运维人员必懂的远程访问及其控制

【Linux词典】之远程访问及控制

---

---

前言

远程管理linux系统基本上都要使用到SSH，原因很简单:
Telnet、FTP等传输方式是以明文传送用户认证信息, 本质上是不安全的, 存在被网络窃听的危险。SSH (Secure Shell) 目前较可靠, 是专为远程登录会话和其他网络服务提供安全性的协议。 利用SSH协议可以有效防止远程管理过程中的信息泄露问题, 透过SSH可以对所有传输的数据进行加密, 也能够防止DNS欺骗和IP欺骗。

---

一、SSH服务

SSH是什么?
SSH (Secure Shell) 是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令, SSH为建立在应用层和传输层基础上的安全协议。

网络
SSH客户端<————————————————————————————————>SSH服务端
数据传输是加密的，以防止信息泄露
数据传输是压缩的，以提高传输速度

• SSH服务端主要包括两个服务功能 ssh远程链接和sftp服务
  作用: SSHD 服务使用 SSH协议可以用来进行远程控制，或在计算机之间传送文件。 相比较之前用 Telnet 方式来传输文件要安全很多,因为 Telnet使用明文传输, SSH 是加密传输。

• SSH客户端: Putty, Xshell, CRT、MobaXterm

• SSH服务端: OpenSSH OpenSSH 是实现SSH协议的开源软件项目,适用于各种UNIX、Linux 操作系统。 CentOS 7系统默认已安装OpenSSH相关软件包,并将sshd 服务添加为开机自启动执行"systemctI start sshd"命令即可启动sshd服务;

  OpenSSH常用配置文件有两个/etc/ssh/ssh_config和/etc/sshd_config
  ssh_config: 为客户端配置文件, 设置与客户端相关的应用可通过此文件实现
  sshd_config: 为服务器端配置文件, 设置与服务端相关的应用可通过此文件实现。
  总结：ssh_config和sshd_config都是ssh服务器的配置文件，二者区别在于前者是针对客户端的配置文件，后者则是针对服务端的配置文件

• SSHD服务默认使用的是TCP的22端口，安全协议版本sshv2，除了v2之外还有v1(有漏洞)
  SSHD服务的默认配置文件是/etc/ssh/sshd_config；主程序是/usr/bin/sshd

二、SSH远程登陆方式

2.1登录方式

方法一：

ssh [远程主机用户名] @[远程服务器主机名或IP地址] -p port

当在 Linux 主机上远程连接另一台 Linux 主机时, 如当前所登录的用户是 root 的话, 当连接另一台主机时也是用 root 用户登录时, 可以直接使用 SSH IP，端口默认即可,，如果端口不是默认的情况下，需要使用 -p指定端口。

RSA算法基于一个十分简单的数论事实：将两个大素数相乘十分容易，但是想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥。

方法二：

ssh -l [远程主机用户名] [远程服务器主机名或IP地址] -p port

#-l:-l 选项, 指定登录名称。
#-p:-p 选项, 指定登录端口 (当服务端的端口非默认时, 需要使用-p 指定端口进行登录)

注：第一次登录服务器时系统没有保存远程主机的信息，为了确认该主机身份会提示用户是否继续连接，输入yes 后登录，这时系统会将远程服务器信息写入用户主目录下的$HOME/.ssh/known hosts文件中，下次再进行登录时因为保存有该主机信息就不会再提示了。

#在平时工作中, 有时候需要SSH登陆到别的Linux主机上去, 但有时候SSH登陆会被禁止, 并弹出如下类似提示:
The authenticity of host '192.168.10.9 (192.168.10.9)' can't be established.
ECDSA key fingerprint is SHA256:AaGpHeEiRuxMy96oezzv6Toei 5nJJmz1e/diqR7gcvk 
ECDSA key fingerprint is MD5:78:al:b1:1c:36:76:c7:34:54:87:cc:ea:51:3f:0c:24.
Are you sure you want to continue connecting (yes/no)? yes
warning: Permanently added 1192.168.10.9' (ECDSA) to the list of known hosts.
Authentication failed.

• 原因：一台主机上有多个Linux系统，会经常切换，那么这些系统使用同一ip，登录过一次后就会把ssh信息记录在本地的~/.ssh/known_hsots文件中，切换该系统后再用ssh访问这台主机就会出现冲突警告，需要手动删除修改known_hsots里面的内容。

SSH会把你每个你访问过计算机的公钥(public key)都记录在~/.ssh/known_hosts，当下次访问相同计算机时，OpenSSH会核对公钥，如果公钥不同，OpenSSH会发出警告，避免你受到DNS Hijack之类的攻击。

2.2 OpenSSH服务包

要安装 OpenSSH 四个安装包：
OpenSSH软件包，提供了服务端后台程序和客户端工具，用来加密远程控件和文件传输过程中的数据，并由此来代替原来的类似服务 Telnet 或 Ftp 。

OpenSSH服务需要4个软件包:
openssh-5.3p1-114.e16_7.x86 64          #包含OpenSSH服务器及客户端需要的核心文件。
openssh-clients-5.3p1-114.e16_7.x86_64  #OpenSSH客户端软件包
openssh-server-5.3p1-114.e167.x86_64    #OpenSSH服务器软件包
openssh-askpass-5.3p1-114.e16-7.x86_64  #支持对话框窗口的显示,是一个基于x系统的

三、服务配置与管理

3.1服务配置

实验： 监听端口修改 ；设置SSHD监听端口号。

SSH预设使用 22 这个port, 也可以使用多个port, 即重复使用port这个设定项!
例如想要开放SSHD端口为 22 和 222 , 则多加一行内容为: Port 222 即可。
然后重新启动SSHD这样就好了。 建议大家修改 port number 为其它端口, 防止别人暴力破解。

#ListenAddress  监听地址
ListenAddress 0.0.0.0
设置SSHD服务器绑定的IP 地址, 0.0.0.0 表示侦听所有地址

安全建议： 如果主机不需要从公网ssh访问，可以把监听地址改为内网地址
这个值可以写成本地IP地址，也可以写成所有地址，即0.0.0.0表示所有IP

# Protocol 2
表示所有IP

# Protocol 2
设置协议版本为SSH1或SSH2, SSH1存在漏洞与缺陷, 选择SSH2

#UseDNS yes
一般来说, 为了要判断客户端来源是正常合法的, 因此会使用 DNS 去反查客户端的主机名, 但通常在内网互连时, 该基设置为no, 因此使联机速度会快此

注: 禁用DNS反向解析, 以提高服务器的响应速度

#SyslogFacility AUTHPRIV

当有人使用 SSH 登入系统的时候，SSH 会记录信息，这个信息要记录的类型为AUTHPRIV，sshd 服务日志存放在:：/var/log/secure。

3.2.安全调优

####LoginGraceTime 2m
·grace意思是系统给与多少秒来进行登录。 (默认2分钟, 0 表示无限制)
·当使用者连上 SSH server 之后 , 会出现输入密码的画面, 在该画面中。
·在多久时间内没有成功连上SSHserver 就强迫断线! 若无单位则默认时间为秒。 可以根据实际情况来修改实际

### PermitRootLogin yes  实验
是否允许 root 登入, 默认是允许的, 但是建议设定成 no, 真实的生产环境服务器, 是不允许root账号直接登陆的, 仅允许普通用户登录, 需要用到 root 用户再切换到root 用户。
案列
创建用户zhangsan、 lisi
查询组
grep "wheel" /etc/group
gpasswd -a zhangsan wheel   #zhangsan 用户已加入 wheel 组
开启pam模块

####passwordAuthentication yes
密码验证当然是需要的!所以这里写yes, 也可以设置为no, 在真实的生产服务器上, 根据不同安全级别要求, 有的是设置不需要密码登陆的, 通过认证的秘钥来登陆。

#### permitEmptyPasswords no
是否允许空密码的用户登录,默认为no, 不允许空密码登录

####PrintLastLog yes
显示上次登入的信息! 默认为 yes

###MaxAuthTries 6
指定每个连接最大允许的认证次数。 默认值是 6 。
如果失败认证的次数超过这个数值的一半, 连接将被强制断开, 且会生成额外的失败日志消息 
默认3次

验证ssh -o NumberofPasswordPrompts=8 [email protected]


######AllowUsers
当希望只允许或禁止某些用户登录时, 可以使用 AllowUsers 或 DenyUsers 配置, 两者用法类似 (注意不要同时使用)
配置A1lowUsers
例如, 若只允许 zhangsan、 wangwu 用户登录,其他 (lisi) 用户
AllowUsers [email protected] wangwu
黑白结论

• 对未经过安全认证的RPM包进行安全检查
• Linux用户方面的加固
• 设定密码策略
• 对用户密码强度的设定
• 对用户的登录次数进行限制
• 禁止ROOT用户远程登录
• 设置历史命令保存条数和账户超时时间
• 设置只有指定用户组才能使用su命令切换到root用户
• 对Linux账户进行管理
• 对重要的文件进行锁定，即使ROOT用户也无法删除
• 建立日志服务器

https://suijimimashengcheng.bmcx.com/ 随机密码生成器

3.3 SSHD服务支持两种验证方式

方式一：

• 密码验证：对服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便，但从客户端角度来看，正在连接的服务器有可能被假冒：从服务器角度来看，当遭遇密码穷举
  (暴力破解) 攻击时防御能力比较弱。

密码复杂性（至少做到16位）；端口 做好安全

方式二：

• 密钥对验证：要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件 (公钠、私钥），然后将公钥文件放到服务器中的定位置。远程登录时，系统将使用公钥、私钥进行加密/解密关联验证，大大增强了远程管理的安全性。

该方式不易被假冒，且可以免交互登录，在Shell 中被广泛使用。

当密码验证、密钥对验证都启用时，服务器将优先使用密钥对验证。对于安全性要求较高的服务器，建议将密码验证方式禁用，只允许启用密钥对验证方式：若没有特殊要求, 则两种方式都可启用。

免密登录
ssh-agent bash  #将公钥添加管理（在客户端操作）
ssh-add

四、构建密钥对验证的SSH

4.1 公钥和私钥的关系

• 在非对称加密技术中，有两种密钥，分为私钥和公钥
• 私钥是密钥对所有者持有，不可公布，公钥是密钥对持有者公布给他人的
• 公钥用来给数据加密，用公钥加密的数据只能使用私钥解

4.2 构建密钥对验证的SSH原理

• 首先ssh通过加密算法在客户端产生密钥对 (公钥和私钥) ，公钥发送给服务器端，自己保留私钥
• 如果要想连接到带有公钥的SSH服务器，客户端SSH软件就会向SSH服务器发出请求, 请求用联机的用户密钥进行安全验证。
• SSH服务器收到请求之后，会先在该SSH服务器上连接的用户的家目录下寻找事先放上去的对应用户的公用密钥，然后把它和连接的SSH客户端发送过来的公用密钥进行比较。
• 如果两个密钥一致，SSH服务器就用公钥加密"质询 (challenge) 并把它发送给SSH客户端。

当密码验证、密钥对验证都启用时，服务器将优先使用密钥对验证。可根据实际情况设置验证方式。

vim/etc/ssh/sshd_config 
PasswordAuthentication yes
#启用密码验证
PubkeyAuthentication yes
#启用密钥对验证
AuthorizedKeysFile .ssh/authorized_keys
#指定公钥库文件实验 

4.3 安全性复制 scp复制

scp是secure copy的简写，用于在Linux下进行远程拷贝文件的命令，而且scp传输是加密的。

1.###本地文件复制到服务器
scp sheng root0192.168.100.141:/opt2
2.###复制服务器的文件到本地
scp [email protected]:/opt/test/ ./
3.####本地目录复制到服务器
scp -r 1234/ [email protected]:/opt

4.4 配置密钥对验证

1.在客户端创建密钥对
通过ssh-keygen.工具为当前用户创建密钥对文件。可用的加密算法为RSA、ECDSA或DSA等(ssh- keygen命令的“-t"选项用于指定算法类型)。
useradd admin
echo "123123" | passwd --stdin admin 
su - admin
ssh-keygen -t ecdsa
Generating public/private ecdsa key pair.
Enter file in which to save the key (/home/ admin/ .ssh/id ecdsa) :
#指定私钥位置, 直接回车使用默认位置
Created directory ' /home/admin/.ssh'. 
#生成的私钥、公钥文件默认存放在宿主目录中的隐藏目录.ssh/下
Enter passphrase (empty for no passphrase) :  #设置私钥的密码
Enter same passphrase again:   #确认输入
ls -l ~/.ssh/id_ecdsa*
#id_ecdsa是私钥文件, 权限默认为600; id_ecdsa.pub是公钥文件, 用来提供给SSH 服务器

2.将公钥文件上传至服务器
scp ~/.ssh/id_ecdsa.pub [email protected]:/opt
或
#此方法可直接在服务器的/home/zhangsan/.ssh/目录中导入公钥文本
cd ~/.ssh/
ssh-coby-id -i id_ecdsa.pub [email protected]

3.在服务器中导入公钥文本
mkdir /home/zhangsan/.ssh
cat /opt/id ecdsa.pub >> /home/zhangsan/.ssh/authorized_keys

cat /home/ zhangsan/.ssh/authorized_keys

4·在客户端使用密钥对验证
ssh [email protected]
Enter passphrase for key '/home/admin/.ssh/id_ecdsa' :    #输入私钥的密码

5.在客户机设置ssh代理功能, 实现免交互登录; 
ssh-agent bash
ssh-add
Enter passphrass for /home/admin/ .ssh/id_ecdsa:
#输入私钥的密码
ssh [email protected]

六、安全性传输sftp

sftp是Secure File Transfer Protocol的缩写，安全文件传送协议。可以为传输文件提供一种安全的网络的加密方法。

• sftp 与 ftp 有着几乎一样的语法和功能。 SFTP 为 SSH 的其中一部分,其实在SSH软件包中，已经包含了一个叫作SFTP (Secure File TransferProtocol) 的安全文件信息传输子系统，SFTP本身没有单独的守护进程,它必须使用sshd守护进程（端口号默认是22）来完成相应的连接和答复操作。

• 所以，使用SFTP是非常安全的。但是由于这种传输方式使用了加密/解密技术，所以传输效率比普通的FTP要低得多，如果对网络安全性要求更高时，可以使用SFTP代替FTP。

sftp [email protected]   #登陆到服务器

get下载
get anaconda-ks.cfg /home/

上传
put abc.txt  #默认时会上传的/root 
put abc.txt /home/

查看可用命令
help  #查看sftp可使用的命令和用途

打印服务器当前位置
pwd     #打印当前服务器所在位置
lpwd    #打印当前本地位置

切换目录、 查看文件
cd     #切换服务器上的目录
ls     #查看当前目录下文件列表

下载文件、 退出sftp
get         #下载文件
get -r      #下载目录
quit        #退出sftp
put         #上传文件
退出命令：quit、 exit、 bye都可以

七、TCP Wrappers访问控制

TCP Wrappers (TCP封套)

将TCP服务程序“包裹"起来,代为监听TCP服务程序的端口,增加了一个安全检测过程,外来的连接请求必须先通过这层安全检测，获得许可后才能访问真正的服务程序。

大多数Linux发行版，TCP Wrappers 是默认提供的功能。rpm -q tcp_wrappers

• 在Linux系统中，许多网络服务针对客户端提供了访问控制机制,如Samba，BIND，HTTPD，OpenSSH等 TCP Wrappers将TCP服务程序“包裹"起来，代为监听TCP服务程序的端口，增加了一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得许可后才能访问真正的服务程序

[root@localhost opt]# rpm-g tcp wrappers  #查看程序是否安装（一般系统会默认安装）
tcp wrappers-7.6-77.e17.x86 64 #该软件包提供了执行程序tcpd和共享链接库文件1ibwrap.so.*

TCP wrapper保护机制:通常由其他网络服务程序调用1ibwrap.so.*链接库比如sshd

[root@localhost opt]# 1dd /usr/sbin/sshd I grep "libwrap" #使用1dd命令可以查看程序的共享库
    libwrap.so.0 => /1ib64/libwrap.so.0 (0x00007fc35d8f8000)

TCP Wrappers保护机制的两种实现方式

• 1.直接使用tcpd程序对其他服务程序进行保护，需要运行tcpd程序。
• 2.由其他网络服务程序调用libwrap.so.* 链接库，不需要运行tcpd 程序。 此方式的应用更加广泛，也更有效率。
  使用ldd命令可以查看程序的libwrap.so. *链接库
  ldd $（which ssh）

语法格式：<服务程序列表>：<客户端地址列表>

• （1）服务程序列表 服务程序列表可分为以下几类
  ALL：代表所有的服务。
  单个服务程序：如"vsftpd"。
  多个服务程序组成的列表：如"vsftpd,sshd"。

• (2)客户端地址列表
  ALL:代表任何客户端地址。
  LOCAL:代表本机地址。
  多个地址以逗号分隔

• 允许使用通配符“*“和”?"，前者代表任意长度字符，后者仅代表一个字符 网段地址，如"192.168.80.“或者192.168.80.0/255.255.255.0 区域地址，
  如”. benet. com"匹配benet. com域中的所有主机。

访问控制的基本原则

• 首先检查/etc/hosts .allow文件, 如果找到相匹配的策略, 则允许访问:
  否则继续检查/etc/hosts.deny文件, 如果找到相匹配的策略, 则拒绝访问:
  如果检查上述两个文件都找不到相匹配的策略, 则允许访问

• “允许所有,拒绝个别”
  只需在/etc/hosts . deny文件中添加相应的拒绝策略

• “允许个别,拒绝所有"
  除了在/etc/hosts . allow中添加允许策略之外, 还需要在/etc/hosts.deny文件中设置"ALL:ALL"的拒绝策略。

实例:
若只希望从IP地址为12.0.0.1的主机或者位于192.168.80.0/24网段的主机访问sshd服务, 其他地址被拒绝。

vi /etc/hosts.allow
sshd:12.0.0.1,192.168.80.*
vi /etc/hosts. deny 
sshd: ALL

sshd, htpd: ALL 

---

总结

提示：这里对文章进行总结：
例如：以上就是今天要讲的内容，本文仅仅简单介绍了pandas的使用，而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。