草庐IT

SSH远程访问控制

糖醋·小排顾 2023-04-13 原文

目录

一:SSH概述 

1.1什么是SSH

1.2SSH的作用

1.3SSH的主程序以及配置文件

二:SSH远程登录方式

2.1ssh [远程主机用户名]@[远程服务器主机名或IP地址] -p port

2.2ssh -l [远程主机用户名] [远程服务器主机名或IP地址]  -p  port

2.3扩展

三:openssh服务包 

四:服务配置与管理

4.1端口的使用

4.2限制登录验证的时间

​4.3是否允许root用户登录 

4.4显示上次登录时间

4.5最大重试次数 

​4.6仅允许添加的用户登录

​4.7sshd_config配置文件的常用选项设置

五:scp——安全性复制

5.1本地文件复制到服务器

5.2复制服务器的文件到本地

​5.3本地目录复制到服务器

5.4服务器目录复制到本地

​六: sftp——安全性传输

七:配置秘钥对验证

八:TCP  Wrappers 访问控制

九:总结

引言:在生产环境中我们最要注意的就是安全问题,本章内容学习ssh它是一种安全通道协议,能够更好的保证我们数据传输的安全性

一:SSH概述 

1.1什么是SSH

SSH (Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程、复制等功能。SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令,SSH为建立在应用层和传输层基础上的安全协议。

SSH客户端<--------------网络--------------->SSH服务端

数据传输是加密的,可以防止信息泄漏

数据传输是压缩的,可以提高传输速度

1.2SSH的作用

SSH客户端:Putty、 xshell、 CRT、MobaXterm、Finalshell

SSH服务端:openssH

openSSH是实现SSH协议的开源软件项目,适用于各种UNIX、Linux操作系统。Centos 7系统默认已安装openssh相关软件包,并将sshd 服务添加为开机自启动。执行"systemctl start sshd"命令即可启动sshd服务

sshd服务默认使用的是TCP的22端口,安全协议版本sshv2,除了2之外还有1(有漏洞)

sshd服务的默认配置文件是/etc/ ssh/sshd_config

ssh_config和sshd_config都是ssh服务器的配置文件,二者区别在于前者是针对客户端的配置文件,后者则是针对服务端的配置文件。

ssh服务端主要包括两个服务功能:ssh远程链接和sftp服务

作用:SSHD服务使用sSH协议可以用来进行远程控制,或在计算机之间传送文件。相比较之前用Telnet方式来传输文件要安全很多,因为Telnet使用明文传输,SSH 是加密传输。

1.3SSH的主程序以及配置文件

ssh-v:查看版本

服务名称: sshd

服务端主程序:/usr/sbin/sshd

服务端配置文件:/etc/ ssh/sshd_config

远程管理linux系统基本上都要使用到ssh,原因很简单:telnet、FTP等传输方式是?以明文传送用户认证信息,本质上是不安全的,存在被网络窃听的危险

SSH(Secure Shell)目前较可靠,是专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题,透过SSH可以对所有传输的数据进行加密,也能够防止DNS欺骗和IP欺骗

openSSH常用配置文件有两个:/etc/ssh/ssh_config和/etc/sshd_config

ssh_config:为客户端配置文件,设置与客户端相关的应用可通过此文件实现

sshd_config:为服务器端配置文件,设置与服务端相关的应用可通过此文件实现

二:SSH远程登录方式

2.1ssh [远程主机用户名]@[远程服务器主机名或IP地址] -p port

当在Linux 主机上远程连接另一台Linux 主机时,如当前所登录的用户是 root的话,当连接另一台主机时也是用root用户登录时,可以直接使用ssh IP,端口默认即可,如果端口不是默认的情况下,需要使用-p指定端口

RSA算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但是想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥

进入vim /etc/hosts编辑如下图所示

登录成功

2.2ssh -l [远程主机用户名] [远程服务器主机名或IP地址]  -p  port

-l :-l 选项,指定登录名称。

-p: -p 选项,指定登录端口(当服务端的端口非默认时,需要使用-p指定端口进行登录) 

注:第一次登录服务器时系统没有保存远程主机的信息,为了确认该主机身份会提示用户是否继续连接,输入yes后登录,这时系统会将远程服务器信息写入用户主目录下的$HOME/.ssh/known_hosts文件中,下次再进行登录时因为保存有该主机信息就不会再提示了

2.3扩展

ssh会把你每个你访问过计算机的公钥(public key)都记录在~/ .ssh/known_hosts。当下次访问相同计算机时,OpensSSH会核对公钥。如果公钥不同,openSSH会发出警告,避免你受到DNSHijack之类的攻击。

解决办法:

1.使用ssh连接远程主机时加上"-o strictHostKeyChecking=no"的选项,如下:

ssh -o StrictHostKeyChecking=no 192.168 . XXX.XXX

2.一个彻底去掉这个提示的方法是,修改/etc/ssh/ssh_config文件(或$HONE/ .ssh/config)中的配置,添加如下两行配置:

StrictHostKeyChecking no 

UserKnownHostsFile /dev/null

原因:一台主机上有多个Linux系统,会经常切换,那么这些系统使用同一ip,登录过一次后就会把ssh信息记录在本地的~/ .ssh/known_hsots文件中,切换该系统后再用ssh访问这台主机就会出现冲突警告,需要手动删除修改known_hsots里面的内容。

三:openssh服务包 

要安装openssH四个安装包:

OpenSSH软件包,提供了服务端后台程序和客户端工具,用来加密远程控件和文件传输过程中的数据,并由此来代替原来的类似服务Telnet或Ftp

安装包: 

Openssh服务需要4个软件包。

openssh-5.3p1-114.el6_7.x86_64包含 OpenSSH服务器及客户端需要的核心文件

openssh-clients-5.3p1-114.el6_7.x86_64 OpenssH客户端软件包

openssh-server-5.3p1-114.el6_7.x86_64 OpenSSH服务器软件包

openssh-askpass-5.3p1-114.el6_7.x86_64 支持对话框窗口的显示,是一个基于x系统的演示下远程登录的方法

四:服务配置与管理

4.1端口的使用

1.进入服务端配置文件进行修改

2.重启sshd服务

3.查看结果

4.2限制登录验证的时间

1.进入服务端配置文件进行修改

2. 重启sshd服务

3.验证结果,1分钟后自动断开

4.3是否允许root用户登录 

1.先创建账户

2.进入服务端配置文件进行修改

3.重启sshd服务

4.验证结果 :root用户不可以,普通用户可以

 

4.4显示上次登录时间

1.进入服务端配置文件

2.验证结果

4.5最大重试次数 

1.进入服务端配置文件进行修改 

2.重启服务

3.验证结果

4.6仅允许添加的用户登录

1.创建用户

2.进入服务端配置文件进行修改

3.重启sshd服务

4.验证结果(root用户也不能登录)

4.7sshd_config配置文件的常用选项设置

 

五:scp——安全性复制

scp(secure copy):用于在Linux下进行远程拷贝文件的命令,而且scp传输是加密的

5.1本地文件复制到服务器

1.在本地进行操作

2.在服务器查看 

5.2复制服务器的文件到本地

1.查看服务器需要复制的文件

2.在本地进行操作

5.3本地目录复制到服务器

1.在本地进行操作

2.在服务器查看

5.4服务器目录复制到本地

1.查看服务器需要复制的目录

2.在本地进行操作

六: sftp——安全性传输

sftp(Secure File Transfer Protocol):安全文件传送协议。可以为传输文件提供一种安全的网络的加密方法。

sftp 与 ftp 有着几乎一样的语法和功能。SFTP为 SSH的其中一部分,其实在SSH软件包中,已经包含了一个叫作SFTP(S8ecure FileTransfer Protoccl)的安全文件信息传输子系统,SFTP本身没有单独的守护进程,它必须使用sshd宇护进程(端口号默认是22)来完成相应的连接和答复操作

所以,使用SFTP是非常安全的。但是,由于这种传输方式使用了加密/解密技术,所以传输效率比普通的FTP要低得多,如果对网络安全性要求更高时,可以使用SFTP代替FTP

sftp root@192.168.10.10      登陆到服务器

get (下载文件):get anaconda-ks.cfg  / home /

get -r(下载目录)

put 上传:put abc.txt   默认时会上传到/root

help:查看sftp可使用的命令和用途

pwd:打印当前服务器所在位置

lpwd:打印当前本地位置

cd:切换服务器上的目录

ls:查看当前目录下文件列表

quit:退出sftp

 

七:配置秘钥对验证

密钥对验证:要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件(公钥、私钥),然后将公钥文件放到服务器中的指定位置。远程登录时,系统将使用公钥、私钥进行加密/解密关联验证,大大增强了远程管理的安全性。该方式不易被假冒,且可以免交程登录,在shell中被广泛使用。当密码验证、密钥对验证都启用时,服务器将优先使用密钥对验证。对于安全性要求较高的服务器,建议将密码验证方式禁用,只允许启用密钥对验证万式:若没有特殊要求,则两种方式都可启用。

1.进入服务端配置文件进行修改

vim /etc/ssh/sshd_config

2.确认生成新秘钥文件

3.将公钥文件上传至服务器

scp  ~/.ssh/id_rsa.pub root@192.168.137.20:/指定目录

cd ~/.ssh/

ssh-copy-id  -i  id_ rsa.pub root@192.168.137.20

4.在服务端查看上传的公钥文件

5.在客户端使用密钥对认证

八:TCP  Wrappers 访问控制

在 Linux 系统中,许多网络服务针对客户端提供了访问控制机制,如 Samba、BIND、 HTTPD、OpenSSH 等

TCP Wrappers 将 TCP 服务程序“包裹”起来,代为监听 TCP 服务程序的端口,增加了 一个安全检测过程,外来的连接请求必须先通过这层安全检测,获得许可后才能访问真正的服务程序

rpm -q  tcp_wrappers       #查询是否安装,一般系统会默认安装

vim /etc/hosts.allow  允许192.168.137.15机器连接

 

vim /etc/hosts.deny  拒绝192.168.137.10机器连接 

 

九:总结

在生产环境中我们经常会使用到ssh来进行远程连接,我们要了解openssh服务端的配置文件内监听选项,用户登录控制,登录验证方式,以及密码对验证的ssh体系的原理和TCP Warppers访问控制,从而达到我们安全连接的目的。

有关SSH远程访问控制的更多相关文章

  1. ruby - 为什么我可以在 Ruby 中使用 Object#send 访问私有(private)/ protected 方法? - 2

    类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc

  2. ruby-on-rails - 在混合/模块中覆盖模型的属性访问器 - 2

    我有一个包含模块的模型。我想在模块中覆盖模型的访问器方法。例如:classBlah这显然行不通。有什么想法可以实现吗? 最佳答案 您的代码看起来是正确的。我们正在毫无困难地使用这个确切的模式。如果我没记错的话,Rails使用#method_missing作为属性setter,因此您的模块将优先,阻止ActiveRecord的setter。如果您正在使用ActiveSupport::Concern(参见thisblogpost),那么您的实例方法需要进入一个特殊的模块:classBlah

  3. ruby - 续集在添加关联时访问many_to_many连接表 - 2

    我正在使用Sequel构建一个愿望list系统。我有一个wishlists和itemstable和一个items_wishlists连接表(该名称是续集选择的名称)。items_wishlists表还有一个用于facebookid的额外列(因此我可以存储opengraph操作),这是一个NOTNULL列。我还有Wishlist和Item具有续集many_to_many关联的模型已建立。Wishlist类也有:selectmany_to_many关联的选项设置为select:[:items.*,:items_wishlists__facebook_action_id].有没有一种方法可以

  4. Ruby Readline 在向上箭头上使控制台崩溃 - 2

    当我在Rails控制台中按向上或向左箭头时,出现此错误:irb(main):001:0>/Users/me/.rvm/gems/ruby-2.0.0-p247/gems/rb-readline-0.4.2/lib/rbreadline.rb:4269:in`blockin_rl_dispatch_subseq':invalidbytesequenceinUTF-8(ArgumentError)我使用rvm来管理我的ruby​​安装。我正在使用=>ruby-2.0.0-p247[x86_64]我使用bundle来管理我的gem,并且我有rb-readline(0.4.2)(人们推荐的最少

  5. ruby - Capistrano 3 在任务中更改 ssh_options - 2

    我尝试使用不同的ssh_options在同一阶段运行capistranov.3任务。我的production.rb说:set:stage,:productionset:user,'deploy'set:ssh_options,{user:'deploy'}通过此配置,capistrano与用户deploy连接,这对于其余的任务是正确的。但是我需要将它连接到服务器中配置良好的an_other_user以完成一项特定任务。然后我的食谱说:...taskswithoriginaluser...task:my_task_with_an_other_userdoset:user,'an_othe

  6. ruby-on-rails - 带 Spring 锁的 Rails 4 控制台 - 2

    我正在使用Ruby2.1.1和Rails4.1.0.rc1。当执行railsc时,它被锁定了。使用Ctrl-C停止,我得到以下错误日志:~/.rvm/gems/ruby-2.1.1/gems/spring-1.1.2/lib/spring/client/run.rb:47:in`gets':Interruptfrom~/.rvm/gems/ruby-2.1.1/gems/spring-1.1.2/lib/spring/client/run.rb:47:in`verify_server_version'from~/.rvm/gems/ruby-2.1.1/gems/spring-1.1.

  7. ruby-on-rails - openshift 上的 rails 控制台 - 2

    我将我的Rails应用程序部署到OpenShift,它运行良好,但我无法在生产服务器上运行“Rails控制台”。它给了我这个错误。我该如何解决这个问题?我尝试更新ruby​​gems,但它也给出了权限被拒绝的错误,我也无法做到。railsc错误:Warning:You'reusingRubygems1.8.24withSpring.UpgradetoatleastRubygems2.1.0andrun`gempristine--all`forbetterstartupperformance./opt/rh/ruby193/root/usr/share/rubygems/rubygems

  8. C51单片机——实现用独立按键控制LED亮灭(调用函数篇) - 2

    说在前面这部分我本来是合为一篇来写的,因为目的是一样的,都是通过独立按键来控制LED闪灭本质上是起到开关的作用,即调用函数和中断函数。但是写一篇太累了,我还是决定分为两篇写,这篇是调用函数篇。在本篇中你主要看到这些东西!!!1.调用函数的方法(主要讲语法和格式)2.独立按键如何控制LED亮灭3.程序中的一些细节(软件消抖等)1.调用函数的方法思路还是比较清晰地,就是通过按下按键来控制LED闪灭,即每按下一次,LED取反一次。重要的是,把按键与LED联系在一起。我打算用K1来作为开关,看了一下开发板原理图,K1连接的是单片机的P31口,当按下K1时,P31是与GND相连的,也就是说,当我按下去时

  9. ruby-on-rails - 在 Rails 控制台中使用 asset_path - 2

    在我的Character模型中,我添加了:字符.rbbefore_savedoself.profile_picture_url=asset_path('icon.png')end但是,对于数据库中已存在的所有角色,它们的profile_picture_url为nil。因此,我想进入控制台并遍历所有这些并进行设置。在我试过的控制台中:Character.find_eachdo|c|c.profile_picture_url=asset_path('icon.png')end但这给出了错误:NoMethodError:undefinedmethod`asset_path'formain:O

  10. ruby - 有没有办法从 ruby​​ case 语句中访问表达式? - 2

    我想从then子句中访问c​​ase语句表达式,即food="cheese"casefoodwhen"dip"then"carrotsticks"when"cheese"then"#{expr}crackers"else"mayo"end在这种情况下,expr是食物的当前值(value)。在这种情况下,我知道,我可以简单地访问变量food,但是在某些情况下,该值可能无法再访问(array.shift等)。除了将expr移出到局部变量然后访问它之外,是否有直接访问caseexpr值的方法?罗亚附注我知道这个具体示例很简单,只是一个示例场景。 最佳答案

随机推荐