一、SSH远程管理
SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。SSH 协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。与早期的 Telent(远程登录)、RSH(Remote Shell,远程执行命令)、RCP(Remote File Copy,远程文件复制)等应用相比,SSH 协议提供了更好的安全性。本节将以 OpenSSH 为例,介绍 Linux 服务器的远程管理及安全控制。OpenSSH 是实现 SSH 协议的开源软件项目,适用于各种 UNIX、Linux 操作系统。关于 OpenSSH 项目的更多内容可以访问其官方网站OpenSSH。
1、配置OpenSSH服务端
在 CentOS 7.3 系统中,OpenSSH 服务器由 openssh、openssh-server 等软件包提供(默认已安装),并已将 sshd 添加为标准的系统服务。执行“systemctl start sshd”命令即可启动 sshd 服务,包括 root 在内的大部分用户(只要拥有合法的登录 Shell)都可以远程登录系统。
sshd 服务的默认配置文件是/etc/ssh/sshd_config,正确调整相关配置项,可以进一步提高 sshd 远程登录的安全性。下面介绍最常用的一些配置项,关于 sshd_config 文件的更多配置可参考 man 手册页。
1.1、服务监听选项
sshd 服务使用的默认端口号为 22,必要时建议修改此端口号,并指定监听服务的具体IP 地址,以提高在网络中的隐蔽性。除此之外,SSH 协议的版本选用 V2 比 V1 的安全性要更好,禁用 DNS 反向解析可以提高服务器的响应速度。
1.2、用户登录控制
sshd 服务默认允许 root 用户登录,但在 Internet 中使用时是非常不安全的。普遍的做法如下:先以普通用户远程登入,进入安全 Shell 环境后,根据实际需要使用 su 命令切换为 root 用户。关于 sshd 服务的用户登录控制,通常应禁止 root 用户或密码为空的用户登录。另外,可以限制登录验证的时间(默认为 2 分钟)及最大重试次数,若超过限制后仍未能登录则断开连接。
当希望只允许或禁止某些用户登录时,可以使用 AllowUsers 或 DenyUsers 配置,两者用法类似(注意不要同时使用)。例如,若只允许 jerry、tsengyia 和 admin 用户登录,且其中 admin 用 户 仅 能 够 从 IP 地 址 为 61.23.24.25 的 主 机 远 程 登 录 , 则 可 以 在/etc/ssh/sshd_config 配置文件中添加以下配置。
1.3、登录验证方法
对于服务器的远程管理,除了用户账号的安全控制以外,登录验证的方式也非常重要。sshd 服务支持两种验证方式——密码验证、密钥对验证,可以设置只使用其中一种方式,也可以两种方式都启用。
① 密码验证:对服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便,但从客户端角度来看,正在连接的服务器有可能被假冒;从服务器角度来看,当遭遇密码穷举(暴力破解)攻击时防御能力比较弱;
② 密钥对验证:要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件(公钥、私钥),然后将公钥文件放到服务器中的指定位置。远程登录时,系统将使用公钥、私钥进行加密/解密关联验证,大大增强了远程管理的安全性。该方式不易被假冒,且可以免交互登录,在 Shell 中被广泛使用。
当密码验证、密钥对验证都启用时,服务器将优先使用密钥对验证。对于安全性要求较高的服务器,建议将密码验证方式禁用,只允许启用密钥对验证方式;若没有特殊要求,则两种方式都可启用。
二、具体的操作,这里我们开启2个Linux主机,192.168.10.101主机用作服务器、192.168.10.102主机用作客户端使用。
1、SSH(Secure Shell)协议
从这里我们可以看到服务器的端口默认是22端口,在实际工作中,为了提高其安全性,我们可以将服务器的默认22号端口修改成其它的端口。但注意修改的端口号不要与其他服务的端口号有冲突。
对于Linux而言,想要改一些参数都是通过文件来修改的;ssh对应的配置文件是:etc/ssh/sshd_config
重启sshd服务时若不关闭内核机制,重启时会报错,因为ssh是安全机制,受内核安全机制的保护。
以上操作哪怕指定服务器的端口也连不上,因为服务器默认让我们连的端口是22号端口,防火墙不会拦截其流量;当重新指定修改过后的端口防火墙也会将该流量拦截,此时我们需要关闭服务器的防火墙(101主机终端)。注:默认防火墙不会拦截的是sshd和dhcpclientv6。
注:改端口号,要关闭内核安全机制,如果是其它服务,该端口号随便改
2、 ssh的目录
3、ssh的主配置文件
若非要让尝试登录的次数超过三次,可以使用以下命令:
若允许多个用户连接可以在用户之间用空格隔开;若允许所有用户连接,只需将“allowusers zhangsan ”这行注释掉即可。
当我们远程建立连接时,需要我们建立一个普通用户,以普通用户的身份建立连接,再切换到root用户,是为了防止有黑客在外面建立连接时截取我们的数据流量,从而破译出root用户密码,若是以普通用户身份建立连接时流量被截取,但普通用户没有root用户的相关权限,提高安全性。
4、密钥对验证
5、减少登录的过程的时间
6、跨主机下载、上传文件:scp命令
7、跨主机下载、上传文件:sftp命令
下载
上传
8、查看修改端口号对远程数据拷贝是否有影响:
拷贝:p是小写的
上传:p是大写的
-o选项 与-P选项是等效的
9、上传和下载
注:安装lrzsz可以直接把文件拉到xshell界面,进行上传
9、如何使用公钥认证的方式,让远程的客户端登录服务器
ssh远程登录一个主机,是经常要做的,尤其是linux的维护,经常是用xshell或者是远程的终端工具去登录,登录的方法就是ssh加上对端主机,顶多加个用户。
身份的认证:1、密码认证
2、公钥认证
实际上,在进行ssh身份认证的时候,优先使用公钥认证,显然登录的时候没有让用公钥认证,用的还是密码
①id_rsa.pub把这个文件拷贝到101的主机
登录验证
三、、TCP Wrappers 访问控制
在 Linux 系统中,许多网络服务针对客户端提供了访问控制机制,如 Samba、BIND、HTTPD、OpenSSH 等。本节将介绍另一种防护机制——TCP Wrappers(TCP 封套),以作为应用服务与网络之间的一道特殊防线,提供额外的安全保障。
1、TCP Wrappers 概述
TCP Wrappers 将 TCP 服务程序“包裹”起来,代为监听 TCP 服务程序的端口,增加了一个安全检测过程,外来的连接请求必须先通过这层安全检测,获得许可后才能访问真正的服务程序,如图 4.3 所示。TCP Wrappers 还可以记录所有企图访问被保护服务的行为,为管理员提供丰富的安全分析资料。
对于大多数 Linux 发行版,TCP Wrappers 是默认提供的功能。 7.3 中使用的软件包是 tcp_wrappers-7.6-77.el7.x86_64.rpm,该软件包提供了执行程序 tcpd 和共享链接库文件 libwrap.so.*,对应 TCP Wrapper 保护机制的两种实现方式——直接使用 tcpd 程序对其他服务程序进行保护,需要运行 tcpd;由其他网络服务程序调用 libwrap.so.*链接库,不需要运行 tcpd 程序。
通常,链接库方式的应用要更加广泛,也更有效率。例如,vsftpd、sshd 及超级服务器xinetd 等,都调用了 libwrap 共享库(使用 ldd 命令可以查看程序的共享库)。
注意:xinetd 是一个特殊的服务管理程序,通常被称为超级服务器。xinetd 通过在/etc/xinetd.d 目录下为每个被保护的程序建立一个配置文件,调用 TCP Wrappers 机制来提供额外的访问控制保护。
2、TCP Wrappers 的访问策略
TCP Wrappers 机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制。对应的两个策略文件为/etc/hosts.allow 和/etc/hosts.deny,分别用来设置允许和拒绝的策略。
2.1、策略的配置格式
两个策略文件的作用相反,但配置记录的格式相同,如下所示。
服务程序列表、客户端地址列表之间以冒号分隔,在每个列表内的多个项之间以逗号分隔。
(1)服务程序列表
服务程序列表可分为以下几类。
ALL:代表所有的服务。
单个服务程序:如“vsftpd”。
多个服务程序组成的列表:如“vsftpd,sshd”。
(2)客户端地址列表
客户端地址列表可分为以下几类。
ALL:代表任何客户端地址。
LOCAL:代表本机地址。
单个 IP 地址:如“192.168.4.4”。
网络段地址:如“192.168.4.0/255.255.255.0”。
以“.”开始的域名:如“.bdqn.com”匹配 bdqn.com 域中的所有主机。
以“.”结束的网络地址:如“192.168.4.”匹配整个 192.168.4.0/24 网段。
嵌入通配符“*”“?”:前者代表任意长度字符,后者仅代表一个字符,如“10.0.8.2*” 匹配以 10.0.8.2 开头的所有 IP 地址。不可与以“.”开始或结束的模式混用。
多个客户端地址组成的列表:如“192.168.1.,172.16.16.,.bdqn.com”。
2.2、访问控制的基本原则
关于 TCP Wrappers 机制的访问策略,应用时遵循以下顺序和原则:首先检查/etc/hosts.allow 文件,如果找到相匹配的策略,则允许访问;否则继续检查/etc/hosts.deny文件,如果找到相匹配的策略,则拒绝访问;如果检查上述两个文件都找不到相匹配的策略,则允许访问。
2.3、TCP Wrappers 配置实例
实际使用 TCP Wrappers 机制时,较宽松的策略可以是“允许所有,拒绝个别”,较严格的策略是“允许个别,拒绝所有”。前者只需在 hosts.deny 文件中添加相应的拒绝策略就可以了;后者则除了在 hosts.allow 中添加允许策略之外,还需要在 hosts.deny 文件中设置“ALL:ALL”的拒绝策略。
例如,若只希望从 IP 地址为 61.63.65.67 的主机或者位于 192.168.2.0/24 网段的主机访问 sshd 服务,其他地址被拒绝,可以执行以下操作。