04 远程访问及控制

news2024/11/23 11:54:32

目录

4.1 SSH远程管理

        4.1.1 配置OpenSSH服务器

                1. 服务监听选项

                2. 用户登录控制

                3. 登录验证方式

        4.1.2 使用SSH客户端程序

                1. 命令程序ssh、scp、sftp

                        1. ssh远程登录

                        2. scp远程复制

                        3. sftp安全FTP

                2. 图形工具Xshell

        4.1.3 构建密钥对验证的SSH体系

                1. 在客户端创建密钥对

                2. 将公钥文件上传至服务器

                3. 在服务器中导入公钥文本

                4. 在客户端使用密钥对验证

4.2 TCP Wrappers访问控制

        4.2.1 TCP Wrappers概述

        4.2.2 TCP Wrappers的访问策略

                1. 策略的配置格式

                2. 访问控制的基本原则

                3. TCP Wrappers配置实例


4.1 SSH远程管理

        SSH ( Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。SSH 协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。与早期的Telent(远程登录)、RSH (Remote Shell,远程执行命令)、RCP( Remote File Copy,远程文件复制〉等应用相比,SSH协议提供了更好的安全性。

        4.1.1 配置OpenSSH服务器

        在CentOS 7.3系统中,OpenSSH服务器由openssh、openssh-server 等软件包提供(默认已安装),并已将sshd添加为标准的系统服务。执行"systemctl start sshd"命令即可启动sshd服务,包括root在内的大部分用户(只要拥有合法的登录Shell)都可以远程登录系统。

        sshd服务的默认配置文件是letc/ssh/sshd_config,正确调整相关配置项,可以进一步提高sshd远程登录的安全性。下面介绍最常用的一些配置项,关于sshd_config文件的更多配置可参考man手册页。

                1. 服务监听选项

        sshd服务使用的默认端口号为22,必要时建议修改此端口号,并指定监听服务的具体IP地址,以提高在网络中的隐蔽性。除此之外,SSH协议的版本选用V2比V1的安全性要更好,禁用DNS反向解析可以提高服务器的响应速度。

                2. 用户登录控制

        sshd 服务默认允许root用户登录,但在 Internet中使用时是非常不安全的。普遍的做法如下:先以普通用户远程登入,进入安全 Shell环境后,根据实际需要使用su命令切换为root用户。

        关于sshd服务的用户登录控制,通常应禁止 root用户或密码为空的用户登录。另外,可以限制登录验证的时间(默认为2分钟)及最大重试次数,若超过限制后仍未能登录则断开连接

        当希望只允许或禁止某些用户登录时,可以使用AllowUsers或 DenyUsers配置,两者用法类似(注意不要同时使用)。例如,若只允许jerry、tsengyia和 admin用户登录,且其中admin 用户仅能够从IP地址为 61.23.24.25 的主机远程登录,则可以在/etc/ssh/sshd_config配置文件中添加以下配置。

                3. 登录验证方式

        对于服务器的远程管理,除了用户账号的安全控制以外,登录验证的方式也非常重要。sshd服务支持两种验证方式——密码验证、密钥对验证,可以设置只使用其中一种方式,也可以两种方式都启用。

  1. 密码验证:对服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便,但从客户端角度来看,正在连接的服务器有可能被假冒;从服务器角度来看,当遭遇密码穷举(暴力破解)攻击时防御能力比较弱。
  2. 密钥对验证:要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件(公钥、私钥),然后将公钥文件放到服务器中的指定位置。远程登录时,系统将使用公钥、私钥进行加密/解密关联验证,大大增强了远程管理的安全性。该方式不易被假冒,且可以免交互登录,在 Shell中被广泛使用。

        当密码验证、密钥对验证都启用时,服务器将优先使用密钥对验证。对于安全性要求较高的服务器,建议将密码验证方式禁用,只允许启用密钥对验证方式;若没有特殊要求,则两种方式都可启用。

        其中,公钥库文件用来保存多个客户端上传的公钥文本,以便与客户端本地的私钥文件进行匹配。

        4.1.2 使用SSH客户端程序

        在CentOS 7.3系统中,OpenSSH客户端由 openssh-clients 软件包提供(默认已安装),其中包括ssh远程登录命令,以及 scp、sftp远程复制和文件传输命令等。实际上,任何支持SSH协议的客户端程序都可以与OpenSSH 服务器进行通信,如 Windows平台中的Xshell、SecureCRT、Putty等图形工具。

                1. 命令程序ssh、scp、sftp

                        1. ssh远程登录

        通过ssh命令可以远程登录sshd服务,为用户提供一个安全的 Shell环境,以便对服务器进行管理和维护。使用时应指定登录用户、目标主机地址作为参数。

        例如,若要登录主机172.16.16.22,以对方服务器的tsengyia用户进行验证,可以执行以下操作。        

        当用户第一次登录SSH服务器时,必须接受服务器发来的ECDSA密钥(根据提示输入"yes")后才能继续验证。接收的密钥信息将保存到~/.ssh/known_hosts文件中。密码验证成功以后,即可登录目标服务器的命令行环境中了,就好像把客户端的显示器、键盘连接到服务器一样。

        如果sshd服务器使用了非默认的端口号(如2345),则在登录时必须通过"-p"选项指定端口号。例如,执行以下操作将访问主机192.168.4.22的2345端口,以对方服务器的jerry用户验证登录。

 

                        2. scp远程复制

        通过scp命令可以利用SSH安全连接与远程主机相互复制文件。使用scp命令时,除了必须指定复制源、目标之外,还应指定目标主机地址、登录用户,执行后根据提示输入验证口令即可。例如,以下操作分别演示了下行、上行复制的操作过程,将远程主机中的/etc/passwd文件复制到本机,并将本机的/etc/vsftpd目录复制到远程主机。

                        3. sftp安全FTP

        通过sftp命令可以利用SSH安全连接与远程主机上传、下载文件,采用了与FTP类似的登录过程和交互式环境,便于目录资源管理。例如,以下操作依次演示了sftp 登录、浏览、文件上传等过程。

                2. 图形工具Xshell

        图形工具Xshell是 Windows下一款功能非常强大的安全终端模拟软件,支持Telnet、sSH、SFTP等协议,可以方便地对Linux主机进行远程管理。

        安装并运行Xshell后,在新建会话窗口中指定远程主机的IP地址、端口号等相关信息,然后单击“连接"按钮,根据提示接受密钥、验证密码后即可成功登录目标主机,

        4.1.3 构建密钥对验证的SSH体系

        正如前面所提及的,密钥对验证方式可以为远程登录提供更好的安全性。下面将介绍在CentOS 7.3服务器、客户端中构建密钥对验证 SSH体系的基本过程。如下图所示,以RSA加密算法为例,整个过程包括四步,首先要在SSH客户端以zhangsan用户身份创建密钥对,并且要将创建的公钥文件上传至SSH服务器端,然后要将公钥信息导入服务器端的目标用户lisi 的公钥数据库,最后以服务器端用户lisi 的身份登录验证。

                1. 在客户端创建密钥对

        在CentOS 7.3客户端中,通过ssh-keygen 工具为当前用户创建密钥对文件。可用的加密算法为RSA、ECDSA或 DSA 等(ssh-keygen命令的"-t"选项用于指定算法类型)。

        例如,以zhangsan用户登录客户端,并生成基于ECDSA算法的SSH密钥对(公钥、私钥)文件,操作如下所示。

        上述操作过程中,提示指定私钥文件的存放位置时,一般直接按Enter键即可,最后生成的私钥、公钥文件默认存放在宿主目录中的隐藏文件夹.ssh下。私钥短语用来对私钥文件进行保护,当使用该私钥验证登录时必须正确提供此处所设置的短语。尽管不设置私钥短语也是可行的(实现无口令登录),但在生产环境中不建议这样做。

        新生成的密钥对文件中,id_ecdsa是私钥文件,权限默认为600,对于私钥文件必须妥善保管,不能泄露给他人;id_ecdsa.pub是公钥文件,用来提供给SSH服务器。

                2. 将公钥文件上传至服务器

        将上一步生成的公钥文件上传至服务器,并部署到服务器端用户的公钥数据库中。上传公钥文件时可以选择SCP、FTP、Samba、HTTP 甚至发送E-mail等任何方式。

        例如,可以通过SCP方式将文件上传至服务器的/tmp目录下

                3. 在服务器中导入公钥文本

        在服务器中,目标用户(指用来远程登录的账号lisi)的公钥数据库位于~l.ssh目录,默认的文件名是"authorized_keys”。如果目录不存在,需要手动创建。当获得客户端发送过来的公钥文件以后,可以通过重定向将公钥文本内容追加到目标用户的公钥数据库。

        在公钥库 authorized_keys文件中,最关键的内容是"ecdsa-sha2-nistp256加密字串”部分,当导入非 ssh-keygen 工具创建的公钥文本时,应确保此部分信息完整,最后的“zhangsan@localhost”是注释信息。

        由于sshd服务默认采用严格的权限检测模式(StrictModes yes),因此还需注意公钥库文件 authorized_keys的权限——要求除了登录的目标用户或root用户,同组或其他用户对该文件不能有写入权限,否则可能无法成功使用密钥对验证。

        除此之外,应确认sshd服务是否支持密钥对验证方式。

                4. 在客户端使用密钥对验证

        当私钥文件(客户端)、公钥文件(服务器)均部署到位以后,就可以在客户端中进行测试了。首先确认客户端中当前的用户为zhangsan,然后通过ssh命令以服务器端用户lisi的身份进行远程登录。如果密钥对验证方式配置成功,则在客户端将会要求输入私钥短语,以便调用私钥文件进行匹配(若未设置私钥短语,则直接登入目标服务器)。

        经过“客户端创建密钥对”、“将公钥上传至服务器"、“在服务器中导入公钥文本"与"在客户端使用密钥对验证"四个步骤,SSH密钥对验证体系已经构建完成。

        而在上述步骤中,第二步和第三步其实可以采用另外一种方法实现,即使用"ssh-copy-id-i 公钥文件user@host"格式,"-i"选项指定公钥文件,“user"是指目标主机的用户。验证密码后,会将公钥自动添加到目标主机user宿主目录下的.sshlauthorized_keys文件结尾。

        查看服务器中目标用户lisi的公钥数据库如下:

        ssh-copy-id命令在上传公钥文件到服务器的时候,具有简单、快捷的优点,可优先使用此命令上传公钥,但通过SCP命令拷贝再导入的方式具有通用性,可应对没有ssh-copy-id命令的情况。

4.2 TCP Wrappers访问控制

        在Linux系统中,许多网络服务针对客户端提供了访问控制机制,如 Samba、BIND、HTTPD、OpenSSH等。本节将介绍另一种防护机制——TCP Wrappers (TCP封套),以作为应用服务与网络之间的一道特殊防线,提供额外的安全保障。

        4.2.1 TCP Wrappers概述

        TCP Wrappers 将TCP服务程序“包裹"起来,代为监听TCP服务程序的端口,增加了一个安全检测过程,外来的连接请求必须先通过这层安全检测,获得许可后才能访问真正的服务程序,如图4.3所示。TCP Wrappers还可以记录所有企图访问被保护服务的行为,为管理员提供丰富的安全分析资料。

        对于大多数Linux发行版,TCP Wrappers是默认提供的功能。CentOs 7.3中使用的软件包是 tcp_wrappers-7.6-77.el7.x86_64.rpm,该软件包提供了执行程序 tcpd和共享链接库文件 libwrap.so.*,对应TCP Wrapper保护机制的两种实现方式——直接使用tcpd程序对其他服务程序进行保护,需要运行 tcpd;由其他网络服务程序调用libwrap.so.*链接库,不需要运行tcpd程序。

        通常,链接库方式的应用要更加广泛,也更有效率。例如,vsftpd、sshd及超级服务器xinetd等,都调用了libwrap共享库(使用ldd命令可以查看程序的共享库)。

注意:

        xinetd是一个特殊的服务管理程序,通常被称为超级服务器。xinetd通过在/etc/xinetc.d目录下为每个被包含的程序建立一个配置文件,调用TCP Wrappers机制来提供额外的访问控制保护

        4.2.2 TCP Wrappers的访问策略

        TCP Wrappers机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制。对应的两个策略文件为/etc/hosts.allow和/etc/hosts.deny,分别用来设置允许和拒绝的策略

                1. 策略的配置格式

        两个策略文件的作用相反,但配置记录的格式相同,如下所示。

<服务程序列表>:<客户端地址列表>

        服务程序列表、客户端地址列表之间以冒号分割,在每个列表内的多个项之间以逗号分隔。

        1. 服务程序列表

  1. ALL:代表所有的服务
  2. 单个服务程序:如“vsftpd”
  3. 多个服务程序组成的列表:如“vsftpd,sshd”

        2. 客户端地址列表

  1. ALL:代表任何客户端地址
  2. LOCAL:代表本机地址
  3. 单个IP地址:如“192.168.4.4”
  4. 网络段地址:如“192.168.4.0/255.255.255.0”
  5. 以“.”开始的域名:如“.bdqn.com”匹配bdqn.com域中的所有主机
  6. 以“.”结束的网络地址:如“192.168.4”匹配整个192.168.4.0/24网段
  7. 嵌入通配符“*”“?”:前者代表任意长度字符,后者仅代表一个字符,如“10.0.8.2*”匹配以10.0.8.2开头的所有IP地址。不可以以“.”开始或技术的模式混用
  8. 多个客户端地址组成的列表:如“192.168.1.,172.16.16.,.bdqn.com”

                2. 访问控制的基本原则

        关于TCP Wrappers机制的访问策略,应用时遵循以下顺序和原则:首选检查/etc/hosts.allow文件,如果找的相匹配的策略,则允许访问;否则继续检查/etc/hosts.deny文件,如果找到相匹配的策略,则拒绝访问;如果检查上述两个文件都找不到相匹配的策略。则允许访问

                3. TCP Wrappers配置实例

        实际使用TCP Wrapper机制时。较宽松的策略可以是“允许所有。拒绝个别”,较严格的策略是“允许个别,拒绝所有”。前者只需在hosts.deny文件中添加相应的拒绝策略就可以了;后者则除了在hosts.allow中添加允许策略之外,还需要在hosts.deny文件中设置“ALL:ALL”的拒绝策略

        例如。若只希望从IP地址为61.63.65.67的主机或者位于192.168.2.0/24网段的主机访问sshd服务,其他地址被拒绝,可以执行以下操作

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1831788.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Hive笔记-3

3.2.2 查看表 1) 展示所有表 (1) 语法: 语法: SHOW TABLES [IN database_name] LIKE [identifier_with_wildcards]; In database_name 写的是查哪个数据库,一般不写默认是当前数据库 Like 后面跟通配符表达式 (2) 案例: 查看在 db_hive1 数据库里有没有以 stu 开头的表 …

实用软件下载:UltraEditUEStudio最新安装包及详细安装教程

​UEStudio简介&#xff1a;UEStudio建立在上文本编辑器UltraEdit的功能基础上&#xff0c;并为团队和开发人员提供了其他功能&#xff0c;例如深度Git集成&#xff0c;您可以直接在UEStudio中克隆&#xff0c;签出&#xff0c;更新&#xff0c;提交&#xff0c;推入/拉入等操作…

FPGA - 滤波器 - IIR滤波器设计

一&#xff0c;IIR滤波器 在FPGA - 滤波器 - FIR滤波器设计中可知&#xff0c;数字滤波器是一个时域离散系统。任何一个时域离散系统都可以用一个N阶差分方程来表示&#xff0c;即&#xff1a; 式中&#xff0c;x(n)和y(n)分别是系统的输入序列和输出序列&#xff1b;aj和bi均为…

Sermant标签路由能力在同城双活场景的应用

作者&#xff1a;聂子雄 华为云高级软件工程师 摘要&#xff1a;目前应用上云已成为趋势&#xff0c;用户也对应用在云上的高可靠方案有更高追求&#xff0c;目前同城双活场景作为应用高可靠方案中的一种常见实践方案&#xff0c;对微服务流量提出了数据中心亲和性的要求&…

Java_JDK下载与环境变量配置

目录 一、JDK下载安装 二、安装后配置环境变量 三、在编辑器里使用JDK 一、JDK下载安装 JDK 是Java开发工具包&#xff0c;它提供了用于开发和运行Java程序所需的工具和库。JDK包括Java编译器、Java虚拟机、Java标准库等。在IDEA中使用Java语言编写代码时&#xff0c;需要安…

海康视觉算法平台VisionMaster 4.3.0 C# 二次开发01 加载方案并获取结果

前言 第一次使用海康视觉算法平台VisionMaster 4.3.0&#xff0c;项目中要使用这个平台进行视觉处理并获取结果。 运行效果 开发环境 C#&#xff0c; WPF&#xff0c; vs2022, 海康视觉算法平台VisionMaster 4.3.0 基本概念 上图这些.sol为后缀的是vm的方案文件。 打开方案文…

[element-ui]el-select多选选择器选中其中一个选项,不可删除

背景&#xff1a; 产品真的很多奇奇怪怪的需求&#xff0c;一边吐槽一边实现。 前提&#xff1a;选择器作为表格的筛选项&#xff0c;提供三个选项值。 要求&#xff1a;默认选中其中一个值&#xff0c;这个值不可删除。 如图&#xff1a; 小声吐槽&#xff1a;搞这些有什么…

LSS算法核心原理详细解读,一看就懂,不懂请打我!

目录 核心整体流程分步阐述backbone几何关系&#xff08;创建视锥&#xff09;和视锥投影到egoVoxel PoolingHead 总结 核心 将2D图像特征转换到BEV feature特征 该算法是BEV领域中的一大基石 整体流程 流程步骤 &#xff08;1&#xff09;利用backbone获得环视图像&#xf…

Vue路由讲解-05

这里的路由并不是指我们平时所说的硬件路由器&#xff0c;这里的路由就是SPA&#xff08;single page application单页应用&#xff09;的路径管理器。再通俗的说&#xff0c;vue-router就是WebApp的链接路径管理系统。 vue-router是Vue.js官方的路由插件&#xff0c;它和vue.j…

Vue48-ref属性

一、需求&#xff1a;操作DOM元素 1-1、使用原生的id属性 不太好&#xff01; 1-2、使用 ref属性 原生HTML中&#xff0c;用id属性给元素打标识&#xff0c;vue里面用ref属性。 给哪个元素加了ref属性&#xff0c;vc实例对象就收集哪个元素&#xff01;&#xff01;&#xff0…

开放式耳机怎么挑选,个人经验总结快来看!

在选择开放式耳机时&#xff0c;了解一些关键的选购因素和推荐的品牌款式是非常有帮助的。这类耳机允许声音在耳机和外界之间自然流动&#xff0c;提供更自然的听觉体验。它们通常不会完全隔绝外界噪音&#xff0c;适合需要随时留意周围环境的人群&#xff0c;如运动爱好者或需…

AutoMQ 生态集成 CubeFS

CubeFS [1] 是新一代云原生存储产品&#xff0c;目前是云原生计算基金会 CNCF托管的孵化阶段开源项目&#xff0c; 兼容 S3、POSIX、HDFS 等多种访问协议&#xff0c;支持多副本与纠删码两种存储引擎&#xff0c;为用户提供多租户、 多 AZ 部署以及跨区域复制等多种特性&#x…

安徽保安员精选模拟试题(含答案)

1、风险管理的三要素是()&#xff0c;风险评价和风险控制。 A、频率分析 B、风险分析 C、风险转移 D、后果估计 答案:B 2、治安保卫重要部位是指由()确定的、关系本单位生产业务全局的部位和生产环节。 A、企事业重点单位 B、地方政府 C、企事业单位保卫协会 D、公安机关 …

垂直领域大模型微调最全指南

1.概述 一年来多以来&#xff0c;大语言模型发展和变化越来越快&#xff0c;总体呈现出模型尺寸越变越大&#xff0c;算力需求越来越多&#xff0c;模型推理要求越来越高的特点。在这种背景下&#xff0c;现在不同的人关于垂域 LLM 出现了一些争议&#xff0c;一部分人认为随着…

2024.618到底买什么数码值得?带你一起来看看!

在618期间&#xff0c;这些新品可能会有特别的优惠活动&#xff0c;包括但不限于折扣、满减、赠品等。因此&#xff0c;如果你正在寻找一款适合自己的数码产品&#xff0c;不妨关注各大电商平台的618促销活动&#xff0c;把握机会&#xff0c;以优惠的价格购买到心仪的产品。 …

Windows采用txt和bat来一次性建立多个文件夹

前言 最近工作需要一次性建立多个文件夹&#xff0c;方便保存不同的数据&#xff0c;所以在网上搜了搜方法&#xff0c;方法还挺多的&#xff0c;这里只是给出流程最简洁、最适合自己的方法&#xff0c;供自己日后回顾&#xff0c;如果大家想学习更多方法可以百度一下。 方法…

【PyQt5】一文向您详细介绍 self.setGeometry() 的作用

【PyQt5】一文向您详细介绍 self.setGeometry() 的作用 下滑即可查看博客内容 &#x1f308; 欢迎莅临我的个人主页 &#x1f448;这里是我静心耕耘深度学习领域、真诚分享知识与智慧的小天地&#xff01;&#x1f387; &#x1f393; 博主简介&#xff1a;985高校的普通本…

ES中下载ik解决版本不一致问题

1.链接&#xff1a; https://github.com/infinilabs/analysis-ik/releases/tag/v7.17.7 2.我的ES版本是7.17.9 但是Ik没有7.19&#xff0c;只有7.17 3.下载之后创建ik&#xff0c;然后把下载的导入进去&#xff1a; 4.因为版本不一致 我们修改 把所有的7.17.7改为7.17.9然…

详解 HBase 的架构和基本原理

一、基本架构 StoreFile&#xff1a;保存实际数据的物理文件&#xff0c;StoreFile 以 HFile 的格式 (KV) 存储在 HDFS 上。每个 Store 会有一个或多个 StoreFile&#xff08;HFile&#xff09;&#xff0c;数据在每个 StoreFile 中都是有序的MemStore&#xff1a;写缓存&#…

C#开发-集合使用和技巧(五)集合中的转换方法

在C#中&#xff0c;Select, ToList, 和 ToArray 都是用于集合转换的方法&#xff0c;它们各自有不同的用途和适用场景。 测试数据 /// <summary>/// 设备类/// </summary>class Device{/// <summary>/// Id/// </summary>public int Id { get; set; }…