远程访问及控制

一，SSH远程管理

        1：配置OpengSSH服务端

                1.服务监听选项

• 修改监听端口

  编辑配置文件前，请确保您有root权限或者使用sudo。
  • 打开/etc/ssh/sshd_config文件，找到#Port 22这一行，去掉注释符号（#），并将22改为您的新端口号，如Port 2222。
  • 保存更改后，执行命令重启SSH服务，对于Systemd系统（如Ubuntu, CentOS 7+等）使用sudo systemctl restart sshd，对于SysVinit系统（如CentOS 6）使用sudo service sshd restart。

• 监听地址配置

  • 在同一配置文件中，您可以添加ListenAddress指令指定监听地址。例如，仅监听内网IP，确保该行没有被注释，并正确设置IP地址。

                2.用户登录控制

• 用户访问控制

  • AllowUsers指令后面跟允许登录的用户列表，每个用户名之间以空格分隔。如果您想限制登录用户，应首先确保默认的PermitRootLogin已设为no，然后添加允许的普通用户列表。
  • DenyUsers则相反，列出不允许登录的用户。这两个指令可以同时存在，但要注意优先级和逻辑关系。

• 禁止root登录

  • 设置PermitRootLogin no后，确保保存配置并重启SSH服务。这是增强服务器安全的重要步骤，因为直接以root身份登录会增加被攻击的风险。

                3.登录验证方式

密钥对验证

• 生成密钥对：在客户端机器上使用ssh-keygen命令生成公钥和私钥对。通常无需输入密码短语，除非特别需要增加安全性。
• 复制公钥到服务端：使用ssh-copy-id user@server_ip命令将客户端的公钥复制到服务端的~/.ssh/authorized_keys文件中。这一步骤完成后，使用对应的私钥即可无密码登录。
• 配置SSH服务端：在sshd_config文件中，确认PubkeyAuthentication设为yes，以启用公钥验证。同时，为了更高的安全性，可以考虑启用PasswordAuthentication no来完全禁用密码验证。

        2：使用SSH客户端程序

                1.命令程序ssh，scp，sftp

                        （1）远程登录

• 高级用法：
  • 压缩传输：通过-C选项启用数据压缩，适合低带宽或高延迟网络。
  • 执行远程命令：直接在命令行执行ssh user@host 'command'，如ssh user@example.com 'ls -l /var/log'，可以在不登录的情况下执行远程命令。
  • 隧道转发：利用-L（本地端口转发）或-R（远程端口转发）功能，创建安全的隧道，如ssh -L 8080:localhost:80 server.example.com，可将本地8080端口的请求转发至远程服务器的80端口。

                        （2）远程复制

• 递归复制：使用-r选项可以复制目录，如scp -r local_folder user@remote:/remote/path/。
• 保持文件属性：使用-p（preserve）选项复制时保留源文件的修改时间和访问权限。
• 压缩传输：虽然scp本身不直接支持压缩，但可以通过结合tar和gzip或zstd等方式先压缩再传输，以提高效率。

                        （3）sftp安全FTP

• 交互模式：直接使用sftp user@host进入交互模式，支持ls, cd, get, put等命令。
• 脚本自动化：在脚本中使用sftp命令，配合-b选项指定脚本文件进行自动化操作，如sftp -b script.txt user@host，其中script.txt包含一系列SFTP命令。
• 断点续传：虽然SFTP标准协议未明确支持断点续传，但一些现代SFTP客户端和服务器通过内部机制实现了这一功能。

                2.图形工具Xshell

Xshell作为一款高级SSH客户端，提供了许多高级特性和便捷操作：

• 会话管理器：不仅能够保存连接信息，还能组织会话到文件夹，支持快速搜索和分类。
• 自定义外观：用户可以根据喜好调整字体、颜色方案、背景图片等，以提升使用体验。
• 动态端口转发：允许用户在图形界面轻松设置动态端口转发（SOCKS代理），便于浏览受限制的网络资源或提高安全性。
• 多监视器支持：在多屏环境下优化布局和显示，提高工作效率。
• 宏和脚本：通过宏记录和编辑功能，可以创建复杂任务的自动化流程，支持VBScript和JScript脚本语言。
• 安全特性：支持最新的SSH协议版本，提供多种加密算法选择，以及对公钥认证、键盘交互、GSSAPI等高级安全机制的支持。

        3：构建密钥对验证的SSH体系

                1.在客户端创建密钥对

1. 打开终端：在本地计算机上打开命令行终端。
2. 生成密钥对：使用ssh-keygen命令生成SSH密钥对。默认情况下，这会在用户的.ssh目录下创建一对密钥文件（私钥id_rsa和公钥id_rsa.pub）。执行时可以指定密钥类型和长度，例如：

   ssh-keygen -t rsa -b 4096
   

• -t rsa 指定密钥类型为RSA。
• -b 4096 指定密钥长度为4096位，增强安全性。

在过程中，系统可能会询问您是否要保护私钥（通过密码短语），根据安全需求决定是否设置。

                2.将公钥文件上传至服务器

有几种方法可以将公钥复制到服务器：

• 使用ssh-copy-id命令（如果可用）：

   ssh-copy-id -i ~/.ssh/id_rsa.pub user@remote_host
   

这个命令会自动将公钥追加到远程服务器的~/.ssh/authorized_keys文件中。

• 手动复制粘贴：如果ssh-copy-id不可用，可以手动复制公钥内容（id_rsa.pub文件的内容），然后在服务器上使用文本编辑器（如vim或nano）将内容追加到~/.ssh/authorized_keys文件末尾，或者创建该文件（如果不存在）。

                3.在服务器中导入公钥文本

如果采用手动方法，确保完成以下步骤：

1. 登录服务器：使用密码验证方式先登录到远程服务器。
2. 创建或编辑authorized_keys文件：

   mkdir -p ~/.ssh && chmod 700 ~/.ssh
   touch ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys
   

上述命令确保.ssh目录和authorized_keys文件具有正确的权限。 3. 追加公钥：使用文本编辑器（如vim ~/.ssh/authorized_keys）将公钥文本粘贴进去。

                4.在客户端使用密钥对验证

一旦公钥部署完毕，就可以在客户端使用私钥进行SSH登录了：

• 直接登录：在命令行输入ssh user@remote_host，如果一切配置正确，应该会直接登录而不需要输入密码。
• 指定私钥：如果私钥不在默认位置或有多个私钥，可以使用-i选项指定私钥路径，如ssh -i /path/to/private_key user@remote_host。

二，TCP Wrappers 访问控制

        1：TCP Wrappers 概述

TCP Wrappers（TCP 包装器）是一个由Wietse Venema开发的网络安全框架，它通过一个共享库（通常是libwrap.so）提供额外的访问控制层，允许系统管理员基于主机名或IP地址来控制对网络服务的访问。它适用于多种网络服务，如SSH、FTP、Sendmail等，但需这些服务编译时链接了TCP Wrappers库。

• 核心组件：/usr/lib/libwrap.so（库文件）和/etc/hosts.allow、/etc/hosts.deny（配置文件）。
• 优势：动态配置、易于管理、灵活性高，无需重启服务即可实时更新访问控制规则。
• 兼容性：尽管TCP Wrappers在早期广泛使用，现代系统和云环境中可能更多依赖于防火墙规则、SELinux、AppArmor等更现代的安全策略，但其简单易用的特点仍使其在某些场景下保持价值。

        2：TCP Wrappers 的访问策略

                1.策略的配置格式

                        （1）服务程序列表

• 服务程序列表：精确指定服务名称（如sshd）或服务的完整路径（如/usr/sbin/tcpd，当服务直接由TCP Wrappers守护时）。服务名可以是服务的别名，在/etc/services文件中定义，或在/etc/inetd.conf中（对于inetd/xinetd管理的服务）。

• 客户端地址列表：支持灵活的地址匹配，包括单个IP地址（如192.168.1.100）、CIDR表示的子网（如192.168.1.0/24）、主机名（如client.example.com）、域名（如.example.com）及通配符（如*代表任意主机，?.example.com匹配单字符子域名）。

                        （2）客户端地址列表

• 逐条检查：首先检查/etc/hosts.allow中的允许规则，如果找到匹配项则立即允许连接；如果未找到匹配项，则转而检查/etc/hosts.deny中的拒绝规则。如果在两个文件中都没有匹配项，行为取决于服务的默认设置，通常默认为拒绝。

• 精确匹配优于模糊匹配：具体规则（比如单个IP地址）优先于宽泛规则（如ALL或子网）。

• 特殊规则：关键字ALL代表所有服务和所有主机，可以用来设置全局允许或拒绝规则。

• 日志记录：通过设置/etc/syslog.conf（或现代系统中的/etc/rsyslog.conf），可以记录TCP Wrappers的访问控制活动，这对于审计和故障排查非常重要。

                2.访问控制的基本原则

• 逐条检查：首先检查/etc/hosts.allow中的允许规则，如果找到匹配项则立即允许连接；如果未找到匹配项，则转而检查/etc/hosts.deny中的拒绝规则。如果在两个文件中都没有匹配项，行为取决于服务的默认设置，通常默认为拒绝。

• 精确匹配优于模糊匹配：具体规则（比如单个IP地址）优先于宽泛规则（如ALL或子网）。

• 特殊规则：关键字ALL代表所有服务和所有主机，可以用来设置全局允许或拒绝规则。

• 日志记录：通过设置/etc/syslog.conf（或现代系统中的/etc/rsyslog.conf），可以记录TCP Wrappers的访问控制活动，这对于审计和故障排查非常重要。

                3.TCP Wrappers 配置实例

• 精细控制SSH访问：
  • 允许特定IP或子网访问SSH服务，同时记录访问日志：

    # /etc/hosts.allow
    sshd: 192.168.1.0/24 : twist /usr/bin/logger -t sshd "Accepted from %h (%a) for %u"
    

这里`twist`是一个选项，用于指定执行的命令（这里是记录日志）。

• 拒绝特定IP段同时给出拒绝消息：
  • 在/etc/hosts.deny中设置，可以向被拒绝的连接发送消息：

    # /etc/hosts.deny
    ALL: 10.20.30.0/24 : denymsg "Access denied from your network."
    

`denymsg`选项允许在拒绝连接时发送自定义的错误消息。

• 基于时间的访问控制（需额外软件支持，如tcpdmatch和cron作业）：

  • 可以通过定时任务调整hosts.allow和hosts.deny文件，以实现特定时间段内的访问控制。虽然这不是TCP Wrappers直接提供的功能，但通过外部脚本和计划任务可以间接实现。

• 使用外部访问控制数据库（如/etc/hosts.equiv、NIS或LDAP）：

  • 虽然这不是直接配置TCP Wrappers的例子，但它与TCP Wrappers策略相辅相成。通过设置如hosts_access(5)手册页中提到的hosts.equiv文件，可以进一步细化信任关系，但需注意此方法的安全风险。

通过上述策略和配置实例，TCP Wrappers为系统管理员提供了一种灵活且相对简单的工具来加强网络服务的访问控制，虽然现代安全架构可能倾向于使用更高级的防火墙规则和身份验证机制，但TCP Wrappers在某些场景下依然有其应用价值。