远程访问及控制

一.OpenSSH服务器
1.SSH(Secure Shell)协议
·是一种安全通道协议
·对通信数据进行了加密处理，用于远程管理
2.OpenSSH
·服务名称：sshd
·服务端主程序：/usr/sbin/sshd
·服务端配置文件：/etc/ssh/sshd_config
3.服务监听选项
·端口号，协议版本，监听IP地址
·禁用反向解析
#vi /etc/ssh/sshd_config
4.用户登录控制
·禁用root用户，空密码用户
·限制登录验证时间，重试次数
·AllowUsers，DenyUsers
#vi /etc/ssh/sshd_config
AllowUsers jerry admin@61.23.24.25 //AllowUsers不要与DenyUsers同时用
5.登录验证方式
·密码验证：核对用户名，密码是否匹配
·密钥对验证：核对客户的私钥，服务端公钥是否匹配
#vi /etc/ssh/sshd_config

二.使用SSH客户端程序
1.ssh命令——远程安全登录
ssh user@host
2.scp命令——远程安全复制
格式1：scp user@host:file1 file2
格式2：scp file1 user@host:file2
3.sftp命令——安全FTP上下载
sftp user@host
4.Xshell
·Windows下一款功能非常强大的SSH客户端软件

三.构建密钥对验证的SSH体系
1.

2.在客户机中创建密钥对
·ssh-keygen命令
·可用的加密算法：RSA,ECDSA或DSA
$ssh-keygen -t ecdsa
Enter same passphrase again: //设置密钥短语
Your identification has been saved in /home/zhangsan/.ssh/id_ecdsa. //私钥文件位置
Your public key has been saved in /home/zhangsan/.ssh/id_ecdsa.pub //公钥文件位置

3.将公钥文件上传至服务器
·任何方式均可(FTP,Email,SCP,HTTP…)
$scp ~/.ssh/id_ecdsa.pub root@172.16.16.22:/tmp

4.在服务器中导入公钥文本
·将公钥文本添加至目标用户的公钥库
·默认公钥库位置:~/.ssh/authorized_keys
#mkdir /home/lisi/.ssh/
#cat /tmp/id_ecdsa.pub>>/home/lisi/.ssh/authorized_keys
#tail -1 /home/lisi/.ssh/authorized_keys

5.客户端使用密钥对验证登录
·验证用户:服务端的用户lisi
·验证密码:客户端的用户zhangsan的私钥短语
$ssh lisi@172.16.16.22
$whoami

6.第2步和第三步可以采用另一种方法
ssh-copy-id -i 公钥文件 user@host
·验证密码后，会将公钥自动添加到目标主机user宿主目录下的.ssh/authorized_keys文件结尾
$ssh-copy-id -i ~/.ssh/id_rsa.pub lisi@172.16.16.22

四.TCP Wrappers概述
1.

2.保护机制的实现方式
·方式1：通过tcpd程序对其他服务程序进行包装
·方式2：由其他服务程序调用libwrap.so.*链接库
3.访问控制策略的配置文件
·/etc/hosts.allow
·/etc/hosts.deny

五.TCP Wrappers策略应用
1.设置访问控制策略
·策略格式：服务程序列表:客户端地址列表
·服务程序列表
①.多个服务以逗号分隔，ALL表示所有服务
·客户端地址列表
①.多个地址以逗号分隔，ALL表示所有地址
②.允许使用通配符?和*
③.网段地址，如192.168.4.或192.168.4.0/255.255.255.0
④.区域地址，如.benet.com

2.策略的应用顺序
①.检查hosts…allow，找到匹配则允许访问
②.再检查hosts.deny，找到则拒绝访问
③.若两个文件中均无匹配策略，则默认允许访问

3.策略应用示例
·仅允许从以下地址访问sshd服务
①.主机61.63.65.67
②.网段192.168.2.0/24
·禁止其他所有地址访问受保护的服务
#vi /etc/hosts.allow
sshd:61.63.65.67,192.168.2.*
#vi /etc/hosts.deny
sshd:ALL