Linux网络服务SSH远程登录SCP远程复制SFTP安全FTP及TCPwrappers访问策略

最新推荐文章于 2024-05-01 09:14:20 发布
最新推荐文章于 2024-05-01 09:14:20 发布
阅读量314 收藏
点赞数
分类专栏: Linux网络 文章标签: centos ssh 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53496398/article/details/114074980
版权

目录标题

在这里插入图片描述

SSH远程管理

OpenSSH服务端介绍

  • SSH (Secure Shell) 协议
    • 是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能
    • 对通信数据进行了加密处理,其中包括用户登录时输入的用户口令。因此SSH协议具有很好的安全性

             网络
SSH客户端<---------------------------------------------->SSH服务端
     数据传输是加密的,可以防止信息泄露
     数据传输时压缩的,可以提高传输速度

  • SSH客户端:Putty、Xshell、CRT
  • OpenSSH服务端
    • 服务名称:sshd
    • 服务端主程序:/usr/sbin/sshd
    • 服务端配置文件:/etc/ssh/sshd_config
    • 客户端配置文件:/etc/ssh/ssh_config
    • OpenSSH 是实现 SSH 协议的开源软件项目,适用于各种 UNIX、Linux 操作系统
    • CentOS7系统默认已安装openssh相关软件包,并已将 sshd 服务添加为开机自启动
    • 执行"systemctl start sshd" 命令即可启动 sshd 服务
    • sshd 服务的默认端口号为 22

配置OpenSSH服务端

  • vim /etc/ssh/sshd_config
    Port 22             #监听端口为22号端口
    ListenAddress 0.0.0.0        #监听地址为任意网段,也可以指定OpenSSH服务器的具体IP
    LoginGraceTime 2m       #登录验证时间为2分钟
    PermitRootLogin no        #禁止root用户登录
    MaxAuthTries 6          #最大重试次数为6次
    PermitEmptyPasswords no     #禁止空密码用户登录
    UseDNS no           #禁用 DNS 反向解析,以提高服务器的响应速度
    在这里插入图片描述


    #只允许zhangsan、lisi、wangwu用户登录,且其中wangwu用户仅能够从IP地址为192.168.150.10的主机远程登录
    AllowUsers zhangsan lisi wangwu@192.168.150.10 #多个用户以空格分隔,不要设置不存在的用户名
    #禁止某些用户登录,用法于AllowUsers 类似(注意不要同时使用)
    DenyUsers zhangsan
    在这里插入图片描述
  • systemctl restart sshd #重启服务

ssh远程登录

ssh [选项] zhangsan@192.168.150.20
当用户第一次登录SSH服务时,必须接受服务器发来的ECDSA密钥(根据提示输入YES)后才能继续验证。接受的密钥信息将保存到~/.ssh/known_hosts文件中。密码验证成功以后,即可登录目标服务器的命令环境中了

  • -p:指定非默认的端口号,缺省时默认使用22端口
    ssh zhangsan@192.168.150.20 可以登录
    ssh root@192.168.150.20 不可登录

密钥对验证的SSH体系

  • sshd 服务支持两种验证方式
    • 密码验证
      对服务器中本地系统用户的登录名称、密码进行验证。简便,但可能会被暴力破解
    • 密钥对验证
      要求提供想匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件(公钥、私钥),然后将公钥文件放到服务器中的指定位置。远程登录时,系统将使用公钥、私钥进行加密/解密关联验证。增强安全性,且可以免交互登录
  • 当密码验证、密钥对验证都启用是,服务器将优先使用密钥对验证。可根据实际情况设置验证方式
    • vim /etc/ssh/sshd_config
      passwordAuthentication yes #启用密码验证
      PubkeyAuthentication yes #启用密钥对验证
      AuthorizedKeysFile .ssh/authorized_keys #指定公钥库文件

配置密钥对验证

  • 1.在客户端创建密钥对 通过ssh-keygen工具为当前用户创建密钥对文件。可用的加密算法为RSA、ECDSA或DSA等(ssh-keygen命令的“-t”选项用于指定算法类型)

useradd wang
echo “123456” | passwd --stdin wang
su - wang
ssh-keygen -t ecdsa
Generating public/private ecdsa key pair.
Enter file in which to save the key (/home/admin/.ssh/id_ecdsa): #指定私钥位置,直接回车使用默认位置
Created directory ‘/home/admin/.ssh’. #生成的私钥、公钥文件默认存放在宿主目录中的隐藏目录.ssh/下
Enter passphrase (empty for no passphrase): #设置私钥的密码
Enter same passphrase again: #确认输入
在这里插入图片描述

ls -l .ssh/id_ecdsa*#id_ecdsa是私钥文件,权限默认为600;id_ecdsa.pub是公钥文件,用来提供给 SSH 服务器
在这里插入图片描述

  • 2.将公钥文件上传至服务器

scp ~/.ssh/id_ecdsa.pub root@192.168.150.20:/opt
在这里插入图片描述
在这里插入图片描述

  • 3.在服务器中导入公钥文件
    mkdir .ssh
    cat id_ecdsa.pub >> .ssh/authorized_keys
    在这里插入图片描述

  • 4.在客户端使用密钥对验证
    ssh root@192.168.150.10
    Enter passphrase for key ‘/home/wang/.ssh/id_ecdsa’: #输入密钥对密码
    在这里插入图片描述

  • 5.在客户机设置ssh代理功能,实现免交互登录
    ssh-agent bash
    ssh-add
    Enter passhrase for /home/wang/.ssh/id_ecdsa: #输入私钥密码
    ssh root@192.168.150.10

scp远程复制

  • 下行复制
    scp root@192.168.150.10:/etc/passwd /root/passwd10.txt #将远程主机中的/etc/passwd文件复制到本机
  • 上行复制
    scp -r /etc/ssh/ root@192.168.150.20:/opt #将本机的/etc/ssh目录复制到远程主机(文件不需要加-r)
    在这里插入图片描述

sftp 安全 FTP

  • 由于使用了加密/解密技术,所以传输效率比普通的FTP要低,但安全性更高。操作语法sftp与ftp几乎一样
  • sftp root@192.168.150.20
    sftp> ls #查看
    sftp> get 文件名 #下载
    sftp> put 文件名 #上传
    sftp> quit #退出

TCP Wrappers 访问控制

TCP Wrappers 概述

  • TCP Wrappers
    将TCP服务程序“包裹”起来,代为监听TCP服务程序的端口,增加了一个安全检测过程,外来的连接请求必须先通过这层安全检测,获得许可后才能访问真正的服务程序
    大多数 Linux 发行版,TCP Wrappers 是默认提供的功能。rpm -q tcp_wrappers

  • TCP Wrapper 保护机制的两种实现方式
    直接使用 tcpd 程序对其他服务程序进行保护,需要运行 tcpd程序
    由其他网络服务程序调用 libwrap.so.链接库,不需要运行 tcpd 程序。此方式的应用更加广泛,也更有效率

  • 使用 ldd 命令可以查看程序的 libwrap.so.*链接库
    ldd $(which ssh vsftpd)

  • 保护原理
    在这里插入图片描述

TCP Wrappers 访问策略

  • TCP Wrappers 机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制。
  • 对应的两个策略文件为/etc/hosts.allow /etc/hosts.deny,分别用来设置允许拒绝的策略。
  • 格式:
    <服务程序列表>:<客户端地址列表>

(1)服务程序列表
ALL:代表所有的服务。
单个服务程序:如“vsftpd”。
多个服务程序组成的列表:如“vsftpd,sshd”。

(2)客户端地址列表
ALL:代表任何客户端地址。
LOCAL:代表本机地址。
多个地址以逗号分隔

允许使用通配符 “*” 和 “?” ,前者代表任意长度字符,后者仅代表一个字符
网段地址,如 192.168.80. 或者 192.168.80.0/255.255.255.0
区域地址,如 “.benet.com”匹配 bdqn.com 域中的所有主机。

TCP Wrappers 机制的基本原则

  • 首先检查/etc/hosts.allow文件,如果找到相匹配的策略,则允许访问
  • 否则继续检查/etc/hosts.deny文件,如果找到相匹配的策略,则拒绝访问
  • 如果检查上述两个文件都找不到相匹配的策略,则允许访问
  • “允许所有,拒绝个别”
    只需在/etc/hosts.deny文件中添加相应的拒绝策略
  • “允许个别,拒绝所有”
    除了在/etc/hosts.allow中添加允许策略之外,还需要在/etc/hosts.deny文件中设置“ALL:ALL”的拒绝策略
  • 实例:
    若只希望从IP地址为12.0.0.1的主机或者位于192.168.150.0/24网段的主机访问sshd服务,其他地址被拒绝
    vi /etc/hosts.allow
    sshd:12.0.0.1,192.168.150.*
    vi /etc/hosts.deny
    sshd:ALL
孤岛上的笛
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
winscp windows下的shell,支持远程连接linuxftpsftpscp
09-10
winscp windows下的shell,支持远程连接linuxftpsftpscp
Windows下生成 公钥 私钥以及 配置 Filezilla中的 SFTP的私钥
aiweichou6375的博客
04-02 1459
Win下需要使用到 PuTTYgen.exe来生成公钥私钥,可以参考youtube的这篇文章:为 SFTP 保管箱生成 Secure Shell (SSH) 密钥对 PuTTYgen.exe的下载地址:https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html 两篇关于FileZilla的SFTP用P...
查看服务端ssh是否启动
xunye的博客
12-27 1万+
方式一:systemctl查看服务状态 [xy@xunye ~]$ systemctl status sshd ● sshd.service - OpenSSH server daemon Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled) Active: active (running) since 日 2020-11-29 14:51:51 CST; 3 weeks 6...
sshlinux下的用法详解
热门推荐
su_ocean16的专栏
11-23 2万+
本文作者 速谷歌 一)客户端与服务端的通讯认证流程: 第一阶段: 双方协商SSH版本号和协议,协商过程数据不加密. SSH-.- 对映如下: SSH-2.0-OpenSSH_5.3(我们可以通过telnet localhost 22得到SSH的版本号) 第二阶段: 双方协商RSA/DSA主机密钥,数据加密算法,消息摘要. 其中主机密钥用于确认服务端的身份,
SSH软件包:Sftp,scpssh-agent
liuliufa的专栏
04-16 657
 这篇文章的中心是介绍在ssh软件包中非常有用的程序如:sftpscpssh-agent,和ssh-add。  在下文中我们假设sshd2守护进程很好地被设置并且运行良好。  Sftpscp总览  让我们把注意力集中到sftpscp上。  第一个(sftp安全文件传输)是一个类ftp的客户端程序,它能够被用来在网络中传输文件。  它并不使用FTP守护进程(ftpd或wu-ftpd)来进行连
加密安全及时间同步、自动化部署
GRAGON_W的博客
11-02 2747
一、创建私有CA并进行证书申请。 1.1 创建CA相关目录及文件 [root@Centos8 ~]# mkdir /etc/pki/CA/{certs,crl,newcerts,private} [root@Centos8 ~]# tree /etc/pki/CA/ /etc/pki/CA/ ├── certs ├── crl ├── newcerts └── private index.txt和serial文件在颁发证书时需要使用,如果不存在,会创建失败,需自行创建定义 [root@Centos8 ~]
Enter passphrase for key(输入密码短语)
前端劝退工程师
08-10 1万+
解决办法:删除passphrase 键入 ssh-keygen -p 会要求输入一遍私钥路径,照着后面的括号敲一遍就好 然后Enter old passphrase: 输入 Enter new passphrase:输入新的时候直接回车即可删除passphrase
java sftp输入密码_SFTP 自动输入密码短语
weixin_26845891的博客
02-17 1222
如果你的创建的密钥对设置了密码短语,使用ssh或者sftp命令时,提示手动输入密码短语。这时候如果是自动化的脚本作业,应该如何写呢?网上的方案有使用sshpass,但是如果服务器是AIX系统,很不幸,大概率是找不到这个命令的。ssh.com官网的ssh-add有提及用到密码短语的密钥使用情况。Keys with PassphrasesIf the key being added has apass...
Linux SSH免密登陆
CodingSoldier的博客
12-18 2万+
SSH是一种网络协议,用于计算机之间的加密登录,其具体的实现有很多,既有开源实现的OpenSSH,也有商业实现方案。Linux常用OpenSSH。 使用SSH协议,客户端需要安装openssh-clients,服务端需要安装openssh-server(系统默认安装好了)。 本文使用CentOS7系统,并用root用户登陆,服务端需要保证/etc/ssh/sshd_config 的配置正确,一些云服务器默认是不允许ROOT用户远程登陆的。 # 是否允许以root用户身份登录,默认可以 Permit..
解决Enter passphrase for key
alexander_phper的博客
05-03 8366
两种解决方案: 1.提示“ Permissions 0644 for ‘~/.ssh/id_rsa.pub’ are too open” 解决方法:使用chmod 0600 ~/.ssh/id_rsa.pub更改将公钥权限改成“600” 2.提示“Enter passphrase for key ~/.ssh/id_rsa.pub”让输入私钥,可不论输与不输都不能直接登录 解决方法: ...
解决Enter passphrase for key ‘/Users/xxx/.ssh/id_rsa‘
cainiao1412的博客
11-14 1万+
这个密码应该是git服务器需要进行校验,为了数据安全,所以才提示我们输入密码。现象:每次git pull git fetch git push 等等命令的时候都会提示输入密码,(在重设密码的时候,需要输入一次之前的密码old passphrase用来验证,正常输就行了,然后接下来就是需要输入两次new passphrase,此时什么都不输,直接回车即可)如果不想每次都输入密码的话,在第一次生成key的时候不要输入密码,直接回车就好了。通过这个命令重新设置密码,直接回车设置为空,以后就不用再输入了。
使用scp获取远程linux服务器上的文件 linux远程拷贝文件
09-15
scp是secure copy的简写,用于在Linux下进行远程拷贝文件的命令,scp传输是加密的,下面看一下详细使用方法吧
Linux使用scp命令进行文件远程拷贝详解
01-11
Linuxscp命令可以在Linux服务器之间复制文件和目录。 使用语法: scp [参数] [源路径] @IP:/目标路径 scp 参数如下: -1: 强制scp命令使用协议ssh1 -2: 强制scp命令使用协议ssh2 -4: 强制scp命令只使用IPv4...
github-action-scp::up_arrow:使用SSH将文件夹复制远程服务器
05-26
GitHub动作SCP 简单的GitHub Action,可使用SSH将文件夹或单个文件复制远程服务器。 这与最新的。 :sparkles: 用法示例将文件夹递归复制远程服务器- name : Copy folder content recursively to remote uses : ...
VMware虚拟机安装LinuxCentOS)【超详细】
qq_48185833的博客
04-30 1097
在VMware中配置Linux虚拟机教程
Linux图形化界面怎么进入?CentOS 7图形界面切换
驰网飞飞的博客
04-30 265
CentOS 7默认只安装命令行界面。要切换到图形界面,需要先检查系统是否安装图形界面,在没有安装图形界面的情况下,需要先安装X Windows 这个控制功能,再安装图形界面软件GNOME,安装完成后重启从控制台用VNC远程连接图形化桌面。
为什么centos官方版不支持arm架构?
PAP
04-29 384
为什么centos官方版不支持arm架构?
CentOS 常见的命令
小透明的博客
04-29 1222
以上介绍的CentOS常见命令只是冰山一角,但它们是系统管理员日常工作中最常用到的。掌握这些基础命令能够让你更高效地完成系统管理工作。随着实践的积累,你将能更深入地理解每个命令的细节,并能够灵活运用它们解决实际问题。不断学习和探索,你将会成为一位出色的CentOS系统管理员。
centos 杀死一个进程又启动了
最新发布
Jian Sun_的博客
05-01 460
CentOS中,如果一个进程被杀死后又自动启动,可能是由于系统服务管理器(如systemd或init)配置了该进程的重启。然后再次检查该进程是否仍在运行,并确保它没有被配置为自动启动。如果你知道进程的名字,可以使用。如果找到了服务文件,使用。
使用 scp,将文件和目录复制到运行 SSH 守护程序的远程 Linux 虚拟机。
06-02
好的,您可以按照以下步骤使用 scp 命令将文件和目录复制到运行 SSH 守护程序的远程 Linux 虚拟机: 1. 打开终端或命令提示符,并输入以下命令: ``` scp /path/to/local/file remoteuser@remotehost:/path/to/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值