04 远程访问及控制

1、SSH远程管理

SSH是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。

SSH协议对通信双方的数据传输进行了加密处理(包括用户登陆时输入得用户口令)。

终端:接收用户的指令

TTY终端不能远程,它是操作系统自带的终端

虚拟终端:借助了ssh协议

ssh的端口号22,加密

telnet端口号23,不加密

解释器:shell

注:与早期的Telnet(远程登录)、RSH(远程执行命令)、RCP(远程文件复制)等应用相比,SSH协议提供了更好地安全性。

OpenSSH是实现SSH协议的开源软件项目,适用于各种UNIX、Linux操作系统。

1.1 配置OpenSSH服务端

在Centos系统中,OpenSSH服务器由openssh、openssh-server等软件包提供。

注:执行systemctl start sshd命令可启动sshd服务,包括root用户在内的大部分用户(只要拥有合法的登录Shell)都可以远程登录系统。

sshd服务的默认配置文件是/etc/ssh/sshd_config,在这个配置文件里正确调整相关的配置项,可以进一步提高sshd远程登录的安全性。

(1)服务监听选项

在sshd服务中,使用的默认端口号为22,在必要时建议可修改端口号,并指定监听服务的具体IP地址,以提高在网络中的隐蔽性。

注:SSH协议的版本选用V2比V1的安全性要更好一些,禁用DNS反向解析可以提高服务器的响应速度。

(2)用户登录控制

sshd服务默认允许root用户登录,但这在Internet中使用时是非常不安全的。

注:普遍的做法是先以普通用户远程登录,进入安全Shell环境之后,再根据实际需要使用su命令切换为root用户。

关于对sshd服务的用户登录控制,通常应禁止root用户或密码为空的用户登录。另外,还可以限制登陆验证的时间及最大重试次数(若超过限制次数后仍未能登录,则断开连接)。

如果希望只允许或禁止某些用户登陆时,可以使用AllowUser或DenyUsers配置(两者的用法类似,但注意不要同时使用)。

例如,若只允许jerry、tsengyia和admin用户登录,且其中的admin用户能够从IP地址为61.23.24.25的主机远程登录,那就可以在/etc/ssh/sshd_config配置文件中添加如下图中的配置:

(3)登录验证方式

对于服务器的远程管理,除了用户账号的安全控制外,登陆验证的方式也非常重要。

sshd服务支持两种验证方式——密码验证、密钥对验证。

注:可以设置只使用其中的一种方式,也可以两种方式都启用。

  • 密码验证:对服务器中本地系统用户的登录名称、密码进行验证。

从客户端角度来看,正在连接的服务器有可能被假冒;

从服务器角度来看,当遭遇密码穷举(暴力破解)攻击时防御能力比较弱。

  • 密钥对验证:要求提供相匹配的密钥信息才能通过验证。

通常先在客户端中创建一对密钥文件(公钥、私钥),然后将公钥文件放到服务器中的指定位置。

远程登陆时,系统将使用公钥、私钥进行加密/解密关联验证,这大大增强了远程管理的安全性。

密钥对验证的这种方式不易被假冒,且可以免交互登录,在Shell中被广泛使用。

当密码验证、密钥对验证都启用时,服务器将优先使用密钥对验证。

补充:对于安全性要求比较高的服务器,建议将密码验证方式禁用,只允许启用密钥对验证方式;若没有特殊要求,则两种方式都可启用,如下图:

上图中的公钥库文件用来保存多个客户端上传的公钥文本,以便与客户端本地的私钥文件进行匹配。

1.2 使用SSH客户端程序

OpenSSH客户端由openssh-clients软件包提供(默认已安装)。

任何支持SSH协议的客户端程序都可以与OpenSSH服务器进行通信,如Windows中的Xshell、SecureCRT、Putty等图形工具。

(1)ssh——远程登录

通过ssh命令可以远程登录sshd服务,这为用户提供了一个安全的Shell环境,以便对服务器进行管理和维护。

注:使用ssh命令时,应该指定登录用户、目标主机地址作为参数。

例如,若要登录主机172.16.16.22,以对方服务器的tsengyia用户进行验证,可执行如下图中的命令:

补充:

  • 当用户第一次登录SSH服务器时,必须接受服务器发来的ECDSA密钥(根据提示输入yes)

后才能继续验证。接收到的密钥信息将保存到~/.ssh/known_hosts文件中。

密码验证成功之后,即可登录目标服务器的命令行环境中了,这就好像把客户端的显示器、键盘连接到服务器一样。

如果sshd服务器使用了非默认的端口号(如2345),则在登录时必须通过-p选项来指定端口号。

例如,执行以下操作将访问主机172.16.16.22的2345端口,并以对方服务器的jerry用户验证登录:

(2)scp——远程复制

通过scp命令可以利用SSH安全连接与远程主机相互复制文件。

注:使用scp命令时,除了必须指定复制源、目标之外,还应指定目标主机地址、登录用户。

例如,执行下图中的命令可将远程主机中的/etc/passwd文件复制到本机:

执行下图中的命令,可以将本机的/etc/vsftpd目录复制到远程主机:

(3)sftp——安全FTP

通过sftp命令,可以利用SSH安全连接与远程主机上传、下载文件。采用了与FTP类似的登录过程合交互式环境,便于目录资源管理。

如下图,分别演示了sftp登录、浏览、文件上传等过程:

2、图形工具XShell

图形工具XShell是Windows下一款功能非常强大的安全终端模拟软件,它支持Telnet、SSH、SFTP等协议,可以方便的对Linux主机进行远程管理。

安装并运行Xshell之后,在新建会话窗口中指定远程主机的IP地址、端口号等相关信息,然后点击连接按钮,根据提示接受密钥、验证密码后既可成功登录目标主机。如下图所示:

2.1 构建密钥对验证的SSH体系

密钥对的验证方式可以为远程登录提供更好的安全性,在Centos7服务器、客户端中构建密钥对验证SSH体系的基本过程如下图所示:

以RSA加密算法为例,整个过程包括4步。

首先在SSH客户端以用户zhangsan的身份创建密钥对,并且要将创建的公钥文件上传至SSH服务器端;

然后将公钥信息导入服务器端的目标用户lisi的公钥数据库,

最后以服务器端用户lisi的身份登录验证。

2.1.1 在客户端创建密钥对

例如,以zhangsan用户登录客户端,并生成基于ECDSA算法的SSH密钥对(公钥、私钥)文件,如下图所示:

补充:ssh-keygen命令的-t选项用于指定算法的类型。

上图操作过程中,提示指定私钥文件的存放位置时,一般直接按Enter键即可,最后生成的私钥、公钥文件默认存放在宿主目录中的隐藏文件夹.ssh下。

私钥短语——是用来对私钥文件进行保护的(当使用该私钥验证登录时必须正确提供此处所设置的短语)

尽管不设置私钥短语也是可行的(实现无口令登录),但在生产环境中不建议这样做。

上图中,新生成的密钥对文件中,id_ecdsa是私钥文件,权限默认为600(对于私钥文件必须妥善保管,不能泄露给他人)

id_ecdsa.pub是公钥文件,用来提供给SSH服务器。

2.1.2 将公钥文件上传至服务器

将上一步生成的公钥文件上传至服务器,并部署到服务器端用户的公钥数据库中。上传公钥文件时,可以选择SCP、FTP、Samba、HTTP甚至发送E-mail等任何方式。

例如,可以通过SCP的方式将文件上传至服务器的/tmp目录下:

2.1.3 在服务器中导入公钥文本

在服务器中,目标用户(指用来远程登录的账号lisi)的公钥数据库位于~/。ssh目录,默认的文件名是authorize_keys(如果目录不存在,需要手动创建)

当获得客户端发送过来的公钥文件以后,可以通过重定向将公钥文本内容追加到目标用户的公钥数据库:

上图中,在公钥库authorized_keys文件中,最关键的内容是ecdsa-sha2-nistp256加密字串部分。当导入非ssh-keygen工具创建的公钥文本时,应确保此部分信息完整,最后的zhangsan@localhost是注释信息。

注:sshd服务默认采用严格的权限检测模式,因此还需要注意公钥库文件authorized_keys的权限——要求除了登陆的目标拥护火root用户,同组或其他拥护对该文件不能有写入的权限,否则可能无法成功使用密钥对验证。

2.1.4 在客户端使用密钥对验证

当私钥文件(客户端)、公钥文件(服务器)均部署到位以后,就可以进行测试了。

首先确认客户端中的当前的用户为zhangsan,然后通过ssh命令以服务器端用户lisi的身份进行远程登录。

如果密钥对验证方式配置成功,则在客户端将会要求输入私钥短语,以便调用撕咬文件进行匹配(若未设置私钥短语,则直接登入目标服务器)

经过上述4个步骤,SSH密钥对验证体系已经构建完成。

3.TCP Wrapper访问控制

TCP Wrappers是一种防护机制,以作为应用服务与网络之间的一道特殊防线,提供额外的安全保障。

3.1 TCP Wrappers的访问策略

TCP Wrappers机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制。

TCP Wrappers对应的两个策略文件为/etc/hosts.allow和/etc/hosts.deny,分别用来设置允许和拒绝的策略。

3.1.1 策略的配置格式

两个策略文件的作用相反,但配置记录的格式相同,如下图所示:

注:服务程序列表、客户端地址列表之间以冒号分隔,在每个列表内的多个项之间以逗号分隔。

(1)服务程序列表

服务程序列表可以分为以下几类:

  • ALL:代表所有的服务
  • 单个服务程序:如vsftpd
  • 多个服务程序组成的列表:如vsftpd,sshd
(2)客户端地址列表

客户端地址列表可以分为:

  • ALL:代表任何客户端地址
  • LOCAL:代表本机地址
  • 单个IP地址:如192.168.4.4
  • 网络段地址:如192.168.4.0/255.255.255.0
  • 以.开始的域名:如.bdqn.com匹配bdqn.com域中的所有主机
  • 以.结束的网络地址:如192.168.4.匹配整个192.168.4.0/24的网段
  • 嵌入通配符*?:前者表示任意长度字符,后者仅表示一个字符。
  • 如10.0.8.2匹配以10.0.8.2开头的所有IP地址(不可与.开始或结束的模式混用)
  • 多个客户端组成的列表:如192.168.1.

3.2 访问控制的基本原则

关于TCP Wrappers机制的访问策略,应用时遵循以下顺序和原则:

首先检查/etc/hosts.allow文件,如果找到相匹配的策略,则允许访问;

否则继续检查/etc/hosts.deny文件,如果找到相匹配的策略,则拒绝访问;如果检查上述两个文件都找不到相匹配的策略,则允许访问。

例如,若只希望从IP地址为61.63.65.67的主机或者位于192.168.2.0/24网段的主机访问sshd服务,其他地址被拒绝,可执行下图中的操作:

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/717720.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

《跟我一起学“网络安全”》——等保风评加固应急响应

等保风评加固应急响应 一、安全加固 背景 随着IP技术的飞速发展,一个组织的信息系统经常会面临内部和外部威胁的风险,网络安全已经成为影响信息系统的关键问题。 虽然传统的防火墙等各类安全产品能提供外围的安全防护,但并不能真正彻底的消…

吴恩达2022机器学习专项课程C2W3:2.26 机器学习发展历程

目录 开发机器学习系统的过程开发机器学习案例1.问题描述2.创建监督学习算法3.解决问题4.小结 误差分析1.概述2.误差分析解决之前的问题3.小结 增加数据1.简述2.增加数据案例一3.增加数据案例二4.添加数据的技巧5.空白创建数据6.小结 迁移学习1.简述2.为什么迁移学习有作用3.小…

【设计模式-12】代理模式的代码实现及使用场景

 代理模式是一种应用很广发的结构性设计模式,它的设计初衷就是通过引入新的代理对象,在客户端和目标对象之间起到中介的作用,从而实现控制客户端对目标对象的访问,比如增强或者阉割某些能力。 1. 概述 代理模…

如何理解电流镜负载的差分对的增益

我们知道最普通的电阻负载的差分对的差分增益是-gmRD,如果我们不希望输出是双端的,而是希望单端输出,那么使用电阻负载的差分对会导致增益变为原先的一半,因此引入了电流镜负载的差分对,它可以在保证增益与原先相同的情…

一小时搞定JavaScript(1)——JS基础

前言,本篇文章是依据bilibili博主(波波酱老师)的学习笔记,波波酱老师讲的很好,很适合速成!!! 文章目录 1.基本语法1.1 JS语言的特点1.2 创建一个JS文件1.3 输入与输出1.4 变量1.4.1 命名规则1.4.2 变量声明数字类型字符串类型布尔类型未定义类型 1.4.3 类型转换隐式转换显示转…

数据可视化实验一:Panda数据处理及matplotlib绘图初步

目录​​​​​​​ 2024-6-17 一、请将所有含有发明家“吴峰”的发明专利的“申请日”打印出来。并将含有“吴峰”的所有发明专利条目保存到Excel中 1.1 代码实现 1.2 运行结果 二、读取文件创建城市、人口、性别比、城镇化率DataFrame对象,计算指标排名&…

嘴尚绝卤味:传统与创新的味蕾碰撞,尝鲜必备美食!

在当今的餐饮市场中,各式各样的美食层出不穷,让人目不暇接。而在这一片美食的海洋中,嘴尚绝卤味以其独特的魅力和口感,成功吸引了众多食客的目光。今天,就让我们一起来探索一下,嘴尚绝卤味究竟有何魔力&…

MongoDB~分片数据存储Chunk;其迁移原理、影响,以及避免手段

分片数据存储:Chunk存储 Chunk(块) 是 MongoDB 分片集群的一个核心概念,其本质上就是由一组 Document 组成的逻辑数据单元。每个 Chunk 包含一定范围片键的数据,互不相交且并集为全部数据。 分片集群不会记录每条数据…

Java多线程下载工具,多线程,多任务,断点续传,GUI

目录 一、题目要求 二、效果展示 三、功能实现 四、代码 一、题目要求 序号 功能名称 功能需求标识 简要描述 1 下载功能 Download 当用户输入一个下载链接后,能识别链接并开始多线程下载工作,包括线程监听、线程管理等。 2 续传功能 …

[面试题]Spring

[面试题]Java【基础】[面试题]Java【虚拟机】[面试题]Java【并发】[面试题]Java【集合】[面试题]MySQL[面试题]Maven[面试题]Spring Boot[面试题]Spring Cloud[面试题]Spring MVC[面试题]Spring[面试题]MyBatis Spring 是一个很庞大的技术体系,可以说包容一切&…

APP Android

APP Android 安卓源生应用程序 APP IOS-CSDN博客 05.04 06:11Testing

MySQL修改用户权限(宝塔)

在我们安装好的MySQL中,很可能对应某些操作时,不具备操作的权限,如下是解决这些问题的方法 我以宝塔创建数据库为例,创建完成后,以创建的用户名和密码登录 这里宝塔中容易发生问题的地方,登录不上去&#…

电离层对流层延迟解算

前言: 本章节代码均在Gitee中开源: 电离层对流层延迟解算https://gitee.com/Ehundred/navigation-engineering/tree/master/%E5%8D%AB%E6%98%9F%E5%AF%BC%E8%88%AA%E5%8E%9F%E7%90%86/%E7%94%B5%E7%A6%BB%E5%B1%82%E5%AF%B9%E6%B5%81%E5%B1%82%E8%AF%A…

Python学习笔记12:进阶篇(一),类的相关知识

前言 在讲类之前,我们简单介绍一些Python的知识。这些知识在入门篇没讲,想学Python的,基本都对Python有基础的了解,但是今天开始的进阶知识,会涉及到一些Python的特性,所以在这里介绍一下。 Python是一种高…

数据仓库与数据挖掘(期末复习)

数据仓库与数据挖掘(期末复习) ETL的含义Extract 、 Transformation、Load。 ODS的全称Operational Data Store。 DW全称 Data Warehourse DM全称是Data Mart 数据仓库数据抽取时所用到技术是增量、全量、定时、调度 STAGE层作用是提供业务系统数据…

HTC手机卷土重来,价格和配置给我看麻了

第一眼看到我是不敢相信的,HTC 竟然还活着。 提到 HTC,相信不少同学会发出「那是我在夕阳下奔跑并逝去的青春」这样的感叹吧。 曾经辉煌一时的手机大佬,市占率曾一度达到 15%。 璀璨就如同天边一闪而过的流星。关于它的风光地位,…

FinalShell 连接虚拟机超时,主机ping不通虚拟机,解决

出现问题: 连接主机...java.net.ConnectException: Connection timed out: connect 在排查错误时发现: 虚拟机内能互相ping通,虚拟机能ping通主机 但是主机的cmd命令ping不通虚拟机 问题原因: 虚拟机内能互相ping通&#xff0…

基于Java+Swing贪吃蛇小游戏(含课程报告)

博主介绍: 大家好,本人精通Java、Python、C#、C、C编程语言,同时也熟练掌握微信小程序、Php和Android等技术,能够为大家提供全方位的技术支持和交流。 我有丰富的成品Java、Python、C#毕设项目经验,能够为学生提供各类…

计算机组成原理历年考研真题对应知识点(数制与编码)

目录 2.1数制与编码 2.1.1进位计数制及其相互转换 【命题追踪——采用二进制编码的原因(2018)】 【命题追踪——十进制小数转换为二进制小数(2021、2022)】 2.1.2 定点数的编码表示 【命题追踪——补码的表示范围(2010、2013、2014、2022)】 【命题追踪——补码和真值的相…