前言
大多数企业企业服务器是通过远程登录的方式来进行管理。当需要从一个工作站管理数以百计的服务器主机时,远程维护的方式将更占优势。
一、SSH 远程管理
SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。与早期的telnet(远程登录)、rsh(Remote Shell,远程执行命令)、rcp(Remote File Copy,远程复制文件)等应用相比,SSH协议提供了更好的安全性。
1.1、配置OpenSSH 服务端
1.1.1、SSH 服务及配置文件
1.1.2、服务监听选项
sshd使用的默认端口号为22,必要时建议修改此端口号,并制定监听服务的具体IP地址,以提高在网络中的隐蔽性。除此之外,SSH协议的版本V2比V1的安全性要更好,禁用DNS反向解析可以提高服务器的响应速度。
1.1.3、用户登录控制
ssd服务默认允许root用户登录,当在Internet中使用时这是非常不安全的。普遍的做法是:先已普通用户远程登入,进入安全Shell环境后,根据实际需要使用su命令切换用户。
关于sshd服务的用户的登录控制,通常应禁止root用户或密码为空的用户登录。另外,可以限制登录验证的时间及最大重试次数,若超过限制后仍未能登录则端口连接。
当希望只允许或禁止某些用户登录时,可以使用AllowUsers或DenyUsers配置。
1.1.4、登录验证方式
对于服务器的远程管理,除了用户账号的安全控制以为,登录验证的方式也非常重要。sshd服务支持两种验证方式——密码验证和密钥对验证,可以设置只使用其中一种方式,也可以两种方式都用。
1.2、使用SSH 客户端程序
1.2.1、命令程序ssh、scp、sftp
(1)ssh远程登录
(2)scp远程复制
第一种将文件远程复制到服务器
第二种从服务器远程复制文件
(3)sftp安全FTP
命令基本格式
sftp user@host
get:下载
put:上传
1.3、构建密钥对验证的SSH 体系
正如前面提及的,密钥対验证方式可以为远程登录提供更好的安全性。
1.3.1、在客户端创建密钥対
在Linux客户机中,用过ssh-keygen工具为当前用户创建密钥対文件。可用的加密算法为RSA或DSA(ssh-keygen的-t选项用于指定算法)。
创建密钥对操作如下
1.3.2、将公钥文件上传至服务器
将上一步生成的公钥文件上传至服务器,并部署到服务器端用户的公钥数据库中。上传公钥文件时可以选择FTP、Samba、HTTP甚至发送E-mail等任何方式。
1.3.3、在服务器中导入公钥文本
1.3.4、在客户端使用密钥对验证
密钥对验证成功,此时不需要输入密码就能成功登入。
二、TCP Wrappers 访问控制
在Linux系统中,TCP Wrappers(TCP封套),作为应用服务于网络之间的一道特殊防线,提供额外的安全保障。
2.1、TCP Wrappers 概述
2.1.1、保护原理
2.1.2、保护机制的实现方式
方式一
通过tcpd主程序对其他服务程序进行包装
方式二
由其他服务程序调用libwrap.so.*链接库
2.1.3、访问控制策略的配置文件
2.2、TCP Wrappers 的访问策略
TCP Wrappers机制的保护对象为各种网络服务程序,针对访问服务的客户机地址进行访问控制。对应的两个策略文件为 /etc/hosts.allow和/etc/hosts.deny,分别用来设置允许和拒绝的策略
2.2.1、策略的配置格式
策略格式
服务程序列表:客户端地址列表
服务程序列表
多个服务以逗号分隔,ALL表示所有服务
客户端地址列表
多个地址以逗号分隔,ALL表示所有服务
允许使用通配符*和?
网段地址,如192.168.1 或者 192.168.1.0/255.255.255.0
区域地址,如.benet.com
2.2.2、策略的应用顺序
1.先检查hosts.allow,找到匹配则允许访问
2.否则再检查hosts.deny,找到则拒绝访问
3.若两个文件中均无匹配策略,则默认允许访问
2.2.3、TCP Wrappers配置实例
在IP地址为20.0.0.12的主机上进行设置
这时之前能访问sshd服务的IP地址为20.0.0.11的主机在进行访问,发现访问不了。
2102
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
