Linux系统ssh远程管理与TCP Wrappers访问控制

SSH远程

是一种安全通道协议，主要用来实现字符界面的远程登录，远程复制等功能
对通信数据进行了加密处理，用于远程管理

OpenSSH

是实现SSH协议的开源软件项目，适用于UNIX，Linux操作系统
sshd服务默认使用的是TCP的22端口
sshd服务的默认配置文件是/etc/ssh/sshd_config
服务名称：sshd
服务端主程序：/usr/sbin/sshd
服务端配置文件：/etc/ssh/sshd_config

ssh远程登录

centos 7 默认已安装sshd。
直接启动服务。
可以直接进行登录。第一次登录服务器时，必须接受服务器发来的ECDSA密钥后才能继续验证，接受的密钥信息将保存在用户家目录下的.ssh/kown_hosts文件中。
准备两台虚拟机，一台服务端，一台客户端
本此实验服务端为50，客户端为40

使用-p命令还可以指定端口来登录
在服务端50改配置


客户端40也要关闭，再连接

scp远程复制

使用scp命令将本机传到远程主机
注意，上一步的端口改回来，再重启服务。不然上传不了


使用scp命令将远程主机的文件下到本地

因为实验的一些原因，我两个主机/opt目录下的文件相同，但还是可以看出rh文件颜色不同，不是在同一个主机中操作的。

sftp 安全FTP

sftp使用了加密/解密技术，所有传输效率虽然低，但是安全性比ftp高。

先在40创建jmi，再到50创建yjs。再到40启动sftp连接

配置密钥对验证

设置ssh免密登录
在40客户端设置

TCP Wrappers 访问控制

将TCP服务程序包裹起来，代为监听TCP服务程序的端口，增加了一个安全监测过程，外来的连接请求必须先通过这层安全检测，获得许可后才能访问真正的服务程序。

TCP Wrappers保护机制的两种实现方式

1，直接使用tcpd程序对其他服务程序进行保护，需要时刻运行tcpd程序
2，由其他网络服务程序调用libwrapo.so.*链接库，不需要运行tcpd程序，此方法更好

TCP Wrappers的访问策略

TCPWrappers机制的保护对象为各种网络服务程序，针对访问服务的客户端地址进行访问和控制。
对应的两个策略文件为/etc/hosts.allow和/etc/hosts.deny,分别用来设置允许和拒绝的策略
格式：服务程序列表：客户端地址表

TCP Wrappers机制的基本原则

首先检查/etc/hosts.allow文件，如果找到相匹配的策略，则允许访问
没找到，继续检查/etc/hosts.deny文件，如果找到匹配的，则拒绝访问
如果检查两个都没有找到，则默认全放过

允许所有，拒绝个例：在/etc/hosts.deny文件中，添加相应的拒绝策略
允许个别：拒绝所有：在/etc/hosts.allow文件中，添加允许策略，
在/etc/hosts.deny文件中设置ALL:ALL，拒绝所有。

实例

在50设置文件

在40连接50，无法连接

再启动一台60客户端，连接50