Linux 远程访问控制 SSH SCP SFTP TCP-Wrappers

news2024/11/24 12:04:49

SSH(secure shell)协议

一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。

协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令

SSH客户端<-----------------网络------------------->SSH服务端
        数据传输是加密的,可以防止信息泄漏

        数据传输是压缩的,可以提高传输速度

SSH客户端: Putty、Xshell、 CRT

SSH服务端: OpenSSH

SSH服务端 OpenSSH

OpenSSH 是实现 SSH 协议的开源软件项目,适用于各种 UNIX、Linux 操作系统

Centos 7系统默认已安装openssh相关软件包,并已将 sshd 服务添加为开机自启动。

sshd 服务默认使用的是TCP的 22端口 密文

telnet服务默认使用的是TCP的 23端口 明文

服务名称                     sshd

服务端主程序              /usr/sbin/sshd
服务端配置文件          /etc/ssh/sshd_config

执行  systemctl start sshd  命令即可启动 sshd 服务

ssh config和sshd config都是ssh服务器的配置文件,

二者区别在于ssh是针对客户端的配置文件,sshd则是针对服务端的配置文件。

配置openSSH 服务端        

查看openssh服务是否启动

systemctl status sshd
netstat -lntp
ss -lntp

修改openssh配置

vim /etc/ssh/sshd_config

Port 22                      #监听端口为 22 ✨
ListenAddress 0.0.0.0        #监听地址为任意网段,也可以指定openSSH服务器的具体IP

LoginGraceTime 2m            #登录验证时间为 2 分钟
PermitRootLogin no           #禁止 root 用户登录 ✨
MaxAuthTries 6               #最大重试次数为 6

PermitEmptyPasswords no      #禁止空密码用户登录 ✨
UseDNS no                    #禁用 DNS 反向解析,以提高服务器的响应速度

黑白名单设置(直接添加在sshd—config下方)

黑白名单的权限最高,若上方运行root用户登录但是白名单没有root用户,登录仍然失败  

只允许zhangsan、lisi、wangwu用户登录
且其中wangwu用户仅能够从IP地址为61.23.24.25 的主机远程登录

AllowUsers zhangsan lisi wangwu@61.23.24.25    #多个用户以空格分隔



禁止某些用户登录,用法于Allowusers 类似(注意黑白名单不能同时使用)
DenyUsers zhangsan

连接ssh服务器

ssh root@192.168.80.101
ssh root@192.168.80.101 -p 2222 #指定端口

用户第一次登录时必须接收服务器发来的ECDSA秘钥(yes确认)后才能继续验证

接收的秘钥信息将保存到~/.ssh/known_host中。

补充:ssh远程执行命令并立刻退出

ssh root@192.168.80.101 ifconfig
ssh root@192.168.80.101 rm -f /opt/1.txt

设置ssh秘钥验证

sshd 服务支持两种验证方式

1.密码验证
        对服务器中本地系统用户的登录名称、密码进行验证。简便,但可能会被暴力破解
2.密钥对验证

        要求提供和匹配的密钥信息才能通过验班。通常先在客户端中创建一对密钥文件(公钥、私钥),然后将公钥文件放到服务器中的指定位置。远程登录时,系统将使用公钥、私钥进行加密/解密关联验证。能增强安全性,且可以免交互登录。

公钥和私钥的关系

  • 公钥和私钥是成对生成的,这两个密钥互不相同,可以互相加密和解密。
  • 不能根据一个密钥来推算出另一个密钥。
  • 公钥对外公开,私只有私钥的持有人才知道


设置ssh配置文件 开启秘钥验证

当密码验证、密钥对验证都启用时,服务器将优先使用密对验证。可根据实际情况设置验证方式

vim /etc/ssh/sshd_config
    PasswordAuthentication yes                 #启用密码验证
    PubkeyAuthentication yes                   #✨启用密钥对验证
    AuthorizedKeysFile .ssh/authorized_keys    #指定公钥库文件
                                               (放在需要登录的对方用户对应的家目录中)  
systemctl restart sshd
#修改配置需要 重启服务

开启秘钥认证简要步骤

客户端 ssh-keygen -t rsa/ecdsa

客户端 ssh-copy-id -i   [rsa/ecdsa.pub(公钥文件)]   被连接用户@[被连接主机IP/主机名]

客户端(host1)创建密钥对

通过ssh-keygen工具为当前用户创建密钥对文件。可用的加密算法为RSA、ECDSA或DSA等(ssh-keygen命令的"-t"选项用于指定算法类型)。
 

[xue@host1 xue]$ ssh-keygen -t ecdsa

Generating public/private ecdsa key pair.
Enter file in which to save the key (/home/admin/.ssh/id_ecdsa):     #私钥存储位置 直接回车
Created directory '/home/admin/.ssh'.  #生成的私钥、公钥文件默认存放在宿主目录中的隐藏目录.ssh/下
Enter passphrase (empty for no passphrase):               #输入密码
Enter same passphrase again:                              #重复密码
Your identification has been saved in /home/admin/.ssh/id_ecdsa.
Your public key has been saved in /home/admin/.ssh/id_ecdsa.pub.
The key fingerprint is:
SHA256:ML23n9VaoN2vUVAiMRpVOgIGQGID/Lo0vPa1H/3+HkY admin@host1
The key's randomart image is:
+---[ECDSA 256]---+
|o.+.o...o ..=oo .|
| o o   o . o + o |
|  .   o . o o .  |
|   .   o . . . . |
|. .     S .  E. .|
| =      .. ..o = |
|. +  . . .. .o+ +|
| +  . . . ...o.+.|
|. .. ...  .o=oo..|
+----[SHA256]-----+
ls -l ~/.ssh/id_ecdsa*
#id ecdsa是私钥文件,权限默认为600;
#id ecdsa.pub是公钥文件,用来提供给 SSH 服务器

将公钥文件上传至服务器(host2)

scp ~/.ssh/id_ecdsa.pub root@192.168.80.102:/opt    #-P可以指定端口号

或#此方法可直接在服务器的/home/xue/.ssh/目录中导入公钥文本,不用在做下一步
cd ~/.ssh/
ssh-copy-id -i id_ecdsa.pub root@192.168.80.102

在服务器(host2)中导入公钥文本

ssh root@192.168.80.102 #在host1客户端上使用ssh操作host2。直接去host2操作也行 
mkdir /home/xue/.ssh/
cat /opt/id_ecdsa.pub >> /home/xue/.ssh/authorized_keys #cat打印公钥内容重定向输出到公钥认证文件
#想要密钥登陆那个用户就放哪个用户家目录

此时完成了密钥登陆设置 

有时会出现不生效的情况,可以检查认证文件的权限   

[admin@host1 xue]$ ssh xue@192.168.80.102  
#此时再进行连接(注意连接使用的用户,需要是刚刚放置过公钥文件在家目录中的用户)

Enter passphrase for key '/home/admin/.ssh/id_ecdsa':   #输入刚刚设置的秘钥密码
Last login: Fri Apr 21 23:07:51 2023 from 192.168.80.1

[xue@host2 ~]$

若要实行免交互登录

有两种方法

1.在创建秘钥文件时不输入密码

2.若创建秘钥文件输入了密码,使用ssh会话代理(只有当前会话生效)

ssh-agent bash
ssh-add  #输入秘钥设置的密码




SCP 远程复制

下行复制
scp root@192.168.80.11:/etc/passwd /root/passwd10.txt    
#将远程主机中的/etc/passwd文件复制到本机

上行复制
scp -r /etc/ssh/ root@192.168.80.10:/opt      # -r 代表文件夹
#将本机机的/etc/ssh 目录复制到远程主机
#指定端口传输
scp -P 22 /etc/ssh/1.txt root@192.168.80.101:/opt

#SCP命令指定端口用-P而不是-p

SCP传输若对方有同名文件将会直接覆盖!!!

小技巧

不想输入长地址,或是位于同一文件夹中两机传输数据,可以使用  ``  (双撇号,数字1左边)。在双撇号中的命令会被获取命令的结果。

例如`pwd` 就代表获取当前目录的路径,与前面的命令相结合 

cd /etc/yum.repos.d/

scp local.repo 192.168.80.102:/etc/yum.repos.d/
scp local.repo 192.168.80.102:`pwd`
#想要从本机/etc/yum.repos.d/传输到目标主机/etc/yum.repos.d/目录

SFTP 安全FTP

安全FTP由于使用了加密/解密技术,所以传输效率比普通的FTP要低,但使用 SSH协议连接安全性更高。

sftp zhangsan@192.168.80.102
sftp -P 22 zhangsan@192.168.80.102    #SCP命令指定端口用-P而不是-p

sftp> get 文件名    #下载文件到ftp目录
sftp> put 文件名    #上传文件到ftp目录
sftp> quit          #退出




TCP Wrappers 访问控制

TCP Wrappers (TCP封套)

将TCP服务程序"包裹"起来,代为监听TCP服务程序的端口,增加了一个安全检测过程,外来的连接请求必须先通过这层安全检测,恭得许可后才能访问真正的服务程序。大多数 Linux 发行版,TCP Wrappers 是默认提供的功能。

rpm -q tcp wrappers

TCP wrappers 保护机制的两种实现方式

1.直接使用 tcpd 程序对其他服务程序进行保护,需要运行 tcpd程序。

2.由其他网络服务程序调用 libwrap.so.*链接库,不需要运行 tcpd 程序。此方式的应用更加广泛,也更有效率

使用 ldd 命令可以查看程序是否含义 libwrap.so.*链接库,据此判断该程序是否支持tcp wrappers

一般sshd,vsftpd,telnet,pop3,imap都会支持(httpd不支持)

ldd $(which sshd) | grep libwrap

which sshd   #which找出服务路径,传递给ldd,查看服务的链接库,并筛选出libwrap
ldd /usr/sbin/sshd | grep libwrap

ldd `which sshd` | grep libwrap

#三种不同写法

 

TCP Wrappers 的访问策略

TCP wrappers 机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制。

对应的两个策略文件为/etc/hosts.allow 和/etc/hosts.deny,分别用来设置允许和拒绝的策略

格式:
<服务程序列表>:<客户端地址列表>

(1) 服务程序列表
ALL: 代表所有的服务。
单个服务程序:如”vsftpd”。
多个服务程序组成的列表: 如”vsftpd,sshd”。
(2)客户端地址列表
ALL:代表任何客户端地址。
LOCAL: 代表本机址。
多个地址以逗号分隔
允许使用通配符“*” 和“?”,前者代表任意长度字符,后者仅代表一个字符
网段地址,如“192.168.80.”或者 192.168.80.0/255.255.255.0
区域地址,如“.benet.com”匹配“benet.com”域中所有主机

TCP wrappers 机制的基本原则

  1. 首先检查/etc/hosts.allow文件,如果找到相匹配的策略,则允许访问
  2. 否则继续检查/etc/hosts.deny文件,如果找到相匹配的策略,则拒绝访问
  3. 如果检查上述两个文件都找不到相匹配的策略,则允许访问。

允许所有,拒绝个别
只需在/etc/hosts.deny文件中添加相应的拒绝策略

允许个别,拒绝所有

除了在/etc/hosts.allow中添加允许策略之外

还需要在/etc/hosts.deny文件中设置"ALL:ALL"的拒绝策略。

实例

若只希望从IP地址为12.0.0.1的主机或者位于192.168.80.0/24网段的主机访问sshd服务,其他地址被拒绝

vi /etc/hosts.allow
    sshd:12.0.0.1,192.168.80.*
    #sshd,vstpd:12.0.0.1,192.168.80.* 两个服务的写法

vi /etc/hosts.deny
    sshd:ALL

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/448259.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

android 布局优化

1.绘制和布局加载原理 本文仅供个人学习记录&#xff0c;详细介绍可查看下面链接 Android布局优化&#xff0c;多套方案全面解析 布局优化的原因&#xff1a;布局嵌套过深&#xff0c;或者其他原因导致布局渲染性能不佳&#xff0c;可能会导致应用卡顿。 android绘制原理&am…

5.3 牛顿-科茨公式

学习目标&#xff1a; 理解微积分基础知识&#xff0c;例如导数和微分的概念。学习牛顿-科茨公式的推导过程。这个公式实际上是使用泰勒公式对被积函数进行展开&#xff0c;并使用微积分的基本原理进行简化得到的。学习如何使用牛顿-科茨公式进行数值积分。这通常涉及到将被积…

Ajax超详解(新手入门指南)

文章目录 1. AJAX简介2. 前后端交互3. XHR3.1 XMLHttpRequest对象3.2 获取模拟的后端数据3.3 获取网络数据3.4 使用json-server模拟服务器3.4.1 安装node.js3.4.2 安装并使用json-server 3.5 常见的请求方式3.5.1 GET请求3.5.2 POST请求3.5.3 PUT请求3.5.4 PATCH请求3.5.5 DELE…

【图像分割】Segment Anything(Meta AI)论文解读

文章目录 摘要一、引言二、segment anything任务1.任务2.预训练3.zero shot transfer4.相关任务5.讨论 三*、Segment Anything 模型四、Segment Anything 数据引擎五、Segment Anything 数据集六、Segment Anything RAI分析七、Zero-Shot Transfer 实验1.zero shot 单点有效掩模…

springboot本地local配置覆盖远程Apollo配置(含Apollo配置加载顺序说明)

手打不易&#xff0c;如果转摘&#xff0c;请注明出处&#xff01; 注明原文&#xff1a;https://zhangxiaofan.blog.csdn.net/article/details/130302692 目录 前言 Apollo配置加载顺序 步骤 第一步&#xff1a;Apollo创建properties 第二步&#xff1a;添加namespaces&…

js的dom事件流、事件委托和阻止绑定事件触发

主要讲解事件绑定和事件委托&#xff0c;onclick事件和addEventListener的区别 <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><meta http-equiv"X-UA-Compatible" content"IEedge">&l…

IT项目管理计算题【太原理工大学】

计算题好像也没多少考点&#xff0c;主要就是记公式吧&#xff0c;其他的不想看了&#xff0c;直接考啥看啥&#xff0c;就看两个&#xff1a; ① 根据进度网络图写出时间参数表&#xff0c;ES、EF、LS、LF、TF 以及 FF&#xff0c;关键路径&#xff0c;总工期&#xff1b;② 挣…

volatile 保证内存变量可见性的实现原理解析

目录 volatile 的定义 可见性问题 JMM&#xff08;JavaMemoryModel&#xff09; 保证可见性 现代计算机的内存模型 MESI&#xff08;缓存一致性协议&#xff09; 嗅探 总线风暴 volatile 的两条实现原则 volatile 的定义 Java代码在编译后会编程 Java …

GD(兆易创新)系列FLASH进行FPGA和ZYNQ配置固化相操作

写在前面 本文主要针对使用GD&#xff08;兆易创新&#xff09;系列的FLASH做启动配置片时&#xff0c;遇到的相关问题进行简单整理复盘&#xff0c;避免后人踩坑。 本人操作固化芯片型号为&#xff1a;ZYNQ7045、690T&#xff08;复旦微替代型号V7 690T&#xff09;。 7系列…

02-waf绕过漏洞发现之代理池指纹被动探针

WAF绕过-漏洞发现之代理池指纹被动探针 思维导图 漏洞发现触发WAF点-针对xray工具&#xff0c;awvs工具等 1.扫描速度&#xff08;绕过方法&#xff1a;代理池&#xff0c;延迟&#xff0c;爬虫白名单&#xff09;2.工具指纹&#xff08;绕过方法&#xff1a;特征指纹&#x…

Qt Quick - Container

Qt Quick - Container使用总结 一、概述二、使用容器三、管理当前索引四、容器实现 一、概述 Container 提供容器通用功能的抽象基类。Container是类容器用户界面控件的基本类型&#xff0c;允许动态插入和删除Item。DialogButtonBox, MenuBar, SwipeView, 和 TabBar 都是继承…

测试工程师为什么要关注研发效能?

研发效能中的“研发”&#xff0c;指的是广义的研发团队&#xff0c;包含开发、测试、和研发团队内部的产品经理&#xff08;不包含业务部门的产品经理&#xff09;。测试工程师身处其中&#xff0c;作为研发团队的一员&#xff0c;对于整体的效能如何提升也应该了然于胸。这篇…

【论文写作】如何写科技论文?万能模板!!!(以IEEE会议论文为例)

0. 写在前面 常言道&#xff0c;科技论文犹如“八股文”&#xff0c;有固定的写作模式。本篇博客主要是针对工程方面的论文的结构以及写作链条的一些整理&#xff0c;并不是为了提高或者润色一篇论文的表达。基本上所有的论文&#xff0c;都需要先构思好一些点子&#xff0c;有…

「计算机控制系统」5. 模拟设计法

模拟控制器的离散化 数字PID控制器 Smith预估控制 文章目录 模拟控制器的离散化数值积分法一阶后向差分法一阶前向差分法双线性变换法&#xff08;Tustin&#xff09; 零极点匹配法其他方法 数字PID控制器模拟PID控制器的离散化数字PID的改进PID控制各环节的作用PID参数的整定扩…

win11删除的文件不在回收站原因及找回文件方法

win11是微软最新推出的操作系统&#xff0c;它的外观和功能都有所升级。但是&#xff0c;在使用win11的过程中&#xff0c;有时候你会误删一些重要的文件&#xff0c;而这些文件并没有进入回收站&#xff0c;这该怎么办呢&#xff1f;win11删除的文件不在回收站怎么找回&#x…

[强化学习]学习路线和关键词拾零

强化学习学习方法和路线 学习路线 先从基础教材开始&#xff0c;构建RL的知识框架&#xff0c;熟悉关键名词和公式推导&#xff0c;扩展到Model-Free的Value-Based和Policy-Based方法&#xff0c;同时参考github的代码练习。接下来精读几篇经典论文&#xff0c;如DQN,PPO等。…

Node内置模块 【压缩zlib模块】

文章目录 &#x1f31f;前言&#x1f31f;zlib模块&#x1f31f;关于gzip与deflate&#x1f31f;使用zlib&#x1f31f;压缩与解压缩&#x1f31f;案例&#xff1a;压缩&#x1f31f;案例&#xff1a;解压缩 &#x1f31f;服务端gzip压缩&#x1f31f;HTTP配置&#x1f31f;HTT…

Android Binder图文详解和驱动源码分析

文章目录 前言一、跨进程通讯的过程1. AIDL客户端代码2. AIDL服务端代码3. 通信过程a. 发送请求时序图b. 接收请求时序图 二、Binder一次拷贝1. 发送给Binder驱动的数据2. 一次拷贝示意图 三、Binder驱动源码1. 相关数据结构2. 阅读Binder驱动源码 参考 前言 最近在学习Binder…

Jupyter Notebook的安装与使用

Jupyter Notebook Jupyter Notebook介绍Jupyter Notebook使用安装启动创建文件编写代码和文本常用命令配置文件 Anaconda Jupyter Notebook介绍 Jupyter Notebook是一个基于Web的交互式计算环境&#xff0c;可以让用户以文档形式记录代码、数据分析结果和说明文本&#xff0c;并…

认识ThinkPHP框架

认识ThinkPHP框架 前言一、MVC框架体系二、 ThinkPHP框架文件夹结构三. ThinkPHP下载和基本配置四. ThinkPHP其他东西 前言 ThinkPHP框架是一款非常优秀的PHP框架&#xff0c;是完全由中国人发明的框架 一、MVC框架体系 ThinkPHP框架由MVC框架体系构成&#xff0c;MVC的解释如下…