一、SSH服务
1、概念
ssh 是 Secure Shell 的缩写,是一个建立在应用层上的安全远程管理协议。ssh使用tcp协议22号端口(为了安全,最好更改) 是目前较为可靠的传输协议,专为远程登录会话和其他网络服务提供安全性。利用 ssh 协议可以有效防止远程管理过程中的信息泄露问题。
2、作用
ssh可用于大多数UNIX和类UNIX操作系统中,能够实现字符界面的远程登录管理,它默认使用22端口,采用密文的形式在网络中传输数据,相对于通过明文传输的Telnet协议,具有更高的安全性。
3、openssh
openssh是基于ssh协议免费开源的服务器&软件包,服务名称sshd
配置文件主目录:/etc/ssh/
客户端配置文件:/etc/ssh/ssh_config
服务器配置文件:/etc/ssh/sshd_config
注:此配置文件中注释的默认生效
2 ssh的登录验证模式
ssh 提供了基于账户密码和密钥对两种登录验证方式,这两者都是通过密文传输数据的。
公钥:相当于锁头
私钥(密钥):相当于钥匙
1、账户密码验证:
安全策略:服务器要求客户机将发送给它的信息用服务器自己给客户机的公钥进行加密
账户密码登录认证过程中传输的是用户的账户名和密码:
客户机对服务器发送连接请求;
服务器回复发送一个自己的公钥(锁)给客户机;
客户机将账户名和密码用公钥(锁)加密发送给服务器;
服务器收到后用自己的私钥打开公钥(锁)再查看账户名和密码是否正确,若正确,则允许客户机登录,即允许客户机远程连接。
Linux主机远程管理工具是ssh命令,使用ssh远程登录另一台linux主机:
ssh 用户名@IP地址 #相当于连接请求
ssh root@192.168.88.20
2、密钥对验证:
#减少了密码的暴露
#实现双向加密,数据更安全
#可以实现免密码非交互身份验证
在 Client 上创建一对密钥,把公钥放在需要访问的 Server 上;
当 Client 需要连接 Server 时,Client 端的软件就会向 Server 端发出登录请求,请求使用密钥对中的的公钥进行安全验证;
Server 收到请求之后,会在该用户的家目录下查询公钥文件,拿 Client 发送过来的公钥和自己家目录下的公钥进行比较;
如果两个公钥一致,Server 就用公钥加密“challenge(质疑)”,并把它发送给 Client 软件;
Client 收到加密内容之后,使用本地的私钥进行解密,再把解密结果发送给 Server 端,Server 端验证成功后,允许登录。
注意:若第3个步骤对比结果失败,则 Server 端会通知 Client 端此公钥未在本机注册,无法验证登录
3 基于ssh服务的相关技术
1、环境
两台Linux操作系统的主机,配置好网络,正常通信,并将主机名修改为不同的名字
临时关闭防护功能:
iptables -F #清空防火墙规则
setenforce 0 #临时关闭SELinux
永久关闭防护功能:
chkconfig iptables off #设置防火墙开机不自启动
sed -i ‘7s/enforcing/disabled/’ /etc/selinux/config #永久关闭SELinux
注意:以上两条命令执行后,需要重启服务器才能生效,切记
2、使用账户密码验证进行远程登录
linux客户端:ssh 用户名@IP地址
ssh root@192.168.88.20
windows客户端使用Xshell:
ssh root@192.168.88.20
3、Linux主机之间的密钥对登录验证
-
客户端生成密钥对文件
ssh-keygen -t rsa -b 2048
-t 指定加密类型(rsa/dsa等)
-b 指定密钥对加密长度
询问1:执行过程中会询问保存位置,一般默认保存在当前用户家目录下的.ssh/目录下
询问2:是否对密钥文件进行加密
若加密:则在调用密钥文件时需要先验证密钥的密码,密码正确才能使用密钥文件
若不加密:则密钥文件可以直接被调用,整个登录验证过程无需输入任何密码,即为免密登录 -
将公钥文件上传至服务器端
ssh-copy-id 用户名@服务器IP地址
-i 指定上传的公钥文件位置和名字{不指定时是:id_rsa.pub}
#用户名是要登录服务器的用户名
上传需要输入登录服务器的密码 -
客户端登录服务器
ssh 用户名@服务器IP地址
#密钥对验证优先级大于账户密码验证
4、Windows使用密钥对登录Linux
-
使用Xshell自带的密钥对生成向导,生成密钥对;
-
将公钥导入Linux主机的指定用户下的指定公钥配置文件内;
用哪个用户登录就放在谁家里,这里我们先用root用户做为案例
在root家目录下,找到 .ssh 目录,然后在此目录创建 authorized_keys 文件,并且将公钥写入进去
#并且要注意.ssh目录的权限是:700;root和普通用户的.ssh目录的权限是 700 ;authorized_keys 文件是600权限。 -
使用windows尝试登录指定用户
5、禁止使用密码登录
配置文件:/etc/ssh/sshd_config
PasswordAuthentication no
注意:配置文件中,并不是注释掉的就是不生效的,有些是默认生效,需要修改时一定要取消注释再修改
6、禁止使用root远程登录
root在系统中是一个可以为所欲为的角色,我们可以在平时的操作中用普通用户操作,在有需要修改一些系统设置的时候再从普通用户切换到root用户,这样可以最大限度的避免因为误操作而对系统造成破坏,同时也可以避免黑客在暴力破解后直接使用root用户登录系统,一般在远程登录管理上我们会禁止直接使用root用户登录
配置文件:/etc/ssh/sshd_config
PermitRootLogin no
7、修改默认端口、限制ssh监听IP
修改默认端口:ssh 作为一个用来远程管理服务器的工具,需要特别的安全,默认情况下使用TCP的22端口,若不进行修改,很容易被利用遭到攻击,所以我们一般都会修改端口,尽量修改一个高位端口(范围1-65535)
配置文件:/etc/ssh/sshd_config
选项:
Port 59527
ssh 用户名@服务器IP -p 端口
#连接不是22默认端口的服务器
限制ssh监听IP:有些服务器则安全级别更高一些,不允许使用外网直接登录,只有通过局域网才能登录,我们可以在机房里设置其中一台能够被外网远程连接(vpn服务器),其他的主机都通过这个机器进行远程连接即可
配置文件:/etc/ssh/sshd_config
ListenAddress 192.168.88.100
#监听哪一个ip,允许通过ssh进行远程连接访问
0.0.0.0与255.255.255.255都可以代表所有地址,前者默认表示监听(收信)所有ip,后者默认表示发信
如下图:相当于强制限制必须通过访问指定的ip指定的端口才能访问,可以在vpn服务器的其中一张网卡上配置局域网的这种ip来写入sshd。conf配置文件中来保护局域网内部的其他服务器。
4 ssh服务相关命令
scp
安全的远程文件复制命令
scp是secure copy的简写,用于在Linux下进行远程拷贝文件的命令,类似于命令有cp,scp传输是加密的,所以可能会稍微影响一点速度。另外,scp单线程传输,还非常不占资源,不会提高多少系统负荷。
1》从指定ip下载文件的格式:scp 用户名@服务器IP:目目标文件 存放目录
2》向指定ip传送文件的格式:scp 本地文件 用户名@服务器IP:目录
scp /root/kernel.txt root@192.168.88.20:/tmp
-P 端口
#若端口不是默认22,则需要使用此格式指定端口
sftp
安全的文件传输协议
sftp是Secure FileTransferProtocol的缩写,安全文件传输协议。sftp与ftp有着几乎一样的语法和功能。由于这种传输方式使用了加密/解密技术,所以sftp比ftp更安全一些,但传输效率比普通的FTP要低得多
格式:sftp 用户名@服务器IP
sftp
-oPort=端口
#若端口不是默认22,则需要使用此格式指定端口
交互命令:
help:查看在交互模式下支持哪些命令
pwd/lpwd:pwd是查看服务器所在路径;lpwd是查看客户端所在路径
ls/lls:ls是查看服务器当前目录下的文件列表;lls是查看客户机当前所在路径的所有文件列表
put:将客户机中的指定文件上传到服务器端
get:将服务器端的指定文件下载到客户机的当前所在目录
rm:删除掉服务器端的指定文件
exit/quit:退出sftp的交互模式,断开和服务器之间的连接
二、TCP Wrappers(简单防火墙)
1 什么是TCP Wrappers
TCP_Wrappers是一个工作在第四层(传输层)的的安全工具,对有状态连接(TCP)的特定服务进行安全检测并实现访问控制,界定方式是凡是调用libwrap.so库文件的的程序就可以受TCP_Wrappers的安全控制,它的主要功能就是控制谁可以访问,常见的程序有rpcbind、vsftpd、sshd,telnet。
判断方式:
- 查看对应服务命令所在位置
which sshd - 查看指定命令执行时是否调用libwrap.so文件
ldd /usr/sbin/sshd | grep libwrap.so
#ldd命令:列出某命令执行所依赖或调用的库文件
2 TCP Wrappers工作原理
以ssh为例,每当有ssh的连接请求时,先读取系统管理员所设置的访问控制文件,符合要求,则会把这次连接原封不动的转给ssh进程,由ssh完成后续工作;如果这次连接发起的ip不符合访问控制文件中的设置,则会中断连接请求,拒绝提供ssh服务。
1.优先查看hosts.allow,匹配即停止
2.允许个别,拒绝所有:hosts.allow文件添加允许的策略,hosts.deny文件添加all
3.拒绝个别,允许所有:hosts.allow文件为空,hosts.deny文件添加单个拒绝的策略
3 TCP Wrappers的使用
TCP_Wrappers的使用主要是依靠两个配置文件/etc/hosts.allow与/etc/hosts.deny,以此实现访问控制,默认情况下,/etc/hosts.allow,/etc/hosts.deny什么都没有添加,此时没有限制。
配置文件编写规则:
service_list@host: client_list
service_list:是程序(服务)的列表,可以是多个,多个时,使用,隔开
@host:设置允许或禁止他人从自己的哪个网口进入。这一项不写,就代表全部
client_list:是访问者的地址,如果需要控制的用户较多,可以使用空格或,隔开
格式如下:
基于IP地址: 192.168.88.1 192.168.88.
基于域(域名): www.kernel.com .kernel.com 较少用
基于网络/掩码: 192.168.0.0/255.255.255.0
内置ACL:ALL(所有主机)、LOCAL(本地主机)
代表所有IP的方式:
0.0.0.0
*
any
anywhere
all(ALL)
代表某网段:
192.168.88.
192.168.88.0
192.168.88.0/255.255.255.0
实验案例:
拒绝单个IP使用ssh远程连接:
配置文件:
hosts.allow:空着
hosts.deny:sshd:192.168.88.20
拒绝某一网段使用ssh远程连接:
hosts.allow:空着
hosts.deny:sshd:192.168.88.
仅允许某一IP使用ssh远程连接:
hosts.allow:sshd:192.168.88.20
hosts.deny:sshd:ALL
扫一扫
412
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
