SSH远程访问及TCP Wrappers控制

最新推荐文章于 2024-08-15 22:15:24 发布
最新推荐文章于 2024-08-15 22:15:24 发布
阅读量286 收藏
点赞数
分类专栏: 云计算linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50344811/article/details/109367697
版权

文章目录

本章结构

SSH远程管理

配置OpenSSH服务端
使用SSH客户端程序
密钥对验证的SSH体系

TCP Wrappers访问控制

TCP Wrappers 概述
TCP Wrappers 访问策略

OpenSSH服务器

SSH (Secure Shell)协议

是一种安全通道协议
对通信数据进行了加密处理,用于远程管理

OpenSSH

服务名称:sshd
服务端主程序:/usr/sbin/sshd
服务端配置文件:/etc/ssh/sshd_config

OpenSSH服务器

服务监听选项

端口号、协议版本、监听IP地址
禁用反向解析
vi /etc/ssh/sshd_config

Port 22
ListenAddress 172.16.16.22
Protocol 2
UseDNS no

OpenSSH服务器

用户登录控制

禁用root用户、空密码用户
限制登陆验证时间、重复次数
AllowUsers、DenyUsers
vi /etc/ssh/sshd_config
LoginGraceTime 2m
MaxAuthTries 6
PormitEmptyPasswords no

AllowUsers jerry admi@61.23.24.25
AllowUsers不要与DenyUsers同时用

OpenSSH服务器

登录验证方式

密码验证:核对用户名、密码是否匹配
密钥对验证:核对客户的私钥、服务端公钥是否匹配
vi /etc/ssh/sshd_config

PasswordAuthentication yes
PubkeyAuthentication yes
AuthorizedkeyFile .ssh/authorized_keys
启用密码验证、密钥对验证、指定公钥库位置

PKI概念

PKI

公钥基础设施建设(Public Key Infrastructure)
通过使用公钥技术和数字签名来确保信息安全
由公钥加密技术、数字证书、CA、RA组成

PKI体系能够实现的功能

身份验证
数据完善性
数据机密性
操作的不可否认性

公钥加密技术

公钥加密技术是PKI的基础

公钥与私钥关系

公钥和私钥是成对生成的,互不相同,互相加密与解密
不能根据一个密钥来推算出另一个密钥
公钥对外公开,私钥只有私钥持有人才知道
私钥应该有密钥的持有人妥善保管

根据时间的功能不同,可分为数据加密和数字签名

数据加密

发送方使用接受方的公钥加密数据
接收方使用自己的私钥解密数据
在这里插入图片描述
数据加密能保证所发送的数据的机密性

数字签名

发送方

对原始数据执行HASH算法得到摘要值
发送方用自己的私钥加密摘要值
将加密的摘要值与原始数据发送给给接收方
在这里插入图片描述
数字签名保证数据的完整性、身份验证和不可否认

使用SSH客户端程序

ssh命令 - 远程安全登录

ssh user@host

scp命令 - 远程安全复制

格式1:scp user@hostfile1 file2
格式2:scp file1 user@host:file2

sftp命令 - 安全FTP上下载

sftp user@host

构建密钥对验证的SSH体系

整体实现过程

第一步:创建密钥对
私钥文件:id_rsa
公钥文件:id_rsa.pub
第二步:上传公钥文件id_rsa.pub
第三步:导入公钥信息
公钥库文件:~/.ssh/authorized_keys
第四步:使用密钥对验证方式

构建密钥对验证的SSH体系

在客户机中创建密钥对

ssh-keygen命令
可用的加密算法:RSA、ECDSA或DSA
在这里插入图片描述

构建密钥对验证的SSH体系

将公钥文件上传至服务器

任何方式均可(FTP、Email、SCP、HTTP…)
[zhangsan@localhost~]$scp ~/.ssh/id_ecdsa.pub root@172.16.16.22:/tmp

构建密钥对验证的SSH体系

在服务器中导入公钥文本

将公钥文本添加至目标用户的公钥库
默认公钥库位置:~/.ssh/authorized_keys
mkdir /home/lisi.ssh/
cat /tmp/id_ecdsa.pub >> /home/lisi/.ssh/authorized_keys
tail -1 /home/lisi/.ssh/anthorized_keys
在这里插入图片描述

构建密钥对验证的SSH体系

客户端使用密钥对验证登录

验证用户:服务端的用户lisi
验证密码:客户端的用户zhangsan的私钥短语
[zhangsan@localhost~]$ ssh lisi@172.16.16.22
[lisi@localhos~t] whoami
lisi

构建密钥对验证的SSH体系

第二步第三步可以采用另外一种方法
ssh-copy-id -i 公钥文件 user@host
验证密码后,会将公钥自动添加到目标主机user宿主目录下的.ssh/authorized_keys 文件结尾
[zhangsan@localhost ~]$ ssh-copy-id -i ~/.ssh/id_rsa.pub list@172.16.16.22

TCP Wrappers概述

保护原理

在这里插入图片描述

TCP Wrappers概述

保护机制的实现方式

方式1:通过tcpd程序对其他服务程序进行包装
方式2:由其他服务程序调用libwrap.so.*链接库

访问控制策略的配置文件

/etc/hosts.allow
/etc/hosts.deny

TCP Wrappers策略应用

设置访问控制策略

策略格式:服务程序列表:客户端地址列表
服务程序列表
多个服务以逗号分隔,ALL表示所有服务
客户端地址列表
多个地址以逗号分隔,ALL表示所有地址
允许使用通配符?和*
网段地址,如192.168.4.或者192.168.4.0/255.255.225.0
区域地址,如.benet.com

TCP Wrappers策略应用

策略的应用顺序

1.检查hosts.allow,找到匹配则允许访问
2.再检查hosts.deny,找到则拒绝访问
3.若两个文件中均无匹配策略,则默认允许访问

TCP Wrappers策略应用

策略应用示例
仅允许从以下地址访问sshd服务
主机61.63.65.67
网段192.168.2.0/24
禁止其他所有地址访问受保护的服务
在这里插入图片描述

weixin_50344811
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TCP Wrappers配置(下)。
weixin_34126215的博客
03-29 95
    在上图所示内容是/etc/hosts.allow中配置的一个例子,其中。 ①:阻止192.168.0.0/24网段的所有客户端访问本机的telnet服务。 ②:允许192.168.0.0/24网段的所有客户端访问本机的ssh服务。如果在/etc/hosts.deny中没有定义任何与sshd相关规则的情况下此配置没有意义,因为根据TCP Wrappers规则生效的原则,假设有一个IP...
SSH远程访问TCP Wrappers 访问控制(基础概述及配置操作)
TaKe___Easy的博客
03-02 665
SSH远程访问控制OpenSSH服务器基础概述Windows远程桌面连接配置OpenSSH 服务端sshd_config配置文件的常用选项设置使用SSH客户端程序进行黑白名单登录测试sshd服务支持两种验证方式 OpenSSH服务器 基础概述 SSH(Secure Shell)协议 SSH是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能 SSH协议对通信双方的数据传输进行了加密处理,其中就包括了用户登录时输入的用户口令。因此SSH协议具有很好的安全性 SSH客户端有:Putty、X
TCP Wrappers访问控制
qq_38135115的博客
06-28 274
Linux系统中,许多网络服务针对客户机提供了某种访问控制机制,如samba、BIND、Httpd、OpenSSH等,除此之外还有一种防护机制—TCP Wrappers(TCP封套),以作为应用服务与网络之间的一道特殊防线,提供额外的安全保障。 TCP Wrappers概述 TCP Wrappers将其他的TCP服务程序“包裹”起来,增加了一个安全检测过程,外来的连接请求必须先通过这层安全检测,获得许可后才能访问真正的服务程序。 TCP Wrappers还可以记录所有企图访问被保护服务的行为,为管理员提供
tcp_wrappers访问控制,面试问题:拒绝某个用户ssh连接的方法汇总,拒绝某个主机ssh连接的方法汇总
一点一滴铺就人生
04-12 574
一、简介 它的主要功能就是控制谁可以访问,常见的程序有rpcbind、vsftpd、sshd,telnet。 tcp_wrappers的守护进程是tcpd 二、工作原理 以ssh为例,每当有ssh的连接请求时,tcpd即会截获请求,先读取系统管理员所设置的访问控制文件,根据访问控制文件,作出拒绝ssh或者转到ssh服务! 三、TCP_Wrappers的使用 TCP_Wrappers的使...
SSH远程管理及sshd服务支持验证方式
weixin_51725822的博客
02-24 484
SSH远程访问控制前言一、SSH远程管理1、SSH定义2、SSH优点3、SSH配置文件4、SSH客户端与与服务端二、配置OpenSSH服务端1、sshd_config配置文件的常用选项设置2.sshd 服务两种验证方式1、密码验证2、密钥对验证3、配置密钥对验证步骤:1、在客户端创建密钥对2、设置好了以后就可以看到.ssh下面会有一个私钥的文件和一个公钥的文件3、这一步就要将公钥文件传给服务端,用于客户端访问服务端的时候进行验证4、到服务端(虚拟机2)看一下家目录中的.ssh文件5、在客户端使用密钥对验证
Linux 基本设置技巧:如何使用tcpwrappers控制文件
08-15
Linux系统中的tcpwrappers是一种强大的安全工具,它允许管理员通过设置`hosts.allow`和`hosts.deny`两个访问控制文件来控制哪些网络服务可以接受来自特定客户端的连接。这两个文件基于简单的规则集,用于增强系统...
TCP Wrappers加固Linux.pdf
09-07
TCP Wrappers是一个安全工具,它通过控制 `/etc/hosts.allow` 和 `/etc/hosts.deny` 两个配置文件,来决定哪些远程主机和服务可以访问系统上的网络服务。 首先,`hosts.allow` 文件用于指定允许访问的主机和服务,...
常见TCP和UDP端口列表
04-18
* 421 = TCP Wrappers * 443 = 安全 WEB 访问 * 445 = SMB(交换服务器消息块) 这些端口号只是 TCP 和 UDP 中的一部分,大多数端口号都是由 IANA(Internet Assigned Numbers Authority,互联网号码分配局)负责分配...
ssh服务 ssh服务 ssh 服务
03-12
SSH 支持通过 TCP Wrappers 来限制特定 IP 地址或网段的访问。可以在 `/etc/hosts.allow` 文件中添加以下内容来允许特定网段内的主机连接 SSH 服务: ```bash sshd: 192.168.0.0/24 ``` 同时,在 `/etc/hosts.deny` ...
FTP安全配置和SSH安全配置
Singo的博客
03-15 1966
FTP安全配置和SSH安全配置 部分参考文献 https://www.ibadboy.net/archives/1519.html https://blog.csdn.net/weixin_53567573/article/details/114067265 http://blog.chinaunix.net/uid-10697776-id-3341317.html https://www.cnblogs.com/relax1949/p/8971439.html (一)FTP安全配置 1. 修改配置文件
远程访问控制(详解)——SSH远程管理及TCP Wrappers 访问控制
想成功,靠自己
02-25 1836
远程访问控制(详解)——SSH远程管理及TCP Wrappers 访问控制一、SSH远程管理1、定义2、优点3、客户端与服务端4、SSH服务的开启、端口号和配置文件二、配置 OpenSSH 服务端1、配置文件常用设置选项2、AllowUsers和DenyUsers三、使用SSH客户端程序1、SSH远程登录2、SCP远程复制①、下行复制②、上行复制3、sftp 安全 FTP四、sshd服务支持两种验证方式1、密码验证2、秘钥对验证①、在客户机创建秘钥对②、将公钥文件上传至服务器③、在服务器中导入公钥文本④、
SSH远程访问控制(模拟实验详解)
Chenwei的博文
12-09 3912
Linux 远程访问控制(模拟实验详解) 目录一、SSH远程管理(一)、定义(二)、SSH介绍(三)、配置OpenSSH 服务端(四)、sshd 服务两种验证方式1、密码验证2、密钥对验证3、配置密钥对验证(五)、scp 远程复制1、下行复制(客户端向服务端下载数据)2、上行复制(将客户端文件上传到服务端)(六)、sftp 安全 FTP(七)、TCP Wrappers 访问控制 一、SSH远程管理 (一)、定义 SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制
Linux--远程访问控制SSH+TCP Wrappers配置各种机制验证)
weixin_47153988的博客
07-09 581
文章目录前言一、SSH远程管理1.1配置Open SSH服务端1.1OpenSSH服务器1.2SSH各功能验证 前言 在实际生产环境中,不可能一直在服务器本地对服务器进行相应的管理,大多数企业服务器都是通过远程登录的方式进行管理的。当需要从一个工作站管理数以百计的服务器主机时,远程维护的方式将更占优势。 一、SSH远程管理 SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方的数据传输进行加密处理,其中包括用户登录时输入的用户口令。比以往
TCP_Wrappers
weixin_42741132的博客
10-06 1167
TCP_Wrappers介绍 作者: Wieste Venema, IBM, Google 1、工作在第四层(传输层)的TCP协议 2、对有状态连接的特定服务进行安全检测并实现访问控制 3、以库文件形式实现 4、某进程是否接受libwrap的控制取决于发起此进程的程序在编译时是否针对libwrap进行编译的 5、判断服务程序是否能够由tcp_wrapper进行访问控制的方法: l...
linux:有关目录、链接文件的函数 Makefil、gdb的使用
T66656的博客
08-15 1037
功能:根据用户id到/etc/passwd文件下解析获得结构体信息参数:uid:用户id返回值:成功返回id对应用户的信息失败返回NULLpasswd结构体的定义通常如下所示。
Linux~MySQL数据库具体操作
最新发布
javaMov的专栏
08-15 350
第二种:mysql -u root -p -e "CREATE DATABASE my_new_database;performance_schema : #【默认】:系统运行的状态信息,性能信息的存储库;语法:【mysqldump -uroot -p1 [备份参数] > /路径/文件名.sql】information_schema :【默认】:系统运行的状态信息,性能信息的存储库;2.-B 数据库名 #备份指定数据库的数据信息。-B 数据库名 #备份指定数据库的数据信息。注意:需要先关闭数据库进行操作。
Linux Bridge VLAN
qq_42477169的博客
08-15 1033
H3CH3C的S5120系列交换机锐捷:CISCO:Arista:中兴:web配置改为桥接后会激活 CPU 的临时软桥接,是传统的 linux bridge ,此时 hardware offload 不会介入,所有的数据包处理通过 CPU 转发华硕ASUS:RT-AX53U。
Linux 内核中的并发与竞争
小灰灰的博客
08-15 144
并发是指多个任务在同一时间段内进行的能力,允许它们在逻辑上同时执行,而不一定是在物理上并行处理。并发的关键在于任务的调度与管理,使得系统能够高效利用资源。竞争是指多个任务在访问共享资源时的争夺状态,当它们试图同时读取或修改同一资源时,会导致错误或不一致的结果。
Linux漏洞检测与远程访问控制详解:SSHTCP Wrappers实践
9. **TCP Wrappers配置文件**:在增强应用服务访问控制时,主要配置文件包括`/etc/hosts.allow`(允许访问)和`/etc/hosts.deny`(拒绝访问),以及`/etc/tcpd.conf`。 10. **SSH密钥文件创建**:使用ssh-keygen...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值