linux远程访问控制

  • 格式:pdf
  • 大小:120.85 KB
  • 文档页数:3

linux远程访问控制

⼀、SSH远程管理

SSH(Secure Shell )是⼀种安全通道协议,主要⽤来实现字符界⾯的远程的登录、远程复制等功能。

SSH协议对通信双⽅的数据传输进⾏了加密处理,其中包括⽤户登录时输⼊的⽤户⼝令。因此SSH协议具有很好的安全性。

SSH客户端: putty 、xshell 、CRT

SSH服务端:openSSH

OpenSSH 是实现SSH协议的开源软件项⽬,适⽤于各种UNIX、Linux操作系统

Centos7系统默认已安装openssh相关软件包,并已将sshd服务添加为开机⾃启动

执⾏“systemctl start sshd”命令即可启动sshd服务sshd服务默认使⽤的是TCP的22端⼝

sshd服务的默认配置⽂件是/etc/ssh/sshd_config

ssh_config和sshd_config都是ssh服务器的配置⽂件,⼆者区别在于前者是针对客户端的配置⽂件,后者则是针对服务端的配置⽂件。

⼆、openSSH服务器

SSH(Secure Shell)协议

1、是⼀种安全通道协议2、对通信数据进⾏了加密处理,⽤于远程管理

OpenSSH

1、服务名称: sshd2、服务端主程序: /usr/sbin/sshd3、服务端配置⽂件: /etc/ssh/sshd_config

三、配置OpenSSH服务器

sshd_config配置⽂件的常⽤选项配置

进⼊vim /etc/ssh/sshd_config进⾏配置

四、sshd服务⽀持两种验证⽅式

密码验证对服务器中本地系统⽤户的登录名称、密码进⾏验证。简便,但可能会被暴⼒破解

密钥对验证

要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建⼀对密钥⽂件(公钥、私钥),然后将公钥⽂件放到服务器中的指定位置。远程登录时,系统将使⽤公钥、私钥进⾏加密/解密关联验证。能增强安全性,且可以免交互登录

公钥和私钥的关系

公钥和私钥是成对⽣成的,这两个密钥互不相同,可以互相加密和解密不能根据⼀个密钥来推算出另⼀⼀个密钥公钥对外公开,私钥只有私钥的持有⼈才知道

当密码验证、密钥对验证都启⽤时,服务器将优先使⽤密钥对验证。可根据实际情况设置验证⽅式vim /etc/ssh/sshd_configpasswordAuthentication yes ##启⽤密码验证pubkeyAuthentication yes ##启⽤密钥对验证AuthorizedkeysFile .ssh/authorized_keys ##指定公钥库⽂件

五、使⽤SSH客户端程序

1、ssh 远程登录

ssh [选项] zhangsan@192.168.142.10

当⽤户第⼀次登录SSH服务器时,必须接收服务器发来的ECDSA密码(根据提⽰输⼊“yes”)后才能继续验证,接受的秘钥信息将保存到~/.ssh/known_hosts⽂件中。密码验证成功以后,即可登录⽬标服务器的命令⾏环境中了。

ssh -p 2345 zhangsan@192.168.142.10 #-p:指定⾮默认的端⼝号,缺省时默认使⽤22端⼝

2、scp 远程复制

下⾏复制scp root@192.168.142.10:/etc/passwd /root/passwd10.txt #将远程主机中的/etc/passwd⽂件复制到本机

上⾏复制 scp -r /etc/ssh/ root@192.168.142.10:/opt #将本机的/etc/ssh⽬录复制到远程主机

3、sftp安全FTP

由于使⽤了加密/解密技术,所以传输效率⽐普通的FTP要低,但安全性更⾼。操作语法sftp与ftp⼏乎⼀样 实例操作:先在本机中元和远程连接到需要传输⽂件给另⼀台主机

使⽤put [⽂件名]进⾏传输

在被远程连接的主机中查找传输的⽂件

六、配置密钥对验证 1、在客户端创建密钥对,通过ssh-keyqen⼯具为当前⽤户创建密钥对⽂件、可⽤的加密算法为RSA、ECDSA或DSA等

创建秘钥对

2、查看所创建的秘钥⽂件 3、将公钥⽂件上传⾄服务器

4、到服务器opt⽬录中查看,有两种⽅法,

第⼀种:在服务端⽤户的家⽬录创建.ssh⽬录,并将传输过来的公钥⽂件导⼊到.ssh⽬录下的密码⽂本中

第⼆种:直接在服务器的home/zhangsan/.ssh/⽬录中导⼊公钥⽂本。⽆需穿件.ssh⽬录

5、在客户端使⽤秘钥对验证

6.在客户机设置ssh代理功能,实现免交互登录

七、TCP Wrappers概述,并导⼊公钥⽂本

1、TCP Wrappers

将TCP服务程序“包裹”起来,代为监听TCP服务程序的端⼝,增加了⼀个安全检测过程,外来的连接请求必须先通过这层安全检测,获得许可后才能访问真正的服务程序。⼤多数Linux发⾏版,TCP Wrappers是默认提供的功能。 rpm -q tcp_wrappers2、TCP Wrappers保护机制的两种实现⽅式

(1)、直接使⽤tcpd程序对其他服务程序进⾏保护,需要运⾏tcpd程序

(2)、由其他⽹络服务程序调⽤libwrap.so.*链接库,不需运⾏tcpd程序。此⽅式的应⽤更加⼴泛,也更有效率3、TCP Wrappers的访问策略

TCP Wrappers机制的保护对象为各种⽹络服务程序,针对访问服务的客户端地址进⾏访问控制。对应的两个策略⽂件为/etc/hosts.allow和/etc/hosts.deny,分别⽤来设置允许和拒绝的策略 4、格式

<服务程序列表>:<客户端地址列表>

(1)、服务列表程序 ALL:代表所有的服务

单个服务程序:如“vsftpd,sshd”。

多个服务程序组成的列表:如“vsftpd,sshd”

(2)、客户端地址列表 ALL:代表任何客户端地址

LOCAL:代表本机地址

(3)、多个地址以逗号分隔 允许使⽤通配符“*”和“?”,前者代表任意长度字符,后者仅代表⼀个字符

⽹段地址,如192.168.80. 或者 192.168.80.0/255.255.255.0

区域地址,如" .benet.com"匹配bdqn.com域中的所有主机

5、TCP Wrappers机制的基本原则

⾸先检查/etc/hosts.allow⽂件,如果找到相匹配的策略,则允许访问;否则继续检查/etc/hosts.deny⽂件,如果找到相匹配的策略,则拒绝访问,如果检查上述两个⽂件都找不到相匹配的策略,则允许访问。“允许所有,拒绝个别”

只需在/etc/hosts.deny⽂件中添加相应的拒绝策略“允许个别,拒绝所有”

除了在/etc/hosts.allow中添加允许策略之外,还需在/etc/hosts.dengy⽂件中设置“ALL:ALL”的拒绝策略

实例:

只希望从IP地址为12.0.0.1的主机或者位于192.168.142.0/24⽹段的主机访问sshd服务,其他地址被拒绝