Краткое описание:
SSH является аббревиатурой для безопасной оболочки, разработанный IETF веб-группа (Рабочая группа Network), SSH построен на основе протокола безопасности на уровне приложений. SSH является более надежным, предназначенный для обеспечения протокола безопасности для удаленного сеанса входа в систему, а также другие сетевые службы. Протокол SSH может эффективно предотвратить использование удаленного управления в процессе выпуска раскрытия информации. SSH изначально была программа на системах UNIX, а затем быстро распространилась на другие операционные платформы. SSH при правильном использовании может сделать для сетевых уязвимостей. SSH-клиент для нескольких платформ. Почти все UNIX платформ - в том числе HP-UX, Linux, AIX, Solaris, Digital UNIX, IRIX и других платформ, могут работать SSH.
Основные функции:
1. Во-первых, мы открыли две системы Linux, как сервер, один в качестве клиента. Сначала файл конфигурации сервера SSH с Vim редактора «/ и т.д. / SSH / sshd_config» для редактирования.
Port 22 监听端口,默认监听22端口
#AddressFamily any IPV4和IPV6协议家族用哪个,any表示二者均有
#ListenAddress 0.0.0.0 指明监控的地址,0.0.0.0表示本机的所有地址
#ListenAddress :: 指明监听的IPV6的所有地址格式
#LoginGraceTime 2m 会话时间,默认2分钟则自动断开连接
#PermitRootLogin yes 是否允许管理员直接登录,'yes'表示允许
#StrictModes yes 是否让sshd去检查用户主目录或相关文件的权限数据
MaxAuthTries 6 最大认证尝试次数,最多可以尝试6次输入密码。
#MaxSessions 10 允许的最大会话数
(将“#”删除即可开启相应功能)2. Не забудьте перезапустить службу настроен вступили в силу, мы стараемся, чтобы связаться с клиентом на сервере.
Мы использовали непосредственно ввести корень пользователя Логин (обратите внимание на конечный служба пользователя) и IP - адрес сервера , а затем ввести пароль пользователя для входа в систему . Я приземлился раньше, если не приземлился, система спросит , хотите ли вы подключиться, можно просто ввести «да». 
То же самое имя пользователя , если имя пользователя и сервера клиента, вы можете опустить имя пользователя при входе в систему. 
Порт службы SSH по умолчанию 22, если не установлен порт, то порт 22 будет автоматически регистрироваться запросы на удаленный хост. Если изменить номер порта в файле конфигурации, можно использовать опцию -p , чтобы указать номер порта. Например, к порту 123:
3. Мы знаем, что привилегированный пользователь является администратором системы, если кто-то может войти в систему по желанию, конечно, не безопасно. Таким образом, мы можем изменить файл конфигурации, не позволяя людям войти как корень. Modify помнить, чтобы перезапустить службу.
我们再次用root用户登录,输入密码后显示权限拒绝,而换成zhangsan用户又可以登录了。
4.虽然我们限制了使用root用户登录,但是当我们用zhangsan用户登录了,用“su”命令任然可以切换到root用户。
所以我们可以开启“su”命令的PAM安全认证功能,我们只要将允许用“su”命令的用户添加到“wheel”组即可。
可以看到用户“jiang”在“wheel”组中,用户“zhangsan”不在。我们再用“zhangsan”用户切换root用户已经显示权限拒绝,而在“wheel”组用户“jiang”任然可以切换root用户。
5.前面我将最大认证尝试次数6次数开启了,我们可以测试一下是否成功。
可以看到当我们尝试了6次,就自动被断开连接了。但是我们得用“-o NumberOfPasswordPrompts=8”选项才能测试成功,如果直接输入,还是默认3次就会断开连接。
6.我们还可以通过在服务端配置文件里添加黑白名单来限制登录的用户和IP地址。
黑白名单不能同时存在,一般企业中多用白名单,下面以白名单为例演示。
首先我们在配置文件中添加白名单,限制zhangsan用户只能在ip为192.168.52.132的主机上进行登录,lisi用户可以在任意主机上进行登录。配置完成要重启服务。
我们在ip为192.168.52.132的主机上登录时,可以看到由于设置了白名单,用户“jiang”不在名单里所有已经不能登录了,而zhangsan与lisi用户任然可以登录。
我们在ip为192.168.52.128的主机上登录时,只有lisi用户可以登录,zhangsan用户不能登录,因为我们限制了zhangsan用户只能在ip为192.168.52.132的主机上进行登录。
scp命令与sftp命令
1.我们将之前设置的白名单删除,允许root用户登录改为“yes”,并重启服务。
2.首先在client主机的“/opt/”目录,新建一个文件“ssh_client.txt”和一个目录“ssh”,然后用scp命令将它们都复制到server主机的“/opt/”目录下。
3.再在client主机的“/opt/”目录下,创建一个文件“test01”,然后在“server”主机用scp命令将文件复制过来。
4.我们将之前在两台主机“/opt/”目录下新建的目录和文件删除,分别在server与client的“/opt/”目录下创建两个文件demo01、demo02。
5.我们在client主机用sftp命令也可以登录server主机进行文件的上传和下载。上传用“put”命令,下载用“get”命令,同时我们还可以用cd命令进行目录的切换。
6.可以看到我们可以用cd命令随意切换目录,这样很不安全,所以我们可以通过对ssh服务端配置文件进行修改,将sftp命令连接后限制在我们指定的目录里。
首先用vim编辑器对文件“/etc/ssh/sshd_config”进行编辑,将“Subsystem sftp /usr/libexec/openssh/sftp-server”注释掉。然后添加下面的命令:
Subsystem sftp internal-sftp
Match User zhangsan
ChrootDirectory /home/zhangsan
X11Forwarding no
ForceCommand internal-sftp
AllowTcpForwarding no
(配置完别忘了重启服务)
然后我们进入“/home/”目录,将我们指定的目录“zhangsan”的权限设为“755”,属主、属组均改为root。
我们再“/home/zhangsan/”目录下,新建5个空文件。
我们再次用client主机,通过sftp连接server主机,可以看到我们直接就登录到“zhangsan/目”录中了。当我们想切换到别的目录时,都不能成功。
密钥对登录
1.将之前的限制sftp登录切换目录的配置修改回来,开启密钥对登录功能(删除#即可),并重启服务。
2.首先用“ssh-keygen -t ecdsa”命令生成密钥对,将密钥文件存在“/home/zhangsan/.ssh/”目录中。
3. Команда «SSH-копия-ID -i id_ecdsa.pub [email protected]» Каталог «/home/zhangsan/.ssh/» открытого ключа файла под «id_ecdsa.pub», введенного в хост-сервер.
4. Когда мы используем команду SSH, чтобы снова войти в систему, до тех пор, как это прежде, чем вы можете ввести ключ.
5. Но мы должны ввести ключ каждый раз при входе будет трудно, в это время мы просто использовать прокси-Баш, вы можете добавить ключ, в следующий раз, когда мы войти в систему без ввода ключа.
Стратегия TCP Упаковщики
Файл конфигурации политики управления:
- /etc/hosts.allow (белый список файлов)
- /etc/hosts.deny (черный список файлов)
Порядок применения политики:
- Проверьте файл hosts.allow, совпадение найдено, то разрешить прямой доступ, не проверяет hosts.deny файла;
- Если файл не hosts.allow, файл hosts.deny, а затем обнаружить, местонахождение, доступ запрещен;
- Если два файла нет соответствия политики доступа по умолчанию разрешен.
1. Сначала отредактируйте файл «/etc/hosts.allow» с редактором Vim, добавить белый список ip192.168.52.132.
2. ВИМ редактор, а затем файл «/etc/hosts.deny» редактировать все множество Ip черный список.
3. Здесь мы 192.168.52.132 IP клиент хоста и хост client02 192.168.52.128 журнала соответственно, только белый список в клиент Host IP может войти.
4. Клиент Host IP удалить белый список, добавлен в черный список, то хост клиента войти в систему, результаты не могут войти в систему.
