Linux远程访问控制--- openssh

最新推荐文章于 2024-07-02 11:12:00 发布
最新推荐文章于 2024-07-02 11:12:00 发布
阅读量454 收藏 2
点赞数 1
分类专栏: Linux网络服务 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51431591/article/details/110919488
版权

Linux远程访问控制--- openssh

一、SSH远程管理

1.1、定义

SSH(SecureShell)是一-种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。
SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。因此SsH协议具有很好的安全性。

1.2、网络

SSH客户端----------------------------------->SSH服务端
数据传输是加密的,可以防止信息泄漏
数据传输是压缩的,可以提高传输速度

1.3、客户端

SSH客户端: Putty、 Xshell、 CRT
SSH服务端: OpenSSH
OpenSSH是实现SSH协议的开源软件项目,适用于各种UNIX、 Linux 操作系统。
Centos 7系统默认已安装openssh相关软件包,并已将sshd 服务添加为开机自启动。
执行“systemctl start sshd" 命令即可启动sshd 服务

1.4、使用端口及配置文件

sshd服务默认使用的是TCP的22端口
sshd 服务的默认配置文件是/etc/ssh/sshd_ config
ssh_ config和sshd_ config 都是ssh服务器的配置文件,二者区别在于前者是针对客户端的配置文件,后者则是针对服务端的配置文件。

二、配置OpenSSH服务端

2.1、sshd_ config配置文件的常用选项设置

vim /etc/ ssh/ sshd_ config

Port 22 #监听端口为22
ListenAddress 0.0.0.0 #监听地址为任意网段,也可以指定OpenSSH服务器的具体IP
LoginGraceTime 2m #登录验证时间为2分钟
Pe rmi tRootLogin no #禁止root用户登录.
MaxAuthTries 6 #最大重试次数为6
Pe rmi t EmptyPasswords no . #禁止空密码用户登录
UseDNS no #禁用DNS反向解析,以提高服务器的响应速度
#只允许zhangsan、lisi、 wangwu用户登录,且其中wangwu用 户仅能够从IP地址为61.23.24.25的主机远程登录
AllowUsers zhangsan lisi wangwu@61 .23.24.25 #多个用户以空格分隔
#禁止某些用户登录,用法于AllowUsers 类似(注意不要同时使用)
DenyUsers zhangsan
在这里插入图片描述
在这里插入图片描述

2.2、sshd服务支持两种验证方式:

(1)、密码验证

对服务器中本地系统用户的登录名称、密码进行验证。简便,但可能会被暴力破解

(2)、密钥对验证

要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件(公钥、私钥),然后将公钥文件放到服务器中的指定位置。远程登录时,系统将使用公钥、私钥进行加密/解密关联验证。能增强安全性,且可以免交互登录。

(3)、公钥和私钥的关系

 ●公钥和私钥是成对生成的,这两个密钥互不相同,可以互相加密和解密。
 ●不能根据一个密钥来推算出另-一个密钥。
 ●公钥对外公开,私钥只有私钥的持有人才知道。

当密码验证、密钥对验证都启用时,服务器将优先使用密钥对验证。可根据实际情况设置验证方式。

vim /etc/ ssh/ sshd_ config
PasswordAuthentication yes    #,启用密码验证
PubkeyAuthentication yes     #启用密钥对验证
AuthorizedKeysFile . ssh/ authorized_ keys     #指定公钥库文件

三、使用SSH客户端程序

1、ssh远程登录

ssh [选项] zhangsan@192.168.80.10

当用户第一-次登录SSH服务器时,必须接受服务器发来的ECDSA密钥(根据提示输入"yes")后才能继续验证。接收的密钥信息将保
存到~/ .ssh/known_ hosts 文件中。密码验证成功以后,即可登录目标服务器的命令行环境中了。

-p: 指定非默认的端口号,缺省时默认使用22端口
ssh -p 2345 zhangsan@192.168.80.10

2、scp 远程复制

#~下行复制

scp root@192.168.80.11: /etc/passwd / root/ passwd10. txt   
 #将远程主机中的/etc/passwd文件复制到本机

#~上行复制

scp -r /etc/ssh/ root@192.168.80.10:/opt            
 #将本机的/etc/ssh目录复制到远程主机

3、sftp 安全FTP

由于使用了加密/解密技术,所以传输效率比普通的FTP要低,但安全性更高。操作语法sftp与ftp几乎–样。

sftp zhangsan@192.168.80.10
Connecting to 192.168.80.10. ..
tsengyia@172.16.16.22's password: #输入密码
sftp> ls
sftp> get 文件名           #下载文件到ftp目录
sftp> put 文件名          #_上传文件到ftp目录
sftp> quit                    #退出

4、配置密钥对验证

(1)、在客户端创建密钥对

通过ssh-keygen:工具为当前用户创建密钥对文件。可用的加密算法为RSA、ECDSA或DSA等 (ssh-keygen命令的“-t”选项用于指定算
法类型)。

useradd admin
echo "123123" | passwd --stdin admin
su - admin

ssh- keygen- -t ecdsa
Generating publ ic/private ecdsa key pair.
Enter file in which to save the key (/home/admin/ .ssh/id_ ecdsa) :   #指定私钥位置,直接回车使用默认位置
Created directory ' /home/admin/ . ssh'.  #生成的私钥、公钥文件默认存放在宿主目录中的隐藏目录.ssh/下
Enter passphrase (empty for no passphrase) :           #设置私钥的密码
Enter same passphrase again:                            #确认输入
ls -l ~/ .ssh/id_ ecdsa*
#id_ ecdsa是私钥文件, 权限默认为600; id_ ecdsa.pub是公钥文件,用来提供给SSH服务器

(2)、 将公钥文件上传至服务器

scp ~/ .ssh/id_ ecdsa. pub root0192.168.80.10:/opt
或
#此方法可直接在服务器的/home/zhangsan/ .ssh/目录中导入公钥文本
:d ~/ .ssh/
ssh-copy-id -i id_ ecdsa. pub zhangsan@192.168.80.10

(3)、在服务器中导入公钥文本

mkdir /home/ zhangsan/ . ssh/
cat /opt/id ecdsa.pub >> /home/ zhangsan/ . ssh/ authorized_ keys
cat /home/ zhangsan/ . ssh/ authorized_ keys

(4)、.在客户端使用密钥对验证

ssh zhangsan@192.168.80.10
Enter passphrase for key ' /home/ admin/ .ssh/id_ ecdsa' :   #输入私钥的密码

(5)、在客户机设置ssh代理功能,实现免交互登录

ssh-agent bash
ssh-add
Enter passphrase for /home/ admin/ .ssh/id_ ecdsa:  #输入私钥的密码
ssh zhangsan@192.168.80.10

四、TCP Wrappers 概述

4.1、TCP Wrappers ( TCP封套)

将TCP服务程序“包裹”起来,代为监听TCP服务程序的端口,增加了一个安全检测过程,外来的连接请求必须先通过这层安全检测,获得许可后才能访问真正的服务程序。
大多数Linux 发行版,TCP Wrappers 是默认提供的功能。rpm -q tcp_ wrappers

4.2、TCP Wrappers 保护机制的两种实现方式

1.直接使用tcpd程序对其他服务程序进行保护,需要运行tcpd程序。
2.由其他网络服务程序调用libwrap.so. *链接库,不需要运行tcpd程序。此方式的应用更加广泛,也更有效率。
使用ldd命令可以查看程序的libwrap.so. *链接库

ldd $ (which ssh)

4.3、TCP Wrappers 的访问策略

TCPWrappers机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制。
对应的两个策略文件为/etc/hosts.allow和/etc/hosts.deny, 分别用来设置允许和拒绝的策略。

4.4、格式

<服务程序列表>:<客户端地址列表>

(1)、服务程序列表

ALL:代表所有的服务。
单个服务程序:如“vsftpd"。
多个服务程序组成的列表:如“vsftpd, sshd”。

(2)、客户端地址列表

ALL:代表任何客户端地址。
LOCAL:代表本机地址。
多个地址以逗号分隔
允许使用通配符“*" 和“?”,前者代表任意长度字符,后者仅代表一个字符
网段地址,如“192.168.80.” 或者192. 168.80.0/255.255.255.0
区域地址,如". benet. com"匹配benet.com 域中的所有主机。

这小子贼帅
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSH客户端操作Linux
01-30
1、查看SSH客户端版本 有的时候需要确认一下SSH客户端及其相应的版本号。使用ssh -V命令可以得到版本号。需要注意的是,Linux一般自带的是OpenSSH: 下面的例子即表明该系统正在使用OpenSSH: $ ssh -V OpenSSH_3.9p1, OpenSSL 0.9.7a Feb 19 2003 下面的例子表明该系统正在使用SSH2: $ ssh -V ssh: SSH Secure Shell 3.2.9.1 (non-commercial version) on i686-pc-linux-gnu 2、用SSH登录到远程主机 当你第一次使用ssh登录远程主机时,会出现没有找到主机密钥的提示信息。输入"yes"后,系统会将远程主机的密钥加入到你的主目录下的 .ssh/hostkeys下,这样你就可以继续操作了。示例如下: 1 2 3 4 5 6 7 8 localhost$ ssh -l jsmith remotehost.example.com Host key not found from database. Key fingerprint: xabie-dezbc-manud-bartd-satsy-limit-nexiu-jambl-title-jarde-tuxum You can get a public key‘s fingerprint by running % ssh-keygen -F publickey.pub on the keyfile. Are you sure you want to continue connecting (yes/no)? Yes Host key saved to /home/jsmith/.ssh2/hostkeys/key_22_remotehost.example.com.pub host key for remotehost.example.com, accepted by jsmith Mon May 26 2008 16:06:50 -0700 jsmith@remotehost.example.com password: remotehost.example.com$ 因为远程主机的密钥已经加入到ssh客户端的已知主机列表中,当你第二次登陆远程主机时,只需要你输入远程主机的登录密码即可。 1 2 3 localhost$ ssh -l jsmith remotehost.example.com jsmith@remotehost.example.com password: remotehost.example.com$ 由于各种原因,可能在你第一次登陆远程主机后,该主机的密钥发生改变,你将会看到一些警告信息。出现这种情况,可能有两个原因: o 系统管理员在远程主机上升级或者重新安装了SSH服务器 o 有人在进行一些恶意行为,等等。 在你输入“yes”之前呢,最佳的选择或许是联系你的系统管理员来分析为什么会出现主机验证码改变的信息,核对主机验证码是否正确。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 localhost$ ssh -l jsmith remotehost.example.com @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the- middle attack)! It is also possible that the host key has just been changed. Please contact your system administrator. Add correct host key to ―/home/jsmith/.ssh2/hostkeys/key_22_remotehost.example.com.pub‖ to get rid of this message. Received server key's fingerprint: xabie-dezbc-manud-bartd-satsy-limit-nexiu-jambl-title-arde-tuxum You can get a publ
openssh-server-9.4
10-08
其服务器端组件,即openssh-server,是Linux系统中提供安全远程访问的核心组件。本文将深入探讨openssh-server-9.4版本,解析其功能特性、安装过程以及安全配置要点。 一、OpenSSH服务器基础 OpenSSH服务器...
Linux SSH远程管理和客户端的使用(内置实验解析图)
Iands。的博客
12-09 1707
一、SSH远程管理 SSH(Secure Shell)协议 是一种安全通道协议,对通信数据进行了加密处理,用于实现远程管理、远程登录、远程复制等功能。 (1)SSH工作原理 SSH客户端例如:Putty、Xshell、CRT SSH服务端例如:OpenSSH 客户端到服务端是通过网络传输 数据传输是加密的 数据传输是压缩的 二、openSSH OpenSSH 是实现 SSH 协议的开源软件项目,适用于各种 UNIX、Linux 操作系统。 sshd 服务默认使用的是TCP的 22
OpenSSH远程代码执行漏洞 (CVE-2024-6387)
最新发布
qq_33163046的博客
07-02 5140
OpenSSH是一套基于安全外壳(SSH)协议的安全网络实用程序,它提供强大的加密功能以确保隐私和安全的文件传输,使其成为远程服务器管理和安全数据通信的必备工具。OpenSSH 自 1995 年问世近 20 年来,首次出现了未经验证的远程执行(RCE)漏洞,攻击者可以提权至 root 最高权限,在不需要用户交互的情况下执行任意代码。该漏洞是由于OpenSSH服务器 (sshd) 中的信号处理程序竞争问题,未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码。
SSH远程访问
秦庚辰的博客
05-04 798
1.使用ssh客户端 问题 1)准备两台虚拟机A、B 2)主机A的IP地址为 192.168.8.128/24 3)主机B的IP地址为 192.168.8.15/24,与A可互通 4)完成以下远程访问操作 5)从主机A上以root身份登入主机B 6)在主机B上创建用户student,设置密码redhat 7)从主机A上以用户student登入主机B 方案 SSH的服务名为sshd,它是一个独立服务...
Linux的ssh客户端
qq_47529104的博客
02-04 877
下面是一个例子:在etc/ssh/ssh_config文件中进行修改即可 Host 192.168.1.11 //这个只是一个标识,给人们提醒用的 Port 30000 //这个代表我们使用ssh ipaddress 的时候默认在后面加上的选项,也就是当我们输入ssh ipaddress,我们的客户机会向目的机的30000端口发送ssh的相关命令 User root // 我们登录的时候使用的用户 HostName 193.1...
Linux命令-ssh客户端
silly8543
04-24 689
基本语法 ssh -p22 root@192.168.47.41 详解:  -p接端口,如果默认端口为22,-p22可以省略  @前面为登录用户名,如果用当前用户连接,可以不指定用户名  @后面为要连接的服务器IP地址 ...
openssh-9.4p1
10-08
在 RPM 包中,"openssh-9.4p1-1.el7.x86_64.rpm" 是为 Red Hat Enterprise Linux 7 (RHEL 7) 或与其兼容的系统(如 CentOS 7)设计的软件包。这个文件扩展名 ".rpm" 指示这是 RPM 软件包管理格式,是Linux发行版中...
openssh-server离线安装包
11-04
OpenSSH Server允许管理员和用户通过加密通道进行远程访问,执行各种系统管理任务,如文件传输、命令执行等。 2. **Ubuntu中的OpenSSH Server**:Ubuntu是一个基于Debian的Linux发行版,其软件包管理系统Apt包含...
openssh-8.6p1 rpm安装包
04-07
2. openssh-clients:包含了SSH客户端工具,如`ssh`、`scp`、`sftp`等,用于连接到远程服务器并执行各种操作。 3. openssh:包含了OpenSSH的核心库和组件,这些是OpenSSH服务和客户端运行所必需的。 4. openssh-...
openssh-9.5p1 RPM安装包
11-11
Linux操作系统的世界中,安全的远程访问是运维工作中的关键环节,而OpenSSH(Open Source Secure SHell)正是这样一个强大的工具,它提供了一套包括加密网络协议在内的软件,用于在不安全的网络上进行安全的远程...
ssh连接linux客户端
07-24
ssh连接linux客户端,可以帮助更好的从windows连接linux
SecureCRT Linux远程客户端工具
11-04
可以记录密码,并且可以设置背景和文字颜色,可以仿真多种平台输出,可以快速克隆窗口等
sshclient(linux远程登录软件)
09-24
能够通过IP登录到远程linux系统的软件,并且可以远程上传东西到linux服务器。
Linux远程连接工具之ssh客户端
itas109的专栏
06-26 5797
Secure Shell(SSH)是一种加密网络协议,用于在不安全的网络上安全地运行网络服务。 典型的应用程序包括远程命令行登录和远程命令执行,但是任何网络服务都可以使用SSH进行保护。 本文介绍如何使用ssh客户端进行远程连接。 FinalShell、MobaXterm、Terminus、electerm、OpenSSH、PuTTY、xshell
linux自带ssh,Linux系统自带的SSH客户端的使用
weixin_29275257的博客
05-12 526
Linux系统自带的SSH客户端的使用操作系统:CentOS5本来一个putty就可以搞定的,结果下载了putty0.6的unix源码,编译的时候发现GTK版本不对,找不到gtk-config,搞了半天也没戏,哎,man ssh吧。本次案例:开发部的一台内网linux服务器,ssh方式登陆到日方linux系统上,然后再同时连接到实际的oracle和DB2服务器。第一次连接:[[email=root...
介绍几款Linux 下终极SSH客户端
Linuxer_Martin
11-01 493
SecureCRT是一款专业的终端模拟器,支持远程协议Telnet、Rlogin、SSH/SSH PKCS、SFTP、Serial,具有Unicode编码支持、动态端口转发、自定义键盘映射、VB,JS,Python等脚本语言支持、脚本录制等。此外,Xshell还提供了丰富的会话管理功能,可以方便用户进行多任务操作,另外配合xftp可以很方便进行文件的上传下载,也可以使用rz,sz命令操作,xshell使用比较广泛。支持 Unix 命令(bash,ls,cat,sed,grep,awk,rsync,…
Linux网络服务------远程访问及控制(SSH远程管理与TCP Wrappers访问控制)
下雨天的放羊娃的博客
04-30 296
目录一.SSH远程管理1.SSH概念2.SSH的特点3.客户端与服务端4.SSH服务器的配置文件二.OpenSSH服务端的配置1.sshd_config配置文件的常用选项2.AllowUsers和DenyUsers三.sshd服务支持的验证方式四.SSH客户端程序1.ssh远程登录2.scp远程复制3.sftp安全FTP五.配置密钥对验证(RSA算法)1.在客户端创建密钥对2. 将公钥文件上传至服务器3.在服务器中导入公钥文件4.在客户端使用密钥对验证5.在客户机设置ssh代理功能,实现免交互登录六.TCP
安装Linux远程访问客户端 SecureCRT
qq_45928727的博客
10-30 258
这里写目录标题一级目录二级目录三级目录 一级目录 二级目录 三级目录
linux安装openssh-server
08-19
### 回答1: 要在Linux上安装OpenSSH服务器,可以按照以下步骤操作: 1. 打开终端窗口并以root用户身份登录。 2. 输入以下命令以更新软件包列表: apt-get update 3. 输入以下命令以安装OpenSSH服务器: apt-get install openssh-server 4. 安装完成后,输入以下命令以启动OpenSSH服务器: service ssh start 5. 如果您希望OpenSSH服务器在系统启动时自动启动,请输入以下命令: update-rc.d ssh defaults 6. 现在,您可以使用SSH客户端连接到您的Linux系统并远程管理它了。 希望这些步骤对您有所帮助! ### 回答2: 在Linux系统上安装OpenSSH服务器很简单。以下是一些基本步骤: 1. 打开终端并以管理员身份登录。 2. 使用适用于您的发行版的软件包管理器在系统上安装OpenSSH服务器。例如,如果您使用的是Debian或Ubuntu,可以使用以下命令: ``` sudo apt-get install openssh-server ``` 3. 安装过程中,您可能需要提供管理员密码以确认安装。在安装完成后,OpenSSH服务器将自动启动并在系统上运行。 4. 您可以通过检查OpenSSH服务器的状态来验证安装是否成功。在终端中运行以下命令: ``` sudo systemctl status ssh ``` 5. 如果看到类似于"Active: active (running)"的输出,这表示OpenSSH服务器正在运行。如果输出显示服务未运行,则可以使用以下命令手动启动它: ``` sudo systemctl start ssh ``` 6. 完成安装后,您可以使用SSH客户端通过网络连接到您的Linux系统。使用以下命令来连接到您的服务器: ``` ssh username@ip_address ``` 其中,username是您的用户名,ip_address是您的服务器IP地址。您将被要求输入密码来进行身份验证。 总之,安装OpenSSH服务器只需几个简单的步骤,就可以为您的Linux系统提供安全的远程访问。 ### 回答3: 在Linux上安装OpenSSH Server非常简便。以下是Linux上安装OpenSSH Server的步骤: 1. 打开命令终端。 2. 确保系统处于root或具有管理员权限的用户下。 3. 使用适用于你的Linux发行版的软件包管理器,如apt-get、yum、dnf、zypper或者pacman等,来安装openssh-server软件包。例如: 对于Debian/Ubuntu系统,可以使用以下命令: ``` sudo apt-get install openssh-server ``` 对于RHEL/CentOS系统,可以使用以下命令: ``` sudo yum install openssh-server ``` 对于Fedora系统,可以使用以下命令: ``` sudo dnf install openssh-server ``` 对于openSUSE系统,可以使用以下命令: ``` sudo zypper install openssh-server ``` 对于Arch Linux系统,可以使用以下命令: ``` sudo pacman -S openssh ``` 4. 安装过程可能需要一些时间,软件包管理器将自动下载所需的文件并进行安装。 5. 安装完成后,可以使用以下命令来启动OpenSSH Server服务: ``` sudo systemctl start sshd ``` 6. 若要确保OpenSSH Server服务在系统启动时自动启动,请使用以下命令: ``` sudo systemctl enable sshd ``` 7. 可以使用以下命令来检查OpenSSH Server服务的运行状态: ``` sudo systemctl status sshd ``` 如果输出显示服务正在运行,则表示安装和启动OpenSSH Server成功。 OpenSSH Server安装完成后,你的Linux系统就可以充当SSH服务器,允许远程访问和管理。你可以使用其他设备上的SSH客户端连接到你的Linux系统,并通过安全的加密通道进行远程访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值