这里写目录标题
文章目录
一、SSH远程管理
SSH远程管理介绍
SSH是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。与早期的telnet、rsh、rcp等应用相比,SSH协议提供了更好的安全性。
二、OpenSSH服务器
1、SSH协议
①为客户机提供安全的shell环境,用于与远程管理。
②默认端口:tcp 22
2、OpenSSH
①服务名称:sshd
②服务端主程序:/usr/sbin/sshd
③服务端配置文件:/etc/ssh/sshd_config
④客户端配置文件:/etc/ssh/ssh_config
3、服务监听选项
①端口号、协议版本、监听IP地址
②禁止反向解析
4、用户登录控制
①禁止root用户、空密码用户
②登陆时间、重试次数
③AllowUsers、DenyUsers (黑白名单,允许和拒绝)
5、登录验证对象
服务器中的本地用户账户
6、登录验证方式
①密码验证:核对用户名、密码是否匹配
②密钥对验证:核对客户的私钥、服务端公钥是否匹配
7、使用SSH客户程序
①ssh命令——远程安全登录
②scp命令——远程安全复制
③sftp——安全FTP上下载:get-下载;put-上传
三、SSH密钥对验证
1、概述
SSH协议是采用了基于密钥的安全验证方式用于远程管理的,需要依靠密钥,也就是必须事先建立一对密钥对,然后把公钥密钥放在需要访问的目标服务器上,另外,还需要把私有密钥放到SSH的客户端或对应的客户端服务器上。
2、加密算法
(1)对称加密
①概述:采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,由于其速度快,对称性加密通常在消息发送方需要加密大量数据时使用。
2、常用算法
在对称加密算法中常用的算法有:DES、3DES、 TDEA、Blowfish、RC2、RC4、RC5、IDEA、SKIPJACK等。
3、特点
①加密方和解密方使用同一个密钥;
②加密解密的速度比较快,适合数据比较长时的使用;
③密钥传输的过程不安全,且容易被破解,密钥管理也比较麻烦;
4、优缺点
①对称加密算法的优点是算法公开、计算量小、加密速度快、加密效率高。
②对称加密算法的缺点是在数据传送前,发送方和接收方必须商定好秘钥,然后使双方都能保存好秘钥。其次如果一方的密钥被泄露,那么加密信息也就不安全了。另外,每对用户每次使用对称加密算法时,都需要使用其他人不知道的独一秘钥,这会使得收、发双方所拥有的钥匙数量巨大,密钥管理成为双方的负担。
(2)非对称加密
1、概念
非对称加密算法需要两个密钥:公开密钥(publickey:简称公钥)和私有密钥(privatekey:简称私钥)。公钥与私钥是一对,如果用公钥对数据进行加密,只右用对应的私钼才能解密.因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
2、常用算法
RSA (RSA algorithm):目前使用最广泛的算法
RSA(RSA算法):目前使用最广泛的算法
DSA :数字签名算法,和RSA不同的是DSA数字签名算法:仅能用于数字签名,不能进行数据加密解密,其安全性和rsa相当,但其性能要比rsa快ecc(椭圆曲线密码学,椭圆曲线加密算法)
ECDSA: Elliptic Curve Digital Signature Algorithm,椭圆曲线签名算法,是ECC和 DSA的结合,相比于RSA算法,ECC可以使用更小的秘钥,更高的效率,提供更高的安全保障
3、原理
首先ssh通过加密算法在客户端产生密钥对(公钥和私钥),公钥发送给服务器端,自己保留私钥,如果要想连接到带有公钥的SSH服务器,客户端SSH软件就会向SSH服务器发出请求,请求用联机的用户密钥进行安全验证。SSH服务器收到请求之后,会先在该SSH服务器上连接的用户的家目录下寻找事先放上去的对应用户的公用密钥,然后把它和连接的SSH客户端发送过来的公用密钥进行比较。如果两个密钥一致,SSH服务器就用公钥加密"质询”(challenge)并把它发送给SSH客户端
4、特点
私钥不能在网络中传输,私钥可以解密公钥
公钥可以在网路中传输,公钥不能解密私钥
四、TCP Wrappers 访问控制
TCP Wrappers 将TCP服务程序“包裹"起来,代为监听TCP服务程序的端口,增加了一个安全检测过程,外来的连接请求必须先通过这层安全检测,获得许可后才能访问真正得服务程序。
1、TCP Wrapper 保护机制的两种实现方式
①直接使用tcpd程序对其他服务程序进行保护,需要运行tcpd程序。
②由其他网络服务程序调用libwrap.so.链接,不需要运行tcpd程序。此方式的应用更加广泛,也是更有效率。
2、使用ldd命令可以查看程序的libwrap.so.*链接库
①查看方式:ldd+绝对路径 查看数据库
②tcp 的访问策略:tcp机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制。对应的两个策略文件为/etc/hosts.allow和/etc/hosts.deny,分别用来设置允许和拒绝的策略
进入:vim /etc/hosts.allow,进行编辑 输入:sshd:192.168.159.145这个IP地址,表示说明允许这个IP地址在另一台Linux上登录
# hosts.allow This file contains access rules which are used to
# allow or deny connections to network services that
# either use the tcp_wrappers library or that have been
# started through a tcp_wrappers-enabled xinetd.
#
# See 'man 5 hosts_options' and 'man 5 hosts_access'
# for information on rule syntax.
# See 'man tcpd' for information on tcp_wrappers
sshd:192.168.159.145
进入:vim /etchosts.deny,进行编辑,输入:sshd:192.168.159.145这个IP地址,表示不允许这个IP地址另一台Linux上登录
# hosts.deny This file contains access rules which are used to
# deny connections to network services that either use
# the tcp_wrappers library or that have been
# started through a tcp_wrappers-enabled xinetd.
#
# The rules in this file can also be set up in
# /etc/hosts.allow with a 'deny' option instead.
#
# See 'man 5 hosts_options' and 'man 5 hosts_access'
# for information on rule syntax.
# See 'man tcpd' for information on tcp_wrappers
sshd:192.168.159.145
五、使用SSH服务
实验1
1、在server中进入SSH主服务器配置文件,更改配置文件,开启SSH服务。现在就按默认的配置进行
2、在client中使用SSH服务登录server,由于之前已经登录一次了,就不会出现是否建立会话的界面了
实验2
1、在server服务器中,更改SSH服务器的配置文件,禁止root用户登录,然后再创建新的用户来登录
2、在进入client客户端查看一下root是否备禁止,再用其他的用户登录
实验3 使用密钥对验证登录
1、首先我们再客户端上创建一个新的用户,然后再用客户端打开配置密钥
2、密钥创建完成后,将客户端的.ssh 推送到服务器上
3、进入server服务器端后,切换到.ssh查看。
4、在client客户端上,再次登录server服务器端,可以发现我们可以不需要再输入密码了,可直接登录
实验4 不同Linux之间互相拷贝文件
1、将客户端本地的文件拷贝到服务器上指定的目录下
2、查看server服务器上有没有这个文件
3、将服务器的文件拷贝到本地的客户端的指定的目录下
4、查看/tmp下的文件
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
