ssh
sshfs文件传输
ssh隧道转发
dropbearDropbear————轻量级即ssh验证机制
安全验证相关
AIDE-入侵检测
TCP_Wrappers-IP访问控制
sudo-用户身份管理
PAM-认证机制
回顾:
1、修改当前时间 #date 月 日 时 分 年.秒
date +%m %d %H %M %Y.%S
2、read A B C <<< "1 2 3" 批量赋值给变量
3、通过awk监听lastb中连接超过十次的主机并放入iptables中
[root@CentOS8 ~]#lastb|awk '/ssh:notty/{ip[$3]++}END{for(i in ip){if(ip[i] >10)system("iptables -A INPUT -s "i" -j REJECT")}}'
4、文件权限
inode里面会包含文件的基本属性,当然包含文件的时间戳。所以,vi在进行修改文件过后,文件的时间戳会改变。当然inode会改变了
5、
pgrep -lu user 查看指定用户进程和PID
OpenSSL管理
服务器端:sshd, 配置文件: /etc/ssh/sshd_config
常用参数:
Port 端口
ListenAddress ip 监听ip
LoginGraceTime 2m 登陆超时时长
PermitRootLogin yes root是否远程登录
StrictModes yes 检查.ssh/文件的所有者,权限等
MaxAuthTries 6 最大验证次数6/2
MaxSessions 10 同一个连接最大会话
PubkeyAuthentication yes 是否允许公钥连接
PermitEmptyPasswords no 空密码
PasswordAuthentication yes 是否允许密码验证
GatewayPorts no
ClientAliveInterval 单位:秒 客户端活动间隔时间
ClientAliveCountMax 默认3 客户端最大存活数
UseDNS yes 是否应该查找远程主机名,并检查已解析的主机名
对于远程IP地址映射回相同的IP地址。
GSSAPIAuthentication yes 提高速度可改为no GSSAPI真实性验证
MaxStartups 未认证连接最大值,默认值10
Banner /path/file
限制可登录用户的办法:
AllowUsers user1 user2 user3
DenyUsers
AllowGroups
DenyGroups
ssh最佳实践
建议使用非默认端口
禁止使用protocol version 1
限制可登录用户
设定空闲会话超时时长
利用防火墙设置ssh访问策略
仅监听特定的IP地址
基于口令认证时,使用强密码策略
tr -dc A-Za-z0-9_ < /dev/urandom | head -c 12| xargs
使用基于密钥的认证
禁止使用空密码
禁止root用户直接登录
限制ssh的访问频度和并发在线数
经常分析日志
sshfs
通过SSH安全地与远程文件交互 >yum install sshfs rpm -ql fuse-sshfs sshfs 192.168.146.128:/data /mnt 远程目录挂载到本机实现映射文件功能ssh-key存放目录
[root@CentOS6]#ll -d /root/.ssh/
drwx------. 2 root root 4096 Nov 13 20:12 /root/.ssh/ 默认存放路径
-rw-------. 1 root root 394 Nov 13 20:09 authorized_keys 生成的公钥对应key
-rw-------. 1 root root 1675 Nov 13 20:09 id_rsa 私钥文件
-rw-r--r--. 1 root root 394 Nov 13 20:09 id_rsa.pub 公钥文件
-rw-r--r--. 1 root root 1319 Nov 13 20:12 known_hosts 曾连接主机记录
实验: 基于同一密钥对,多台主机共用,实现key认证
ssh-keygen A主机生成密钥对
ssh-copy-id 127.0.0.1 添加公钥给自己
ssh-copy-id B 传递公钥
ssh-copy-id C 传递公钥
scp -rp /root/.ssh/* B:/root/.ssh/ 把最终生成的文件传递给两位两个主机
scp -rp /root/.ssh/* C:/root/.ssh/ 检测最终拷贝权限是否一致
ssh隧道转发
本地转发:
-L localport:remotehost:remotehostport sshserver
选项:
-f 后台启用
-N 不打开远程shell,处于等待状态
-g 启用网关功能
示例
ssh –L 9527:telnetsrv:23 -Nfg sshsrv
telnet 127.0.0.1 9527
当访问本机的9527的端口时,被加密后转发到sshsrv的ssh服务,再解密被转发到telnetsrv:23
data <–> localhost:9527 <–> localhost:XXXXX<–> sshsrv:22 <–> sshsrv:YYYYY <–> telnetsrv:23
远程端口转发
要确保ssh server是公网ip
远程转发:
-R sshserverport:remotehost:remotehostport sshserver
示例:
[root@sshserver ~]#ssh –R 9527:telnetsrv:25 –Nf client
[root@sshserver ~]#ssh -R 9527:192.168.146.128:25 192.168.146.135 -fN
[root@client ~]#telnet 127.0.0.1 9527
让sshsrv侦听9527端口的访问,如有访问,就加密后通过ssh服务转发请求到本机ssh客户端,再由本机解密后转发到telnetsrv:23
Data <–> sshsrv:9527 <–> sshsrv:22 <–> localhost:XXXXX <–> localhost:YYYYY <–> telnetsrv:23
补充: 邮件服务默认监听在25号端口,包postfix
systemctl start postfix 默认监听本机localhost 127.0.0.1:25
修改配置文件/etc/postfix/main.cf
inet_interfaces = all
systemc restart postfix
动态端口转发
#iptables -A INPUT -s 192.168.146.135 -j REJECT
[root@client ~]#ssh -D 1080 192.168.146.129 -fN 客户端访问
root@192.168.146.129’s password:
[root@client ~]#curl --socks5 127.0.0.1:1080 192.168.146.128
wello to goole.com
[root@client ~]#curl --socks5 127.0.0.1:1080 192.168.146.128
wello to goole.com
[root@client ~]#curl 192.168.146.128
curl: (7) couldn’t connect to host
[root@client ~]#killall ssh windos访问
[root@CentOS8 ~]#iptables -A INPUT -s 192.168.146.1 -j REJECT
[root@client ~]#ssh -D 1080 192.168.146.129 -fNg
root@192.168.146.129’s password:
[root@client ~]#curl --socks5 127.0.0.1:1080 192.168.146.128
wello to goole.com
X协议转发
所有图形化应用程序都是X客户程序
•能够通过tcp/ip连接远程X服务器
•数据没有加密机,但是它通过ssh连接隧道安全进行
ssh -X user@remotehost gedit
remotehost主机上的gedit工具,将会显示在本机的X服务器上
传输的数据将通过ssh连接加密
dropbearDropbear
是一个相对较小的SSH服务器和客户端。
/apps/dropbear/
├── bin
│ ├── dbclient
│ ├── dropbearconvert
│ ├── dropbearkey
│ ├── dropbear_rsa_host_key
│ └── scp
├── sbin
│ └── dropbear
└── share
└── man
├── man1
│ ├── dbclient.1
│ ├── dropbearconvert.1
│ └── dropbearkey.1
└── man8
└── dropbear.8
./configure --prefix=/apps/dropbear --exec-prefix=/etc/dropbear
make PROGRAMS="dropbear dbclient dropbearkey dropbearconvertscp"
make PROGRAMS="dropbear dbclient dropbearkey dropbearconvertscp" install
echo 'PATH=/apps/dropbear/bin:/apps/dropbear/sbin:$PATH' > /etc/profile.d/dropbear.sh
./etc/profile.d/dropbear.sh
dropbearkey -t rsa -f /etc/dropbear/dropbear_rsa_host_key
dropbear -FEp 9527 客户端前提监听
[89385] Nov 09 21:10:01 Failed loading /etc/dropbear/dropbear_dss_host_key
[89385] Nov 09 21:10:01 Failed loading /etc/dropbear/dropbear_ecdsa_host_key
[89385] Nov 09 21:10:01 Not backgrounding
[root@client ~]#ssh 192.168.146.129 -p 9527 远程ssh主机连接dropbear_server
root@192.168.146.129's password:
[root@sshserver ~]#dbclient 192.168.146.135 服务端连接其他ssh主机
root@192.168.146.135's password:
Unable to get valid context for root
Last login: Sat Nov 9 09:04:44 2019 from 192.168.146.1
My hostname is client
scp默认无法使用,因为默认文件执行不同创建对应软连接即可
scp /etc/fstab 192.168.146.135:/data
/usr/bin/dbclient: No such file or directory
lost connection
ln -s /apps/dropbear/bin/dbclient /usr/bin
[root@sshserver ~]#scp /etc/fstab 192.168.146.135:/data
root@192.168.146.135's password:
AIDE(Advanced Intrusion Detection Environment高级入侵检测环境)
是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的那些文件被更改过了
yum install aide
配置文件 /etc/aide.conf
!表示忽略指定文件或文件夹检查
R=p+i+n+u+g+s+m+c+md5 权限+索引节点+链接数+用户+组+大小+最后一次修改时间+创建时间+md5校验值
初始化默认的AIDE的库:
/usr/local/bin/aide --init
生成检查数据库(建议初始数据库存放到安全的地方)
cd /var/lib/aide
mv aide.db.new.gz aide.db.gz
检测: /usr/local/bin/aide --check
更新数据库
aide --update
sudo
授权用户在指定主机上运行默写命令,并提供日志记录,使用时间戳文件,维持用户默认存活期5min,使用与普通用户使用,su命令切换身份适合管理员使用
visudo -c 检查语法
visudo -f /etc/sudoers.d/test
默认sudo首次输入密码后5分钟内不用再次输入
保存时间戳文件目录 #ll /run/sudo/ts
日志文件 /var/log/secure
配置文件 /etc/sudoers /etc/shdoers.d/file
支持通配符glob
配置文件规则有两类
1、别名定义:不是必须的
2、授权规则:必须的
用户 登入主机=(代表用户) 命令
user host=(runas) command
运行者 通过哪些主机 以哪个用户身份运行 运行的命令
例
User_Alias NETADMIN= netuser1,netuser2
Cmnd_Alias NETCMD= /usr/sbin/ip
NETADMIN ALL=(root) NETCMD
root ALL=(ALL) ALL
student ALL=(root) /sbin/pidof,/sbin/ifconfig
#hjq ALL=(root) /usr/bin/yum install vsftpd
hjq ALL=(ALL) /usr/sbin/,!/usr/sbin/useradd
## Allows members of the 'sys' group to run networking, software,
## service management apps and more.
# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS
## Allows people in group wheel to run all commands
%wheel ALL=(ALL) NOPASSWD:ALL
sudo -l 列出可使用和不可用的命令
查看指定目录下的所有文件,不涉及到其他文件或目录
TCP_Wrappers(使用简单场景中的ip访问控制)
帮助文档 man 5 hosts_opetions
工作在第四层(传输层)的TCP协议
对有状态连接的特定服务进行安全检测并实现访问控制
以库文件形式实现
某进程是否接受libwrap的控制取决于发起此进程的程序在编译时是否针对libwrap进行编译的
判断服务程序是否能够由tcp_wrapper进行访问控制的方法:
ldd /PATH/TO/PROGRAM|grep libwrap.so
strings PATH/TO/PROGRAM|grep libwrap.so
配置文件 /etc/hosts.allow /etc/hosts.deny(默认允许吧 )
centos8不再支持
基本语法
daemon_list@host: client_list [ :options :option… ]
@对某个ip生效,如某主机有多个ip
使用逗号或空格分隔客户端列表
centos7net/prefixlen
centos6ip/mask
EXCEPT用法
/etc/hosts.deny
vsftpd: 172.16. EXCEPT 172.16.100.0/24 EXCEPT 172.16.100.1
禁止整个172.16网段host连接,排除172.16.100.0网段都可可以连接,再排除172.16.100.1主机不能连接到本机
可以在allow中定义deny
sshd: 192.168.146.135 deny
在deny中定义allow
sshd: 192.168.146.129 allow
spawn 启动一个外部程序完成执行的操作
twist 实际动作是拒绝访问,使用指定操作替换当前服务,标准输出和ERROR发送到客户端,默认至/dev/null
测试工具:
tcpdmatch [-d] daemon[@host] client
-d 测试当前目录下的hosts.allow和hosts.deny
pam:一种认证框架,自身不做认证
模块文件目录: /lib64/security/*.so
环境相关设置: /etc/security/
主配置文件 /etc/pam.conf 默认不存在
为每种应用模块提供一个专用的配置文件:/etc/pam.d/APP_NAME
注意:如/etc/pam.d存在,/etc/pam.conf将失效
pam认证认证顺序
server --> PAM(配置文件) --> pam_*.so
PAM认证过程
PAM认证首先要确定那一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib64/security下)进行安全认证
查看帮助文档 man -k pam_
pam_limits.so模块
ulimit 临时测试用,仅对当前登录终端有限
/etc/security/limits.conf 配置文件 永久生效
模块:pam_securetty.so
功能:只允许root用户在/etc/securetty列出的安全终端上登陆
模块:pam_securetty.so
功能:只允许root用户在/etc/securetty列出的安全终端上登陆
模块:pam_limits.so
功能:在用户级别实现对其可使用的资源的限制,例如:可打开的文件数量,可运行的进程数量,可用内存空间
442
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
