那些你不得不会的技术之Linux网络中的远程访问与控制

其他 2020-12-24 01:42:24 阅读次数: 0

文章目录

一、SSH远程管理

SSH (Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。
SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。因此SSH 协议具有很好的安全性。
网络
SSH客户端 <-------------------------------------------------------------------------------------->SSH服务端
          数据传输是加密的,可以防止信息泄漏
          数据传输是压缩的,可以提高传输速度

SSH客户端:Putty、 xshell、CRT
SSH服务端:OpenSSH

OpenSSH 是实现 SSH 协议的开源软件项目,适用于各种 UNIX、Linux 操作系统。Centos 7系统默认已安装 OpenSSH 相关软件包,并已将 sshd 服务添加为开机自启动。执行 “systemctl start sshd” 命令即可启动sshd服务。
sshd服务默认使用的是 TCP的22端口
sshd服务的默认配置文件是 /etc/ssh/sshd _config

ssh_config和sshd_config 都是ssh服务器的配置文件,二者区别在于 前者是针对客户端的配置文件,后者是针对服务端的配置文件。

(一)、配置 OpenSSH 服务端

sshd  config 配置文件的常用选项设置
vim /etc/sshd/sshd_config
Port 22            #监听端口为22
ListenAddress  0.0.0.0       #监听地址为任意网段,也可以指定OpenSSH 服务器的具体IP

LoginGraceTime 2m        #登录验证时间为2分钟
PermitRootLogin no        #禁止root用户登录
MaxAuthTries   6             #最大重试次数为6

PermitEmptyPasswords no       #禁止空密码用户登录
UseDNS  no                   #禁用DNS反向解析,以提高服务器的响应速度

------只允许zhangsan、 lisi、wangwu用户登录,且其中wangwu用户仅能够从IP 地址为61.23.24.25的主机远程登录-------
AllowUsers  zhangsan  lisi  [email protected]          #多个用户以空格分隔,加@是指定允许的用户只能在指定的IP的客户端登录服务器
------禁止某些用户登录,用法于Allowsers类似(注意不要同时使用)------
DenyUsers zhangsan

1、 配置 OpenSSH 服务端实操(该处可以修改的地方可以参考上面理论处)

首先可以检查一下 openssh 是不是已经默认安装了。
在这里插入图片描述

同时我们也可以进入到/etc/ssh 目录下查看一下客户端和服务器的两个默认配置文件ssh_config和sshd_config
在这里插入图片描述

接着就是来修改 OpenSSH服务端的配置文件了。
在这里插入图片描述

我们这里试验一下只允许张三用户登录客户端,可以在AllowUsers 中添加允许访问的用户zhangsan
在这里插入图片描述

接着添加两个用户zhangsan 和 lisi
在这里插入图片描述

接着新建一个会话,该新建的会话是作为客户端,目的是用来连接服务器使用,所以填的主机IP 要是服务器的IP,然后用它来实验刚刚的设置是否成功了,即能否连接上服务器。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

接着重启一下SSH 服务,来实验 lisi 用户能否登录服务端。
重启了服务器之后,将之前新建的会话1 断开连接后重新连接,输入lisi 用户名,发现不能登录。
在这里插入图片描述
在这里插入图片描述

发现密码被拒绝,说明 lisi 不能登录,被拒绝访问了。
在这里插入图片描述

二、sshd服务支持两种验证方式

(一)、密码验证

密码验证对服务器中本地系统用户的登录名称、密码进行验证。简便,但可能会被暴力破解

(二)、密钥对验证

密钥对验证要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件(公钥、私钥),然后将公钥文件放到服务器的指定位置。远程登录时,系统将使用公钥、私钥进行加密/解密关联验证。能增强安全性,且可以免交互登录。

(三)、公钥和私钥的关系:

1、公钥和私钥是成对生成的,这两个密钥互不相同,可以互相加密和解密。不能根据一个密钥来推算出另一个密钥。
2、公钥对外公开,私钥只有私钥的持有者才知道。
3、当密码验证、密钥对验证都启用时,服务器将优先使用密钥对验证。可根据实际情况设置验证方式。

vim  /etc/ssh/sshd_config
PasswordAuthentication   yes          #启用密码验证
PubkeyAuthentication      yes          #启用密钥对验证
AuthorizedkeysFile  .ssh/authorized_keys       #指定公钥库文件,.ssh目录是在/目录下的隐藏文件,需要使用ls -a 来查看

(四)、配置密钥对验证步骤

1、在客户端创建密钥对

在客户端创建密钥对通过ssh-keygen工具为当前用户创建密钥对文件。可用的加密算法为RSA,ECDSA或DSA等(ssh-keygen命令的 “-t" 选项用于指定算法类型)

useradd   admin
echo "123123"  I  passwd  --stdin  admin
su  - admin          #带 - 选项表示将使用目标用户的登录Shell环境,登录shell环境之后就可以使用该用户的~/.bashrc配置文件
ssh-keygen  -t  ecdsa
Generating  public/private  ecdsa  key  pair.
Enter  file  in  which   to  save   the  key   (/home/admin/.ssh/id_ecdsa):      #指定私钥位置,直接回车使用默认位置
Created   directory  '/home/admin/.ssh'.      #生成的私钥、公钥文件默认存放在宿主目录中的隐藏目录 .ssh/下
Enter  passphrase  (empty  for  no  passphrase):          #设置私钥的密码
Enter  same  passphrase  again:                              #并确认输入

ls  -l  ~/.ssh/id_ecdsa
#id_ecdsa 是私钥文件,权限默认为600;id-ecdsa .pub 是公钥文件,用来提供给SSH服务器

2、将公钥文件上传至服务器

scp  ~/.ssh/id_ecdsa.pub [email protected]:/opt
或
#此方法可直接在服务器的 /home/zhangsan/.ssh/ 目录中导入公钥文本
cd  ~/.ssh/
ssh-copy-id   -i   id   ecdsa.pub  [email protected]

3、在服务器中导入公钥文本

mkdir   /home/zhangsan/.ssh/
cat   /opt/id_ecdsa.pub  >>  /home/zhangsan/.ssh/authorized_keys

cat  /home/zhangsan/.ssh/authorized_keys

4、在客户端使用密钥对验证

ssh  [email protected]
Enter  passphrase  for  key  '/home/admin/.ssh/id ecdsa':          #输入私钥的密码

5、在客户机设置ssh代理功能,实现免交互登录

ssh-agent  bash
ssh-add
Enter  passphrase  for  /home/admin/.ssh/id_ecdsa:      #输入私钥的密码

ssh  [email protected]

6、配置密钥对验证 实验实操

在7-1 中的admin 用户创建一个密钥对,那首先要su admin,然后创建密钥对
在这里插入图片描述

然后在admin 用户中的 家目录下的 .ssh/ 目录下,查看一下密钥对,接着在服务器中导入7-1 的公钥文本
在这里插入图片描述

接着在7-2 中进入导入公钥的用户zhangsan 的/ 目录下查看 .ssh/ ,发现已经导入了公钥。
在这里插入图片描述

然后在 客户端7-1 的admin 用户下就可以直接使用ssh 命令 然后输入私钥密码就可以切换到7-2 的 zhangsan 用户中去了
在这里插入图片描述

接下来实验 在客户机设置ssh代理功能,实现免交互登录
在7-1 中的admin 用户下设置ssh 代理功能,就可以在登录zhangsan 用户的时候不需要再次输入私钥密码了。
在这里插入图片描述

三、使用SSH客户端程序

(一)、ssh远程登录

ssh  [选项]    [email protected]

当用户第一次登录SSH服务器时,必须接受服务器发来的ECDSA密钥(根据提示输入"yes")后才能继续验证。接收的密钥信息将保存到 ~/.ssh/known_hosts 文件中。密码验证成功以后,即可登录目标服务器的命令行环境中了。

-p:指定非默认的端口号,缺省时默认使用22端口
例如:ssh   -p    2345 [email protected]

(二)、scp远程复制

下行复制-------
scp  [email protected]:/etc/passwd   /root/passwd10      #将远程主机中的/etc/passwd文件复制到本机的/root目录下并改名为passwd10保存
------上行复制------
scp  -r   /etc/ssh/    [email protected]:/opt         #将本机的/etc/ssh目录复制到远程主机,-当上传或下载的是目录时,需要加-r代表递归

(三)、sftp 安全FTP

由于使用了加密/解密技术,所以传输效率比普通的FTP要低,但安全性更高。操作语法sftp与 ftp几乎一样。轻量级的文件传输。

sftp  [email protected]
Connecting to 192.168.80.10...
[email protected]'s  password:         #输入密码
sftp >  ls
sftp > get    文件名        #下载文件到相应的下载的目录下
sftp > put    文件名        #上传文件到相应的上传的目录下
sftp > quit                      #退出

(四)、使用SSH客户端程序示例实操

1、接下来实验 ssh远程登录:

此时我们需要用到另外一台虚拟机来进行连接。我们目的是从Centos 7-1 连接到 Centos 7-2 中的gcc 用户上使用。,使用ssh 后面跟上Centos 7-2 的用户gcc 以及@Centos 7-2 的IP 地址即可。
在这里插入图片描述

使用ifconfig 可以发现已经连接上Centos7-2 上面了,因为IP地址已经是7-2的IP地址了。
在这里插入图片描述

2、接下来实验 scp远程复制:

首先实验的是下行复制,也就是下载:
此处我们在7-1 中复制7-2 的网卡配置文件ens-33到7-1它自己的/opt 目录下(注意:复制的文件最好使用绝对路径,避免出现错误),然后在7-1中的/opt 目录下能找到下载的7-2的网卡配置文件。
在这里插入图片描述
在这里插入图片描述

接下来实验的是上行复制,即上传

我们将7-1 的/etc目录下的/ssh 目录复制到7-2 的/opt 目录下,注意这边需要使用 -r 递归上传,避免文件丢失。
在这里插入图片描述

在7-2 的/opt 目录下就可以找到我们上传过去的/etc/ssh 目录(这边我们最好也使用绝对路径)
在这里插入图片描述

接下来实验sftp 文件的传输与下载:

这边我们想在 7-1 中连接上7-2 ,可以使用sftp 然后用root用户@7-2的IP 地址即可
在这里插入图片描述

使用get 命令将7-2 的/home 目录下的hahaha.txt 文件下载到7-1 中,注意下载好以后的文件是存储在7-2相应的/home 目录下的。同样的从7-1 中使用put 命令上传/opt 目录下的123.txt 到7-2,上传的文件也是保存在7-2的相应的/opt 目录下的。
下载:
在这里插入图片描述

上传:
在这里插入图片描述
在这里插入图片描述

四、TCP Wrappers 访问控制

(一)、TCP Wrappers 访问控制 也称 TCP Wrappers (TCP封套)

将TCP服务程序”包裹" 起来,代为监听TCP服务程序的端口,增加了一个安全检测过程,外来的连接请求必须先通过这层安全检测,获得许可后才能访问真正的服务程序
大多数Linux发行版, TCP Wrappers 是默认提供的功能。

rpm  -q  tcp_wrappers

(二)TCP wrappers 保护机制的两种实现方式

1、直接使用 tcpd程序 对其他服务程序进行保护,需要运行tcpd程序。
2、由其他网络服务程序调用 libwrap.so.* 链接库,不需要运行tcpd程序。此方式的应用更加广泛,也更有效率。

使用 ldd 命令可以查看程序的 libwrap.so.*链接库
ldd    $ (which ssh)   #which是查看ssh 这个程序文件所在的位置的,而$()是调用()中的结果的作用)

使用 ldd $ (which ssh) 来查看ssh 这个程序文件的相关的 libwrap.so.*链接库,当使用该命令查找到相关的链接库文件后就说明ssh 可以使用 TCP Wrappers 的功能。
在这里插入图片描述

(三)、TCP Wrappers的访问策略

TCP Wrappers机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制。对应的两个策略文件为 /etc/hosts.allow 和 /etc/hosts.deny 分别用来设置允许和拒绝的策略。

格式
<服务程序列表>:<客户端地址列表>

1、服务程序列表
ALL 代表所有的服务
单个服务程序:如 “vsftpd”。
多个服务程序组成的列表:如"vsftpd,sshd",用“,” 间隔。
2、客户端地址列表
ALL:代表任何客户端地址。
LOCAL:代表本机地址。
多个地址以逗号分隔
允许使用通配符 “*” 和 “?” ,前者代表任意长度字符,后者仅代表一个字符
网段地址,如 “192.168.80.” 或者 192.168.80.0/255.255.255.0
区域地址,如 “.benet.con” 匹配 benet.com域中的所有主机。

(四)、TCP Wrappers 机制的基本原则

首先检查 /etc/hosts.allow 文件,如果找到相匹配的策略,则允许访问;否则继续检查 /etc/hosts.deny 文件,如果找到相匹配的策略,则拒绝访问;如果检查上述两个文件都找不到相匹配的策略,则允许访问

“允许所有,拒绝个别”
只需在/etc/hosts.deny 文件中添加相应的拒绝策略

“允许个别,拒绝所有"
除了在 /etc/hosts .allow 中添加允许策略之外,还需要在 /etc/hosts .deny 文件中设置 “ALL:ALL” 的拒绝策略。
在这里插入图片描述

实例:
若只希望从IP地址为12.0.0.1的主机或者位于192.168.226.0/24网段的主机访问sshd服务,其他地址被拒绝。

vim   /etc/hosts.allow
sshd:12.0.0.1,192.168.226.20.0

vim   /etc/hosts.deny
sshd:ALL

在这里插入图片描述
在这里插入图片描述

猜你喜欢

转载自blog.csdn.net/Gengchenchen/article/details/110942144
今日推荐
面壁智能发布 Eurux-8x22B 开源大模型 —— 堪称「理科状元」
开源日报 | 谷歌扶持鸿蒙上位;开源Rabbit R1;Docker加持的安卓手机;微软的焦虑和野心;海尔电器把开放平台关了
中国码农的“35岁魔咒”
蘭雅 CorelDRAW 插件 2024.5.1 国际劳动节版,免费下载
Arc Browser for Windows 1.0 正式 GA
90后程序员开发视频搬运软件、不到一年获利超 700 万,结局很刑!
周排行
【转】spring中对控制反转和依赖注入的理解
tms webcore 安装和使用
java程序员进阶相关书籍
SpringMVC接受请求参数、
如何保存训练好的机器学习模型
MyEclipse、Eclipse设置项目JDK的三个地方
商超行业微信小程序开发定制一般多少钱 (行业技术人员解读)
Markdown编辑器语言——30分钟入门到到精通
Linux系统下MongoDB的简单安装与基本操作
Power Strings
每日归档
更多
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)
2024-05-04(7)
2024-05-03(19)
2024-05-02(0)
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)
2024-04-28(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022