Linux基础——远程访问及控制(SSH)

已于 2023-04-24 14:48:22 修改
阅读量3.4k 收藏 12
点赞数 4
文章标签: linux ssh 服务器
于 2023-04-21 18:15:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_67300995/article/details/130258125
版权

Linux基础——远程访问及控制

一、OpenSSH服务器

是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。因此SSH协议具有很好的安全性。

SSH优点:
数据传输是加密的,可以防止信息泄漏
数据传输是压缩的,可以提高传输速度

OpenSSH 是实现 SSH 协议的开源软件项目,适用于各种 UNIX、Linux 操作系统,CentOS 7 系统默认安装并启动sshd服务
SSH客户端:Putty、Xshell、CRT
SSH服务端:OpenSSH
服务名称: sshd
默认端口号:tcp的22端口
服务端主程序: /usr/sbin/sshd
服务端配置文件: /etc/ssh/sshd_config
客户端配置文件: /etc/ssh/ssh_config

二、sshd_config配置文件

# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER    ##在开启selinux的系统上,修改ssh端口的要修改selinux规则,用此命令修改
#Port 22                                               ##默认ssh端口,生产环境中建议改成五位数的端口 
#AddressFamily any                                     ##地址家族,any表示同时监听ipv4和ipv6地址
#ListenAddress 0.0.0.0                                 ##监听本机所有ipv4地址
#ListenAddress ::                                      ##监听本机所有ipv6地址
HostKey /etc/ssh/ssh_host_rsa_key                      ##ssh所使用的RSA私钥路径
HostKey /etc/ssh/ssh_host_ecdsa_key                    ##ssh所使用的ECDSA私钥路径
HostKey /etc/ssh/ssh_host_ed25519_key                  ##ssh所使用的ED25519私钥路径
SyslogFacility AUTHPRIV                                ##设定在记录来自sshd的消息的时候,是否给出“facility code”
#LogLevel INFO                                         ##日志记录级别,默认为info 
#LoginGraceTime 2m                                     ##限定用户认证时间为2min
#PermitRootLogin yes                                   ##是否允许root账户ssh登录,生产环境中建议改成no,使用普通账户ssh登录
#StrictModes yes                                       ##设置ssh在接收登录请求之前是否检查用户根目录和rhosts文件的权限和所有权,建议开启
#MaxAuthTries 6                                        ##指定每个连接最大允许的认证次数。默认值是 6
#MaxSessions 10                                        ##最大允许保持多少个连接。默认值是 10 
#PubkeyAuthentication yes                              ##是否开启公钥验证
AuthorizedKeysFile      .ssh/authorized_keys           ##公钥验证文件路径
# HostbasedAuthentication                              ##指定服务器在使用 ~/.shosts ~/.rhosts /etc/hosts.equiv 进行远程主机名匹配时,是否进行反向域名查询
#IgnoreUserKnownHosts no                               ##是否在 RhostsRSAAuthentication 或 HostbasedAuthentication 过程中忽略用户的 ~/.ssh/known_hosts 文件
#IgnoreRhosts yes                                      ##是否在 RhostsRSAAuthentication 或 HostbasedAuthentication 过程中忽略 .rhosts 和 .shosts 文件
#PermitEmptyPasswords no                               ##是否允许空密码
PasswordAuthentication yes                             ##是否允许密码验证,生产环境中建议改成no,只用密钥登录
ChallengeResponseAuthentication no                     ##是否允许质疑-应答(challenge-response)认证
#KerberosAuthentication no                             ##是否使用Kerberos认证
#KerberosOrLocalPasswd yes                             ##如果 Kerberos 密码认证失败,那么该密码还将要通过其它的认证机制(比如 /etc/passwd)
#KerberosTicketCleanup yes                             ##是否在用户退出登录后自动销毁用户的 ticket
#KerberosGetAFSToken no                                ##如果使用了AFS并且该用户有一个 Kerberos 5 TGT,那么开启该指令后,将会在访问用户的家目录前尝试获取一个AFS token
GSSAPIAuthentication yes                               ##是否允许基于GSSAPI的用户认证
GSSAPICleanupCredentials no                            ##是否在用户退出登录后自动销毁用户凭证缓存
UsePAM yes                                             ##是否通过PAM验证
#GatewayPorts no                                       ##是否允许远程主机连接本地的转发端口
X11Forwarding yes                                      ##是否允许X11转发
#X11DisplayOffset 10                                   ##指定sshd(8)X11转发的第一个可用的显示区(display)数字。默认值是10
#X11UseLocalhost yes                                   ##是否应当将X11转发服务器绑定到本地loopback地址
#PrintMotd yes                                         ##指定sshd(8)是否在每一次交互式登录时打印 /etc/motd 文件的内容
#PrintLastLog yes                                      ##指定sshd(8)是否在每一次交互式登录时打印最后一位用户的登录时间
#TCPKeepAlive yes                                      ##指定系统是否向客户端发送 TCP keepalive 消息
#UseLogin no                                           ##是否在交互式会话的登录过程中使用 login(1
#UsePrivilegeSeparation sandbox                        ##是否让 sshd(8) 通过创建非特权子进程处理接入请求的方法来进行权限分离
#PermitUserEnvironment no                              ##指定是否允许sshd(8)处理~/.ssh/environment以及 ~/.ssh/authorized_keys中的 environment= 选项
#Compression delayed                                   ##是否对通信数据进行加密,还是延迟到认证成功之后再对通信数据加密
#ClientAliveInterval 0                                 ##sshd(8)长时间没有收到客户端的任何数据,不发送"alive"消息 
#ClientAliveCountMax 3                                 ##sshd(8)在未收到任何客户端回应前最多允许发送多个"alive"消息,默认值是 3 
#UseDNS no                                             ##是否使用dns反向解析
#PidFile /var/run/sshd.pid                             ##指定存放SSH守护进程的进程号的路径
#MaxStartups 10:30:100                                 ##最大允许保持多少个未认证的连接
#PermitTunnel no                                       ##是否允许tun(4)设备转发
#Banner none                                           ##将这个指令指定的文件中的内容在用户进行认证前显示给远程用户,默认什么内容也不显示,"none"表示禁用这个特性
Subsystem    sftp    /usr/libexec/openssh/sftp-server  ##配置一个外部子系统sftp及其路径
#Match User anoncvs                                    ##引入一个条件块。块的结尾标志是另一个 Match 指令或者文件结尾     
AllowUsers                                             ##设置白名单,需手动添加
DenyUsers                                              ##设置黑名单,需手动添加

三、SSH服务端

ssh服务端主要包括两个服务功能:ssh远程连接和sftp服务.
作用:SSHD服务使用SSH协议可以用来远程控制,或在计算机之间传送文件
相比较之前用Telent方式传输文件要安全很多,因为Telent是明文件传输,SSH是加密传输

1.查询版本—— ssh -V

在这里插入图片描述

2.SSH远程登录

语法:ssh [远程主机用户名] @[远程服务器主机名或IP地址] -p port

在这里插入图片描述

语法:ssh -l [远程主机用户名] [远程服务器主机名或IP地址] -p port

在这里插入图片描述

3.监听端口修改

在这里插入图片描述
重启服务:systemctl restart sshd
使用另一台客户机进行远程登录
在这里插入图片描述

4.设置黑白名单

在这里插入图片描述
在这里插入图片描述

5.远程复制——scp

在这里插入图片描述

6.安全性传输——sftp

在这里插入图片描述

四、SSH服务的验证

1.SSH服务的两种验证方式

当密码验证和密钥验证同时开启时,服务器会优先使用密钥对验证

密码验证

对服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便,但从客户端角度来看,正在连接的服务器有可能会被假冒;从服务器角度来看,当遭遇密码暴力破解攻击时防御能力较弱。

密钥验证

密钥对验证:要求提供相匹配的密钥才能进行验证通过,通常先在客户端中创建一对密钥文件(公钥和私钥),然后将公钥文件放到服务器中指定位置,远程登录时,系统会使用公钥和私钥进行加密/解密关联验证,增加安全性,且可以免密交互登录。

3.公钥与私钥的关系

公钥和私钥是成对生成的,这两个密钥互不相同,可以互相加密和解密
不能根据一个密钥来推算另一个密钥
公钥对外公开,私钥只有私钥持有人才知道

4.在客户端创建密钥对

通过ssh-keygen 工具为当前用户创建密钥对文件。可用的加密算法为:RSA、ECDSA、或DSA等(-t是指定算法类型)

在这里插入图片描述
在这里插入图片描述

5.免交互验证

在这里插入图片描述
在这里插入图片描述

五、TCP Wrappers 访问控制

在Linux系统中,许多网络服务针对客户端提供了访问控制机制,如Samba、BIND、HTTPD、OpenSSH 等TCP wrappers将TCP服务程序"包裹"起来,代为监听TCP服务程序的端口,增加了一个安全检测过程,外来的连接请求必须先通过这层安全检测,获得许可后才能访问真正的服务程序。

1.TCP wrappers (TCP封套)

将tcp服务程序包裹起来,代为监听tcp服务程序的端口,增加了一个安全检测过程,外来的连接请求必须通过这层安全检测,获得许可后才能进访问真正的服务程序,TCP Wrappers 是大部分Linux 发行版默认提供的功能

2.TCP Wrappers 保护机制的实现方式

1.直接使用tcpd程序对其他服务程序进行保护,需要运行tcpd程序。
2.由其他网络服务程序调用libwrap.so.*链接库,不需要运行tcpd程序。此方式的应用更加广泛,也更有效率。

  • 使用 ldd 命令可以查看程序的libwrap.so.*链接库
    在这里插入图片描述

3.TCP Wrappers 访问策略

  • 为各种网络服务程序,针对访问服务的客户端地址进行访问控制,对应的策略文件为 /etc/hosts.allow/etc/hosts.deny分别来设置允许和拒绝访问
    语法:[服务程序列表]:[客户端地址列表]

  • 先检查 /etc/hosts.allow 文件,密钥则检查 /etc/hosts.deny 文件,若都没有相匹配的策略,则全部允许访问

赤壁战神曹阿瞒
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux实验——远程管理.doc
01-09
- **远程访问**:安装并配置完成后,技术人员可以通过URL(如`https://localhost.localdomain:10000/`)访问Webmin界面,进行远程管理。 - **配置Sendmail邮件服务器**:Webmin提供了一个图形化界面,使得对...
Linux学习第一天——ssh登录和软件安装详解
09-15
Linux学习的初期,掌握SSH登录和软件安装是至关重要的基础技能。SSH(Secure Shell)是一种加密的网络协议,用于在不安全的网络上安全地执行远程命令和传输数据。在本文中,我们将深入探讨如何在Ubuntu 16.04系统...
linux文件服务器的搭建,并支持远程访问
热门推荐
andylauren的专栏
04-23 2万+
开发环境:ubuntu 12.04 64 bit linux内核源码是通过http服务器和git代码管理来管理文件的,用户可以通过git方式下载,也可以通过http服务器的方式下载文件。之前一直在研究linux内核源码是如何通过http服务器下载的,对应的界面如下: 下面来介绍写如何搭建文件服务器,通过网页下载文件,之后使用花生壳进行内网穿透,最终实现远程访问的目的。 1.
linux下的ssh指令详解
AnChenliang_1002的博客
06-30 1万+
Linux系统环境下的SSH指令是远程连接与安全管理利器简介: 在现代的计算环境中,远程连接和安全管理是关键任务之一。而SSH(SecureShell)指令作为一种安全的远程连接协议,在Linux系统中扮演着重要的角色。本篇博客将以通俗易懂的方式,详细解析SSH指令的前世今生、功能、用法和应用场景,帮助读者全面理解和灵活运用SSH指令,并掌握其在问题排查和安全管理方面的应用。
linux远程访问控制
最新发布
aran2002的博客
04-29 970
TCP Wrappers 是一种基于主机的访问控制方法,它通过在 TCP 服务程序和客户端之间插入一个安全层,来增加对网络服务的访问控制和安全性。TCP Wrappers 的工作方式是在服务程序启动之前对连接请求进行检查,以确定是否允许连接到服务。如何判断是否支持 TCP Wrappers:执行命令 ldd $(which c程序名称) | grep libwrap$()作用:提取括号内命令的结果。
Linux网络服务----SSH
我的博客
04-21 6588
SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程 复制等功能;SSH 协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令;SSH 为建立在应用层和传输层基础上的安全协议。对数据进行压缩,加快传输速度。和ssh一样的通信协议还有telnet(端口号23),和ssh不一样的是ssh是密文传输数据,而telnet则是铭文传输,所以相对而言ssh的安全性更高一点。SSH优点对通信数据进行加密处理,包括登录名称和登陆的密码,所以安全性很高。
Linux 远程连接
weixin_47243236的博客
11-15 1万+
Linux 可部署在虚拟机中作为入门学习使用,Linux 更多的是作为服务器使用,服务器一般固定放在机房中,我们使用时就需要远程连接到服务器,来进行管理和维护。比如说,当你购买一台阿里的服务器,商家不可能发快递到家,也不用下载安装包配一遍服务器,我们只需要通过使用自己喜欢的远程连接工具,将远程服务器连接到本地,所以我们不用关心服务器在什么位置,用就是了。 1. Linux 连接工具 常用的连接工具:Xshell、MobaXterm、PCP、Putty、FinalShell… 工具很多,随便挑一两个会.
Linux远程访问控制SSH命令
2302_76410765的博客
04-20 3057
SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程 复制等功能;SSH 协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令;SSH 为建立在应用层和传输层基础上的安全协议。对数据进行压缩,加快传输速度。SSH客户端<--------------网络---------------->SSH服务端。
Linux系统SSH远程管理服务
ZHUZIH6的博客
12-13 2150
SSH远程管理服务介绍,命令scp与sftp,实验免密登录详细过程与ssh-agent的使用
Linux安全防护小技工丐——网络安全.pdf
09-06
例如,你可以设置只允许特定IP地址范围的主机使用SSH或FTP服务,这增强了对远程访问控制,减少了潜在的攻击面。 接着,使用PAM(可插拔认证模块)机制能极大地提高认证的安全性。PAM提供了一种框架,使得管理员...
Linux必学的60个命令(一)——安装和登录命令.pdf
09-07
30. `rcp`和`rlogin`:旧式的远程文件复制和登录命令,现在已被更安全的`scp`和`ssh`替代。 31. `finger`:获取用户信息,如登录名、终端、空闲时间和主目录。 32. `mail`:发送和接收电子邮件。 33. `nslookup`...
Linux远程操作
professor_tao的博客
07-02 2511
说明了Linux远程操作需要的软件Xshell和Xftp6,并详细介绍了操作的流程
Linux远程访问的 16 个最佳工具(一)
冷冻工厂
11-16 2724
使用Remote Access Plus,您可以远程控制各种Linux设备,例如运行在Ubuntu、Debian、Red Hat Enterprise Linux、Fedora、CentOS、Mandriva、OpenSuSE等上的设备,并且它还支持超过17种语言!ThinLinc 是一款高度安全且快速的 Linux 远程服务器,用于为位于任何地方并使用任何客户端设备(Linux、macOS、Windows 和 Web 浏览器)的多个用户发布 Linux 桌面和应用程序。
Linux 远程管理介绍(Telnet、SSH-SCP、VNC)
m0_49864110的博客
02-22 1580
查看启动的vnc服务(如果初始是直接使用vncpasswd配置的密码,则没有启用的vnc服务,需要使用vncserver命令来启用vnc窗口)VNC是虚拟网路控制台的缩写,指的是通过远程linux上,进行图形化界面的操作(ssh和telnet只是命令行的配置)将更改为VNC客户端登录使用的用户名,并将VNC客户端配置文件的路径更改,使其对应(本次更改为root用户)可以有多个不同的窗口(可以理解为每个客户端都有一个窗口),而不同窗口号对应的端口号也不同,具体的计算。
Linux下如何安装MySQL以及开放远程连接
qq_51027496的博客
08-09 2541
Linux安装mysql及远程配置连接
CentOS 安全配置
Jian Sun_的博客
09-23 729
CentOS 安全配置 忘记 root 密码 禁止进入单用户模式 减少开放终端个数 设置登录用户无操作超时自动退出 只允许 root登录, 禁止其他用户登录 只有wheel组的用户能切换至root用户 修改 账户 密码 系统账号管理 禁止 root 直接登录 设置 允许或禁止 登录的用户 修改系统 SSH 登录端口 设置同一个用户同时只能一个人登录 用户锁定 密码复杂度 命令设置密码有效期 密码定期修改 重设密码5次不能重复 登录错误不能超过5次, 超过5次锁定20分钟
Linux服务篇之远程访问控制SSH
FYR1018的博客
03-25 3568
文章目录1 SSH远程管理1.1 ssh概念1.2 SSH优点1.3 常见的ssh协议1.4 ssh原理1.4.1 登录2. 配置OpenSSH服务端2.1 sshd服务支持登录验证方式2.1.1 密码验证2.1.2 密钥对验证2.2 密钥常用配置项2.3 使用SSH客户端程序2.3.1 SSH远程登录3 TCP Wrappers访问控制3.1 TCP Wrappers概述3.2 OTCP Wrappers访问策略 1 SSH远程管理1.1 ssh概念SSH(Secure Shell)是一种安全通道协
linux ssh远程访问控制
weixin_56667320的博客
05-25 1797
文章目录一、SSH远程访问1、概念2、系统服务-openssh2.1、系统软件包2.2、服务名称:sshd2.3、服务端配置文件参数详解3、实操3.1、实验环境准备3.2、ssh远程登录3.2.1、未更改端口号3.2.2、更改端口号3.3、PermitRootLogin no #禁止root用户登录3.4、MaxAuthTries 6 #重试次数3.5、黑白名单二、SSH秘钥对验证1、概述2、加密算法2.1、对称加密2.2、非对称加密3、实例了解签名、公钥、私钥4、实操4.1、免密交互4.3、加密交互
如何实现Linux远程访问?
跌跌撞撞的小白
05-03 4730
在windows下使用SecureCRT工具实现Linux远程访问服务器
ssh远程访问linux
09-12
要使用SSH远程访问Linux系统,你需要按照以下步骤操作: 1. 首先,在你的本地计算机上打开终端或命令提示符窗口(Windows用户可以使用PuTTY等SSH客户端工具)。 2. 使用以下命令连接到远程Linux服务器:(假设远程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值