远程访问及控制

一：SSH 远程管理

SSH （ Secure Shell ）是一种安全通道协议，主要用来实现字符界面的远程登录、远程

复制等功能。 SSH 协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入

的用户口令。与早期的 Telent （远程登录）、 RSH （ Remote Shell ，远程执行命令）、 RCP

（ Remote File Copy ，远程文件复制）等应用相比， SSH 协议提供了更好的安全性。

一：配置 OpenSSH 服务端

在 CentOS 7.3 系统中， OpenSSH 服务器由 openssh 、 openssh-server 等软件包提供

（默认已安装），并已将 sshd 添加为标准的系统服务。执行 “systemctl start sshd” 命令即可

启动 sshd 服务，包括 root 在内的大部分用户（只要拥有合法的登录 Shell ）都可以远程登

录系统。

1．服务监听选项

sshd 服务使用的默认端口号为 22 ，必要时建议修改此端口号，并指定监听服务的具体

IP 地址，以提高在网络中的隐蔽性。除此之外， SSH 协议的版本选用 V2 比 V1 的安全性要

更好，禁用 DNS 反向解析可以提高服务器的响应速度。

[root@localhost ~]# vim /etc/ssh/sshd_config

Port 22                                                   //监听端口为 22

ListenAddress 172.16.16.22                 //监听地址为 172.16.16.22

Protocol 2                                             //使用 SSH V2 协议

……                                                     //省略部分内容

UseDNS no                                       

……                                                    //省略部分内容

[root@localhost ~]# systemctl restart sshd

2．用户登录控制

sshd 服务默认允许 root 用户登录，但在 Internet 中使用时是非常不安全的。普遍的做

法如下：先以普通用户远程登入，进入安全 Shell 环境后，根据实际需要使用 su 命令切换

为 root 用户。

关于 sshd 服务的用户登录控制，通常应禁止 root 用户或密码为空的用户登录。另外，

可以限制登录验证的时间（默认为 2 分钟）及最大重试次数，若超过限制后仍未能登录则

断开连接。

[root@localhost ~]# vim /etc/ssh/sshd_config

LoginGraceTime 2m                                      //登录验证时间为 2 分钟

PermitRootLogin no                                      //禁止 root 用户登录

MaxAuthTries 6                                            //最大重试次数为 6

PermitEmptyPasswords no                          //禁止空密码用户登录

……                                                             //省略部分内容

[root@localhost ~]# systemctl restart sshd

当希望只允许或禁止某些用户登录时，可以使用 AllowUsers 或 DenyUsers 配置，两者

用法类似（注意不要同时使用）。例如，若只允许 jerry 、 tsengyia 和 admin 用户登录，且其

中 admin 用 户 仅 能 够 从 IP 地 址 为 61.23.24.25 的 主 机 远 程 登 录 ， 则 可 以 在

/etc/ssh/sshd_config 配置文件中添加以下配置。

[root@localhost ~]# vim /etc/ssh/sshd_config

……                                                                                    //省略部分内容

AllowUsers jerry tsengyia admin@61.23.24.25             //多个用户以空格分隔

[root@localhost ~]#

3．登录验证方式

对于服务器的远程管理，除了用户账号的安全控制以外，登录验证的方式也非常重要。

sshd 服务支持两种验证方式 —— 密码验证、密钥对验证，可以设置只使用其中一种方式，

也可以两种方式都启用。

[root@localhost ~]# vim /etc/ssh/sshd_config

PasswordAuthentication yes                                             //启用密码验证

PubkeyAuthentication yes                                                //启用密钥对验证

AuthorizedKeysFile .ssh/authorized_keys                       //指定公钥库文件

……                                                                                 // 省略部分内容

[root@localhost ~]# systemctl restart sshd

二： 使用 SSH 客户端程序

在 CentOS 7.3 系统中， OpenSSH 客户端由 openssh-clients 软件包提供（默认已安

装），其中包括 ssh 远程登录命令，以及 scp 、 sftp 远程复制和文件传输命令等。实际上，

任何支持 SSH 协议的客户端程序都可以与 OpenSSH 服务器进行通信，如 Windows 平台

中的 Xshell 、 SecureCRT 、 Putty 等图形工具。

1．命令程序 ssh、scp、sftp

1.ssh 远程登录

通过 ssh 命令可以远程登录 sshd 服务，为用户提供一个安全的 Shell 环境，以便对服

务器进行管理和维护。使用时应指定登录用户、目标主机地址作为参数。例如，若要登录主机 172.16.16.22 ，以对方服务器的 tsengyia 用户进行验证，可以执行以下操作

[root@localhost ~]# ssh tsengyia@172.16.16.22

The authenticity of host '172.16.16.22 (172.16.16.22)' can't be established.

ECDSA key fingerprint is d9:61:d2:c4:72:a8:16:b2:7b:94:04:4d:f0:c2:2b:b9.

Are you sure you want to continue connecting (yes/no)? yes        //接受密钥

Warning: Permanently added '172.16.16.22' (ECDSA) to the list of known hosts.

tsengyia@172.16.16.22's password:                                              //输入密码

当用户第一次登录 SSH 服务器时，必须接受服务器发来的 ECDSA 密钥（根据提示输

入 “yes” ）后才能继续验证。接收的密钥信息将保存到～ /.ssh/known_hosts 文件中。密码验

证成功以后，即可登录目标服务器的命令行环境中了，就好像把客户端的显示器、键盘连接

到服务器一样。

[tsengyia@localhost ~]$ whoami                                  //确认当前用户

tsengyia

[tsengyia@localhost ~]$ ifconfig ens33 | grep "inet "                                                                                                                                                            //确认当前主机地址（引号内有空格）

inet 172.16.16.22 netmask 255.255.255.0 broadcast 172.16.16.255

如果 sshd 服务器使用了非默认的端口号（如 2345 ），则在登录时必须通过 “-p” 选项指定

端口号。例如，执行以下操作将访问主机 192.168.4.22 的 2345 端口，以对方服务器的 jerry

用户验证登录。

[root@localhost ~]# ssh -p 2345 jerry@172.16.16.22

jerry@172.16.16.22's password:                         //输入密码

[jerry@localhost ~]$

2.scp 远程复制

通过 scp 命令可以利用 SSH 安全连接与远程主机相互复制文件。使用 scp 命令时，除

了必须指定复制源、目标之外，还应指定目标主机地址、登录用户，执行后根据提示输入验

证口令即可。例如，以下操作分别演示了下行、上行复制的操作过程，将远程主机中的

/etc/passwd 文件复制到本机，并将本机的 /etc/vsftpd 目录复制到远程主机。

oot@localhost ~]# scp root@172.16.16.22:/etc/passwd /root/pwd254.txt

root@172.16.16.22's password:

passwd

100% 2226

2.2KB/s

00:00

[root@localhost ~]# scp -r /etc/vsftpd/ root@172.16.16.22:/opt

root@172.16.16.22's password:

ftpusers                                              100% 125              0.1KB/s             00:00

user_list                                             100% 361               0.4KB/s            00:0 

vsftpd.conf                                         100% 5030             4.9KB/s            00:00

vsftpd_conf_migrate.sh                     100% 338               0.3KB/s            00:00

3.sftp 安全 FTP

通过 sftp 命令可以利用 SSH 安全连接与远程主机上传、下载文件，采用了与 FTP 类

似的登录过程和交互式环境，便于目录资源管理。例如，以下操作依次演示了 sftp 登录、

浏览、文件上传等过程。

[root@localhost ~]# sftp tsengyia@172.16.16.22

Connecting to 172.16.16.22...

tsengyia@172.16.16.22's password:                               //输入密码

sftp> ls

sftp> put /boot/config-3.10.0-514.el7.x86_64               //上传文件

Uploading /boot/config-3.10.0-514.el7.x86_64 to

/home/tsengyia/config-3.10.0-514.el7.x86_64

/boot/config-3.10.0-514.el7.x86_64                100%              103KB 68.0KB/s                 00:00

sftp> ls                                   config-3.10.0-514.el7.x86_64

sftp> bye                                //退出登录

[root@localhost ~]#

2．图形工具 Xshell

图形工具 Xshell 是 Windows 下一款功能非常强大的安全终端模拟软件，支持 Telnet 、

SSH 、 SFTP 等协议，可以方便地对 Linux 主机进行远程管理。

安装并运行 Xshell 后，在新建会话窗口中指定远程主机的 IP 地址、端口号等相关信息，

然后单击 “ 连接 ” 按钮，根据提示接受密钥、验证密码后即可成功登录目标主机。

三.构建密钥对验证的 SSH 体系

正如前面所提及的，密钥对验证方式可以为远程登录提供更好的安全性。下面将介绍

在 CentOS 7.3 服务器、客户端中构建密钥对验证 SSH 体系的基本过程。如图 4.2 所示，

以 RSA 加密算法为例，整个过程包括四步，首先要在 SSH 客户端以 zhangsan 用户身份

创建密钥对，并且要将创建的公钥文件上传至 SSH 服务器端，然后要将公钥信息导入服务

器端的目标用户 lisi 的公钥数据库，最后以服务器端用户 lisi 的身份登录验证。

1．在客户端创建密钥对

在 CentOS 7.3 客户端中，通过 ssh-keygen 工具为当前用户创建密钥对文件。可用的

加密算法为 RSA 、 ECDSA 或 DSA 等（ ssh-keygen 命令的 “-t” 选项用于指定算法类型）。例

如，以 zhangsan 用户登录客户端，并生成基于 ECDSA 算法的 SSH 密钥对（公钥、私钥）

文件，操作如下所示。

[zhangsan@localhost ~]$ ssh-keygen -t ecdsa

Generating public/private ecdsa key pair.

Enter file in which to save the key (/home/zhangsan/.ssh/id_ecdsa):                  //指定私钥位置

Created directory '/home/zhangsan/.ssh'.

Enter passphrase (empty for no passphrase):                                                    //设置私钥短语

Enter same passphrase again:                                                                           //确认所设置的短语

Your identification has been saved in /home/zhangsan/.ssh/id_ecdsa.

Your public key has been saved in /home/zhangsan/.ssh/id_ecdsa.pub.

The key fingerprint is:

……                                           //省略部分内容

上述操作过程中，提示指定私钥文件的存放位置时，一般直接按 Enter 键即可，最后生

成的私钥、公钥文件默认存放在宿主目录中的隐藏文件夹 .ssh 下。私钥短语用来对私钥文

件进行保护，当使用该私钥验证登录时必须正确提供此处所设置的短语。尽管不设置私钥短

语也是可行的（实现无口令登录），但在生产环境中不建议这样做。

[zhangsan@localhost ~]$ ls -lh ~/.ssh/id_ecdsa*                             //确认生成的密钥文件

-rw------- 1 zhangsan zhangsan 227 8 月 14 19:45 /home/zhangsan/.ssh/id_ecdsa

-rw-r--r-- 1 zhangsan zhangsan 192 8 月 14 19:45 /home/zhangsan/.ssh/id_ecdsa.pub

新生成的密钥对文件中， id_ecdsa 是私钥文件，权限默认为 600 ，对于私钥文件必须

妥善保管，不能泄露给他人； id_ecdsa.pub 是公钥文件，用来提供给 SSH 服务器。

2．将公钥文件上传至服务器

将上一步生成的公钥文件上传至服务器，并部署到服务器端用户的公钥数据库中。上传

公钥文件时可以选择 SCP 、 FTP 、 Samba 、 HTTP 甚至发送 E-mail 等任何方式。例如，可

以通过 SCP 方式将文件上传至服务器的 /tmp 目录下。

[zhangsan@localhost ~]$ scp ~/.ssh/id_ecdsa.pub root@172.16.16.22:/tmp

3．在服务器中导入公钥文本

在服务器中，目标用户（指用来远程登录的账号 lisi ）的公钥数据库位于～ /.ssh 目录，

默认的文件名是 “authorized_keys” 。如果目录不存在，需要手动创建。当获得客户端发送过

来的公钥文件以后，可以通过重定向将公钥文本内容追加到目标用户的公钥数据库。

[root@localhost ~]# mkdir /home/lisi/.ssh/

[root@localhost ~]# cat /tmp/id_ecdsa.pub >> /home/lisi/.ssh/authorized_keys

[root@localhost ~]# tail -1 /home/lisi/.ssh/authorized_keys

ecdsa-sha2-nistp256

AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBLJSnBhscYBfnnHxSY

AJEBD4sNkTLMF7itcFGM33RdeXU89QNQkMnCrCJHzAlZURrzpXG6Mp62mz9gRXUnARk8s

=

zhangsan@localhost

在公钥库 authorized_keys 文件中，最关键的内容是 “ecdsa-sha2-nistp256 加密字串 ”

部分，当导入非 ssh-keygen 工具创建的公钥文本时，应确保此部分信息完整，最后的

“zhangsan@localhost” 是注释信息。

由于 sshd 服务默认采用严格的权限检测模式（ StrictModes yes ），因此还需注意公钥

库文件 authorized_keys 的权限 —— 要求除了登录的目标用户或 root 用户，同组或其他用户

对该文件不能有写入权限，否则可能无法成功使用密钥对验证。

[root@localhost ~]# ls -l /home/lisi/.ssh/authorized_keys

-rw-r--r-- 1 root root 192 8 月 14 19:49 /home/lisi/.ssh/authorized_keys

除此之外，应确认 sshd 服务是否支持密钥对验证方式。

4．在客户端使用密钥对验证

当私钥文件（客户端）、公钥文件（服务器）均部署到位以后，就可以在客户端中进行

测试了。首先确认客户端中当前的用户为 zhangsan ，然后通过 ssh 命令以服务器端用户 lisi

的身份进行远程登录。如果密钥对验证方式配置成功，则在客户端将会要求输入私钥短语，以

便调用私钥文件进行匹配（若未设置私钥短语，则直接登入目标服务器）

[zhangsan@localhost ~]$ ssh lisi@172.16.16.22

[lisi@localhost ~]$ whoami

lisi                                          //成功登录服务器

经过 “ 客户端创建密钥对 ” 、 “ 将公钥上传至服务器 ” 、 “ 在服务器中导入公钥文本 ” 与 “ 在客

户端使用密钥对验证 ” 四个步骤， SSH 密钥对验证体系已经构建完成。

而在上述步骤中，第二步和第三步其实可以采用另外一种方法实现，即使用 “ssh-copy-id

-i 公钥文件 user@host” 格式， “-i” 选项指定公钥文件， “user” 是指目标主机的用户。验证密

码后，会将公钥自动添加到目标主机 user 宿主目录下的 .ssh/authorized_keys 文件结尾。

[zhangsan@localhost ~]$ ssh-copy-id -i ~/.ssh/id_ecdsa.pub lisi@172.16.16.22

/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter

out any that are already installed

/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are

prompted now it is to install the new keys

lisi@172.16.16.22's password:                                //输入 lisi 的密码

Number of key(s) added: 1

Now try logging into the machine, with:

"ssh 'lisi@172.16.16.22'"

and check to make sure that only the key(s) you wanted were added.

查看服务器中目标用户 lisi 的公钥数据库如下。

[root@localhost ~]# ls -l /home/lisi/.ssh/authorized_keys

-rw------- 1 lisi lisi 192 8 月 14 19:46 /home/lisi/.ssh/authorized_keys

[root@localhost ~]# tail -1 /home/lisi/.ssh/authorized_keys

ecdsa-sha2-nistp256

AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBLJSnBhscYBfnnHxSY

AJEBD4sNkTLMF7itcFGM33RdeXU89QNQkMnCrCJHzAlZURrzpXG6Mp62mz9gRXUnARk8s

=

zhangsan@localhost

ssh-copy-id 命令在上传公钥文件到服务器的时候，具有简单、快捷的优点，可优先使

用此命令上传公钥，但通过 SCP 命令拷贝再导入的方式具有通用性，可应对没有 ssh-copy-id

命令的情况。

4.2 TCP Wrappers 访问控制

在 Linux 系统中，许多网络服务针对客户端提供了访问控制机制，如 Samba 、 BIND 、

HTTPD 、 OpenSSH 等。本节将介绍另一种防护机制 ——TCP Wrappers （ TCP 封套），以作

为应用服务与网络之间的一道特殊防线，提供额外的安全保障。

1.TCP Wrappers 概述

TCP Wrappers 将 TCP 服务程序 “ 包裹 ” 起来，代为监听 TCP 服务程序的端口，增加了

一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得许可后才能访问真正的服务程序。对于大多数 Linux 发行版，TCP Wrappers 是默认提供的功能。CentOS 7.3 中使用的软件包是 tcp_wrappers-7.6-77.el7.x86_64.rpm，该软件包提供了执行程序 tcpd 和共享链接库文件 libwrap.so.*，对应 TCP Wrapper 保护机制的两种实现方式——直接使用 tcpd 程序

对其他服务程序进行保护，需要运行 tcpd ；由其他网络服务程序调用 libwrap.so.* 链接库，

不需要运行 tcpd 程序。

通常，链接库方式的应用要更加广泛，也更有效率。例如， vsftpd 、 sshd 及超级服务器

xinetd 等，都调用了 libwrap 共享库（使用 ldd 命令可以查看程序的共享库）。

[root@localhost ~]# ldd /usr/sbin/sshd | grep "libwrap"

libwrap.so.0 => /lib64/libwrap.so.0 (0x00007fb178fce000)

注意： xinetd 是一个特殊的服务管理程序，通常被称为超级服务器。 xinetd 通过在

/etc/xinetd.d 目录下为每个被保护的程序建立一个配置文件，调用 TCP Wrappers 机制

来提供额外的访问控制保护。

2.TCP Wrappers 的访问策略

TCP Wrappers 机制的保护对象为各种网络服务程序，针对访问服务的客户端地址进行

访问控制。对应的两个策略文件为 /etc/hosts.allow 和 /etc/hosts.deny ，分别用来设置允许和

拒绝的策略。

 1．策略的配置格式

两个策略文件的作用相反，但配置记录的格式相同，如下所示。

< 服务程序列表 >: < 客户端地址列表 >

服务程序列表、客户端地址列表之间以冒号分隔，在每个列表内的多个项之间以逗号分

隔。

（1）服务程序列表

服务程序列表可分为以下几类。

ALL ：代表所有的服务。

单个服务程序：如 “vsftpd” 。

多个服务程序组成的列表：如 “vsftpd,sshd” 。

（2）客户端地址列表

客户端地址列表可分为以下几类。

ALL ：代表任何客户端地址。

  LOCAL ：代表本机地址。

单个 IP 地址：如 “192.168.4.4” 。

网络段地址：如 “192.168.4.0/255.255.255.0” 。

以 “.” 开始的域名：如 “.bdqn.com” 匹配 bdqn.com 域中的所有主机。

以 “.” 结束的网络地址：如 “192.168.4.” 匹配整个 192.168.4.0/24 网段。

嵌入通配符 “*”“?” ：前者代表任意长度字符，后者仅代表一个字符，如 “10.0.8.2*”

匹配以 10.0.8.2 开头的所有 IP 地址。不可与以 “ . ” 开始或结束的模式混用。

多个客户端地址组成的列表：如 “192.168.1. ， 172.16.16. ， .bdqn.com” 。

2．访问控制的基本原则

关于 TCP Wrappers 机制的访问策略，应用时遵循以下顺序和原则：首先检查

/etc/hosts.allow 文件，如果找到相匹配的策略，则允许访问；否则继续检查 /etc/hosts.deny

文件，如果找到相匹配的策略，则拒绝访问；如果检查上述两个文件都找不到相匹配的策略，

则允许访问。

3．TCP Wrappers 配置实例

实际使用 TCP Wrappers 机制时，较宽松的策略可以是 “ 允许所有，拒绝个别 ” ，较严格

的策略是 “ 允许个别，拒绝所有 ” 。前者只需在 hosts.deny 文件中添加相应的拒绝策略就可以

了；后者则除了在 hosts.allow 中添加允许策略之外，还需要在 hosts.deny 文件中设置

“ALL:ALL” 的拒绝策略。

例如，若只希望从 IP 地址为 61.63.65.67 的主机或者位于 192.168.2.0/24 网段的主机

访问 sshd 服务，其他地址被拒绝，可以执行以下操作。

[root@localhost ~]# vi /etc/hosts.allow

sshd:61.63.65.67,192.168.2.*

[root@localhost ~]# vi /etc/hosts.deny

sshd:ALL