远程访问及控制
OpenSSH服务器
- SSH(Secure Shell)协议
- 是一种安全通道协议
- 对通信数据进行了加密处理,用于远程管理
- OpenSSH
- 服务名称:sshd
- 服务端主程序:/usr/sbin/sshd
- 服务端配置文件:/etc/ssh/sshd_config
服务监听选项
- 端口号,协议版本,监听IP地址
- 禁用反向解析
用户登录控制
- 禁用root用户,空密码用户
- 限制登录验证时间,重试次数
- AllowUsers,DenyUsers
登录验证方式
- 密码验证:核对用户名,密码是否匹配
- 密钥对验证:核对客户的私钥,服务端公钥是否匹配
- ssh命令——远程安全登录
- ssh user@host
- scp命令——远程安全复制
- 格式1:scp user@host:file1 file2
- 格式2:scp file1 user@host:file2
- sftp命令——安全FTP上下载
- sftp user@host
构建密钥对验证的SSH体系
- 整体实现过程
在客户机中创建密钥对
- ssh-keygen命令
- 可用的加密算法:RSA,ECDSA或DSA
将公钥文件上传至服务器
- 任何方式均可(FTP,Email,SCP,HTTP…)
在服务器中导入公钥文本
- 将公钥文本添加至目标用户的公钥库
- 默认公钥库位置:~/.ssh/authorized_keys
TCP wrappers 概述
保护原理
- 保护机制的实现方式
- 方式1:通过tcpd程序对其他服务程序进行包装
- 方式2:由其他服务程序调用libwrap.so.*C连接库
- 访问控制策略的配置文件
- /etc/hosts.allow
- /etc/hosts.deny
设置访问控制策略
- 策略格式:服务程序列表:客户端地址列表
- 服务程序列表
- 多个服务以逗号分隔,ALL表示所有服务
- 客户端地址列表
- 多个地址以逗号分隔,ALL表示所有地址
- 允许使用通配符?和*
- 网段地址,如192.168.4.或者192.168.4.0/255.255.255.0
- 区域地址,如.benet.com