linux 远程访问及控制 (SSH)

news2024/11/14 15:29:02

目录

一、SSH远程管理

1.1 配置OpenSSH服务端

1.1.1 SSH协议介绍

 1.1.2 服务监听选项

1.1.3 用户登录控制 

1.1.4 登录验证方式 

1.2 使用SSH客户端程序

1.3 密钥对验证的SSH体系

二、TCP Wrapppers访问控制

2.1 TCP Wrappers概述

2.1.1 TCP Wrappers简介

2.1.2 TCP Wrappers保护机制的实现方式

2.2 TCP Wrappers访问策略

 2.3 TCP Wrappers 机制的基本原则


一、SSH远程管理

1.1 配置OpenSSH服务端

1.1.1 SSH协议介绍

  • SSH(Secure Shell)协议
    • 是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。
    • SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。因此SSH协议具有很好的安全性。
  • OpenSSH
    • 服务名称:sshd
    • 服务端主程序:/usr/sbin/sshd
    • 服务端配置文件:/etc/ssh/sshd_config
    • 默认端口号:22
    • OpenSSH 是实现 SSH 协议的开源软件项目,系统默认已安装openssh相关软件包,并已将 sshd 服务添加为开机自启动,执行“systemctl start sshd”命令即可启动 sshd 服务

 1.1.2 服务监听选项

  • 端口号、协议版本、监听IP地址
  • 禁用反向解析
vim /etc/ssh/sshd_config
Port 22 								#监听端口为 22
ListenAddress 0.0.0.0 					#监听地址为任意网段,也可以指定OpenSSH服务器的具 
                                         体IP
UseDNS no 								#禁用 DNS 反向解析,以提高服务器的响应速度
                                          根本目的是节省资源,优化资源使用

1.1.3 用户登录控制 

  • 禁用root用户、空密码用户
  • 限制登录验证时间、重试次数
  • AllowUsers、DenyUers
vim /etc/ssh/sshd_config

LoginGraceTime 2m 						#登录验证时间为 2 分钟
PermitRootLogin no 						#禁止 root 用户登录
MaxAuthTries 6 							#最大重试次数为 6
PermitEmptyPasswords no 				#禁止空密码用户登录

1.1.4 登录验证方式 

  • 密码验证:对服务器中本地系统用户的登录名称、密码进行验证。简便,但可能会被暴力破解
  • 密钥对验证:要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件(公钥、私钥),
    然后将公钥文件放到服务器中的指定位置。远程登录时,系统将使用公钥、私钥进行加密/解密关联验证。能增强安全性,
    且可以免交互登录。
vim /etc/ssh/sshd_config
PasswordAuthentication yes 						#启用密码验证
PubkeyAuthentication yes 						#启用密钥对验证
AuthorizedKeysFile .ssh/authorized_keys 		#指定公钥库文件

1.2 使用SSH客户端程序

  • SSH命令------远程安全登录

ssh user@host

ssh [选项] zhangsan@192.168.80.10
当用户第一次登录SSH服务器时,必须接受服务器发来的ECDSA密钥(根据提示输入“yes”)后才能继续验证。接收的密钥信息将保存到~/.ssh/known_hosts 文件中。密码验证成功以后,即可登录目标服务器的命令行环境中了。

示列:

-p:指定非默认的端口号,缺省时默认使用 22端口
ssh -p 2345 zhangsan@192.168.80.10        ###通过2345端口以zhangsn的身份访问192.168.80.10

  • SCP命令------远程安全复制

格式1:scp user@host:file1 file2

格式2:scp file1 user@host:file2

#下行复制

scp root@192.168.80.11:/etc/passwd /root/passwd10.txt        #将远程主机中的/etc/passwd文件复制到本机

#上行复制
scp -r /etc/ssh/ root@192.168.80.10:/opt                    #将本机的/etc/ssh 目录复制到远程主机

  • sftp命令------安全FTP上下载

sftp user@host

由于使用了加密/解密技术,所以传输效率比普通的FTP要低,但安全性更高。操作语法sftp与ftp几乎一样。

sftp zhangsan@192.168.80.10
Connecting to 192.168.80.10...
tsengyia@172.16.16.22's password:            #输入密码
sftp> ls
sftp> get 文件名        #下载文件到ftp目录
sftp> put 文件名        #上传文件到ftp目录
sftp> quit                #退出

1.3 密钥对验证的SSH体系

整体实现过程

  1. 创建密钥对
通过ssh-keygen工具为当前用户创建密钥对文件。可用的加密算法为RSA、ECDSA或DSA等(ssh-keygen命令的“-t”选项用于指定算法类型)。

[root@localhost ~]# ssh-keygen -t rsa                    #创建RSA类型的密钥对文件
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):  #指定私钥位置,直接回车使 
                                                            用默认位置
Enter passphrase (empty for no passphrase):                #设置私钥的密码
Enter same passphrase again:                                #确认输入
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:gABCi4HBqN/fhEqSB0ZZT7lD5rF0RtmAN8BcHC/Z0bc root@localhost.localdomain
The key's randomart image is:
+---[RSA 2048]----+
|X+.o.ooB==..     |
|=o+. +X B+... .  |
|oo  .=oBo.o  . . |
|. o   =. .    E  |
| o +   oS        |
|  + + . .        |
|   + o o         |
|    . . .        |
|                 |
+----[SHA256]-----+

[root@localhost .ssh]# ll
总用量 12
-rw-------. 1 root root  408 8月  19 15:10 authorized_keys
-rw-------. 1 root root 1675 8月  19 19:54 id_rsa            #是私钥文件,权限默认为        
                                                               600
-rw-r--r--. 1 root root  408 8月  19 19:54 id_rsa.pub        #是公钥文件,用来提供给 
                                                               SSH 服务器

2. 上传公钥文件 并导入

scp ~/.ssh/id_ecdsa.pub root@192.168.80.10:/opt
或者

cd ~/.ssh/
ssh-copy-id root@192.168.80.10
#此方法可直接在服务器的/home/zhangsan/.ssh/目录中导入公钥文本

 3. 使用密钥对验证

 密钥对验证成功  免交互

二、TCP Wrapppers访问控制

2.1 TCP Wrappers概述

2.1.1 TCP Wrappers简介

  • TCP Wrappers 将TCP服务程序“包裹”起来,代为监听TCP服务程序的端口,增加了一个安全检测过程,外来的连接请求必须先通过这层安全检测,获得许可后才能访问真正的服务程序。

2.1.2 TCP Wrappers保护机制的实现方式

  1. 直接使用 tcpd 程序对其他服务程序进行保护,需要运行 tcpd程序。
  2. 由其他网络服务程序调用 libwrap.so.*链接库,不需要运行 tcpd 程序。此方式的应用更加广泛,也更有效率。

2.2 TCP Wrappers访问策略

  • TCP Wrappers 机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制。
  • 对应的两个策略文件为/etc/hosts.allow 和/etc/hosts.deny,分别用来设置允许和拒绝的策略。

格式:
<服务程序列表>:<客户端地址列表>

(1)服务程序列表
ALL:代表所有的服务。
单个服务程序:如“vsftpd”。
多个服务程序组成的列表:如“vsftpd,sshd”。
(2)客户端地址列表
ALL:代表任何客户端地址。
LOCAL:代表本机地址。
多个地址以逗号分隔
允许使用通配符 “*” 和 “?” ,前者代表任意长度字符,后者仅代表一个字符
网段地址,如 192.168.80.  或者 192.168.80.0/255.255.255.0
区域地址,如 “.benet.com”匹配 benet.com 域中的所有主机。

 2.3 TCP Wrappers 机制的基本原则

  • 首先检查/etc/hosts.allow文件,如果找到相匹配的策略,则允许访问;
  • 否则继续检查/etc/hosts.deny文件,如果找到相匹配的策略,则拒绝访问;
  • 如果检查上述两个文件都找不到相匹配的策略,则允许访问。

“允许所有,拒绝个别”
只需在/etc/hosts.deny文件中添加相应的拒绝策略

“允许个别,拒绝所有”
除了在/etc/hosts.allow中添加允许策略之外,还需要在/etc/hosts.deny文件中设置“ALL:ALL”的拒绝策略。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2054644.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

会声会影2023安装好后运行显示乱码的解决方法

会声会影2019安装好了之后&#xff0c;打开软件之后&#xff0c;会有个乱码弹窗错误&#xff0c;其实这个乱码提示只有简体中文版本上才会是乱码&#xff0c; 英文版上显示的是″You do not appear to be a register user. Please re-install the application or call custome…

如何像演示PPT幻灯片一样演示PDF文件 - PDF幻灯片使用说明

PDF幻灯片是一款Windows平台下可以让您像演示PPT幻灯片一样全屏演示PDF文件的放映工具软件。 在我们日常工作中&#xff0c;许多幻灯片文件被转换成了PDF格式。这些由幻灯片生成的PDF文件只能被打开查看内容&#xff0c;但是却不能像原始PPT或PPTX文件一样直接用PowerPoint等软…

常量池梳理

参考资料&#xff1a; 参考视频 参考demo 参考博客 说明&#xff1a; 详情见参考demo的文件夹&#xff1a;

JS逆向高阶补充

文章目录 JS逆向高阶补充eval函数Hook函数案例1: Hook eval案例2: Hook JSON.stringify案例3: Hook JSON.parse案例4: Hook Cookie Promise对象&#xff08;1&#xff09;回调函数&#xff08;2&#xff09;基本语法&#xff08;3&#xff09;then函数&#xff08;4&#xff09…

wireShark tcpdump 抓包 ,检测dns

开两个窗口执行 1窗口。tcpdump -i any port 53 -w clirent.pcap2窗口。nslookup ip 过滤目标ip or 域名 统计域名DNS 将 生成的 clirent.pcap使用wireshark 分析 1.queryType : A ipv4 AAAAipv6

[word] 复杂文本如何仅全选word中的表格 (简单跟做即可)

问题描述 在word文档中&#xff0c;有各种形式的文本&#xff0c;有纯文本&#xff0c;有表格&#xff0c;有图片或者更多其它形式参杂在一起&#xff0c;本篇记录解决如何只全选中文档中的所有表格形式的部分&#xff0c;从而方便对表格进行批量修改和操作 环境说明 word版…

【系统架构设计】开发方法(二)

【系统架构设计】开发方法&#xff08;二&#xff09; 软件生命周期软件开发模型统一过程敏捷方法极限编程特征驱动开发Scrum水晶方法开放式源码ASD 软件重用基于架构的软件设计形式化方法 软件生命周期 软件开发模型 统一过程 敏捷方法 所谓敏捷开发&#xff0c;个人认为&…

day01- Web开发介绍-HTML-CS

Web开发介绍 1 什么是web开发 Web&#xff1a;全球广域网&#xff0c;也称为万维网(www World Wide Web)&#xff0c;能够通过浏览器访问的网站。 所以Web开发说白了&#xff0c;就是开发网站的&#xff0c;例如下图所示的网站&#xff1a;淘宝&#xff0c;京东等等 那么我们…

ROS_package 、CMakeLists.txt、package.xml、ROS_node之间的关系

一、整体框架结构 二、关系描述 1、ROS.cpp 里面初始化了一个ROS节点&#xff0c;注意我的源文件里面只初始化了一个节点 // ROS.cpp #include "ros/ros.h"int main(int argc, char **argv) {ros::init(argc, argv, "node_name"); // 指定节点名称为 &…

C++图笔记(三)有向无环图(及最小生成树(略))以及剩下的排序

目录 一&#xff0c;定义&#xff1a; 1&#xff0c;有向无环图 2&#xff0c;拓朴排序 1&#xff0c;每个顶点出现且仅仅出现一次。 2&#xff0c;若存在一条从顶点 A 到顶点 B 的路径&#xff0c;那么在序列中顶点 A 出现在顶点 B 的前面。 二&#xff0c;DAG的性质 性质1…

Clash-Docker在Ubuntu下的使用

说明 最近折腾nas&#xff0c;docker镜像被墙之后很多镜像拉取不了&#xff0c;需要添加代理&#xff0c;这里使用Clash docker版。 安装&运行 docker pull dreamacro/clash:v1.18.0 docker run -d --name clash --network host dreamacro/clash:v1.18.0修改配置文件 d…

java使用itext 直接生成pdf

itext 使用 需求背景itext 的使用依赖简单示例基础设置&#xff08;页面大小、边距、字体等&#xff09;段落内部&#xff0c;特殊设置关键字 字体或颜色生成动态表格页脚展示页数其他设置密码添加水印&#xff08;背景图&#xff09;目录Header, Footer分割 PDF合并 PDF 需求背…

动态路由//

静态路由的缺点 1.配置量大 2.不能基于拓扑的变化进行实时更新 总结:只能在简单的小型网络中进行配置 动态路由的优点 实时基于拓扑的变化而进行路由表的收敛 动态路由的缺点 1.额外的占用链路资源:动态路由协议需要路由器之间不断交换路由信息&#xff0c;这会占用网络…

在PasteSpider中使用gitee的webhook实现类似Jenkins的CI/CD持续部署

准备事宜 1.已经在PasteSpider中配置好了相关的项目和服务 2.在gitee中有创建对应的代码仓库 实现原理 1.webhook是时下非常流行的一个推送模式&#xff0c;webhook其实就是往某一个特定的地址推送消息&#xff0c;这样可以避免频繁的轮询&#xff0c;在事件发生后的第一时间告…

Microsoft Edge 使用方法与秘诀概览

目录 ​编辑引言 Microsoft Edge 功能与技巧概览 掌握这些设置技巧&#xff0c;让 Edge 浏览器的体验更干净 1. 使用阅读视图 2. 开启广告过滤 3. 管理扩展 4. 个性化新标签页 5. 使用网页截图 6. 清理浏览器缓存 7. 管理启动设置 8. 自定义地址栏建议 9. 使用内置笔…

OLAP引擎之Druid

Apache Druid 简介 Apache Druid 是一个开源的、分布式的实时分析数据库&#xff0c;专为大规模数据的快速查询和实时分析而设计。Druid 将数据存储、索引和查询处理功能结合在一起&#xff0c;支持对流数据和批量数据进行快速的、低延迟的分析查询。它特别适用于需要高并发、…

C语言内存操作函数

目录 一. C语言内存操作函数 1. memcpy的使用和模拟实现 2. memmove函数 3. memset函数 4. memcmp函数 一. C语言内存操作函数 随着知识的不断积累&#xff0c;我们所想要实现的目标程序就会更加复杂&#xff0c;今天我们来学习一个新的知识叫做C语言内存操作函数&#x…

eNSP 华为交换机生成树协议

华为交换机生成树协议 生成树协议原理与作用 选举一个交换机作为根网桥&#xff08;生成树的根&#xff09;&#xff0c;计算出到其他所有交换机的最佳路径&#xff0c;把备用路径的端口设为堵塞状态&#xff08;逻辑上关闭备用路径&#xff09;&#xff0c;当最佳路径故障再…

制造企业为什么要数字化转型?面临哪些困难?

如何界定制造企业 制造业&#xff08;Manufacturing Industry&#xff09;是指机械工业时代利用某种资源&#xff08;物料、能源、设备、工具、资金、技术、信息和人力等&#xff09;&#xff0c;按照市场要求&#xff0c;通过制造过程&#xff0c;转化为可供人们使用和利用的…

01:电容的什么,各类电容的优缺点

1.电容是什么&#xff1f; 电容是由两块不连通的导体&#xff0c;已经中间的不导电材料组成 电容结构&#xff1a; 1.2电容的容量计算公式 C ε s d \displaystyle\frac{εs}{d} dεs​ 1.3常见电容的种类 1.4各类电容的特点