什么是SSH?
SSH 为 [Secure Shell] 的缩写,由 IETF 的网络小组(Network Working Group)所制定;SSH 为建立在应用层基础上的安全协议。SSH 是较可靠,专为[远程登录]会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。[SSH客户端]适用于多种平台。几乎所有UNIX平台—包括[HP-UX]、[Linux]、[AIX]、[Solaris]、Digital [UNIX]、[Irix],以及其他平台,都可运行SSH。
ssh协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。因此ssh协议具有很好的安全性
服务名称:sshd
服务端主程序:/usr/sbin/sshd
服务端配置文件:/etc/ssh/sshd_config
客户端配置文件:/etc/ssh/ssh.config
sshd 服务支持两种验证方式:
1.密码验证对服务器中本地系统用户的登录名称、密码进行验证。简便,但可能会被暴力破解,暴力破解可看之前博客有详细描述系统弱口令检测
2.密钥对验证要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件(公钥、私钥),然后将公钥文件放到服务器中的指定位置。远程登录时,系统将使用公钥、私钥进行加密/解密关联验证。能增强安全性,且可以免交互登录。当密码验证、密钥对验证都启用时,服务器将优先使用密钥对验证。可根据实际情况设置验证方式。
SCP传输
Linux scp 命令用于 Linux 之间复制文件和目录。 scp 是 secure copy 的缩写, scp 是 linux 系统下基于 ssh 登陆进行安全的远程文件拷贝命令。 scp 是加密的, 是不加密的,scp 是 rcp 的加强版。
sftp tcp 22端口 安全的ftp,传输时会加密,传输效率比普通ftp低,但是安全性高
ftp tcp20 21端口 常规的文件传输协议,明文传输,传输数据较快但不安全,一般是用在局域网
tftp udp69端口 轻量级的文件传输协议,一般用于传输体积小的文件
TCP Wrappers 访问控制
TCP Wrapper 保护机制的两种实现方式
1.直接使用 tcpd 程序对其他服务程序进行保护,需要运行 tcpd程序。
2.由其他网络服务程序调用 libwrap.so.链接库,不需要运行 tcpd 程序。此方式的应用更加广泛,也更有效率。
白名单: /etc/hosts.allow
黑名单:/etc/hosts.deny
vim /etc/hosts.allow ##编辑白名单
sshd:192.168.72.10,192.168.72.20 //允许这两个地址使用sshd服务进行访问
sshd:192.168.4.0/255.255.255.0 //允许该网段的所有地址使用sshd服务进行访问
vim /etc/hosts.dent 编辑黑名单
sshd:ALL //禁止所有地址使用sshd服务进行访问
sshd:192.168.0.0/255.255.255.0 EXCEPT 192.168.0.10 //
禁止该网段的所有地址使用sshd服务进行访问,除了192.168.0.10
首先检查/etc/hosts.allow文件,如果找到相匹配的策略,则允许访问;否则继续检查/etc/hosts.deny文件,如果找到相匹配的策略,则拒绝访问;如果检查上述两个文件都找不到相匹配的策略,则允许访问。
“允许所有,拒绝个别”:
只需在/etc/hosts.deny文件中添加相应的拒绝策略
“允许个别,拒绝所有”:
除了在/etc/hosts.allow中添加允许策略之外,还需要在/etc/hosts.deny文件中设置“ALL:ALL”的拒绝策略。
若只希望从IP地址192.168.233.23网段的主机访问sshd服务,其他地址被拒绝。
vim /etc/hosts.allowsshd:192.168.233.23 多个ip用,隔开
vim /etc/hosts.denysshd:192.168.233.21 vsftpd
438
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
