Linux远程访问及控制理论及部署

最新推荐文章于 2024-09-26 13:31:19 发布
最新推荐文章于 2024-09-26 13:31:19 发布
阅读量750 收藏
点赞数
分类专栏: Linux网络及服务 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49780168/article/details/109378173
版权
本文详细介绍了SSH协议及其安全特性,包括OpenSSH服务器的配置,如端口监听、用户登录控制和登录验证方式。重点讲解了密钥对验证的步骤,并提到了TCPWrappers作为安全检测机制,如何通过访问控制策略文件实现服务的访问限制。
摘要由CSDN通过智能技术生成

一、OpenSSH服务器 ===>yum -y install openssh

目录

SSH(Secure SHell)协议

​ 是一种安全通道协议
​ 对通信数据进行了加密处理,用于远程管理 ===>对称密钥跟非对称密钥

OpenSHH**

​ 服务名称:sshd
​ 服务端主程序:/usr/sbin/sshd
​ 服务端配置文件:/etc/ssh/sshd_config

密钥

对称密钥:加密和解密用同一个密钥.
例如:AES、DES、3DES
​ 加密速度快但是不安全
非对称密钥:加密和解密使用不同密钥.分为公钥和私钥.不可以从其中一种密钥推导出另一个密钥
例如: rsa
​ 加密速度慢但是安全
Hash===>哈希算法 用来验证数据完整性
私钥:验证身份,保密的
公钥:所有人都知道,公开的

服务监听选项

​ 端口号、协议版本、监听IP地址

​ 禁用反向解析

[root@localhost ~]# vi /etc/ssh/sshd_config      #修改配置文件
......
Port 22       #端口22
ListenAddress 172.16.16.22     #监听地址 172.16.16.22
Protocal 2      #协议 2
UseDNS no      #不使用DNS
[root@localhost ~]#ssh root@192.168.1.10 -p 10010     #修改端口号后验证,-p后接改的端口号

用户登录控制

  • ​禁用root用户、空密码用户
  • 闲置登录验证时间、重试次数
  • ​AllowUsers、DenyUsers
[root@localhost ~]# vi /etc/ssh/sshd_config    #修改配置文件
LoginGraceTime 2m    #会话时间 2分钟
PermitRootLogin no    #不允许root用户登录
MaxAuthTries 6    #最大的验证尝试次数为6次---默认是三次
PermitEmptyPasswords no    #不允许空密码登录
......
AllowUsers qiezi@192.168.10.10     #AllowUsers不要与DenyUsers同时用{加了@IP ---只允许你从固定的终端登录}

登录验证方式

  • ​ 密码验证:核对用户名、密码是否匹配
  • ​ 密钥对验证:核对客户的私钥、服务端公钥是否匹配
[root@localhost ~]# vi /etc/ssh/sshd_config
......
PasswordAuthentication yes    #私钥开启
PubkeyAuthentication yes    #公钥开启
AuthorizedKeysFile .ssh/authorized_keys   #指定公钥库位置,用ls -a验证

二、使用SSH客户端程序

  • ssh命令—远程安全登录
    ssh user@host (端口选项-p)
  • scp命令—远程安全复制
    格式一、 scp user@host:file1 file24
    格式二、scp file user@host:file2
  • sftp命令—安全FTP上下载
    sftp user@host
    get ===>下载
    put ===>上传
    bye ===>退出

三、构建密钥对验证的SSH体系

整体实现过程
在这里插入图片描述

第一步:创建密钥对 ===>由客户端的用户zhangsan再本地创建密钥对

公钥文件:id_rsa

公钥文件:id_rsa.pub

第二步:上传公钥文件id_rsa.pub

第三步:导入公钥信息 ===>导入到服务端用户lisi的公钥数据库

公钥库文件:~/.ssh/authorized_keys

第四步:使用密钥对验证方式 ===>以服务端的用户lisi的身份进行登录

1.在客户机中创建密钥对

​ ssh-keygen命令

​ 可用的加密算法:RSA、ECDSA或DSA

[zhangsan@localhost ~]$ ssh-keygen -t ecdsa     #-t  指定密钥类型
Generating public/private ecdsa key pair.
Enter file in which to save the key (/home/zhangsan/.ssh/id_ecdsa):
Created directiry '/home/zhangsan/.ssh'.
Enter same passphrase again:          #设置密钥短语
Your identification has been saved in /home/zhangsan/.ssh/id_ecdsa.   #私钥文件位置
Your public key has been saved in /home/zhangsan/.ssh/id_ecdsa.pub.   #公钥文件位置
......

2.将公钥文件上传至服务器

​ 任何方式均可(FTP、Email、SCP、HTTP…)

[zhangsan@localhost ~]# scp ~/.ssh/id_ecdsa.pub root@172.16.16.22:/tmp      #安全性复制

3.在服务器中导入公钥文本

​将公钥文本添加至目标用户的公钥库
默认公钥库位置:~/.ssh/authorized_keys

[root@localhost ~]# mkdir /home/lisi/.ssh/
[root@localhost ~]# cat /tmp/id_ecdsa.pub >> /home/lisi/.ssh/authorized_keys
[root@localhost ~]# tail -1 /home/lisi/.ssh/authorized_keys
ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBOBYobmq32SjDwcnTiazunm2xaTrq/dJhrGcTEEGsr8/VqLgKPb8ySB4zExG417TOI3FluCnWKfBBsPQQhtaxU8= zhangsan@zhaobin
(mailto:zhangsan@localhost)

4.客户端使用密钥对验证登录

​ 验证用户:服务端的用户lisi

​ 验证密码:客户端的用户zhangsan的私钥短语

[zhangsan@zhaobin root]$ ssh lisi@20.0.0.50
Enter passphrase for key '/home/zhangsan/.ssh/id_ecdsa':  ===>输入私钥
Last failed login: Thu Jul  9 12:04:15 CST 2020 from 20.0.0.60 on ssh:notty
There were 2 failed login attempts since the last successful login.
Last login: Thu Jul  9 12:02:06 2020 from 20.0.0.60
[lisi@localhost ~]$ whoani
lisi

#第二步和第三步可以采用另外一种方法
​ ssh-copy-id -i 公钥文件 user@host

​ 验证密码后,会将公钥自动添加到目标主机user宿主目录下的.ssh/authorized_keys文件结尾

[zhangsan@localhost ~]$ ssh-copy-id -i ~/.ssh/id_rsa.pub lisi@172.16.16.22

TCP Wrappers概述
保护原理
​ 在服务器向外提供的tcp服务商包装一层安全检测机制。外来连接请求首先通过这个安全检测,获得安全认证后才可被系统服务接受。

保护机制的实现方式
​ 方式1:通过rcpd程序对其他服务程序进行包装

​ 方式2:由其他服务器调用libwrap.so.*链接库

访问控制策略的配置文件===>两个文件可以同时存在
​ /etc/hosts.allow

​ /etc/hosts.deny

四、TCP Wrappers策略应用

保护原理

​ 在服务器向外提供的tcp服务商包装一层安全检测机制。外来连接请求首先通过这个安全检测,获得安全认证后才可被系统服务接受。
在这里插入图片描述

保护机制的实现方式

​ 方式1:通过rcpd程序对其他服务程序进行包装

​ 方式2:由其他服务器调用libwrap.so.*链接库

访问控制策略的配置文件===>两个文件可以同时存在

​ /etc/hosts.allow

​ /etc/hosts.deny

TCP Wrappers策略应用

设置访问控制策略
​ 策略格式:服务程序列表:客户端地址列表

​ 服务程序列表
多个服务以逗号分隔,ALL表示所有服务

TCP Wrappers策略的应用顺序

1、检查hosts.allow,找到匹配则允许访问
2、再检查hosts.deny,找到则拒绝访问
3、若两个文件中均无匹配策略,则默认允许访问

策略应用示例

  • 仅允许从以下地址访问sshd服务
    主机61.63.65.67
    网段192.168.2.0/24
  • 禁止其他所有地址访问受保护的服务
[root@localhost ~]# vi /etc/hosts.allow       #允许访问 相当于白名单
sshd:61.63.65.67,192.168.2.*      #允许61.63.65.67 跟192.168.2网段的用户访问
[root@localhost ~]# vi /etc/hosts.deny     #拒绝访问 相当于黑名单
sshd:ALL     #拒绝其他所有
Linux常用命令
学Java,找哪吒
05-31 6万+
Linux是我多年的心结,主要是因为工作中没有接触过,作为一个程序员,真的是奇葩,在我心里,Linux,有一种神秘感,总觉得熟练掌握Linux的都是大神,遥想当年,2019年11月份,我与公司的另一个资深员工(大概10年工作经验)去贵州出差,现场主要是Linux服务器操作,我是一脸蒙蔽,人家噼里啪啦一顿操作,搞定,我在一旁只能是羡慕嫉妒恨,也有另一种心情,因为不会,没活一身轻。
Linux 基本概念和理论
weixin_43965016的博客
03-30 735
Linux 基本概念和理论 概念: 在 Linux 系统中,以 文件 方式访问设备 。 Linux 内核引导时,从文件 /etc/fstab 中读取要加载的文件系统。 Linux 文件系统中每个文件用 索引节点来标识。 Linux 文件系统使用索引节点来记录文件信息,作用于 Windows 的文件分配表类 似,索引节点是一个数据结构,它包含了一个文件的文件名,位置,大小,建立或修改 时间,访问权...
linux使用远程工具部署环境已经项目构建
m0_61357001的博客
12-09 351
一、使用远程工具 远程工具有很多在这就不过多的介绍,在这篇文章中使用的是xshell 二、安装软件 首先是安装,安装的话市面都是有教程的在这也是不过多的介绍。 三、操作 1、 2、 3、 4、使用xftp将准备好的压缩包拖拽进去 4、先查看是否安装过jdk:rpm -qa | grep java 有的话卸载掉即可:rpm -e --nodeps 要...
linux实现远程部署
xafc_2370的专栏
04-02 677
1、部署时有用到rsync命令,如系统没有安装,通过命令yum install rsync。 2、远程部署需要通过ssh连接。 在linux系统中,ssh是远程登录的默认工具,因为该工具的协议使用了RSA/DSA的加密算法.该工具做linux系统的远程管理是非常安全的。telnet,因为其不安全性,在linux系统中被搁置使用了。 ssh有一套很有用的工具,其中的ssh-keygen可以...
[Linux]从零开始的Linux远程方法介绍与配置教程
最新发布
c858845275的博客
09-26 2587
讲解了Linux常见的远程方式和部署方法!
【个人记录】远程 Linux 部署环境 miniconda+pytorch+torchvision
CSDN_Shaw的博客
07-08 617
Linux】miniconda+pytorch3.7+torchvision
Linux远程部署项目
WhenTheWindBlows的博客
02-16 1275
基本思路:(以一个JavaWeb项目为例,数据库为MySQL) 第一步:连接远程服务器。 【相关描述】需要在本地安装Xshell程序(一款SSH客户端,支持多种远程连接协议,供主机远程连接服务器或其他远程设备)Xshell安装程序有敏感信息,不支持百度云盘分享,自行下载。 确定后,输入服务器的登录名及密码,确认即可。 第二步:确认服务器的配置是否满足项目部署条件。(不满足见第二步“重点”) 条...
部署远程Linux操作环境----基于阿里云云服务器
m0_57841821的博客
04-06 467
但值得一提的是,如果你要搭建一个网站或者公司使用,提供了外部访问的接口,使用了域名等可供除你之外的用户使用,使用大陆云服务器节点需要进行备案,备案是免费的,不需要担心,但是也不能忽视。对于个人学习,尤其是学生,前期的经济条件并不允许,或者一个公司的一个短期项目,或长期项目需要或适合,都可以选择使用云服务器。在选择上,如果基本操作,PuTTY和XShell免费版已经满足使用,但是需要更高级的内容如多标签,多窗口,可定制布局,脚本,多协议支持等,就选择后4者。阿里云有高校学生免费领好几个月!
南京大学《Linux》复习知识点及重点.pdf
01-22
12. **远程访问与协作**:熟悉VNC、SSH等远程桌面和命令行访问方式,以及git版本控制系统的基本操作。 13. **系统调试与性能优化**:掌握如何查找系统瓶颈,使用strace、gdb等工具进行系统调试。 14. **LXC和...
PHP基于Linux远程管理系统服务器端的实现(源代码+论文)
05-20
这个系统不仅提供了方便的远程管理功能,还包含了完整的源代码和相关的毕业设计论文,为学习者提供了一个实践与理论相结合的实例。以下是关于这个项目的详细知识点: 1. PHP语言:PHP(Hypertext Preprocessor)是...
Linux系统搭建Android模拟器结合内网穿透远程开发测试详细教程
等风来
07-18 1698
本文主要介绍如何在Linux Ubuntu系统使用Docker部署docker-android安卓模拟器,并结合cpolar内网穿透工具实现公网远程访问本地部署的Android开发环境。Android应用开发日益成为业界关注的焦点,在开发过程中,对Android应用的测试和部署至关重要,这关系到应用能否在各种设备和环境下稳定运行。然而,传统的Android开发和测试环境搭建过程繁琐,且不易于管理和维护。
linux远程访问控制的相关部署
Lihuihui006的博客
10-17 292
远程访问控制 1,ssh远程管理 1,配置openssh服务器 ssh协议 是一种安全通道协议 对通信数据进行了加密处理,用于远程管理 openssh 服务名称:sshd 服务端主程序:/usr/sbin/sshd 服务端配置文件;/etc/ssh/sshd_config 服务监听选项 端口号(默认端口号22),协议版本,监听ip地址 禁用反向解析 例如:禁用DNS反向解析地址可以提高服务器的响应地址: [root@server1 ~]# vi //etc/ssh/sshd_config #
项目 Linux 部署远程连接 Linux 操作
qq_40208605的博客
08-26 314
企业中 采用远程连接软件,远程连接操作 linux 系统 1、 使用 SecureCRT 远程连接 linux 桥接连接, 需要通过网络交互机,解析 ip,找到虚拟机 Host-only, 可以直接访问虚拟机 2、 配置 secureCRT 会话 file:///C:\Users\ADMINI~1\AppData\Local\Te...
Linux远程部署Java程序
Just do IT
04-11 1733
使用nohup java -jar XXXXX.jar & 命令可以使命令在后台运行。 同时,这个命令还会在当前目录下创建一个nohup.out文件,将所有输出和错误信息写入。
Linux常用操作指令
weixin_46399692的博客
04-25 322
一、如何学习LinuxLinux的文件系统 Linux文件管理 目录:进退、创建、删除 文件:创建与编辑、复制和粘贴、移动和删除、压缩和解压 用户及权限的管理 软件管理 软件安装 软件配置 软件卸载 二、Linux文件系统 Linux系统不同于windows,在Linux系统中没有盘符,根路径用"/"表示 [root@theo ~]# cd / [root@theo /]# l...
Linux的PXE第一弹(远程部署安装)
bizou7130的博客
09-11 308
PXE当初是作为Intel的有线管理体系的一部分,Intel 和 Systemsoft于1999年9月20日公布其规格(版本2.1) 。通过使用像网际协议(IP)、用户数据报协议(UDP)、动态主机设定协定(DHCP)、小型文件传输协议(TFTP)等几种网络协议和全局唯一标识符(GUID)、通用网络驱动接口(UNDI)、通用唯一识别码(UUID)的概念并通过...
Jeknins配置linux免密远程部署
Chrisz
10-20 462
5、 chmod 600 ~/.ssh/authorized_keys (# 注意: 必须将~/.ssh/authorized_keys的权限改为600, 该文件用于保存ssh客户端生成的公钥,可以修改服务器的ssh服务端配置文件/etc/ssh/sshd_config来指定其他文件名)3、scp ~/.ssh/id_rsa.pub root@10.0.0.10:.ssh/id_rsa.pub (需要输入密码)7、回到A机器: ssh root@10.0.0.10 (不需要密码, 登录成功)
远程访问控制
henanchenxuyuan的博客
05-16 891
TCP Wrappers 将 TCP 服务程序“包裹”起来,代为监听 TCP 服务程序的端口,增加了 一个安全检测过程,外来的连接请求必须先通过这层安全检测,获得许可后才能访问真正 的服务程序,如图 4.3 所示。TCP Wrappers 还可以记录所有企图访问被保护服务的行为, 为管理员提供丰富的安全分析资料。对于大多数 Linux 发行版,TCP Wrappers 是默认提供的功能。
嵌入式Linux远程调试与交叉编译实践
在这个主题中,主要探讨的是如何在Linux嵌入式开发环境中进行远程访问目标板的实践和理论。嵌入式开发常常面临资源受限的问题,因此,开发者需要在宿主机上进行编程和调试,然后将代码移植到目标板上运行。以下几点...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值