Linux--远程管理之SSH服务端-蒲公英云

文章目录

- 一、什么是SSH？
- 二、SSH远程管理——服务端
- - 2.1、SSH协议
  - 2.2、服务监听选项
  - 2.3、用户登录控制
  - 2.4、登录验证方式
- 三、TCP Wrappers控制
- - 3.1、TCP Wrappers概述
  - - 3.1.1、保护原理
    - 3 .1.2、保护机制的实现方式
    - 3.1.3、访问控制策略的配置文件
  - 3.2、TCP Wrappers访问策略
  - - 3.2.1、设置访问控制策略
    - 3.2.2、策略的应用程序
    - 3.2.3、策略应用实例

一、什么是SSH？

SSH（Secure Shell）是一种安全通道协议，主要用来实现字符界面的远程登录、远程
复制等功能。
SSH 协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的
用户口令。
与早期的 Telent（远程登录）、RSH（Remote Shell，远程执行命令）、RCP（Remote
File Copy，远程文件复制）等应用相比，SSH 协议提供了更好的安全性。
OpenSSH 是实现 SSH 协议的开源软件项目，适用于各种 UNIX、Linux 操作系统。

二、SSH远程管理——服务端

2.1、SSH协议

为客户机提供安全的shell环境，用于远程管理
默认端口：TCP 22
服务名称：sshd
- 服务端主程序：/usr/sbin/sshd
- 服务端配置文件：/etc/ssh/sshd_config
- ssh_config：针对客户端
- sshd_config：针对服务端

2.2、服务监听选项

sshd 服务使用的默认的端口号为22，但是这个不是固定的，我们可以使用 -p 修改端口号。
在现实工作中，建议修改端口号，并指定监听服务的具体IP地址，以提高在网络中的隐蔽性。禁用 DNS 反向解析可以提高服务器的响应速度。
ssh

[root@wang22~]# vim /etc/ssh/sshd_config
…

Port 22 #监听端口为 22，端口号可以修改
AddressFamily any
ListenAddress 172.16.16.22 #监听地址可修改
ListenAddress ::
Protocol 2 #使用 SSH V2 协议
…
UseDNS no #禁用 DNS 反向解析
…

例如，我们想登录主机ip地址为192.168.220.129，也是用root用户验证，执行以下操作即可：
在这里插入图片描述

2.3、用户登录控制

禁止root用户，空密码用户
登录时间，重试次数
AllowUsers（白名单，仅允许，只有这些可以登录）
DenyUsers（黑名单，仅拒绝，只有这些不行）
AllowUsers不可与DenyUsers同时使用

1、通常禁止root 用户或者密码为空的用户登录，另外还可以限制登录的验证时间（默认为2分钟），及最大重试次数，超出后未登录成功会断开连接。
在这里插入图片描述
注意：默认尝试最大的登录次数是3次，如果我们去掉MaxAuthTries 前面的#符号，就代表开启，但是远程登录还是不能尝试6次，只能登3次。

但是我们输入以下命令可以改变登录次数：
ssh -o NumberOfPasswordPrompts=n（n代表次数，只要比文件中的最大尝试次数大就可以了）用户名@IP地址
在这里插入图片描述
2、如果只允许或禁止特定用户登录时，可以使用 AllowUsers （仅允许，“白名单”）或 DenyUsers（仅禁止，“黑名单”）配置，两者用法类似，但是二者不可同时使用。

例如，现有一台服务器，只允许zhangsan 和 lisi 用户登录，且 lisi用户只能从IP地址为192.168.220.131的主机远程登录，则可以在 /etc/ssh/sshd_config文件中添加配置即可，保存退出后。
记得要重启一下sshd服务。
如果我们想禁止某一个特定用户登录可以执行DenyUsers

2.4、登录验证方式

登录验证对象

服务器中的本地用户账号
登录验证方式
- 密码验证：
  就是我们平常使用最多的一种，使用用户名和密码登录，但是这种方式可能会遭遇暴力破解，防御能力较弱。
- 密钥对验证：
  要求提供相匹配的密钥信息才能通过验证，通常先在客户机中创建一对密钥文件（私钥和公钥），然后将公钥文件放到服务器中的指定位置。远程登录时，系统将使用公钥、私钥进行加密/解密关联验证，会大大增强远程管理的安全性。
密钥对：包含公钥，私钥

公钥：服务器使用

私钥：客户保留

非对称秘钥：RSA

对称秘钥：3DES,AES

[root@wang22 ~]# vim /etc/ssh/sshd_config
PasswordAuthentication yes ‘是否使用密码’
PermitEmptyPasswords no ‘禁止空密码’
PasswordAuthentication yes ‘是否需要密码验证’

PubkeyAuthentication yes //开启公钥验证

AuthorizedKeysFile .ssh/authorized_keys ‘指定公钥库位置’

公钥和私钥要配对使用，如果使用公钥对数据进行加密，只有用相对应的私钥才能解密；如果使用私钥对数据进行加密时，那么只有用对应的公钥才能解密。

三、TCP Wrappers控制

3.1、TCP Wrappers概述

3.1.1、保护原理

在这里插入图片描述

3 .1.2、保护机制的实现方式

方式一

通过tcpd主程序对其他服务程序进行包装
方式二

由其他服务程序调用libwrap.so.*链接库

3.1.3、访问控制策略的配置文件

/etc/hosts.allow
/etc/hosts.deny

ldd which sshd 查看模块

3.2、TCP Wrappers访问策略

3.2.1、设置访问控制策略

策略格式

服务列表：客户机地址列表
服务列表

多个服务以逗号分隔，ALL表示所有服务
客户机地址列表

多个地址以逗号分隔，ALL表示所有服务

允许使用通配符*和？

网段地址，如192.168.1 或者 192.168.1.0/255.255.255.0

区域地址，如.benet.com

3.2.2、策略的应用程序

先检查hosts.allow，找到匹配则允许访问
否则再检查hosts.deny，找到则拒绝访问
若两个文件中均无匹配策略，则默认允许访问

3.2.3、策略应用实例

仅允许从以下地址访问sshd服务

主机192.168.100.100

网段192.168.200.0/24

禁止其他所有地址访问受保护的服务

[root@wang22 ~]# vim /etc/hosts.allow
sshd：192.168.100.100,192.168.200.*
[root@wang22 ~]# vim /etc/hosts.deny
sshd：ALL
优先读取allow，然后再读取deny
如果做黑名单，name白名单就不用写