SSH和tcp_wrappers

远程管理linux系统基本上都要使用到SSH，原因很简单:telnet、FTP等传输方式是?以明文传送用户认证信息，本质上是不安全的，存在被网络窃听的危险。SSH目前较可靠，是专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止.远程管理过程中的信息泄露问题，SSH可以对所有传输的数据进行加密，也能够防止DNS欺骗和IP欺骗。

3、服务功能

SSH服务端: SSH远程链接和SFTP服务

作用:SSHD服务使用SSH协议可以用来进行远程控制，或在计算机之间传送文件。相比较之前用Telnet方式来传输文件要安全很多，因为 Telnet使用明文传输，SSH是加密传输。

ssh_config:为客户端配置文件，设置与客户端相关的应用可通过此文件实现 sshd_config:为服务器端配置文件，设置与服务端相关的应用可通过此文件实现。

二、SSH服务登录与配置

1、SSH远程登录方式

方法一

ssh [远程主机用户名] @[远程服务器主机名或IP地址] -p port 当在Linux 主机上远程连接另一台 Linux 主机时，如当前所登录的用户是root 的话，当连接另一台主机时也是用root用户登录时，可以直接使用ssh IP，端口默认即可，如果端口不是默认的情况下，需要使用-p 指定端口。 RSA算法基于一个十分简单的数论事实:将两个大素数相乘十分容易，但是想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥。

方法二

ssh -l [远程主机用户名] [远程服务器主机名或IP地址] -p port

[root@localhost ~]# ssh -l root 192.168.149.164

-l : -l 选项,指定登录名称。 -p: -p 选项，指定登录端口（当服务端的端口非默认时，需要使用-p 指定端口进行登录)

注:第一次登录服务器时系统没有保存远程主机的信息，为了确认该主机身份会提示用户是否继续连接，输入yes后登录，这时系统会将远程服务器信息写入用户主目录下的 ~/.ssh/known_hosts文件中，下次再进行登录时因为保存有该主机信息就不会再提示了

2、服务配置(/etc/ssh/sshd_config)

yum -y install policycoreutils-python

semanage port -a -t ssh_port_t -p tcp 端口

注释：部分机器需要安装编入程序，在更改端口的时候，需要先把端口号，添加都tcp协议

监听端口号设置

SSH预设使用22这个port，也可以使用多个port，即重复使用port这个设定项，多加一行内容为: Port 234即可，然后重新启动ssHp这样就好了。建议大家修改 port number为其它端口，防止别人暴力破解。

ListenAddress监听地址设置

设置SSHD服务器绑定的IP地址，0.0.0.0表示侦听所有地址，安全建议:如果主机不需要从公网ssh访问，可以把监听地址改为内网地址这个值可以写成本地IP地址，也可以写成所有地址，即0 .0.0表示所有IP

Protocol 2协议版本设置

设置协议版本为SSH1或SSH2，SSH1存在漏洞与缺陷，选择SSH2

UseDNS yes

一般来说，为了要判断客户端来源是正常合法的，因此会使用DNS去反查客户端的主机名，但通常在内网互连时，该基设置为no，因此使联机速度会快些注:禁用DNS反向解析,以提高服务器的响应速度

SyslogFacility AUTHPRIV

当有人使用SSH 登入系统的时候，SSH会记录信息，这个信息要记录的类型为AUTHPRIV，sshd服务日志存放在:/var/log/secure

3、安全调试

LoginGraceTime 2m

grace意思是系统给与多少秒来进行登录。（默认2分钟，О表示无限制)

当使用者连上 SSH server之后，会出现输入密码的画面，在该画面中。

在多久时间内没有成功连上SSHserver就强迫断线!若无单位则默认时间为秒。可以根据实际情况来修改

PermitRootLogin yes

是否允许 root登入，默认是允许的，但是建议设定成no，真实的生产环境服务器，是不允许root账号直接登陆的，仅允许普通用户登录，需要用到root 用户再切换到root 用户。

PasswordAuthentication yes

密码验证当然是需要的!所以这里写yes，也可以设置为no，在真实的生产服务器上，根据不同安全级别要求，有的是设置不需要密码登陆的，通过认证的秘钥来登陆。

PermitEmptyPasswords no

是否允许空密码的用户登录，默认为no，不允许空密码登录

PrintLastLog yes

显示上次登入的信息!默认为yes

MaxAuthTries 6

指定每个连接最大允许的认证次数。默认值是6。如果失败认证的次数超过这个数值的一半，连接将被强制断开，且会生成额外的失败日志消息默认3次

验证ssh -o NumberofPasswordPrompts=8 lisi@192.168.10.9

AllowUsers

当希望只允许或禁止某些用户登录时,l可以使用AllowUsers或 DenyUsers配置，两者用法类似（注意不要同时使用)。配置AllowUsers 例如，若只允许zhangsan、wangwu用户登录

AllowUsers zhangsan wangwu

4、Linux用户方面安全认证办法

设定密码策略对用户密码强度的设定对用户的登录次数进行限制禁止

ROOT用户远程登录设置历史命令保存条数和账户超时时间

设置只有指定用户组才能使用su命令切换到root用户对Linux账户进行管理对重要的文件进行锁定,即使ROOT用户也无法删除建立日志服务器日

5、sshd 服务

两种验证方式

密码验证:对服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便，但从客户端角度来看，正在连接的服务器有可能被假冒;从服务器角度来看，当遭遇密码穷举（暴力破解）攻击时防御能力比较弱。

密钥对验证:要求提供相匹配的密街信息才能通过验证。通常先在客户端中创建一对密钥文件（公钥、私钥)，然后将公钥文件放到服务器中的指定位置。远程登录时，系统将使用公钥、私钥进行加密/解密关联验证，大大增强了远程管理的安全性。该方式不易被假冒，且可以免交互登录，在shell中被广泛使用。

当密码验证、密钥对验证都启用时，服务器将优先使用密钥对验证。对于安全性要求较高的服务器，建议将密码验证方式禁用，只允许候用密钥对验证方式:若没有特殊要求，则两种方式都可启用

免密登录 ssh-agent bash #将公钥添加管理在客户端操作

ssh-add

在客户端创建密钥对
通过ssh-keygen.工具为当前用户创建密钥对文件。可用的加密算法为RSA、ECDSA或oSA等（ ssh- keygen命令的"-t"选项用于指定算法类型)。
useradd admin
echo "123123”lpasswd --stdin admin
su - admin
ssh-keygen -t ecdsa
Generating public/private ecdsa key pair.
Enter file in which to save the key (/home/ admin/.ssh/id_ecdsa) :#指定私钥位置，直接回车使用默认位置created directory '/home/admin/ .ssh', #生成的私钥、公钥文件默认存放在宿主目录中的隐藏目录.ssh/下
Enter passphrase (empty for no passphrase):#设置私钥的密码
Enter same passphrase again :#确认输入
ls -l ~ / .ssh/id ecdsa*
#id_ecdsa是私钥文件，权限默认为600; id_ecdsa.pub是公钥文件，用来提供给ssH服务器

将公钥文件.上传至服务器
scp ~/.ssh/ id_ecdsa.pub root@192.168.8o.10 :/opt或
#此方法可直接在服务器的/home/zhangsan/ .ssh/目录中导入公钥文本cd ~/ .ssh/
ssh-copy-id -i id_ ecdsa.pub zhangsan@192.168.80.103

在服务器中导入公钥文本
mkdir /home/ zhangsan/ .ssh/
cat /opt/id_ecdsa.pub >> /home/zhangsan/.ssh/authorized_keys
cat /home/zhangsan/.ssh/authorized_ keys

在客户端使用密钥对验证
ssh zhangsan@192.168.80.10
Enter passphrase for key '/ home/admin / .ssh/id_ecdsa' :#输入私钥的密码

6、scp安全性复制

scp: scp是secure copy的简写，用于在Linux下进行远程拷贝文件的命令，而且scp传输是加密的

本地文件复制到服务器 scp 1.txt root@192.168.100 .141 : / opt

复制服务器的文件到本地 scp root@192.168 . 100.141 :/opt/test/ ./

本地目录复制到服务器 sep -r 1234/ root@192.168.100.141 : /opt

7、sftp安全性传输

sftp是Secure File Transfer Protocol的缩写，安全文件传送协议。可以为传输文件提供一种安全的网络的加密方法。 sftp 与ftp有着几乎一样的语法和功能。SFTP为 ssH的其中一部分，其实在ssH软件包中，已经包含了一个叫作SFTP(Secure File Transfer Protocol)的安全文件信息传输子系统，SFTP本身没有单独的守护进程，它必须使用sshd守护进程（端口号默认是22）来完成相应的连接和答复操作所以，使用SFTP是非常安全的。但是，由于这种传输方式使用了加密/解密技术，所以传输效率比普通的FFT要低得多，如果您对网络安全性要求更高时，可以使用SFETP代替FTP

sftp root@192.168.10.10 #登陆到服务器

get下载 get anaconda-ks.cfg / home/

put上传 put abc.txt#默认时会上传的/rootput abc.txt /home/

查看可用命令 help#查看sftp可使用的命令和用途

打印服务器当前位置 pwd #打印当前服务器所在位置 lpwd #打印当前本地位置切换目录、查看文件

cd #切换服务器上的目录 ls#查看当前目录下文件列表下载文件、退出sftp get#下载文件 get -r#下载目录 quit#退出sftp put#手上传文件退出命令:quit、 exit都可以

三、TCP wrappers访问控制

1、介绍

在 Linux系统中，许多网络服务针对客户端提供了访问控制机制，如samba、BIND、HTTPD、OpenSSH 等rcP wrappers将TcP服务程序"包裹"起来，代为监听TCP服务程序的端口，增加了一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得许可后才能访问真正的服务程序

[root@localhost opt]# rpm -q tcp_wrappers #一般系统会默认安装

[root@localhost opt]# ldd /usr/sbin/sshd / grep "libwrap”#使用 ldd 命令可以查看程序的共享库 libwrap.so.0 ->/lib64/libwrap.so.0 (0x00007fc35d8f8000)

TCP wrappers (TCP封套) 将TCP服务程序"包裹"起来，代为监听TCP服务程序的端口，增加了一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得许可后才能访问真正的服务程序。大多数Linux发行版，TcP wrappers 是默认提供的功能。

2、TCP wrappers保护机制的两种实现方式

直接使用tcpd程序对其他服务程序进行保护，需要运行tcpd程序。

由其他网络服务程序调用libwrap.so.链接库，不需要运行tcpd程序。此方式的应用更加广"泛，也更有效率。使用ldd命令可以查看程序的libwrap.so.链接库 ldd $ (which ssh)

语法格式:<服务程序列表>:<客户端地址列表>

服务程序列表服务程序列表可分为以下几类

ALL:代表所有的服务

―单个服务程序:如"vsftpd"

多个服务程序组成的列表:如"vsftpd,sshd"

服务程序列表 ALL:代表所有的服务。单个服务程序:如"vsftpd" . 多个服务程序组成的列表:如"vsftpd, sshd"

客户端地址列表 ALL:代表任何客户端地址。LOCAL:代表本机地址多个地址以逗号分隔允许使用通配符"*"和"?"，前者代表任意长度字符，后者仅代表-一个字符网段地址，如"192.168.80.”或者192.168.80.0/255.255.255.0 区域地址，如". benet. com"L配benet. com域中的所有主机。

3、访问控制的基本原则

首先检查/etc/hosts.allow 文件，如果找到相匹配的策略，则允许访问;

否则继续检查 /etc/hosts.deny文件，如果找到相匹配的策略，则拒绝访问;

如果检查上述两个文件都找不到相匹配的策略，则允许访问

“允许所有，拒绝个别" ——只需在/etc/hosts . deny文件中添加相应的拒绝策略“允许个别

拒绝所有" 除了在/etc/hosts . allow中添加允许策略之外，还需要在/etc/hostsdeny文件中设置"ALL:ALL"的拒绝策略。

实例:. 若只希望从IP地址为12.0.0.1的主机或者位于192.168.80.0/24网段的主机访问sshd服务，其他地址被拒绝。

vim /etc/ hosts.allow （sshd: 12.0.0.1,192.168.80.*）

vi /etc/hosts.deny sshd （ALL sshd, htpd: ALL）

程序源~

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
SSH和tcp_wrappers

一、SSH介绍1、概念SSH (Secure Shell)协议是一种安全通道协议，对通信数据进行了加密处理，用于远程管理协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的用户口令，SSH为建立在应用层和传输层基础上的安全协议。OpenSSH 服务名称: sshd 服务端主程序:/usr/sbin/sshd 服务端配置文件:/etc/ssh/sshd_config2、常用软件和传输特点SSH客户端软件: Putty、Xshell、CRT、MobaXterm服务端:
复制链接

扫一扫

专栏目录