远程访问及控制

SSH 远程管理

SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程 复制等功能。SSH 协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入 的用户口令。与早期的 Telent(远程登录)、RSH(Remote Shell,远程执行命令)、RCP (Remote File Copy,远程文件复制)等应用相比,SSH 协议提供了更好的安全性。

将以 OpenSSH 为例,介绍 Linux 服务器的远程管理及安全控制。OpenSSH 是实 现 SSH 协议的开源软件项目,适用于各种 UNIX、Linux 操作系统。关于 OpenSSH 项目的 更多内容可以访问其官方网站 http://www.openssh.co

配置 OpenSSH 服务端

在 CentOS 7.3 系统中,OpenSSH 服务器由 openssh、openssh-server 等软件包提供 (默认已安装),并已将 sshd 添加为标准的系统服务。执行“systemctl start sshd”命令即可 启动 sshd 服务,包括 root 在内的大部分用户(只要拥有合法的登录 Shell)都可以远程登 录系统。

sshd 服务的默认配置文件是/etc/ssh/sshd_config,正确调整相关配置项,可以进一步 提高 sshd 远程登录的安全性。下面介绍最常用的一些配置项,关于 sshd_config 文件的更 多配置可参考 man 手册页。

1.服务监听选项

sshd 服务使用的默认端口号为 22,必要时建议修改此端口号,并指定监听服务的具体 IP 地址,以提高在网络中的隐蔽性。除此之外,SSH 协议的版本选用 V2 比 V1 的安全性要 更好,禁用 DNS 反向解析可以提高服务器的响应速度。

2.用户登录控制

sshd 服务默认允许 root 用户登录,但在 Internet 中使用时是非常不安全的。普遍的做 法如下:先以普通用户远程登入,进入安全 Shell 环境后,根据实际需要使用 su 命令切换 为 root 用户。

关于 sshd 服务的用户登录控制,通常应禁止 root 用户或密码为空的用户登录。另外, 可以限制登录验证的时间(默认为 2 分钟)及最大重试次数,若超过限制后仍未能登录则 断开连接。

当希望只允许或禁止某些用户登录时,可以使用 AllowUsers 或 DenyUsers 配置,两者 用法类似(注意不要同时使用)。例如,若只允许 jerry、tsengyia 和 admin 用户登录,且其 中 admin 用 户 仅 能 够 从 IP 地 址 为 61.23.24.25 的 主 机 远 程 登 录 , 则 可 以 在 /etc/ssh/sshd_config 配置文件中添加以下配置。

3.登录验证方式

对于服务器的远程管理,除了用户账号的安全控制以外,登录验证的方式也非常重要。

sshd 服务支持两种验证方式——密码验证、密钥对验证,可以设置只使用其中一种方式, 也可以两种方式都启用。

  • 密码验证:对服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最 为简便,但从客户端角度来看,正在连接的服务器有可能被假冒;从服务器角度来 看,当遭遇密码穷举(暴力破解)攻击时防御能力比较弱。
  • 密钥对验证:要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一 对密钥文件(公钥、私钥),然后将公钥文件放到服务器中的指定位置。远程登录 时,系统将使用公钥、私钥进行加密/解密关联验证,大大增强了远程管理的安全 性。该方式不易被假冒,且可以免交互登录,在 Shell 中被广泛使用。

当密码验证、密钥对验证都启用时,服务器将优先使用密钥对验证。对于安全性要求较 高的服务器,建议将密码验证方式禁用,只允许启用密钥对验证方式;若没有特殊要求,则 两种方式都可启用。

使用 SSH 客户端程序

在 CentOS 7.3 系统中,OpenSSH 客户端由 openssh-clients 软件包提供(默认已安 装),其中包括 ssh 远程登录命令,以及 scp、sftp 远程复制和文件传输命令等。实际上, 任何支持 SSH 协议的客户端程序都可以与 OpenSSH 服务器进行通信,如 Windows 平台 中的 Xshell、SecureCRT、Putty 等图形工具。

1.命令程序 ssh、scp、sftp

1)ssh 远程登录

通过 ssh 命令可以远程登录 sshd 服务,为用户提供一个安全的 Shell 环境,以便对服 务器进行管理和维护。使用时应指定登录用户、目标主机地址作为参数。例如,若要登录主机 172.16.16.22,以对方服务器的 tsengyia 用户进行验证,可以执行以下操作。

当用户第一次登录 SSH 服务器时,必须接受服务器发来的 ECDSA 密钥(根据提示输 入“yes”)后才能继续验证。接收的密钥信息将保存到~/.ssh/known_hosts 文件中。密码验 证成功以后,即可登录目标服务器的命令行环境中了,就好像把客户端的显示器、键盘连接 到服务器一样。

如果 sshd 服务器使用了非默认的端口号(如 2345),则在登录时必须通过“-p”选项指定 端口号。例如,执行以下操作将访问主机 192.168.4.22 的 2345 端口,以对方服务器的 jerry 用户验证登录。

2)scp 远程复制

通过 scp 命令可以利用 SSH 安全连接与远程主机相互复制文件。使用 scp 命令时,除 了必须指定复制源、目标之外,还应指定目标主机地址、登录用户,执行后根据提示输入验 证口令即可。例如,以下操作分别演示了下行、上行复制的操作过程,将远程主机中的 /etc/passwd 文件复制到本机,并将本机的/etc/vsftpd目录复制到远程主机。

3)sftp 安全 FTP

通过 sftp 命令可以利用 SSH 安全连接与远程主机上传、下载文件,采用了与 FTP 类 似的登录过程和交互式环境,便于目录资源管理。例如,以下操作依次演示了 sftp 登录、 浏览、文件上传等过程。

2.图形工具 Xshell

图形工具 Xshell 是 Windows 下一款功能非常强大的安全终端模拟软件,支持 Telnet、 SSH、SFTP 等协议,可以方便地对 Linux 主机进行远程管理。

安装并运行 Xshell 后,在新建会话窗口中指定远程主机的 IP 地址、端口号等相关信息, 然后单击“连接”按钮,根据提示接受密钥、验证密码后即可成功登录目标主机,如图 4.1 所 示。

        Xshell 提供了中文界面,功能和操作比较简单,这里不再做深入介绍。

构建密钥对验证的 SSH 体系

正如前面所提及的,密钥对验证方式可以为远程登录提供更好的安全性。下面将介绍 在 CentOS 7.3 服务器、客户端中构建密钥对验证 SSH 体系的基本过程。如图 4.2 所示, 以 RSA 加密算法为例,整个过程包括四步,首先要在 SSH 客户端以 zhangsan 用户身份 创建密钥对,并且要将创建的公钥文件上传至 SSH 服务器端,然后要将公钥信息导入服务 器端的目标用户 lisi 的公钥数据库,最后以服务器端用户 lisi 的身份登录验证。

1.在客户端创建密钥对

在 CentOS 7.3 客户端中,通过 ssh-keygen 工具为当前用户创建密钥对文件。可用的 加密算法为 RSA、ECDSA 或 DSA 等(ssh-keygen 命令的“-t”选项用于指定算法类型)。例 如,以 zhangsan 用户登录客户端,并生成基于 ECDSA 算法的 SSH 密钥对(公钥、私钥) 文件,操作如下所示。

上述操作过程中,提示指定私钥文件的存放位置时,一般直接按 Enter 键即可,最后生 成的私钥、公钥文件默认存放在宿主目录中的隐藏文件夹.ssh 下。私钥短语用来对私钥文 件进行保护,当使用该私钥验证登录时必须正确提供此处所设置的短语。尽管不设置私钥短 语也是可行的(实现无口令登录),但在生产环境中不建议这样做。

新生成的密钥对文件中,id_ecdsa 是私钥文件,权限默认为 600,对于私钥文件必须 妥善保管,不能泄露给他人;id_ecdsa.pub 是公钥文件,用来提供给 SSH 服务器。

2.将公钥文件上传至服务器

将上一步生成的公钥文件上传至服务器,并部署到服务器端用户的公钥数据库中。上传 公钥文件时可以选择 SCP、FTP、Samba、HTTP 甚至发送 E-mail 等任何方式。例如,可以通过 SCP 方式将文件上传至服务器的/tmp 目录下。

3.在服务器中导入公钥文本

在服务器中,目标用户(指用来远程登录的账号 lisi)的公钥数据库位于~/.ssh 目录, 默认的文件名是“authorized_keys”。如果目录不存在,需要手动创建。当获得客户端发送过 来的公钥文件以后,可以通过重定向将公钥文本内容追加到目标用户的公钥数据库。

在公钥库 authorized_keys 文件中,最关键的内容是“ecdsa-sha2-nistp256 加密字串” 部分,当导入非 ssh-keygen 工具创建的公钥文本时,应确保此部分信息完整,最后的 “zhangsan@localhost”是注释信息。

由于 sshd 服务默认采用严格的权限检测模式(StrictModes yes),因此还需注意公钥 库文件 authorized_keys 的权限——要求除了登录的目标用户或 root 用户,同组或其他用户 对该文件不能有写入权限,否则可能无法成功使用密钥对验证。

除此之外,应确认 sshd 服务是否支持密钥对验证方式。

4.在客户端使用密钥对验证

当私钥文件(客户端)、公钥文件(服务器)均部署到位以后,就可以在客户端中进行测试了。首先确认客户端中当前的用户为 zhangsan,然后通过 ssh 命令以服务器端用户 lisi 的身份进行远程登录。如果密钥对验证方式配置成功,则在客户端将会要求输入私钥短语,以 便调用私钥文件进行匹配(若未设置私钥短语,则直接登入目标服务器)。

经过“客户端创建密钥对”、“将公钥上传至服务器”、“在服务器中导入公钥文本”与“在客 户端使用密钥对验证”四个步骤,SSH密钥对验证体系已经构建完成。

而在上述步骤中,第二步和第三步其实可以采用另外一种方法实现,即使用“ssh-copy-id -i 公钥文件 user@host”格式,“-i”选项指定公钥文件,“user”是指目标主机的用户。验证密 码后,会将公钥自动添加到目标主机 user 宿主目录下的.ssh/authorized_keys 文件结尾。

查看服务器中目标用户 lisi 的公钥数据库如下。

ssh-copy-id 命令在上传公钥文件到服务器的时候,具有简单、快捷的优点,可优先使 用此命令上传公钥,但通过SCP命令拷贝再导入的方式具有通用性,可应对没有ssh-copy-id 命令的情况。

TCP Wrappers 访问控制

在 Linux 系统中,许多网络服务针对客户端提供了访问控制机制,如 Samba、BIND、 HTTPD、OpenSSH 等。本节将介绍另一种防护机制——TCP Wrappers(TCP 封套),以作 为应用服务与网络之间的一道特殊防线,提供额外的安全保障。

TCP Wrappers 概述

TCP Wrappers 将 TCP 服务程序“包裹”起来,代为监听 TCP 服务程序的端口,增加了 一个安全检测过程,外来的连接请求必须先通过这层安全检测,获得许可后才能访问真正 的服务程序,如图 4.3 所示。TCP Wrappers 还可以记录所有企图访问被保护服务的行为, 为管理员提供丰富的安全分析资料。        

对于大多数 Linux 发行版,TCP Wrappers 是默认提供的功能。CentOS 7.3 中使用的 软件包是 tcp_wrappers-7.6-77.el7.x86_64.rpm,该软件包提供了执行程序 tcpd 和共享链接 库文件 libwrap.so.*,对应 TCP Wrapper 保护机制的两种实现方式——直接使用 tcpd 程序对其他服务程序进行保护,需要运行 tcpd;由其他网络服务程序调用 libwrap.so.*链接库, 不需要运行 tcpd 程序。

通常,链接库方式的应用要更加广泛,也更有效率。例如,vsftpd、sshd 及超级服务器 xinetd 等,都调用了 libwrap 共享库(使用 ldd 命令可以查看程序的共享库)。

注意:xinetd 是一个特殊的服务管理程序,通常被称为超级服务器。xinetd 通过在 /etc/xinetd.d 目录下为每个被保护的程序建立一个配置文件,调用 TCP Wrappers 机制 来提供额外的访问控制保护。

TCP Wrappers 的访问策略

TCP Wrappers 机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行 访问控制。对应的两个策略文件为/etc/hosts.allow 和/etc/hosts.deny,分别用来设置允许和 拒绝的策略。

1.策略的配置格式

两个策略文件的作用相反,但配置记录的格式相同,如下所示。

服务程序列表、客户端地址列表之间以冒号分隔,在每个列表内的多个项之间以逗号分隔。

(1)服务程序列表

服务程序列表可分为以下几类。

  • ALL:代表所有的服务。
  •  单个服务程序:如“vsftpd”。
  •  多个服务程序组成的列表:如“vsftpd,sshd”。
(2)客户端地址列表 客户端地址列表可分为以下几类
  •  ALL:代表任何客户端地址。
  •  LOCAL:代表本机地址。
  •  单个 IP 地址:如“192.168.4.4”。
  •  网络段地址:如“192.168.4.0/255.255.255.0”。
  •  以“.”开始的域名:如“.bdqn.com”匹配 bdqn.com 域中的所有主机。
  •  以“.”结束的网络地址:如“192.168.4.”匹配整个 192.168.4.0/24 网段。
  •  嵌入通配符“*”“?”:前者代表任意长度字符,后者仅代表一个字符,如“10.0.8.2*” 匹配以 10.0.8.2 开头的所有 IP 地址。不可与以“.”开始或结束的模式混用。
  •  多个客户端地址组成的列表:如“192.168.1.,172.16.16.,.bdqn.com”。

2.访问控制的基本原则

关于 TCP Wrappers 机制的访问策略,应用时遵循以下顺序和原则:首先检查 /etc/hosts.allow 文件,如果找到相匹配的策略,则允许访问;否则继续检查/etc/hosts.deny 文件,如果找到相匹配的策略,则拒绝访问;如果检查上述两个文件都找不到相匹配的策略, 则允许访问。

3.TCP Wrappers 配置实

实际使用 TCP Wrappers 机制时,较宽松的策略可以是“允许所有,拒绝个别”,较严格 的策略是“允许个别,拒绝所有”。前者只需在 hosts.deny 文件中添加相应的拒绝策略就可以 了;后者则除了在 hosts.allow 中添加允许策略之外,还需要在 hosts.deny 文件中设置 “ALL:ALL”的拒绝策略。

例如,若只希望从 IP 地址为 61.63.65.67 的主机或者位于 192.168.2.0/24 网段的主机 访问 sshd 服务,其他地址被拒绝,可以执行以下操作。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值