Linux远程访问控制

Posted 2020-10-25

 SSH是一种安全通道协议，主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的用户口令。OpenSSH是实现SSH协议的开源软件项目，适用于各种Linux操作系统。

  OpenSSH服务器由openssh、openssh-server等软件包提供，执行"service sshd start"命令即可按默认配置启动sshd服务，包括root在内的大部分用户都可以远程登录系统。

  sshd服务使用的默认端口为22，必要时建议修改此端口号，并指定监听服务的具体IP地址，以提高在网络中的隐蔽性。除此之外，SSH协议的版本选用V2比V1的安全性要更好，禁用DNS反向解析可以提高服务器的响应速度。

1、服务监听相关选项

[[email protected] ~]# vim /etc/ssh/sshd_config 

13 #Port 22                  //监听端口

14 Port 25532

15 #AddressFamily any

16 #ListenAddress 0.0.0.0         //监听地址

17 #ListenAddress 192.168.200.101  

18 #ListenAddress ::

22 # activation of protocol 1

23 Protocol 2                  //使用SSH V2协议

124 #UseDNS yes

125 UseDNS no                  //禁用DNS反向解析[[email protected] ~]# service sshd reload

[[email protected] ~]# service sshd reload

2、用户登录控制

  sshd服务默认允许root用户登录，这是非常不安全的。普遍的做法是：先以普通用户远程登录，进入安全Shell环境后，根据实际需要使用su命令切换为root用户。

  关于sshd服务的用户登录控制，通常应禁止root用户或密码为空的用户登录。另外可以限制登录验证的时间以及最大重试次数，若超过限制后仍未能登录则断开连接。

[[email protected] ~]# vim /etc/ssh/sshd_config 

43 #LoginGraceTime 2m        //登录验证时间

44 LoginGraceTime 2m

45 #PermitRootLogin yes       

46 PermitRootLogin no        

47 #StrictModes yes

48 #MaxAuthTries 6          //最大重试次数

49 MaxAuthTries 3

70 #PermitEmptyPasswords no    //禁止空密码用户登录

71 PermitEmptyPasswords no

[[email protected] ~]# service sshd reload

  当希望只允许某些用户登录时，可以使用AllowUsers或DenyUsers配置，但是两者不要同时使用。例如，若只允许test和admin用户登录，并且admin用户仅能从IP地址为192.168.200.1的主机远程登录，可以配置如下：

[[email protected] ~]# vim /etc/ssh/sshd_config 

146 AllowUsers test [email protected]

[[email protected] ~]# service sshd reload

3、登录验证方式

  对于服务器的远程管理，登录验证方式也很重要。sshd服务支持两种验证方式：密码验证和密钥对验证，可以同时设置两种方式。

1>密码验证：以服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简单，但是从客户机的角度来看，正在连接的服务器有可能被假冒；从服务器的角度来看，当遭遇暴力破解攻击时防御能力比较弱。

2>密钥对验证：要求提供相匹配的秘钥信息才能通过验证。通常先在客户机中创建一对秘钥文件，然后将公钥文件放到服务器中的指定位置。远程登录时，系统将使用公钥、私钥进行加密/解密关联验证，大大增强了安全性。

  当密码验证、密钥对验证都启用时，服务器将优先使用密钥对验证。对于安全性要求较高的服务器，建议将密码验证方式禁用。

[[email protected] ~]# vim /etc/ssh/sshd_config 

72 #PasswordAuthentication yes

73 PasswordAuthentication no      //禁用密码验证

53 #PubkeyAuthentication yes

54 PubkeyAuthentication yes       //启用密钥对验证

55 #AuthorizedKeysFile     .ssh/authorized_keys

56 AuthorizedKeysFile     .ssh/authorized_keys   //指定公钥数据文件

[[email protected] ~]# service sshd reload