远程访问及控制

最新推荐文章于 2023-07-25 15:53:14 发布
最新推荐文章于 2023-07-25 15:53:14 发布
阅读量2.9k 收藏 3
点赞数 3
分类专栏: 远程访问 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51211319/article/details/111773876
版权

标题 远程访问及控制

*学会构建SSH远程登录服务
*学会使用SSH客户端工具
*学会编写TCP Wrappers访问策略

实验环境:
开启2台linux虚拟机

  1. linux-1 openssh服务器
    仅主机 192.168.10.1
    nat 200.1.1.1

2.linux-2 外网客户端
nat 200.1.1.10

3.windows 主机 内网客户机
仅主机 192.168.10.10

	OpenSSH服务器

1.SSH协议(安全通道协议)
*为客户机提供安全的Shell环境,用于远程管理(生产环境多用),远程登录、远程双向复制scp,远程文件传输sftp;安全性高。
*默认端口:TCP 22

2.OpenSSH
*服务名称:sshd
*服务端主程序:/usr/sbin/sshd
*服务端配置文件:/etc/ssh/sshd_config

为了提高安全性,可做下列配置

3。服务监听选项
*端口号、协议版本、监听IP地址
*禁用反向解析

[root@localhost ~]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

[root@localhost ~]# vi /etc/ssh/sshd_config

……
17 Port 22 ***可更改端口
18 Protocol 2 ***版本2比版本1安全性高
20 ListenAddress 192.168.10.1 ***侦听地址
116 UseDNS no ***禁用反向解析,提高服务器响应速度(添加)

[root@localhost ~]# systemctl restart sshd

验证:外网客户机 200.1.1.2
[root@localhost ~]# ssh root@192.168.10.1

[root@localhost ~]# ssh root@200.1.1.1

ssh: connect to host 200.1.1.1 port 22: Connection refused

如果要实现可访问,openssh服务器添加侦听地址
ListenAddress 200.1.1.1

4.用户登录控制
*禁止root用户、空密码用户—(普通用户登录–>切换到root)
*登录时间、重试次数
*AllowUsers、DenyUsers

[root@localhost ~]# useradd tom
[root@localhost ~]# useradd jack
[root@localhost ~]# echo “123” |passwd --stdin tom
更改用户 tom 的密码 。
passwd:所有的身份验证令牌已经成功更新。
[root@localhost ~]# echo “123” |passwd --stdin jack
更改用户 jack 的密码 。
passwd:所有的身份验证令牌已经成功更新。

[root@localhost ~]# vi /etc/ssh/sshd_config

……
40 PermitRootLogin no *** 禁止root用户
66 PermitEmptyPasswords no ***禁止空密码用户
39 LoginGraceTime 2m ***登录验证时间2分钟
42 MaxAuthTries 6 ***最大重试次数
……

末尾添加:

AllowUsers tom jack@200.1.1.10 ***允许tom登录;允许jack只能在此地址登录

*可设置AllowUsers和DenyUsers,【不要与DenyUsers同时用】

[root@localhost ~]# systemctl restart sshd

验证:允许tom登录;允许jack只能在此地址登录

5.登录验证对象
*服务器中的本地用户账号—例:tom

6.登录验证方式
*密码验证:核对用户名、密码是否匹配—安全性弱,易被攻击

*密钥对验证:核对客户的私钥、服务端公钥是否匹配
— 客户机创建秘钥对(公钥、私钥)–>公钥存放到服务器
— 密码、秘钥同时启用,优先使用密钥

—公钥库文件可保存多个公钥

[root@localhost ~]# vi /etc/ssh/sshd_config

……
【启用密码验证、密钥对验证、指定公钥库位置】

PasswordAuthentication yes ***密码验证
PubkeyAuthentication yes ** 秘钥对验证
AuthorizedKeysFile .ssh/authorized_keys 指定公钥库数据文件位置

	使用SSH客户端程序

1.ssh命令 —— 远程安全登录 【端口选项:-p 22】
*格式:ssh user@host

2.scp命令 —— 远程安全复制
*格式1:scp user@host:file1 file2
*格式2:scp file1 user@host:file2

3.sftp命令 —— 安全FTP上下载
格式:sftp user@host

4.Xshell
*Windows下一款功能非常强大的安全终端模拟软件

linux-1:

[root@localhost ~]# cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config
cp:是否覆盖"/etc/ssh/sshd_config"? y
[root@localhost ~]# systemctl restart sshd

su - tom

$ touch tom.txt

linux-2:

[root@localhost ~]# useradd zhangsan

[root@localhost ~]# useradd lisi

[root@localhost ~]# echo “123” |passwd --stdin zhangsan

[root@localhost ~]# echo “123” |passwd --stdin lisi

[root@localhost ~]# su - lisi

[lisi@localhost ~]$ touch lisi.txt

[lisi@localhost ~]$ ssh tom@192.168.10.1

The authenticity of host ‘192.168.10.1 (192.168.10.1)’ can’t be established.
ECDSA key fingerprint is SHA256:T+Kaqay4bTpIR3BBJ1x8EXaE3ukPjDMGEqMLPAaqaQg.
ECDSA key fingerprint is MD5:3e:1d:ef:74:ae:15:bb:3f:f1:cc:53:07:64:e2:ef:f9.
—根据服务端发送过来的RSA密钥输入‘yes’验证
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added ‘192.168.10.1’ (ECDSA) to the list of known hosts.
—输入tom密码
tom@192.168.10.1’s password:
Last login: Thu Oct 25 14:34:00 2018

[tom@localhost ~]$ pwd
/home/tom

[tom@localhost ~]$ ls
tom.txt

[tom@localhost ~]$ exit
登出

Connection to 192.168.10.1 closed.

[lisi@localhost ~]$ scp tom@192.168.10.1:tom.txt tom.txt

tom@192.168.10.1’s password:
tom.txt 100% 0 0.0KB/s 00:00

[lisi@localhost ~]$ scp lisi.txt tom@192.168.10.1:lisi.txt

tom@192.168.10.1’s password:
lisi.txt 100% 0 0.0KB/s 00:00

[lisi@localhost ~]$ ssh tom@192.168.10.1 ls

tom@192.168.10.1’s password:
lisi.txt
tom.txt

[lisi@localhost ~]$ touch test1.txt

[lisi@localhost ~]$ sftp tom@192.168.10.1

tom@192.168.10.1’s password:
Connected to 192.168.10.1.

sftp> lls

lisi.txt test1.txt tom.txt

sftp> ls

lisi.txt tom.txt

sftp> put test1.txt

Uploading test1.txt to /home/tom/test1.txt
test1.txt 100% 0 0.0KB/s 00:00

sftp> ls
lisi.txt test1.txt tom.txt

sftp> bye

构建密钥对验证的SSH体系(ssh信任)

1.整体实现过程

原理;由客户端的用户zhangsan、lisi在本地创建密钥对
导入到服务端用户tom的公钥数据库(然后就可以在客户端zhangsan、lisi登录的情况下ssh到服务器tom用户了)

第一步:创建密钥对(zhangsan的密钥对,在Linux客户机的…/.ssh里面)
私钥文件:id_rsa
公钥文件:id_rsa.pub

第二步:上传公钥文件 id_rsa.pub

第三步:导入公钥信息()
公钥库文件:~/.ssh/authorized_keys

第四步:使用密钥对验证方式【以服务端的用户tom的身份进行登录】

linux-1

[tom@localhost ~]$ su -

[root@localhost ~]# vim /etc/ssh/sshd_config

43 PubkeyAuthentication yes

47 AuthorizedKeysFile .ssh/authorized_keys

[root@localhost ~]# systemctl restart sshd

linux-2 客户机

  1. 在客户机中创建密钥对
    *ssh-keygen命令
    *可用的加密算法:escda或DSA

[lisi@localhost ~]$ su -

[root@localhost ~]# su - zhangsan

[zhangsan@localhost ~]$ ll .ssh
ls: 无法访问.ssh: 没有那个文件或目录

[zhangsan@localhost ~]$ ssh-keygen -t ecdsa

Generating public/private ecdsa key pair.
Enter file in which to save the key (/home/zhangsan/.ssh/id_ecdsa): 默认位置
Created directory ‘/home/zhangsan/.ssh’.
Enter passphrase (empty for no passphrase): 默认回车
Enter same passphrase again: 默认回车
Your identification has been saved in /home/zhangsan/.ssh/id_ecdsa.
Your public key has been saved in /home/zhangsan/.ssh/id_ecdsa.pub.
The key fingerprint is:
SHA256:byF6T/5YXG/9D9I5xqcfiI8isugc6z5BNyHQkTohaoI zhangsan@localhost.localdomain
The key’s randomart image is:
±–[ECDSA 256]—+
| .o.o |
|… + . |
|+ o . . |
|E+ . o |
|o o . . S . . |
| . . o o.+.o.|
| … . . +.+.B.=|
| …+. o * ooo *o|
| +B…o . =o…=|
±—[SHA256]-----+

[zhangsan@localhost ~]$ ls -lh .ssh/id_ecdsa*

-rw------- 1 zhangsan zhangsan 227 10月 25 14:45 .ssh/id_ecdsa
-rw-r–r-- 1 zhangsan zhangsan 192 10月 25 14:45 .ssh/id_ecdsa.pub

方法1:
?2. 将公钥文件上传至服务器
*任何方式均可(共享、FTP、Email、SCP、……)

[zhangsan@localhost ~]$ scp .ssh/id_ecdsa.pub tom@192.168.10.1:zhangsan.key

  1. 在服务器中导入公钥文本
    *将公钥文本添加至目标用户的公钥库
    *默认公钥库位置:~/.ssh/authorized_keys
    SSH对公钥、私钥的权限和所有权的要求是非常严格的

— .ssh 目录权限 700
— .ssh/authorized_keys 权限644

— .ssh/id_rsa 私钥文件权限必须是600

[zhangsan@localhost ~]$ ssh tom@192.168.10.1

[tom@localhost ~]$ ll .ssh

【tom的家目录本来没有authorized_keys】

[tom@localhost ~]$ mkdir .ssh

[tom@localhost ~]$ touch .ssh/authorized_keys

[tom@localhost ~]$ chmod 700 .ssh

[tom@localhost ~]$ chmod 644 .ssh/authorized_keys

[tom@localhost ~]$ cat zhangsan.key >> .ssh/authorized_keys

---选择‘>>’,公钥库可存放多个用户的公钥

[tom@localhost ~]$ cat .ssh/authorized_keys
—库中==后为声明

[zhangsan@localhost ~]$ ls -lh .ssh/
总用量 12K
-rw------- 1 zhangsan zhangsan 227 10月 25 14:45 id_ecdsa
-rw-r–r-- 1 zhangsan zhangsan 192 10月 25 14:45 id_ecdsa.pub
-rw-r–r-- 1 zhangsan zhangsan 174 10月 25 14:49 known_hosts

[zhangsan@localhost ~]$ ls -ldh .ssh/
drwx------ 2 zhangsan zhangsan 61 10月 25 14:49 .ssh/

[zhangsan@localhost ~]$ ssh tom@192.168.10.1

方法2:*验证密码后,会将公钥自动添加到目标主机user宿主目录下的.ssh/authorized_keys文件结尾

*ssh-copy-id -i 公钥文件 user@host

[zhangsan@localhost ~]$ exit
登出

[root@localhost ~]# su - lisi

[lisi@localhost ~]$ ssh-keygen -t ecdsa

[lisi@localhost ~]$ ssh-copy-id -i .ssh/id_ecdsa.pub tom@192.168.10.1

— -i 指定公钥文件

[lisi@localhost ~]$ ssh tom@192.168.10.1

[tom@localhost ~]$ cat .ssh/authorized_keys

ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBAZydP4XKVX6GGR9DLcKIW/nYZY+sLenMYnIaOrPrRhZ14tfGg1c+7JOWkd2yEL+VaXrhkRpjPCdOJfXoHT4vuU= zhangsan@localhost.localdomain
ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBE/gMz/L6FSUJC7fSy/0/cW/8+DB4QSSvxLHhmdpIspy4EvQ5hzvCI1Q4N0He6kIf82U0rv3SJEofdsRcD7/8Yg= lisi@localhost.localdomain

	TCP Wrappers概述

1.TCP Wrappers机制

【客户机的网络访问请求】

1)对访问请求进行过滤控制

代为监听端口21
代为监听端口23
代为监听端口110
代为监听端口143

2)调用相应的网络程序
vsftpd
telnet
ipop3
imap

2.保护机制的实现方式
方式1:通过tcpd主程序对其他服务程序进行包装
方式2:由其他服务程序调用libwrap.so.*链接库

3.访问控制策略的配置文件

/etc/hosts.allow
/etc/hosts.deny

TCP Wrappers(tcp封套)策略应用

在 wrappers 下进行访问控制的通常有 telnet、ssh、sendmail、ftp 包、pop3 和 stunnel。
主配置文件:
/etc/hosts.allow
/etc/hosts.deny

*执行程序: tcpd

共享链接库文件: libwrap.so.
–这种方式更广泛

查看程序的共享库 ldd

ldd /usr/sbin/sshd |grep “libwrap”

1.设置访问控制策略
*策略格式:服务列表:客户机地址列表

2.服务列表 ——
*多个服务以逗号分隔,ALL 表示所有服务

3.客户机地址列表
*多个地址以逗号分隔,ALL表示所有地址
*允许使用通配符 ? 和 *
*网段地址,如 192.168.4. 或者 192.168.4.0/255.255.255.0
*区域地址,如 .benet.com
—匹配域中所有主机

4.策略的应用顺序
*先检查hosts.allow,找到匹配则允许访问
*否则再检查hosts.deny,找到则拒绝访问
*若两个文件中均无匹配策略,则默认允许访问

5.策略应用示例
*仅允许从以下地址访问sshd服务
&主机192.168.10.3
&网段192.168.2.0/24
*禁止其他所有地址访问受保护的服务

[root@localhost ~]# ll /etc/hosts.*
-rw-r–r--. 1 root root 370 6月 7 2013 /etc/hosts.allow
-rw-r–r--. 1 root root 460 6月 7 2013 /etc/hosts.deny
[root@localhost ~]# vim /etc/hosts.allow

sshd:192.168.10.*,200.1.1.3

[root@localhost ~]# vi /etc/hosts.deny

sshd:ALL

验证:在客户机ssh登录验证
[root@localhost ~]# ssh root@200.1.1.1

更改hosts.allow为sshd:192.168.10.*,200.1.1.2继续验证

总结:配置策略要2个文件都做配置

a李明烨
关注
专栏目录
远程访问控制 用户登录控制 拒绝特定的服务器来源登录 配置密钥对身份验证和访问控制 远程数据复制 使用SFTP传输数据 TCP wrappers
月亮不营业Mk的博客
11-07 317
远程访问控制 1.挂载 [root@centos01 ~]# mount /dev/cdrom /mnt/ 2.安装服务器端 [root@centos01 ~]# rpm -ivh /mnt/Packages/openssh-server-7.4p1-11.el7.x86_64.rpm 3.安装客户端 [root@centos01 ~]# rpm -ivh /mnt/Packages/openssh-clients-7.4p1-11.el7.x86_64.rpm 4.配置文件位置 [root@c
Linux网络 远程访问控制
稻香的博客
05-02 2272
一. SSH 1.什么是SSH SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能;SSH 协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令;SSH 为建立在应用层和传输层基础上的安全协议。对数据进行压缩,加快传输速度。 ...
shell脚本
我不是程序猿的博客
02-10 1082
一、shell基本介绍 什么是shell? 在Linux内核与用户之间的解释器程序 通常指 /bin/bash 负责向内核翻译及传达用户/程序指令 相当于操作系统的“外壳” shell使用方式: 交互式 —— 命令行 人工干预、智能化程度高 逐条解释执行、效率低 非交互式 —— 脚本 需要提前设计、智能化难度大 批量执行、效率高 方便在后台静悄悄地运行 [root@svr7 ~]# cat /etc/shells //查看所有解释器 [...
ftp三种用户权限设置
热门推荐
zhangbaoan_abc的博客
09-09 2万+
修改配置文件vsftpd.conf Vi /etc/vsftpd/vsftpd.conf 修改匿名用户为禁止 2在禁止登录名单里删除root vi /etc/vsftpd/user_list vi /etc/vsftpd/ftpuser 然后按dd删除root 在/etc/vsftpd目录下创建一个文件,vuser.List 然后编辑文件 奇数行为用户,偶数行为密...
远程访问控制SSH 服务
weixin_67582338的博客
04-18 2021
前言 传统的网络服务程序如 FTP、POP 和 TELNET 在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有弱点的, 很容易受到 “中间人”(man-in-the-middle)这种方式的攻击。所谓 “中间人” 的攻击方式, 就是 “中间人” 冒充真正的服务器接收你传给服务器的数据,然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被 “中间人” 一转手做了手脚之后,就会出现很严重的问题。通过使用
linux ssh远程访问控制
weixin_56667320的博客
05-25 2206
文章目录一、SSH远程访问1、概念2、系统服务-openssh2.1、系统软件包2.2、服务名称:sshd2.3、服务端配置文件参数详解3、实操3.1、实验环境准备3.2、ssh远程登录3.2.1、未更改端口号3.2.2、更改端口号3.3、PermitRootLogin no #禁止root用户登录3.4、MaxAuthTries 6 #重试次数3.5、黑白名单二、SSH秘钥对验证1、概述2、加密算法2.1、对称加密2.2、非对称加密3、实例了解签名、公钥、私钥4、实操4.1、免密交互4.3、加密交互
Linux网络-远程访问控制
jiaoshu__的博客
05-26 2948
文章目录一、SSH远程管理1.1OpenSSH服务器概述1.1.1SSH协议1.1.2OpenSSH查看远程管理服务的openssh软件是否安装1.1.3服务监听选项1.1.4 实验:两台装有linux系统的虚拟机,一台作为服务机,一台作为客户机,均处于VMnet8模式。1.将一台的主机名更改为server2.更改任何配置文件时,提前备份文件3.查询自己备份的文件4.配置服务端 一、SSH远程管理 1.1OpenSSH服务器概述 1.1.1SSH协议 ① SSH(secure shell)是一种安全性协
Centos 7.4中的远程访问控制的实现方法
09-14
主要介绍了Centos 7.4中的远程访问控制的实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
远程访问控制——SSH服务
weixin_64015933的博客
04-19 3374
一、SSH的概述 1.1.ssh的含义 SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方的数据传输进行了加密处理,其中包括用户的登录时输入的用户口令,SSH为建立在应用层和传输层基础上的安全协议。 1.2.SSH服务的特点 网络 SSH客户端<------------------------------------------------------>SSH服务端 数据传输是加密的,可以防止信息泄露。 数据创
SSH原理与运用(一):远程登录
Derry的专栏
12-26 1570
SSH是每一台Linux电脑的标准配置。 随着Linux设备从电脑逐渐扩展到手机、外设和家用电器,SSH的使用范围也越来越广。不仅程序员离不开它,很多普通用户也每天使用。 SSH具备多种功能,可以用于很多场合。有些事情,没有它就是办不成。本文是我的学习笔记,总结和解释了SSH的常见用法,希望对大家有用。 虽然本文内容只涉及初级应用,较为简单,但是需要读者具备最基本的"Shell知识"和了解"
Linux学习笔记RHEL 7(四)--Iptables、Firewalld防火墙设置与Xshell远程连接
笑桐笔记的博客
03-28 4400
本章节所讲都是在网卡配置成功的基础上,其中网卡配置及测试请移步我的上一篇博客: Linux学习笔记(七)--RedHatEnterpriseLinux 7.0之管道符、重定向、环境变量、Vim编辑器与Shell命令脚本一、iptables基本的命令参数        iptables中常用的参数以及作用参数作用-P设置默认策略-F清空规则链-L查看规则链-A在规则链的末尾加入新规则-I num在规...
解决SSH连接到主机端口22时出现“No route to host“错误的有效方法
最新发布
nb1253587023的博客
07-25 1万+
当SSH连接到主机端口22出现"No route to host"错误时,可能是由于多种原因引起的。我们可以通过检查网络连接、主机防火墙设置、路由表、SSH服务状态以及SSH配置文件,逐步解决问题并找到正确的解决方案。无论你是初学者还是有经验的Linux用户,掌握这些解决问题的方法将有助于提高你的故障排除能力和解决问题的效率。
怎样做远程计算机控制系统,qq远程控制,怎样进行远程控制制作步骤
weixin_29465407的博客
07-24 260
怎样设置qq远程控制?qq上有一个远程协助不少人都用过,但是这个远程小编建议不是认识的朋友,不要随便开放,很容易被窃取电脑资料,如果是不是很信得过有人,在申请协助时一定要自己盯着电脑,以防别人传递病毒。下面小编来教您如何设置远程协助。qq是一款功性能很强大的交流工具,在这里qq里面,你不仅可以认识很多志同道合的朋友,还可以通过远程的方式,解决一些关于电脑上面的电脑问题,免去长途奔跑的麻烦!那么今天...
聚生网管
weixin_34096182的博客
10-26 2640
  编辑 聚生网管局域网监控系统是国内最早的专业网管软件之一。2004年底推出了聚生网管软件的第一个商用版本,经过长达七年的不断研发和实践积累,使得聚生网管网速控制软件已经成为国内最成熟、最受欢迎的的网管软件! 中文名聚生网管局域网流量监控软件软件大小8.9M软件类别网络相关软件厂商大势至(北京)软件工程有限公司软件授权共享软件软件产地国产软件软件语言中文应用平台WinXP, win7, W...
ACL(对访问FTP 等进行限制)
weixin_45671493的博客
12-12 7797
实验拓扑: 首先,完成全网互通配置,全网互通的前提下进行ACL实验。 全网互通这里不在进行讲解。 首先我们完成第一步配置, 问:PC-1可以ping通AR-2设备,对ar-2的Telnet和FTP 访问受限,访问AR-1不受限制 答:通过观看题目,我们要针对PC2去往AR-2上的数据做一个拒绝,题目为对AR-2的Telnet和FTP 访问受限,所以我们要针对源地址(PC)去往AR的接口做限制。 首...
ubuntu首次SSH使用root账户远程登录
weixin_42072280的博客
02-16 2245
文章目录步骤1. 安装ssh2. 检查ssh是否成功启动3. 远程连接问题:可以远程连接普通用户(ningan),但是却不可以远程连接root用户参考 步骤 1. 安装ssh ubuntu 都原生有了ssh客户端,可以通过ssh 命令检验. 远程连接的服务器端没有自带,需要自行安装,命令为: sudo apt install openssh-server 2. 检查ssh是否成功启动 /etc/init.d/ssh status systemctl status ssh ps -e | grep s
ssh远程登录命令
孤竹的博客
05-06 8246
linux下使用ssh登陆其他linux服务器   #ssh -l root -p 23100 192.168.101.211 其中-l指用什么账号来登陆,-p是对方服务器的ssh端口,后面是对方服务器的ip地址
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值