热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

1.8Linux中的远程登陆服务

Linux中的远程登陆服务OpenSSH的功能虚拟机桥接配置SSH连接ssh常用参数连接跳板ssh加密方式对称加密不对称加密生成非对称加密密钥不对称加密的效果非交互的生成密钥移除密

Linux中的远程登陆服务

  • OpenSSH的功能
  • 虚拟机桥接配置
  • SSH连接
    • ssh常用参数
      • 连接跳板
    • ssh加密方式
      • 对称加密
      • 不对称加密
        • 生成非对称加密密钥
    • 不对称加密的效果
    • 非交互的生成密钥
    • 移除密钥的影响
  • SSHD安全性优化调整
    • 连接端口修改
    • 关闭密码登陆
    • 禁止超级用户登陆
    • 用户登录黑白名单
    • 配置参数总结


OpenSSH的功能

SSH也算是常听到的功能了,能实现对主机的远程登录.它的实现同样基于C/S架构,即需要客户端和服务端.
其中,ssh负责客户端功能,sshd负责服务端功能.

Secure Shell ##ssh,客户端
Secure Shell Daemon ##sshd,服务端安装包为openssh-server
主配置文件位于/etc/ssh/sshd_config

在这一章会设计主机对虚拟机的连接以及远程登陆等操作,因此会涉及部分虚拟机网络的配置.

虚拟机桥接配置

首先为了排除不可预料的问题,首先对系统网络环境进行监控和控制.
修改系统网络配置网卡配置
桥接配置接下来对虚拟机网络进行配置
虚拟机网卡设置
IPV4设置
桥接对接
设置完成,如果在虚拟机中能ping通主机IP则说明配置无误,反之按上文操作检查.

SSH连接

配置好了网络就要进入正式阶段了.
首先为了排除原有用户和root用户对于实验的不确定干扰,我们需要创建一个全新的用户用于进行这次实验.创建用户采用useradd命令.
SSH登陆首次登陆时才会询问是否连接,同意后下次不会再提示该信息.
当SSH连接成功后会在本机生成记录文件,而在远端主机也会写入登陆记录.这里对本机文件进行查看.
本机记录文件但如果你删除了远程主机(这里为虚拟机)中的连接记录,就会出现本机认为自己连接过而远程主机没有相关记录的问题,本机的记录信息失效,并出现报错提示.删除失效的连接记录后可以重新进行访问,并视作初次访问.
删除虚拟机密码文件本机连接报错重新进行连接对具体过程的解析如下
当输入yes后,远程主机向本机发送身份公钥,并保存到~/.ssh/know_hosts文件中.
当再次连接时远端主机会持有私钥对连接进行身份验证.
因此修改了文件内容自然也会被拒绝连接了.

##当连接出现认证问题时的解决方案
vim ~/.ssh/know_hosts ##删除此文件中出错的对应行

ssh常用参数

-l ##指定登陆用户
-i ##指定私钥
-X ##开启图形
-f ##在后台运行
-o ##自定义连接参数
-t ##指定连接跳板

以下对其中重要的几个进行讲解.

ssh -i root 172.168.50.2 ##对目标主机以root用户进行远程登录

指定了远程用户登陆时的用户

ssh -i root 172.168.50.2 -o "StrictHostKeyChecking=no" ##附加参数的含义为当初次连接远程主机时默认同意连接,而不需要用户输入'yes'进行确认.

这里时对于-o参数的一个举例,还有其他功能的自定义参数可以自行进行查找.
附加参数

连接跳板

跳板的作用与其他几个参数不太相同,单独拿出来说可能比较好理解.
打个比方,你用A主机连接B主机并用B主机连接C主机.
那么在C主机上的登陆记录所显示的就是B的IP地址和信息.
那么这时,我们就称B为你连接C主机的跳板.
跳板
当然,也可以通过对跳板作用的验证来加深理解.
跳板验证如图,对连接设备检查时现实的IP为跳板机,而非我用于连接的本机.

ssh加密方式


对称加密

刚才我们使用了密码对远程主机进行连接,如果你去查看远程主机的连接记录会发现,其中的加密字符串与本机的~/.ssh/know_hosts文件中的相同.这种加密方式也叫做对称加密.

对称加密的特点
加密和解密使用同一串字符
容易泄露
容易遗忘
可暴力破解
简言之,并不安全

因此也出现了一种更为安全的加密方式----不对称加密.

不对称加密

不对称加密,顾名思义,加密和解密使用的并不是同一串字符.

加密用公钥,解密用私钥.
即使其中一个被盗用了,只要更新套件,被盗用的也会失效.
通过设置来屏蔽密码登陆后也能让攻击者无法通过无密钥方式登录服务器.

生成非对称加密密钥

ssh-keygen ##生成命令

生成不对称加密
如图所示,在确定相关选项后会在本地生成一对密钥.但是这对密钥都在本地显然是不会对服务器起作用的,因此要用本地的密钥对服务器进行加密.

ssh-copy-id -i 公钥文件 登陆用户@服务器地址
##用本地公钥对服务器进行加密的命令
##理所当然的,加密时需要输入服务器登陆密码进行身份确认,保证安全性.

对服务端加密当然,仅仅是进行加密了还是不够的,为了确认是否确实是使用本地的公钥对服务器进行加密的,我们可以去服务端对加密内容进行确认.在进行不对称加密后,服务端会生成authorized_keys文件.
加密文件验证

当然,其内容与本地的私钥并不相同.

不对称加密的效果

不对称加密的实现目的是解决对称加密的安全性问题.那么反过来想,如果使用了不对称加密还要输入密码岂不是本末倒置了.事实也是如此,使用不对称加密后,远程登录服务器时会对公钥私钥进行验证而不需要再输入密码,实现了免密登陆.
免密登陆

非交互的生成密钥

上文中使用ssh-keygen命令时,系统提示了大量操作信息如存放在哪里,是否需要输入密码等等,部分环境下我们不希望进行交互输入,那么可以使用此方式对这一操作进行简化.

ssh-keygen -f 密钥存放位置 -P ""
##参数含义为指定密钥在本地的存放位置,同时不需要输入密码
##实际就是将上文中的交互内容作为参数的一部分一起设置

免交互

移除密钥的影响

为了保证安全性,当移除公钥/私钥中任意一个时,再次连接时都会提示密钥失效,保证了登陆的安全性,当泄漏时也更容易进行安全补救.
移除密钥

SSHD安全性优化调整

连接端口修改

在基础的连接设置上,我们还可以 通过对服务端的sshd服务进行安全性优化提高连接安全性.但在进行实验前还需要进行部分系统调整,使得后续操作可行.
SELinux工作模式设置首先保证SELinux工作模式为Disabled,负责会影响后续操作.
同时,将系统火墙暂时关闭,避免对于端口的过滤影响连接.

上文提到过,sshd的配置文件位于/etc/ssh/sshd_config,下文操作均为对服务端(这里为虚拟机)的sshd配置文件的修改.
修改连接端口
服务端默认的连接端口为22端口,此处更改为9961端口.
修改配置后并不会立即生效,需要对服务进行重载.
之后对服务修改情况进行验证.
端口修改验证使用客户端进行远程登录.
9961登陆
可以看到,默认的22端口被拒绝,而指定9961端口登陆成功.

关闭密码登陆

为保证系统安全性我们启用了非对称加密登陆,当然也可以更进一步:将密码登陆关闭.这样在进行远程登陆时就仅能使用密钥验证的方式进行登陆,大大加强了系统的安全性.
禁用密码登陆
当然,修改配置后也需要重启服务才能生效.
生效后如无密钥仍可输入密码,但即使密码输入正确也无法登陆了.

禁止超级用户登陆

超级用户掌握着系统的控制权限,将超级用户开放给远程登录就相当于对远程登陆用户不加限制.为了保证安全性,部分场合需要禁用超级用户登陆.
这么操作仅仅禁用了超级用户登录,并不影响登陆后进行用户切换.

su - root ##并不影响登陆后的用户切换

root用户设置root用户阻止效果

用户登录黑白名单

可以对超级用户登陆进行限制,作扩张解释也应该可以对其他用户的登陆进行限制.因此用户黑白名单就应运而生了.就如同字面意思,被加入用户黑名单中的用户均无法用于远程登陆;而当白名单存在时,仅有被加入白名单中的用户可以进行远程登陆.
以下进行效果验证.
黑白名单机制
黑名单的范例

如图,超级用户被加入了黑名单,无法远程登陆,实现了与超级用户禁止相同的功效.

配置参数总结

上文中对连接安全性进行了优化,文末对修改过的配置内容进行总结.

Port ##连接端口,默认注释,默认端口为22
PermitRootLogin yes ##超级用户登陆,默认为yes,修改为no后禁用超级用户登录
PasswordAuthentication yes ##密码登陆设置,莫认为yes,修改为no后禁用密码登陆方式
AllowUsers 用户名... ##用户登录白名单,仅加入白名单的用户可以进行远程登陆
DenyUsers 用户名... ##用户登陆黑名单,被加入黑名单的用户无法进行远程登陆systemctl restart sshd
##务必记得在修改配置后对服务进行重载


推荐阅读
  • HBase运维工具全解析
    本文深入探讨了HBase常用的运维工具,详细介绍了每种工具的功能、使用场景及操作示例。对于HBase的开发人员和运维工程师来说,这些工具是日常管理和故障排查的重要手段。 ... [详细]
  • 本文探讨了高质量C/C++编程的最佳实践,并详细分析了常见的内存错误及其解决方案。通过深入理解内存管理和故障排除技巧,开发者可以编写更健壮的程序。 ... [详细]
  • 本文深入探讨了 Redis 的两种持久化方式——RDB 快照和 AOF 日志。详细介绍了它们的工作原理、配置方法以及各自的优缺点,帮助读者根据具体需求选择合适的持久化方案。 ... [详细]
  • 探索电路与系统的起源与发展
    本文回顾了电路与系统的发展历程,从电的早期发现到现代电子器件的应用。文章不仅涵盖了基础理论和关键发明,还探讨了这一学科对计算机、人工智能及物联网等领域的深远影响。 ... [详细]
  • FinOps 与 Serverless 的结合:破解云成本难题
    本文探讨了如何通过 FinOps 实践优化 Serverless 应用的成本管理,提出了首个 Serverless 函数总成本估计模型,并分享了多种有效的成本优化策略。 ... [详细]
  • 本文详细介绍了网络存储技术的基本概念、分类及应用场景。通过分析直连式存储(DAS)、网络附加存储(NAS)和存储区域网络(SAN)的特点,帮助读者理解不同存储方式的优势与局限性。 ... [详细]
  • 本主题面向IT专业人士,介绍了Windows Server 2012 R2和Windows Server 2012中的组托管服务账户(gMSA),涵盖了其应用场景、功能改进、硬件和软件要求以及相关资源。 ... [详细]
  • 雨林木风 GHOST XP SP3 经典珍藏版 V2017.11
    雨林木风 GHOST XP SP3 经典珍藏版 V2017.11 ... [详细]
  • 采用IKE方式建立IPsec安全隧道
    一、【组网和实验环境】按如上的接口ip先作配置,再作ipsec的相关配置,配置文本见文章最后本文实验采用的交换机是H3C模拟器,下载地址如 ... [详细]
  • 福克斯新闻数据库配置失误导致1300万条敏感记录泄露
    由于数据库配置错误,福克斯新闻暴露了一个58GB的未受保护数据库,其中包含约1300万条网络内容管理记录。任何互联网用户都可以访问这些数据,引发了严重的安全风险。 ... [详细]
  • 深入解析Serverless架构模式
    本文将详细介绍Serverless架构模式的核心概念、工作原理及其优势。通过对比传统架构,探讨Serverless如何简化应用开发与运维流程,并介绍当前主流的Serverless平台。 ... [详细]
  • 本文详细介绍了一种通过MySQL弱口令漏洞在Windows操作系统上获取SYSTEM权限的方法。该方法涉及使用自定义UDF DLL文件来执行任意命令,从而实现对远程服务器的完全控制。 ... [详细]
  • 本文探讨了仅对图像文件的内容进行加密的方法,而不加密整个文件。通过这种方式,可以保护图像中的敏感信息,同时保持文件的其他部分不受影响。 ... [详细]
  • 网易严选Java开发面试:MySQL索引深度解析
    本文详细记录了网易严选Java开发岗位的面试经验,特别针对MySQL索引相关的技术问题进行了深入探讨。通过本文,读者可以了解面试官常问的索引问题及其背后的原理。 ... [详细]
  • 深入解析AUTOSAR方法论:汽车电子系统开发的理论基础(第三部分)
    本文详细探讨了AUTOSAR方法论在汽车电子软件系统开发中的应用,涵盖了从系统配置到生成可执行代码的各个关键步骤。通过介绍各阶段的任务和工具支持,帮助读者全面理解AUTOSAR的设计流程。 ... [详细]
author-avatar
李正吉959
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有