Linux遠程訪問及控制

• 一、SSH遠程管理
• • 1.SSH定義
  • 2.SSH數據傳輸優點
  • 3.SSH客戶端和服務端
• 二、OpenSSH
• • 1.配置OpenSSH 服務端配置
  • 2.scp遠程復制
  • 3.sftp安全FTP
• 三、sshd 服務的兩種驗證方式
• • 1.密碼驗證
  • 2.密鑰對驗證
  • • 在客戶端創建密鑰對
    • 將公鑰文件上傳服務器
    • 在客戶端使用密鑰對驗證
    • 在客戶機設置ssh代理功能，實現免交互登錄
• 四、TCP Wrappers 訪問控制
• • 1.TCP Wrappers
  • 2.TCP wrapper 保護機制的兩種實現方式
  • 3.使用ldd命令可以查看程序的libwrap.so.*鏈接庫
  • 4.TCP wrappers 的訪問策略
  • 5.TCP Wrappers 機制的基本原則

一、SSH遠程管理

1.SSH定義

• SSH（Secure Shell）是一種安全通道協議，主要用來實現字符界面的遠程登錄、遠程復制等功能。
• SSH協議對通信雙方的數據傳輸進行了加密處理，其中包括用戶登錄時輸入的用戶口令。因此SSH協議具有很好的安全性。

2.SSH數據傳輸優點

• 數據傳輸是加密的，可以防止信息泄漏
• 數據傳輸是壓縮的，可以提高傳輸速度）

3.SSH客戶端和服務端

• SSH客戶端：Putty、Xshell、CRT
• SSH服務端：OpenSSH

二、OpenSSH

• OpenSSH 是實現 SSH 協議的開源軟件項目，適用于各種 UNIX、Linux 操作系統。
• CentOS 7系統默認已安裝openssh相關軟件包，并已將 sshd 服務添加為開機自啟。（openssh的服務名稱為sshd）
• 執行“systemctl start sshd”命令即可啟動 sshd 服務
• sshd 服務默認使用的是TCP的 22端口
• sshd 服務的默認配置文件是 /etc/ssh/sshd_config
• ssh_config和sshd_config都是ssh服務器的配置文件，二者區別在于前者是針對客戶端的配置文件，后者則是針對服務端的配置文件。
  

1.配置OpenSSH 服務端配置

sshd_config配置文件的常用選項設置 vim /etc/ssh/sshd_config Port 22 #監聽端口為 22 ListenAddress 0.0.0.0 #監聽地址為任意網段，也可以指定OpenSSH服務器的具體IPLoginGraceTime 2m #登錄驗證時間為 2 分鐘 PermitRootLogin no #禁止 root 用戶登錄 MaxAuthTries 6 #最大重試次數為 6PermitEmptyPasswords no #禁止空密碼用戶登錄 UseDNS no #禁用 DNS 反向解析，以提高服務器的響應速度

只允許用戶登錄，且其中某用戶僅能夠從指定IP地址進行遠程登錄 例：AllowUsers zhangsan lisi wangwu@61.23.24.25 #多個用戶以空格分隔禁用某些用戶登錄，用法與AllowUsers類似（注意不要同時使用） 例：DenyUsers zhangsan

2.scp遠程復制

下行復制：將遠程主機的/etc/passwd文件復制到本機 scp root@192.168.172.20:/etc/passwd /root/passwd10.txt上行復制：將本機的/etc/ssh目錄復制到遠程主機 scp -r /etc/passwd/ root@192.168.172.20:/opt

3.sftp安全FTP

由于使用了加密/解密技術，所以傳輸效率比普通的FTP要低，但安全性更高。操作語法sftp與ftp幾乎一樣。

sftp root@192.168.184.20 sftp> ls sftp> get 文件名 #下載文件到ftp目錄 sftp> put 文件名 #上傳文件到ftp目錄 sftp> quit #退出

下載實驗


上傳實驗

三、sshd 服務的兩種驗證方式

1.密碼驗證

對服務器中本地系統用戶的登錄名稱、密碼進行驗證。簡便，但可能會被暴力破解

2.密鑰對驗證

要求提供相匹配的密鑰信息才能通過驗證。通常先在客戶端中創建一對密鑰文件（公鑰、私鑰），然后將公鑰文件放到服務器中的指定位置。遠程登錄時，系統將使用公鑰、私鑰進行加密/解密關聯驗證。能增強安全性，且可以免交互登錄。

當密碼驗證、密鑰對驗證都啟用時，服務器將優先使用密鑰對驗證。可根據實際情況設置驗證方式。

vim /etc/ssh/sshd_config PasswordAuthentication yes #啟用密碼驗證 PubkeyAuthentication yes #啟用密鑰對驗證 AuthorizedKeysFile .ssh/authorized_keys #指定公鑰庫文件

在客戶端創建密鑰對

通過ssh-keygen工具為當前用戶創建密鑰對文件。可用的加密算法為RSA、ECDSA或DSA等（ssh-keygen命令的“-t”選項用于指定算法類型）。

useradd admin echo "123123" | passwd --stdin admin su - admin ssh-keygen -t ecdsa Generating public/private ecdsa key pair. Enter file in which to save the key (/home/admin/.ssh/id_ecdsa): #指定私鑰位置，直接回車使用默認位置 Created directory '/home/admin/.ssh'. #生成的私鑰、公鑰文件默認存放在宿主目錄中的隱藏目錄.ssh/下 Enter passphrase (empty for no passphrase): #設置私鑰的密碼 Enter same passphrase again: #確認輸入ls -l .ssh/id_ecdsa*#id_ecdsa是私鑰文件，權限默認為600；id_ecdsa.pub是公鑰文件，用來提供給 SSH 服務器

將公鑰文件上傳服務器

#此方法可直接在服務器的/home/zhangsan/.ssh/目錄中導入公鑰文本

cd ~/.ssh/ ssh-copy-id -i id_ecdsa.pub zhangsan@192.168.80.10

在客戶端使用密鑰對驗證

在客戶機設置ssh代理功能，實現免交互登錄

ssh-agent bash ssh-add Enter passphrase for /home/admin/.ssh/id_ecdsa: #輸入私鑰的密碼ssh zhangsan@192.168.80.10

四、TCP Wrappers 訪問控制

1.TCP Wrappers

將TCP服務程序"包裹"起來，代為監聽TCP服務程序的端口，增加了一個安全檢測過程，外來的連接請求必須先通過這層安全檢測，獲得許可后才能訪問真正的服務程序。
大多數 Linux發行版，TCP wrappers是默認提供的功能。rpm -q tcp_wrappers

2.TCP wrapper 保護機制的兩種實現方式

• 1.直接使用tcpd程序對其他服務程序進行保護，需要運行tcpd程序。
• ⒉.由其他網絡服務程序調用libwrap.so.*鏈接庫，不需要運行tcpd程序。此方式的應用更加廣泛，也更有效率。

3.使用ldd命令可以查看程序的libwrap.so.*鏈接庫

ldd $ (which ssh vsftpd)

4.TCP wrappers 的訪問策略

• TCP wrappers機制的保護對象為各種網絡服務程序，針對訪問服務的客戶端地址進行訪問控制。
• 對應的兩個策略文件為/etc/hosts.allow和/etc/hosts. deny，分別用來設置允許和拒絕的策略。

格式: <服務程序列表>:<客戶端地址列表>

（1）服務程序列表
ALL：代表所有的服務。
單個服務程序：如“vsftpd”。
多個服務程序組成的列表：如“vsftpd,sshd”。

（2）客戶端地址列表
ALL：代表任何客戶端地址。
LOCAL：代表本機地址。
多個地址以逗號分隔
允許使用通配符 “?” 和 “*”
“ * ”代表任意長度字符 “?”僅代表一個字符
網段地址，如 192.168.163. 或者 192.168.163.0/255.255.255.0
區域地址，如 “.benet.com”匹配 bdqn.com 域中的所有主機。

5.TCP Wrappers 機制的基本原則

首先檢查/etc/hosts.allow文件，如果找到相匹配的策略，則允許訪問；
否則繼續檢查/etc/hosts.deny文件，如果找到相匹配的策略，則拒絕訪問；
如果檢查上述兩個文件都找不到相匹配的策略，則允許訪問。

“允許所有，拒絕個別”
只需在/etc/hosts.deny文件中添加相應的拒絕策略

“允許個別，拒絕所有”
除了在/etc/hosts.allow中添加允許策略之外，還需要在/etc/hosts.deny文件中設置“ALL:ALL”的拒絕策略。

示例
若只希望從IP地址為12.0.0.1的主機或者位于192.168.80.0/24網段的主機訪問sshd服務，其他地址被拒絕。

vi /etc/hosts.allow sshd:12.0.0.1,192.168.80.*vi /etc/hosts.deny sshd:ALL 超強干貨來襲 云風專訪：近40年碼齡，通宵達旦的技術人生

總結

以上是生活随笔為你收集整理的Linux远程访问及控制（SSH、TCP Wrappers 访问控制）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。