一、SSH遠程管理
SSH(Secure Shell)協議
是一種安全通道協議,對通信資料進行了加密處理,用于實作遠程管理、遠程登錄、遠程復制等功能,
(1)SSH作業原理
SSH客戶端例如:Putty、Xshell、CRT
SSH服務端例如:OpenSSH
-
客戶端到服務端是通過網路傳輸
-
資料傳輸是加密的
-
資料傳輸是壓縮的
二、openSSH
OpenSSH 是實作 SSH 協議的開源軟體專案,適用于各種 UNIX、Linux 作業系統,
sshd 服務默認使用的是TCP的 22埠
服務名稱:sshd
服務端主程式:/usr/sbin/sshd
服務端主程式:/usr/sbin/sshd
服務端組態檔:/etc/ssh/sshd_config
(1)sshd組態檔常用選項
(2)sshd 服務支持的驗證方式
[ 1 ] 密碼驗證
對服務器中本地系統用戶的登錄名稱、密碼進行驗證,簡便,但可能會被暴力破解
[ 2 ] 密鑰對驗證
要求提供相匹配的密鑰資訊才能通過驗證,通常先在客戶端中創建一對密鑰檔案(公鑰、私鑰),然后將公鑰檔案放到服務器中的指定位置,遠程登錄時,系統將使用公鑰、私鑰進行加密/解密關聯驗證,能增強安全性,且可以免互動登錄,
[ 3 ] 兩種驗證同時開啟
當兩種驗證都啟用時,服務器將優先使用密鑰對驗證,
[ 4 ]驗證組態檔常用選項
三、SSH客戶端使用
[ 1 ]ssh 遠程登錄
ssh [選項] 用戶 @ IP號
-p:指定非默認的埠號,預設時默認使用 22埠
[ 2 ]scp 遠程復制
scp 目標用戶名@目標IP地址:目標檔案位置 本機存放位置
//復制目標主機檔案到本機
scp -r 本機目錄 目標用戶名@目標IP地址:目標目錄
//復制本機目錄到目標主機
[ 3 ]sftp 安全 FTP
sftp zhangsan@192.168.80.10 //訪問目標主機
sftp> ls //查看當前所在位置的檔案
sftp> get 檔案名 //下載檔案
sftp> put 檔案名 //上傳檔案
sftp> quit //退出
[ 4 ]配置密鑰對驗證
useradd admin //創建用戶
echo "123123" | passwd --stdin admin //配置密碼
su - admin //切換用戶
ssh-keygen -t ecdsa //創建密鑰對
cd ~/.ssh/ //進入~目錄下.ssh目錄
ssh-copy-id -i id_ecdsa.pub 目標用戶@目標IP
//直接在服務器的/home/目標用戶名/.ssh/目錄中匯入公鑰文本
ssh-agent bash //以下命令為配置免互動
ssh-add
四、TCP Wrappers
(此服務用的不多了解就好,有興趣可以自己做做)
TCP Wrappers
將TCP服務程式“包裹”起來,代為監聽TCP服務程式的埠,增加了一個安全檢測程序,外來的連接請求必須先通過這層安全檢測,獲得許可后才能訪問真正的服務程式,
大多數 Linux 發行版,TCP Wrappers 是默認提供的功能,rpm -q tcp_wrappers
(1)TCP Wrapper 保護機制的兩種實作方式
1.直接使用 tcpd 程式對其他服務程式進行保護,需要運行 tcpd程式,
2.由其他網路服務程式呼叫 libwrap.so.*鏈接庫,不需要運行 tcpd 程式,此方式的應用更加廣泛,也更有效率,
使用 ldd 命令可以查看程式的 libwrap.so.*鏈接庫
ldd $(which ssh vsftpd)
(2)TCP Wrappers 的訪問策略
TCP Wrappers 機制的保護物件為各種網路服務程式,針對訪問服務的客戶端地址進行訪問控制,
對應的兩個策略檔案為/etc/hosts.allow 和/etc/hosts.deny,分別用來設定允許和拒絕的策略,
格式:
<服務程式串列>:<客戶端地址串列>
-
服務程式串列
ALL:代表所有的服務,
單個服務程式:如“vsftpd”,
多個服務程式組成的串列:如“vsftpd,sshd” -
客戶端地址串列
ALL:代表任何客戶端地址,
LOCAL:代表本機地址,
允許使用通配符 “?” 和 “*”
網段地址,如 192.168.80. 或者 192.168.80.0/255.255.255.0
區域地址,如 “.benet.com”匹配 bdqn.com 域中的所有主機,
(3)TCP Wrappers 機制的基本原則:
首先檢查/etc/hosts.allow檔案,如果找到相匹配的策略,則允許訪問;
否則繼續檢查/etc/hosts.deny檔案,如果找到相匹配的策略,則拒絕訪問;
如果檢查上述兩個檔案都找不到相匹配的策略,則允許訪問,
“允許所有,拒絕個別”
只需在/etc/hosts.deny檔案中添加相應的拒絕策略
“允許個別,拒絕所有”
除了在/etc/hosts.allow中添加允許策略之外,還需要在/etc/hosts.deny檔案中設定“ALL:ALL”的拒絕策略,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/233097.html
標籤:其他
上一篇:ssh密鑰驗證