SSH远程管理和访问控制

已于 2023-01-19 20:36:22 修改
阅读量422 收藏
点赞数
分类专栏: Linux高级管理 文章标签: ssh 服务器 linux
于 2022-10-25 15:37:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_72651014/article/details/127514557
版权

SSH远程管理和访问控制

📒博客主页: 微笑的段嘉许博客主页

🎉欢迎关注🔎点赞👍收藏⭐留言📝

📌本文由微笑的段嘉许原创!

📆51CTO首发时间:🌴2022年10月日25🌴

✉️坚持和努力一定能换来诗与远方!

🙏作者水平很有限,如果发现错误,一定要及时告知作者哦!感谢感谢!

本文介绍

在此前的文章中曾陆续介绍了网站、FTP等各种网络服务,实际上给大多数企业服务器是通过远程登录的方式来进行管理的。当需要从一个工作站管理数以百计的服务器主机时,远程维护的方式将更占优势。本文将介绍如何针对Linux环境使用安全的方式远程管理,以及通过TCP Wreappers机制为应用提供访问控制。

📌导航小助手📌

文章目录

📝理论讲解:

SSH远程管理

​ SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方数据传输进行了加密处理,其中包括用户登录时输入的用户口令。与早期的Telent(远程登录)、RSH(Remote Shell,远程执行命令)、RCP(Remote Copy,远程文件复制)等应用相比、SSH协议提供了更好大的安全性。

OpenSSH服务器

​ 在CentOS 7.3系统中,OpenSSH服务器openssh、openssh-server等软件包提供(默认已安装),并已将sshd添加为标准的系统服务。执行"systemctl start sshd"命令即可启动sshd服务,包括root在内的大部分用户(只需要拥有合法的登录Shell)都可以远程登录系统。

​ sshd服务的配置文件默认位于/etc/ssh/ssd_config目录下,正确调整相关配置项,可以进一步提高SShd远程的安全性。

服务器监听选项

​ sshd服务使用的默认端口号为22,必要时建议修改此端口号,并指定监听服务的具体IP地址,以提高在网络中的隐蔽性。除此之外,SSH协议的版本选用V2比V1的安全性要更好,禁用DNS反向解析可以提高服务器的响应速度。

[root@localhost ~]# vim /etc/ssh/sshd_config
port 22										//监听端口为22
ListenAddress 192.168.10.22					//监听地址为192.168.10.22
Protocol 2									使用SSH V2版本
……
UseDNS no									//禁用DNS反向解析
……
[root@localhost ~]# systemctl start sshd

用户登录控制

​ sshd服务默认允许root用户登录,但在Internet中使用时是非常不安全的。普遍的做法如下:

先以普通用户远程登入,进入安全Shell环境后,根据实际需要使用su命令切换为root用户。

​ 关于sshd服务的用户登录控制,通常应禁止root用户或密码为空的用户登录。另外,可以限制登录验证的时间(默认为2分钟)及最大重试次数,若超过限制后仍未能登录则断开连接。

登录验证方式

​ 对于服务器的远程管理,除了用户账号的安全控制以外,登录验证的方式也非常重要。sshd服务支持两种验证方式——密码验证、密钥对验证,可以设置只使用其中一种方式,也可以两种方式都启用。

  • 密码验证:对服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便,但从客户端角度来看,正在连接的服务器有可能被假冒;从服务器角度来看,当遭遇密码穷举(暴力破解)攻击时防御能力比较弱。
  • 密钥对验证:要求提供相匹配的密钥才能通过验证。通常先在客户端中创建一对密钥文件(公钥、私钥),然后将公钥文件放到服务器中的指定位置。远程登录时,系统将使用时公钥、私钥进行加密/解密关联验证,大大增强了远程管理的安全性。该方式不易被假冒,且可以免交互式登录,在Shell中被广泛使用。

当密码验证、密钥对验证都启用时,服务器优先使用密钥对验证。对于安全性要求较高服务器,建议将密码验证方式禁用,只允许启用密钥对验证方式;若没有特殊要求,则两种方式都可以启用。

[root@localhost ~]# vim/etc/ssh/sshd_config
PasswordAuthentication yes					//启用密码验证
PubkeyAuthentication yes					//启用密钥对验证
AuthorizedKeysFile	.ssh/authorized_keys	//指定公钥库文件
……
[root@localhost ~]# systemctl restart sshd

其中,公钥库文件用来保存多个客户端上传的公钥文本,以便与客户端本地的私钥文件进行匹配。关于密钥验证方式的使用,还涉及密钥对文件的创建、部署等操作

TCP Wrappers访问控制

​ 在Linux系统中,许多网络服务针对客户端提供了访问控股之机制,如Samba、BIND、HTTPD、OpnSSH等。本文将介绍另一种防护机制——TCP Wrappers(TCP 封套),以作为应用服务与网络之间的一道特殊防线,提供额外的安全保障。

TCP Wrappers概述

​ TCP Wrappers将TCP服务程序" 包裹 "起来,代为监听TCP服务程序的端口,增加了uige安全检测过程,外来的连接请求必须先通过这层安全检测,获得许可后才能访问真正的服务程序,如下图所示。TCP Wrappers还可以记录所有企图访问被保护服务的行为,为管理员提供丰富的安全分析资料。

对于大对数Linux发行版,TCP Wrappers是默认提供的功能。CentOS 7.2中是使用的软件包是tcp_wrappers-7.6-77.e17 .x86_64.rpm,该软件包提供了执行程序tcpd和共享链接库文件libwrap.so.*,对应TCP Wrapper保护机制的两种实现方式——直接使用tcpd程序对其他服务器进行保护,需要运行tcpd;由其他网络服务程序调用libwrap.so.*链接库,不需要运行tcpd程序。

​ 通常,链接库方式的应用要更加广泛,也更有效率。例如,vsftpd、sshd及超级服务器xinetd等,都调用了libwrap共享库(使用ldd命令可以查看程序的共享库)。

[root@localhost ~]#ldd /usr/sbin/sshd | grep "libwrap"
 libwrap.so.0 => /lib64/libwrap.so.0 (0x00007fb178fce000)

📢友情提示:

​ xinetd是一个特殊的服务管理程序,通常被称为超级服务器。xinetd通过在/etc/xinetd.d目录下为每个被保护的程序建立一个配置文件,调用TCP Wrappers机制来提供额外的访问控制保护。

TCP Wrappers的访问策略

​ TCP Wrappers机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制。对应的两个策略文件为/etc/hosts.allow和/etc/hosts.deny,分别用来设置允许和拒绝的策略。

策略的配置格式

​ 两个策略文件的作用相反,但配置记录的格式相同,如下所示。

<服务程序列表>: <客户端地址列表>

服务程序列表、客户端地址列表之间以冒号分隔,在每个列表内的多个项之间以逗号分隔。

  1. 服务程序列表

    服务程序列表可分为以下几类。

    • ALL:代表所有的服务
    • 单个服务程序:如"vsftpd"
    • 多个服务程序组成的列表:如"vsftpd,sshd"。

  2. 客户端地址列表

    客户端地址列表可分为以下几类

    • ALL:代表任何客户端地址

    • LOCAL:代表本机地址

    • 单个IP地址:如"192.168.4.4"

    • 网络段地址:如"192.168.4.0/255/255/255/0"

    • 以" . “开始的域名:如” .bdqn.com "匹配bdqn.com域中的所有主机。

    • 以" . “结束的网络地址:如” 192.168.4. "匹配整个192.168.4.0/24网段、

    • 嵌入通配符" * " " ? “:前者代表任意长度字符,后者仅代表一个字符,如” 10.0.8.2* “匹配以10.0.8.2开头的所有IP地址。不可与以” . "开始或结束的模式混用。

    • 多个客户端弟子组成的列表:如" 192.168.1. ,172.16.16. ,.bdqn.com"。

    访问控制的基本原则

    ​ 关于TCP Wrappers机制的访问策略,应用时遵循以下顺序和原则:首先检查/etc/hosts.allow文件,如果找到相匹配的策略,则允许访问;否则继续检查/etc/hosts.deny文件如果找到相匹配的策略,则拒绝访问;如果检查上述两个文件都找不到相匹配的策略,则允许访问。

    TCP Wrappers配置实例

    ​ 实际使用TCP Wrappers机制时,较宽松的策略可以是"允许所有,拒绝个别",较严格的策略是"允许个别,拒绝所有"。前者只需在hosts.deny文件中添加相应的拒绝策略就可以了;后者则除了在hosts.allow中添加允许策略之外,还需要在hosts.deny文件中设置"ALL:ALL"的拒绝策略。

    ​ 例如,若只希望从IP地址为61.63.67的主机或者位于192.168.2.0/24网段的主机访问sshd服务,其他地址被拒绝,可以执行以下操作。

[root@localhost ~]# vi /etc/hosts.allow
sshd:61.63.65.67,192.168.2.*
[root@localhost ~]# vi /etc/hosts.deny
sshd:ALL

📖实验配置与实现:

拓扑图

image-20221025152649601

推荐步骤

  • 安装 ssh 服务器端和客户端设置服务开机自动启动,配置身份验证的 ssh,保证 ssh 服务器的安全性禁止为空密码访问,将 ssh 服务器端口修改为 2222,在 ssh 服务器端创建 bob 和 tom 两个用户允许客户端 192.168.100.20 登录 bob 和 root 账户,禁止 tom用户通过 192.168.100.20 登录

  • 配置免交互式身份验证 ssh,允许 Centos03 使用 root 用户和 alice 用户免交互式访问ssh 服务器端,配置访问控制阻止主机 192.168.100.30 访问 ssh 服务器

实验步骤:

一、安装 ssh 服务器端配置身份验证 ssh 限制用户访问

1、挂载系统盘安装服务

1) 挂载系统盘

image-20221025151817365

2)安装服务器端和客户端

image-20221025151842736

3)设置服务开机自动启动

image-202210251518519762、创建验证账户配置密码

1)创建验证账户 bob、tom

image-20221025151859538

2)设置密码

3、配置 SSH 服务器控制用户访问

1)修改 ssh 主配置文件

image-20221025151936736

image-20221025151943041

2)重启启动服务监听端口

image-20221025151954850

4、验证配置账户密码 ssh 服务器端

1)允许 bob 通过 192.168.100.20 登录

image-20221025152001583

2)禁止 tom 通过 192.168.100.20 登录

image-20221025152009087

3)允许 root 通过 192.168.100.20 登录

image-20221025152017419

二、配置免交互式身份验证 ssh,允许 Centos03 使用 root 用户和 alice 用户免交互式访问 ssh 服务器端,配置访问控制拒绝 192.168.100.30 访问 ssh 服务

1、修改 ssh 服务器支持免交互式验证

1)修改主配置文件

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1dDfA1J2-1666683267015)(https://gitee.com/wxddjx/duanjiaxu/raw/master/img/20221025152036.png)]

2)重新启动服务

image-20221025152041550

2、配置客户端 root 用户免交互式验证

1)生成密钥对

image-20221025152046711

2)上传公钥到远程访问服务器

image-20221025152052859

3)验证使用 root 登录

image-20221025152058436

3、配置使用 alice 用户身份验证免交互式验证

1)创建 alice 用户设置密码

image-20221025152105918

2)切换到 alice 用户生成密钥对

image-20221025152114619

3)上传公钥

image-20221025152121041

4)alice 登录远程服务器

image-20221025152132193

4、配置访问控制限制 192.168.100.30 主机访问 ssh 服务

1)配置访问控制

image-20221025152141125

2) 验证远程管理无法访问

image-20221025152146815

🙏作者水平很有限,如果发现错误,一定要及时告知作者哦!感谢感谢!

img

微笑的小许
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ssh安全远程管理学习总结
m0_59849628的博客
10-13 539
一、概念 1.ssh是secure shell的缩写,建立在应用层的安全远程管理协议,是目前比较可靠的传输协议,在远程登录会话和其他网络服务可以有效的保证其安全性,也可以有效的防止远程管理过程中出现的信息泄露问题。ssh默认使用22端口,采用密文方式传输。 2.验证方式 ①基于密码验证:使用账户名和密码来验证登录 ②基于密匙验证:需要在本地生成密匙对,然后把其公匙传到服务器中,与服务器中的公匙比较验证;这种方式比较安全,与密匙文件内容相...
SSH远程访问控制
weixin_44841019的博客
04-17 850
目录 SSH远程管理 ●配置OpenSSH服务端 ●使用SSH客户端程序 ●密钥对验证的SSH体系 TCP Wrappers访问控制 ●TCP Wrappers概述 ●TCP Wrappers访问策略 SSH是什么? SSH (Secure Shell)协议 (密文加密) 注意:telnet是(明文加密) ●是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。 ●SSH协议:用于远程管理,对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令; ●SSH:为建立
防火墙应用层过滤
微笑的段嘉许的博客
10-12 1262
面对各种🐓行为,华为欸防火墙提供了强大的防护能力、VPN功能及应用层的探测识别技术。而应用层过滤技术则可以更有针对性地加固企业地安全建设。所谓的应用层过滤,就是针对OSI的七层报头做检查,其工作效率虽然比传统的包过滤防火墙低,但是其对安全性的提升确是普通防火墙所不具备的。加之随着计算机的发展,今天的硬件处理速度已经不再成为网络瓶颈,所以一款防火墙是否具备应用层探测,能够探测多少应用已经成为衡量防火墙好坏的主要标准。本文重点介绍华为的应用层技过滤技术和实验配置。
ssh安全远程管理
A_Apprentice的博客
07-08 1294
ssh安全远程管理
ubuntu16.04安装ssh服务并实现远程访问的方法
09-15
在完成以上步骤后,你应该能够成功地通过SSH远程访问你的Ubuntu 16.04系统。请注意,允许root用户通过SSH登录可能会增加系统的安全风险,因此在生产环境中建议使用非root用户并设置公钥认证,以提高安全性。 总结来...
Windows远程访问管理工具
09-08
BvSshClient-Inst.exe和BvSshServer-Inst.exe这两个文件可能是第三方提供的SSH工具,旨在为用户提供安全的远程管理功能,同时也可能支持自动化操作,以提升IT运维效率。对于系统管理员而言,掌握这样的工具是必备...
linux-远程管理SSH密钥以控制对主机的访问
08-13
本主题将深入探讨如何远程管理SSH密钥来控制对主机的访问。 首先,SSH密钥对的生成是通过`ssh-keygen`命令完成的。执行此命令时,系统会提示您选择加密算法(通常默认为RSA或ED25519),并输入两次密码(可选,用于...
SecureCRT(含远程登陆控制和FTP功能)
12-10
它提供了安全的远程登录功能,支持多种协议,包括SSH1、SSH2、Telnet、Rlogin和Serial,使得用户能够安全地访问管理远程服务器。这款软件的中文绿色版简化了安装过程,用户只需下载并解压缩即可开始使用,非常适合...
实现远程控制linux系统和实现linux系统文件共享.doc
11-30
远程控制Linux系统和实现Linux系统文件共享是非常重要的主题,尤其是在企业或个人需要远程访问管理Linux系统时。在这种情况下,需要一种安全可靠的远程控制方式,以保护数据的安全。 SSH(Secure Shell)是一种...
UWA学堂上新|服务器AOI(Area Of Interest)算法和功能实现
UWA—简单优化,优化简单!
07-12 403
基于.NetCore开发MMORPG分布式游戏服务器系列篇6
服务器网络配置
weixin_51338719的博客
07-16 353
服务器网络配置大体流程:硬件选择——系统安装——驱动调用——网卡配置
【服务器】端口映射
2301_82023330的博客
07-11 1072
端口映射(Port Mapping)是一种网络技术,通过将一个端口的数据流重定向到另一个端口,允许外部设备访问内部网络中的特定服务。主要有本地端口映射、远程端口映射和动态端口映射三种类型。应用场景包括远程访问内部服务、穿透防火墙、提高安全性以及负载均衡和代理。本文详细介绍了端口映射的概念、类型、应用场景,并通过SSH命令示例展示如何在本地计算机上实现端口映射,以访问远程服务器上的服务。
搭建远程控制(远程桌面)服务器
最新发布
07-16 205
搭建一个属于自己的远程控制服务器,操作简单,一次成功。服务端电脑不需要设置,只需要设置路由器或光猫的防火墙。客户端的安装很简单,设置按截图操作即可。
Linux中的文件夹作用
qq_36634055的博客
07-16 257
这里放的是系统管理员(超级用户)使用的特殊工具,就像是工具箱里的专业工具,比如ifconfig(网络配置)、fdisk(磁盘分区)等,普通用户一般用不到。:这个目录存放了一些基本的用户命令,就像是工具箱里常用的工具,比如ls(列出文件)、cp(复制文件)等,这些命令对于普通用户和系统管理员都是可用的。:这个目录存放了各种可变数据,包括日志文件、邮件队列、打印队列等,就像是家里放杂物的地方,随着时间的推移,里面的东西会不断变化。:这里放的是可选的软件包,就像是额外的娱乐设施,可以根据需要添加。
深入解析 Python 文件操作利器 —— shutil
阔码人生
07-16 355
shutil库作为 Python 文件操作的利器,为我们提供了丰富且强大的功能,从文件的复制、移动、重命名到文件的压缩与解压缩,无所不包。通过灵活运用shutil库,您可以高效地管理和操作文件,极大提升工作效率。希望本文能帮助您全面掌握shutil库的各种技巧,在实际应用中得心应手。
OSPF综合实验
sgg236的博客
07-16 424
8. 设置特殊区域(优化非骨干区域),area1完全末梢,area3,area2完全非纯末梢,会自动下发缺省(就能够访问R4环回)7. 路由聚合(优化骨干),R3,5,6,7传入区域聚合,R9(进程1),12(ospf协议视图)ASBR聚合。3. 配置MGRE,R3为中心站点,ospf宣告隧道。接口模式下ospf timer hello 5。9. 加快收敛,修改Hello时间。10. 保证更新安全,采用区域认证。4. 修改接口类型,取消选举。5. 多进程重发布area4。6. 配置easyIP。
WSGI 服务器教程:`execute` 方法解析
jixiaoyu0209的博客
07-11 519
通过本教程,我们详细解析了一个用于 WSGI 服务器的execute方法,解释了它如何执行 WSGI 应用程序,处理应用程序的响应数据,并确保资源被正确释放。理解这些内容有助于更好地掌握 WSGI 规范,并实现自定义的 WSGI 服务器。希望这篇教程对你有所帮助。更多详细信息和示例请参考官方文档。
暴雨让服务器不怕热҈热҈热҈热҈
BAOYUCompany的博客
07-13 410
据统计目前市场上冷板式液冷占总体液冷份额的90%以上,原因在于它的成本低,并且技术以及配套的产业链更为成熟,同时,冷板式与风冷在运维上差异较小,使用习惯一致,市场接受程度更高。从更长远的角度考虑,浸没式液冷的散热效率远优于冷板式液冷,随着服务器功率的攀升,未来液冷的终极一定是浸没式液冷。从目前市场价格来看,液冷的应用成本明显高于传统风冷,但从技术迭代材料设备改进等长远角度来看,随着单千瓦散热成本快速下降,成本拐点或将不久将来出现,液冷TCO优势逐渐显著,随之迎来的将会是液冷市场大规模应用大爆发。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

微笑的小许

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值