热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

CentOS7配置SSH远程访问及控制

nsitionalENhttp:www.w3.orgTRxhtml1DTDxhtml1-transitional.dtd

在实际生产环境中,不可能一直在服务器本地对服务器进行相应的管理,大多数企业服务器都是通过远程登录的方式进行管理的。当需要从一个工作站管理数以百计的服务器主机时,远程维护的方式将更占优势。

SSH 简介

SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方的数据传输进行加密处理,其中包括用户登录时输入的用户口令。比以往的Telnet(远程登录)、RSH(远程执行命令)等传统的方式相比,SSH协议提供了更好的安全性。

一、配置OpenSSH服务端

OpenSSH是实现SSH协议的开源软件项目。在CentOS 7.3系统中。OpenSSH服务器由openssh、openssh-server等软件包提供(默认已安装),并已将sshd添加为标准的系统服务。

1.服务监听选项

sshd服务使用的默认端口号为22,必要时建议修改此端口号,并指定监听服务的具体IP地址,以提高在网络中的隐蔽性。除此之外,SSH协议的版本选用v2比v1的安全性要更好,禁用DNS反向解析可以提高服务器的响应速度。

[root@localhost ~]# vim /etc/ssh/sshd_config                       //修改sshd服务的主配置文件
                              …………                          //省略部分内容
Port 22                                                          //监听端口为22
ListenAddress 0.0.0.0                                  //监听地址为0.0.0.0,表示全部监听
Protocol 2                                                    //使用SSH v2的版本
UseDNS no                                                 //禁用DNS反向解析,提高响应速度
                              …………                        //省略部分内容
[root@localhost ~]# systemctl restart sshd                        //重新启动sshd服务 

2.用户登录控制

sshd服务默认允许root用户登录,但在网络中是很大的安全隐患,普遍的做法是普通用户,然后切换到root用户。

[root@localhost ~]# vim /etc/ssh/sshd_config                         //修改sshd服务的主配置文件
                              …………                  //省略部分内容
LoginGraceTime 2m                                        //登录验证时间为2分钟
PermitRootLogin no                                        //禁止root用户登录
MaxAuthTries 6                                               //最大重试次数为6次
PermitEmptyPasswords no                           //禁止空密码登录
                              …………                          //省略部分内容
[root@localhost ~]# systemctl restart sshd                         //重新启动sshd服务 

当希望只允许或禁止某个用户登录时,可以使用AllowUsers或DenyUsers配置,两者用法类似(但是注意不要同时使用)。例如允许xiaoli和xiaozhang用户登录,且其中xiaozhang用户仅能从IP地址为192.168.1.2的地址远程登录。

[root@localhost ~]# vim /etc/ssh/sshd_config                       //修改sshd服务的主配置文件
                              …………                                       //省略部分内容
AllowUsers xiaoli xiaozhang@192.168.1.2                         //多个用户之间用空格进行分隔
[root@localhost ~]# systemctl restart sshd                         //重新启动sshd服务 

3.登录验证方式

sshd服务支持两种验证方式:
1.密码验证:对服务器中的本地系统用户的登录名称、密码进行验证。这种方式使用最为简便,但是系统用户密码存在可能遭遇密码穷举(暴力破解);
2.密钥对验证:要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥,然后将公钥文件存放到服务器指定位置。远程登录时,系统将使用公钥、私钥进行加密/解密验证,这种方式不易被假冒,且可以免交互登录,在Shell中被广泛应用。

当密码验证、密钥对验证都启用时,服务器将优先使用密钥对验证!没有特殊要求,建议两种方式都启用!

[root@localhost ~]# vim /etc/ssh/sshd_config                       //修改sshd服务的主配置文件
                              …………                             //省略部分内容
PasswordAuthentication yes                                                //启用密码验证         
PubkeyAuthentication yes                                                    //启用密钥对验证
AuthorizedKeysFile      .ssh/authorized_keys                      //指定公钥库文件
                              …………                            //省略部分内容
[root@localhost ~]# systemctl restart sshd                         //重新启动sshd服务 

二、使用SSH客户端程序

在CentOS 7.3系统中,OpenSSH客户端由openssh-clients软件包提供(默认已安装),其中包括ssh远程登录命令,以及scp、sftp远程复制和文件传输命令等。

1.命令程序(ssh、scp、sftp)应用

1)ssh远程登录

通过ssh命令可以远程登录sshd服务,为用户提供一个安全的Shell环境,以便对服务器进行管理和维护!

[root@kehuduan ~]# ssh xiaozhang@192.168.1.1

#CentOS 7配置SSH远程访问及控制
如果sshd服务器使用非默认的端口号(比如2222)则需要使用“-p”选项指定端口号。

[root@kehuduan ~]# ssh -p 2222 xiaozhang@192.168.1.1
xiaozhang@192.168.1.1's password:                                       //输入密码
[xiaozhang@fuwuduan ~]$                                                       //登录成功

2)scp远程复制

[root@kehuduan ~]# scp root@192.168.1.1:/etc/passwd /mnt
//从服务器下载文件
root@192.168.1.1's password: 
passwd                                               100% 2360     2.3KB/s   00:00    
[root@kehuduan ~]# scp 123.txt root@192.168.1.1:/mnt
//从客户端上传文件
root@192.168.1.1's password: 
123.txt                                              100%    0     0.0KB/s   00:00

如果需要指定端口,使用“-P”选项!

3)sftp安全FTP

通过sftp命令可以利用SSH安全连接与远程主机上传、下载文件,采用了与FTP类似的登录过程和交互式环境,便于目录资源管理。

[root@kehuduan ~]# sftp root@192.168.1.1
root@192.168.1.1's password: 
Connected to 192.168.1.1.
sftp> put 456.txt                                      //上传文件
Uploading 456.txt to /root/456.txt
456.txt                                              100%    0     0.0KB/s   00:00    
sftp> get /root/789.txt                             //下载文件
Fetching /root/789.txt to 789.txt
sftp> bye

2.图形化工具

在Windows主机上可以使用一些列图形化工具Xshell、SecureCRT、Putty等图形工具,支持Telnet、SSH、SFTP等协议,方便对Linux主机进行远程管理。这些图形化工具都提供了中文界面、功能和操作比较简单,这里不再做深入介绍。

三、构建密钥对验证的SSH体系

密钥对验证方式可以为远程登录提供提供更好的安全性,流程图:
#CentOS 7配置SSH远程访问及控制

1)第一种实现方法:

1.在客户端创建密钥对
在LInux客户端中,通过ssh-keygen工具为当前用户创建密钥对文件,可用的加密算法为ECDSA或DSA(ssh-keygen命令的“-t”选项用于指定算法类型)

root@kehuduan ~]# su - xiaowang                                  //切换到用户xioawang
[xiaowang@kehuduan ~]$ ssh-keygen -t ecdsa              //创建基于ECDSA算法的SSH密钥对
Generating public/private ecdsa key pair.
Enter file in which to save the key (/home/xiaowang/.ssh/id_ecdsa):                  //指定私钥存放位置
Created directory '/home/xiaowang/.ssh'.
Enter passphrase (empty for no passphrase):                                 //设置私钥短语
Enter same passphrase again:                                                        //确认所设置的短语
Your identification has been saved in /home/xiaowang/.ssh/id_ecdsa.
Your public key has been saved in /home/xiaowang/.ssh/id_ecdsa.pub.
The key fingerprint is:
13:c2:03:63:bc:2e:d8:7e:be:f1:1b:1d:95:6b:4c:49 xiaowang@kehuduan
The key's randomart image is:
+--[ECDSA  256]---+
|   .+     E      |
|   ..+   . o     |
|     .+ . =      |
|    .  o = .     |
| o .    S +      |
|. o .  . +       |
| . .. . .        |
|  . .o .         |
|   oo.o.         |
+-----------------+
[xiaowang@kehuduan ~]$ ls -lh ~/.ssh/id_ecdsa*
-rw-------. 1 xiaowang xiaowang 227 8月   8 16:45 /home/xiaowang/.ssh/id_ecdsa
-rw-r--r--. 1 xiaowang xiaowang 179 8月   8 16:45 /home/xiaowang/.ssh/id_ecdsa.pub

新生成的密钥对文件中,id_ecdsa是私钥文件 ,权限为600,需妥善保管;id_ecdsa.pub是公钥文件,用来提供给SSH服务器。

2.将公钥文件上传至服务器
将刚才生成的公钥文件上传到服务端用户的公钥数据库中。

[xiaowang@kehuduan ~]$ scp ~/.ssh/id_ecdsa.pub root@192.168.1.1:/mnt
root@192.168.1.1's password:                         //输入密码
id_ecdsa.pub                                         100%  179     0.2KB/s   00:00 
//上传成功

3.在服务器中导入公钥文本
在服务器中,目标用户(指用阿里远程登录的账号)的公钥数据库位于~/.ssh目录,默认的文件名“authorized_keys”,需要自己手动创建!

[root@fuwuduan ~]# mkdir /home/xiaozhang/.ssh
[root@fuwuduan ~]# cat /mnt/id_ecdsa.pub >> /home/xiaozhang/.ssh/authorized_keys
[root@fuwuduan ~]# cat /home/xiaozhang/.ssh/authorized_keys 
ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBJmtmVbjnjH6NbWBRQcFjbYHoDBILQYclqrIHbVe0oyA15IXd+WBGsOcX3FYX8FYnIPHfL36Auj7aWb2MuVqmac= xiaowang@kehuduan

4.在客户端使用密钥对验证
[xiaowang@kehuduan ~]$ ssh xiaozhang@192.168.1.1
Last login: Thu Aug 8 16:03:33 2019 from 192.168.1.2
//不用输入密码,即可连接,实验完成!

2)第二种实现方法:

[root@kehuduan ~]# ssh-keygen -t ecdsa
//以root为例,生成root用户的密钥对文件
[root@kehuduan ~]# ssh-copy-id -i ~/.ssh/id_ecdsa.pub root@192.168.1.1
//“-i”用来指定公钥文件,这一步把刚才第二、三步结合在一起
/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.1.1's password:                        //输入服务端root用户密码

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'root@192.168.1.1'"
and check to make sure that only the key(s) you wanted were added.

[root@kehuduan ~]# ssh root@192.168.1.1
Last login: Thu Aug  8 17:03:20 2019
//验证实验效果

使用密钥对验证的方式登录时,不需要知道目标用户的面膜,而是验证客户端用户的私钥短语并检查私钥、公钥是否配对,这样安全性更好。

四、TCP Wrappers访问控制

1)TCP Wrappers概述

TCP Wrappers将TCP服务程序“包裹”起来,代为坚挺TCP服务程序的端口,增加了一个安全监测过程,外联的连接请求必须先通过这层安全监测,获得许可证才能访问真正的服务程序。如图:
#CentOS 7配置SSH远程访问及控制
对于大多数Linux发行版,TCP Wrappers是默认提供的功能。CentOS 7.3使用的软件包是tcp_wrappers-7.6-77.el7.x86_64.rpm。

对应TCP Wrappers保护机制的两种实现方式:
1.直接使用tcpd程序对其他服务程序进行保护,需要运行tcpd;
2.由其他网络服务程序调用libwrap.so.*链接库,不需要运行tcpd程序。
通常,链接库方式的应用要更为广泛,也更有效率。

2)TCP Wrappers的访问策略

TCP Wrappers机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制,对应的两个策略文件为/etc/hosts.allow和/etc/hosts.deny ,分别用阿里设置允许和拒绝的策略。

1、策略配置格式

服务列表:客户机地址列表

服务器程序列表,客户端地址列表之间用冒号进行分隔,在列表内的多个项之间用逗号分隔。
1)服务程序列表
#CentOS 7配置SSH远程访问及控制
2)客户端地址列表
#CentOS 7配置SSH远程访问及控制

2、策略的应用顺序

先检查hosts.allow,找到匹配则允许访问
否则再检查hosts.deny,找到则拒绝访问
若两个文件中均无匹配策略,则默认允许访问

3、配置实例

要求:希望仅允许192.168.1.0网段的主机访问sshd服务

[root@fuwuduan ~]# vim /etc/hosts.allow 
sshd:192.168.1.
[root@fuwuduan ~]# vim /etc/hosts.deny 
sshd:ALL

推荐阅读
  • 本文详细介绍了 Linux 系统中用户、组和文件权限的设置方法,包括基本权限(读、写、执行)、特殊权限(SUID、SGID、Sticky Bit)以及相关配置文件的使用。 ... [详细]
  • 探索Squid反向代理中的远程代码执行漏洞
    本文深入探讨了在网站渗透测试过程中发现的Squid反向代理系统中存在的远程代码执行漏洞,旨在帮助网站管理者和开发者了解此类漏洞的危害及防范措施。 ... [详细]
  • 本文详细介绍了如何在预装Ubuntu系统的笔记本电脑上安装Windows 7。针对没有光驱的情况,提供了通过USB安装的具体方法,并解决了分区、驱动器无法识别等问题。 ... [详细]
  • 利用Selenium与ChromeDriver实现豆瓣网页全屏截图
    本文介绍了一种使用Selenium和ChromeDriver结合Python代码,轻松实现对豆瓣网站进行完整页面截图的方法。该方法不仅简单易行,而且解决了新版Selenium不再支持PhantomJS的问题。 ... [详细]
  • Nginx 反向代理与负载均衡实验
    本实验旨在通过配置 Nginx 实现反向代理和负载均衡,确保从北京本地代理服务器访问上海的 Web 服务器时,能够依次显示红、黄、绿三种颜色页面以验证负载均衡效果。 ... [详细]
  • 本文介绍了如何使用JavaScript的Fetch API与Express服务器进行交互,涵盖了GET、POST、PUT和DELETE请求的实现,并展示了如何处理JSON响应。 ... [详细]
  • 简化报表生成:EasyReport工具的全面解析
    本文详细介绍了EasyReport,一个易于使用的开源Web报表工具。该工具支持Hadoop、HBase及多种关系型数据库,能够将SQL查询结果转换为HTML表格,并提供Excel导出、图表显示和表头冻结等功能。 ... [详细]
  • 本文深入探讨了MySQL中常见的面试问题,包括事务隔离级别、存储引擎选择、索引结构及优化等关键知识点。通过详细解析,帮助读者在面对BAT等大厂面试时更加从容。 ... [详细]
  • 本文探讨了在多种编程语言中实现Hello World输出的方法,从经典的C语言到现代的JavaScript,每种语言都有其独特的表达方式。 ... [详细]
  • Ubuntu GamePack:专为游戏爱好者打造的Linux发行版
    随着Linux系统在游戏领域的应用越来越广泛,许多Linux用户开始寻求在自己的系统上畅玩游戏的方法。UALinux,一家致力于推广GNU/Linux使用的乌克兰公司,推出了基于Ubuntu 16.04的Ubuntu GamePack,旨在为Linux用户提供一个游戏友好型的操作环境。 ... [详细]
  • WinSCP: 跨Windows与Linux系统的高效文件传输解决方案
    本文详细介绍了一款名为WinSCP的开源图形化SFTP客户端,该工具支持SSH协议,适用于Windows操作系统,能够实现与Linux系统之间的文件传输。对于从事嵌入式开发的技术人员来说,掌握WinSCP的使用方法将极大提高工作效率。 ... [详细]
  • 本文详细介绍了 Python 中的 with 语句及其背后的上下文管理器机制,从基本概念入手,通过具体示例和原理分析,帮助读者深入理解这一重要的资源管理工具。 ... [详细]
  • Python编码入门指南
    本文探讨了使用Python进行网络设备连通性测试的简便性,特别是针对IP地址范围为192.168.0.101至192.168.0.200的设备。通过比较Python与Shell、Java等语言,展示了Python在执行此类任务时的优势。 ... [详细]
  • 本文详细介绍了使用ZooKeeper构建高可用集群的方法,包括必要的软件环境准备、配置文件调整及集群启动等关键步骤。通常,一个ZooKeeper集群由奇数个节点组成,以确保Leader选举的有效性。 ... [详细]
  • 本文介绍了iftop的下载地址、基本参数配置方法及其在不同Linux发行版中的安装问题解决方案。iftop是一款强大的实时网络流量监控工具,适用于需要精确监控网络带宽使用情况的场景。 ... [详细]
author-avatar
mobiledu2502873187
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有