Linux网络服务10——远程访问及控制

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux网络服务10——远程访问及控制相关的知识,希望对你有一定的参考价值。

Linux网络服务10——远程访问及控制

一、SSH概述

1SSH简介

SSHSecure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令,语TELNET(远程登录)等应用相比,SSH协议提供了更好的安全性。

 

2、默认监听端口:TCP 22

OpenSSH的配置

1OpenSSH安装包

默认安装Linux系统时自动安装,若未安装,安装光盘中的如下rpm包:

openssh-5.3p1-94.el6.x86_64.rpm

openssh-askpass-5.3p1-94.el6.x86_64.rpm

openssh-clients-5.3p1-94.el6.x86_64.rpm

openssh-server-5.3p1-94.el6.x86_64.rpm

·服务名称:sshd

·服务端主程序:/usr/sbin/sshd

·服务端配置文件:/etc/ssh/sshd_config

·客户端配置文件:/etc/ssh/ssh_config

 

2、服务端OpenSSH配置

 

 技术分享

技术分享

技术分享

技术分享

技术分享

技术分享

手动添加:

 技术分享

AllowUsers:用户amber在任何客户端均可登录;用户zhangsan只允许在IP地址为 192.168.1.51的客户端登录。且仅允许此二用户通过ssh协议远程登录。

DenyUsers:禁止用户lisi登录

注意:AllowUsers不要与 DenyUsers 同时使用

 

修改配置文件后,重启sshd服务

 

三、使用SSH客户端程序

1、命令程序:

1ssh命令(远程安全登录)

格式:ssh  [email protected] (若客户机与主机用户名相同,可省去[email protected]

  端口选项:-p 22

 技术分享

 技术分享

技术分享

 

 

2scp命令(远程安全复制)

格式1scp  [email protected]:file1  file2

  格式2scp  file1  [email protected]:file2

1>从服务端复制文件到客户端

服务端:

 技术分享

客户端:

 技术分享

2>从客户端复制文件到服务端

客户端:

 

技术分享

 

服务端:

 技术分享

 

3sftp命令(安全FTP上传下载)

格式:sftp  [email protected]

客户端:

 技术分享

技术分享

技术分享

 

 

2、常见远程访问工具:XshellCRTPuttyXmanager(远程图形化界面)等

 

 

、构建密钥对验证的SSH体系

1、在客户端创建密钥对

ssh-keygen命令

  可用的加密算法:RSADSA

 技术分享

2、将公钥上传至服务器

1)方法一:任何方式均可(共享、FTPEmailSCP、……)

客户端:

 技术分享

服务端:在服务器中导入公钥文本

 技术分享

 

2)方法二:ssh-copy-id命令

服务端删除前面拷贝的公钥文件

[[email protected] ~]$ rm -f .ssh/authorized_keys

 

客户端

 技术分享

服务端:

 技术分享

 

3、在客户端使用密钥对验证

1确认服务端配置文件/etc/ssh/sshd_config已开启密钥对认证

 技术分享

2)客户端使用密钥对验证登录:

 技术分享

五、TCP Wrappers

1TCP Wrappers保护原理

技术分享 

2、保护机制的实现方式

方式1:通过tcpd主程序对其他服务程序进行包装

方式2:由其他服务程序调用libwrap.so.*链接库

 

3TCP Wrappers保护的条件

1)必须是采用TCP协议的服务

2)函数库中必须包含libwrap.so.0(可用ldd命令查看)

技术分享 

由此可见,sshd服务可以采用TCP Wrappers进行保护,而httpd服务虽然也是采用TCP协议,但无法使用TCP Wrappers进行保护。

 

4、访问控制策略的配置文件

  /etc/hosts.allow

  /etc/hosts.deny技术分享

 

访问控制策略处理流程图

 技术分享

由此可见,/etc/hosts.allow文件的优先级更高,若同一IP地址即出现在hosts.allow中,也存在与hosts.deny中,则该IP地址的访问请求将被接受。

5、配置项及格式

1)格式:

服务列表:客户机地址列表

服务列表

客户机地址列表

多个服务

例:vsftpd,sshd

多个地址

例:192.168.1.1,192.168.1.10

所有服务

ALL

所有地址

ALL

 

 

通配符?

例:192.168.1.?,192.168.2.1??

 

 

通配符*

例:192.168.1.1*

 

 

网段地址

例:192.168.1.192.168.1.0/255.255.255.0

 

2)通配符

1>通配符?:每一个?表示1位任意数字。如192.168.1.1?表示 192.168.1.10~192.168.1.19192.168.1.1??表示192.168.100~192.168.1.199

2>通配符*:表示任意位数,也可为空。如192.168.1.1*表示192.168.1.1 192.168.1.10~192.168.1.19192.168.1.100~192.168.1.199

 

3)配置示例

实验要求:仅允许IP地址为192.168.1.100~192.168.1.199的主机访问sshd服务,禁止其他所有地址的访问。

 

 技术分享

技术分享

技术分享

 

 

客户机client1测试:

 技术分享

 

客户机client2测试:

 技术分享

以上是关于Linux网络服务10——远程访问及控制的主要内容,如果未能解决你的问题,请参考以下文章

Linux的远程访问及控制

Linux——远程访问及控制(SSH远程管理与配置)

Linux远程访问及控制

Linux中远程访问SSH及TCP Wrappers控制

Linux中远程访问及控制

linux----SSH远程访问及控制!