:48:09 2013 from 192.168.4.205
[john@svr5 ~]$ whoami
john
步骤四:确认密钥验证使用正常后,禁用口令验证
1)调整sshd服务配置,将PasswordAuthentication设为no
[root@svr5 ~]# vim /etc/ssh/sshd_config
… …

PasswordAuthentication no //将此行yes改成no

[root@svr5 ~]# service sshd reload
重新载入 sshd: [确定]
2)确认密码登录验证已不可用,只有部署了公钥的用户才可以登录
[root@pc205 ~]# su - mike
[mike@pc205 ~]$ ssh zengye@192.168.4.5 //口令验证被拒绝
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

[mike@pc205 ~]$ ssh john@192.168.4.5 //密钥验证登录成功
Enter passphrase for key ‘/home/mike/.ssh/id_rsa’:
Last login: Thu Aug 15 10:49:13 2013 from 192.168.4.205

S_XYY
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
配置Linux服务SSH 安全访问的四个小技巧
09-15
越来越多的站长,开始使用独立主机(Dedicated Host)和 VPS。而为了节省成本或提高性能,不少人的独机和 VPS,都是基于 unmanaged 的裸机,一切都要自己 DIY。这时候,安全策略的实施,就犹为重要。
Linux网络服务——SSH远程访问及控制
|汾西公子
05-12 298
【centos6.5】 目录 一、OpenSSH的配置 二、SSH客户端程序的使用 三、构建密匙对验证的SSH体系 四、时TCP Wrappers 一、OpenSSH的配置 1、OpenSSH安装包 客户端 [root@localhost ~]# rpm -qa |grep openssh* openssh-server-5.3p1-94.el6.x86_64 openssh...
Linux-11-SSH KEY免密码分发、管理、备份
Paul_George的博客
09-23 378
SSH是专门为远程登录会话和其他网络服务提供安全性的协议,利用SSH协议可以有效防止远程管理中的信息泄露问题。 默认情况下,SSH本身提供两个服务功能:一个是类似telnet的远程联机shell服务,另一个是sftp-server,可以提供安全的FTP服务SSH提供两种级别的安全认证 1.基于口令的安全验证 利用账号和口令进行验证,并登陆到远程主机,所有传输的数据都会被加密 2.基于...
linux SSH免密登录
Epoch_Elysian的博客
03-29 404
现在有三台机器组成一个linux集群: 192.168.72.127 192.168.72.128 192.168.72.129 要实现相互之间通过ssh密码登录,方便执行自动化脚本 第一步:通过ssh生成rsa公私密钥,分别在三台机器上执行如下指令,使用默认配置,一路回车,结果如下所示 ssh-keygen -t rsa [root@rabbit-node2 ~]# ssh-key...
ansible服务部署与使用
惨绿少年 | 欢迎访问CLSN博客站点 http://clsn.io
10-27 709
第1章 ssh+key实现基于密钥连接(ansible使用前提) 说明:    ansible其功能实现基于SSH远程连接服务    使用ansible需要首先实现ssh密钥连接 1.1 部署ssh key 1.1.1 第一个里程碑: 创建密钥对 ssh-keygen -t 指定密钥类型 rsa1 dsa(常用) ecdsa 语法: SYNOPSIS ...
如何安装 Vulhub 并搭建漏洞测试环境
qq_64409509的博客
06-10 2383
Vulhub 是一个基于 Docker 和 Docker Compose 的漏洞靶场环境,它提供了一系列常见漏洞的实验环境,帮助安全研究人员和开发者学习和测试漏洞。现在,你已经成功安装并启动了 Vulhub 环境,可以选择感兴趣的漏洞进行测试了。在 Vulhub 的首页,你可以找到各种漏洞的列表和说明,选择一个漏洞并点击进入。在你的操作系统上安装 Docker 和 Docker Compose 的方法会有所不同,请根据你的操作系统类型查找相关的安装指南,并按照指引进行安装。第四步:访问 Vulhub。
Ubuntu 一键脚本:开启 Root 用户登录配置 SSH 远程连接,轻松管理远程服务
最新发布
03-27
此一键脚本适用于希望快速开启 Root 用户登录配置 SSH 远程连接的用户群体,可用于远程登录进入服务器进行操作、配置和维护,提高远程管理效率,方便快捷。目标是让用户通过简单的操作即可实现远程服务器管理,节省...
工控安全职业证书技能实践:网络服务安全权限配置实战.pptx
07-12
ssh是较可靠,专为远程登录会话和其他网络服务提供安全性的协议。;ssh??认会监听在22端口,可以修改至6022端口以避过常规的扫描,提高主机安全性。;如果没人能ping通主机,则主机的安全性会大大增加。在/etc/sysctl....
Linux 服务安全技巧
01-10
毋庸置疑,对于系统管理员,提高服务器的安全性是最重要的事情之一。因此,也就有了许多针对这个话题而生的文章、博客和论坛帖子。 一台服务器由大量功能各异的部件组成,这一点使得很难根据每个人的需求去提供定制...
远程服务器管理工具SecureCRT6.7.0.15
12-19
SecureCRT是一款基于Windows和Mac OS操作...SecureCRT也有一些基础的安全功能,如用户身份认证、安全认证、支持用户组认证、安全口令管理、SSH防火墙、安全登录配置、CRL证书验证等,以及实现灵活、可靠和安全管理系统
linux 下实现ssh免密钥登录
weixin_33730836的博客
11-07 107
小伙伴经常在运维的时候需要ssh到很多其他的服务器,但是又要每次输入密码,一两台还没什么,多了就烦了。所以这里教大家如何直接ssh到其他机器而不用输入密码。[root@jw ~]# ssh-keygen -t rsaGenerating public/private rsa key pair.Enter file in which to save the key (/root...
linux设置免密遇到的坑爹问题
y976181862的博客
03-28 1603
集群设置免密遇到的坑爹问题 log日志可以查看 cd /var/log/secure ------------------------------------------------------------------------------------------------------------------------------------- 免密登陆中cd/root 用户权限必须是...
linux 密钥认证,Linux系统的ssh密钥认证
weixin_39779928的博客
05-15 100
在linux客户机上生成rsa的ssh密钥Id_rsa是密钥Id_rsa.pub是公钥[root@xuegod128~]#ssh-keygen-trsaGeneratingpublic/privatersakeypair.Enterfileinwhichtosavethekey(/root/.ssh/id_rsa):Enterpassphrase(...
centos配置ssh免密码登录后仍要输入密码的解决方法
zyj493132456的博客
03-20 2015
前言在搭建Linux集群服务的时候,主服务器需要启动从服务器的服务,如果通过手动启动,集群内服务器几台还好,要是像阿里1000台的云梯Hadoop集群的话,轨迹启动一次集群就得几个工程师一两天时间,是不是很恐怖。如果使用免密登录,主服务器就能通过程序执行启动脚步,自动帮我们将从服务器的应用启动。而这一切就是建立在ssh服务的免密码登录之上的。所以要学习集群部署,就必须了解linux的免密码登录。第...
快速搭建 Hadoop 环境
dirft_lez的博客
02-05 250
对于Hadoop来说,最主要的是两个方面,一个是分布式文件系统HDFS,另一个是MapReduce计算模型,下面讲解下我在搭建Hadoop 环境过程。Hadoop 测试环境 共4台测试机,1台namenode 3台datanode  OS版本:RHEL 5.5 X86_64 Hadoop:0.20.203.0 Jdk:jdk1.7.0  角色      &nb
Linux Centos 服务器免密验证(ansible版/非root用户)
MyySophia的博客
03-23 1828
---------------------------------update 2020年5月24日21:38:15--------------------------------可以通过 ssh-keygen - > ssh-copy-id [-i [identity_file]] [user@]machine 把操作机的私钥添加到目标主机的密钥列表中。---------------update 2021年7月28日16:47:52。1、ssh-keygen 用这个命令是用来生成本机的公钥和私钥的。
linux 配置免密码登录
terrorist2008的专栏
10-12 608
linux 配置免密码登录     [root@spark3 .ssh]#  ssh-keygen Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa):  Enter passphrase (empty for no passphrase): ...
ssh免密远程登录(一)
qq_27410085的博客
11-22 410
环境介绍: 主机1:ip 192.168.200.142 主机2:ip 192.168.200.158 用户要求:主机一 对 主机二 进行免密登录。 命 令:ssh scp , 需要安装包:openssh-clients 免密过程: (1)ssh-keygen -t rsa (主机1上操作) 命令解析:用来生成秘钥对。 [root@lo...
SSH防止暴力破解和xinetd超级服务的使用
fangle的博客
05-26 1514
本节所讲内容:        ssh密钥对无交互登录   实战:通过密钥进行sshd服务认证 sshd服务端: xuegod63.cn sshd客户端:xuegod64.cn   1)在客户端生成密钥对 [root@xuegod64 ~]#ssh-keygen Generating public/privatersa key pair. Enter file in which
linuxssh服务
08-07
### 回答1: Linux SSH服务是一种安全的远程登录协议,可以在不同的计算机之间进行加密通信和文件传输。它可以通过公共网络连接到远程服务器,提供了一种安全的远程访问方式,可以在不同的操作系统之间进行通信和交互。Linux SSH服务是Linux系统中非常重要的一部分,可以提高系统的安全性和可靠性。 ### 回答2: Linux的SSH服务是一种远程登录协议,全称为Secure Shell。它允许用户通过一个加密通道远程登录到Linux系统,使用户能够在本地计算机上通过命令行界面访问和管理远程服务器。 SSH服务使用非对称加密机制来验证用户身份和保护通信过程中的数据安全。当用户通过SSH客户端连接到远程服务器时,服务器会向客户端发送一个公钥。客户端使用这个公钥对服务器的身份进行验证,并生成一个会话密钥进行后续通信。这种密钥交换的方式保证了通信过程中的数据传输安全SSH服务的优点之一是其高度安全性。通过SSH登录到远程服务器时,用户的密码以及所有数据都会以加密的形式传输,防止了敏感信息被窃取。此外,SSH还支持密钥身份验证,允许用户使用公钥/私钥对进行登录,提供了更高的安全性。 此外,SSH服务还提供了其他一些功能。用户可以通过SSH隧道在不同的计算机之间建立安全的通信通道,以便于传输其他协议的数据。用户还可以使用SSH远程执行命令、传输文件等。 总之,Linux的SSH服务是一种安全、可靠的远程登录协议,它通过加密通道保证了用户身份验证和数据传输的安全,为用户提供了方便的远程管理和操作方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值