Linux网络部分——SSH远程访问及控制

目录

一、配置OpenSSH服务端【☆】

1. ssh服务端配置 vim /etc/ssh/sshd_config

2.客户端连接验证

二、使用SSH客户端程序

1.ssh 远程登录

2.scp 远程复制

3.sftp 安全FTP

三、SSH的验证方式

1. 密钥对验证【☆】

2. 如何实现免密登录

 【拓展】免交互创建密钥对和免交互上传密钥

四、TCP Wrappers 访问控制

1. TCP Wrappers保护机制两种实现方式

2.TCP Wrappers 的访问策略

3. 访问策略原则

4. 策略格式:<程序列表>:<客户端地址列表>


       日常工作用远程连接两种方式,SSH和TELNET。SSH使用22号端口,进行密文传输,更安全。TELNET使用23号端口,使用明文传输,禁止使用root用户直接登录,仅仅做调试作用,基本不用。

SSH客户端典型代表:Moba、PuttyXshell、CRT为国外的软件,会涉及到版权和国家信息安全

SSH服务端软件:软件包OpenSSH,服务名sshd。centOS7中默认安装并设置开机自启,Ubuntu需要下载后使用systemctl start sshd开启,systemctl enable sshd设置开机自启,ssh服务端配置文件/etc/ssh/sshd_config,客户端的配置文件ssh_config。

一、配置OpenSSH服务端【☆】

1. ssh服务端配置 vim /etc/ssh/sshd_config

  1. Port 2345     #默认监听端口为 22,公网中把22号端口改掉更安全,实验使用22方便

  2. ListenAddress 192.168.170.10       #默认监听所有网卡地址0.0.0.0,可以改为特定网卡地址给安全网段更安全                        
  3. LoginGraceTime 2m                     #登录验证超时时间默认为 2 分钟
  4. PermitRootLogin no                     #禁止使用 root 用户登录
  5. MaxAuthTries 6                           #最大重试次数为 6次
  6. PermitEmptyPasswords no         #禁止空密码用户登录
  7. UseDNS no                                 #禁用 DNS 反向解析,以加快远程连接速度
  8. AllowUsers zhangsan lisi wangwu@192.168.170.20    #白名单配置:表示只允许zhangsan、lisi用户从任何主机登录,且其中wangwu用户仅能够从IP为192.168.170.20的主机远程登录。多个用户以空格分隔
  9. DenyUsers zhangsan lisi wangwu@192.168.170.20    #黑名单配置:表示禁止zhangsan lis用户从任何主机登录,wangwu禁止从192.168.170.20主机登录(注意白名单和黑名单不同时存在)

【补充】大驼峰命名规则:一个配置项可能由多个单词命名规则,每个单词第一个字母大写;小驼峰为第一个单词首字母不大写,后面单词首字母大写。

配置完成后开启sshd服务,创建zhangsan lisi wangwu用户

2.客户端连接验证

二、使用SSH客户端程序

1.ssh 远程登录

ssh [-p 端口号] 用户名@目标主机IP            #-p指定端口号,没有指定就是默认访问22号端口
ssh [-p 端口号] 用户名@目标主机IP 命令      #临时登录目标主机,操作一条命令后立即退出

        注意:SSH首次连接服务器会在当前用户家目录生成 .ssh/knowmn_hosts,保存服务器地址和密钥信息,如果后期访问服务器提示密钥信息改变,则要注意,可能会是钓鱼服务器!

2.scp 远程复制

scp [-P 端口号] [-r] 本地文件/目录路径 用户名@目标主机IP:绝对路径   
#从本机的复制上传目录/文件到目标主机scp [-P 端口号] [-r] 用户名@目标主机IP:/目录/文件 /本地路径   
#从目标主机复制下载目录/文件到本地

3.sftp 安全FTP

sftp [-P 端口号] 用户名@目标主机IP   
客户端可使用get上传、put下载、ls查看、cd切换目录

三、SSH的验证方式

        sshd 服务支持两种验证方式:①密码验证:使用账号和密码验证登录; ②密钥对验证:使用客户端创建的密钥对进行验证。在/etc/ssh/sshd_config中,PasswdAuthentication yes表示开启密码验证,PubkeyAuthenication yes表示开启密钥对验证,.ssh/authorized_keys表示服务端的公钥默认保存路径为当前用户的家目录的.ssh目录中。

1. 密钥对验证【☆】

①确保服务端开启了密钥对验证(在/etc/ssh/sshd_config中,PasswdAuthentication yes默认开启);

②客户端创建密钥对,ssh-keygen [-t rsa指定加密方法为非对称方法](rsa/dsa/ecdsa 三种) --->  默认目录回车 ---> 默认空密码回车,也可以设置密码  ---> /root/.ssh/id_rsa私钥文件是给自己自己使用的, /root/.ssh/id_rsa.pub公钥文件需要推送给服务端保存。

③上传公钥文件到服务端,ssh-copy-id -i id_rsa.pub root@192.168.170.10(目标主机        ip和端口号,-i指定公钥文件,如果只有一个公钥文件可以省略-i)

④客户端ssh远程登录,使用密钥对进行验证

 ps:客户端用什么用户创建和推送公钥给服务端哪个用户,就只能登录服务端的那个用户

2. 如何实现免密登录

①创建密钥对的时候一路回车,不设置密码

②设置代理,但只能在当前会话中有效。

 【拓展】免交互创建密钥对和免交互上传密钥

ssh-keygen -t rsa -P ‘’ -f ~/.ssh/id_rsa
sshpass -p 'xxxxxx' ssh-copy-id -o StrictHostKeyChecking=no root@目标IP

四、TCP Wrappers 访问控制

        TCP Wrappers(TCP封套) 是一个简单的防火墙机制。用来将TCP服务程序“包裹”起来,代为监听TCP服务程序的端口,增加了一个安全检测过程,外来的连接请求必须先通过这层安全检测,获得许可后才能访问真正的服务程序。
        大部分的Linux发行版本都有提供TCP Wrappers访问控制的功能,TCP Wrappers监听过滤发往各个端口的数据包,要么允许放通,要么拒绝访问丢弃数据包。

1. TCP Wrappers保护机制两种实现方式

①运行tcpd程序;②调用libwrap.so.*动态函数库,不需要运行tcpd,使用更广泛。 由于支持 TCP Wrappers 的服务必定包含 libwrap 这一个动态函数库,因此可以使用 ldd 来查看服务即可。

ldd $(which 程序名称) | grep libwrap

2.TCP Wrappers 的访问策略

        TCP Wrappers 机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制。通过 /etc/hosts.allow,/etc/hosts.deny 这两个文件来管理的一个类似防火墙的机制,分别用来设置允许和拒绝的策略。

格式:<服务程序列表>:<客户端地址列表>

(1)服务程序列表
ALL:代表所有的服务。
单个服务程序:如“vsftpd”。
多个服务程序组成的列表:如“vsftpd,sshd”。
(2)客户端地址列表
ALL:代表任何客户端地址。
LOCAL:代表本机地址。
多个地址以逗号分隔
允许使用通配符 “*” 和 “?” ,前者代表任意长度字符,后者仅代表一个字符
网段地址,如 “192.168.80.” 或者 192.168.80.0/255.255.255.0 (掩码只支持 netmask 的地址显示方式)
区域地址,如 “.benet.com”匹配 benet.com 域中的所有主机。

3. 访问策略原则

先看 /etc/hosts.allow 是否有匹配的策略,有则直接允许访问;

再看 /etc/hosts.deny  是否有匹配的策略,有则拒绝访问;

如果以上两个文件都没有匹配的策略,则默认允许访问;

4. 策略格式:<程序列表>:<客户端地址列表>

sshd,vsftpd:192.168.80.13,192.168.80.14

ALL:ALL

sshd:192.168.80.*

sshd:192.168.80.0/255.255.255.128

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/682233.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

配电室智能巡检机器人

近年来&#xff0c;生产过程高度自动化&#xff0c;各工矿企业关键场所需定期巡检维护。但目前巡检主要靠人工&#xff0c;既耗时费力效率又低&#xff0c;且受环境等因素影响&#xff0c;巡检难以全面规范&#xff0c;隐患或问题易被忽视。在此情况下&#xff0c;如何利用现有…

OpenHarmony实战开发——WLAN驱动框架介绍及适配方法

1. WLAN 驱动框架概述 WLAN 是基于 HDF(Hardware Driver Foundation)驱动框架开发的模块&#xff0c;该模块可实现跨操作系统迁移、自适应器件差异、模块化拼装编译等功能。从而降低 WLAN 驱动开发的难度&#xff0c;减少 WLAN 驱动移植和开发的工作量。 本文主要分析 WLAN 驱…

利用自动获客软件实现高效精准获客

在数字化时代的浪潮中&#xff0c;企业之间的竞争愈发激烈。客户资源的获取成为企业生存和发展的关键。传统的获客方式如广告投放、线下推广等不仅成本高昂&#xff0c;而且效率和准确性难以保证。随着科技的进步&#xff0c;自动获客软件应运而生&#xff0c;它以其独特的优势…

【Linux】yum与vim

文章目录 软件包管理器&#xff1a;yumLinux安装和卸载软件包Linux中的编辑器&#xff1a;vimvim下的底行模式vim下的正常模式vim下的替换模式vim下的视图模式vim下的多线程 软件包管理器&#xff1a;yum yum其实就是一个软件,也可以叫商店 和你手机上的应用商店或app store一…

多进程编程

创建一对父子进程&#xff1a; 父进程负责向文件中写入 长方形的长和宽 子进程负责读取文件中的长宽信息后&#xff0c;计算长方形的面积 代码&#xff1a; #include <stdio.h> #include <string.h> #include <stdlib.h> #include <unistd.h> #inc…

Linux(openEuler、CentOS8)企业内网DHCP服务器搭建(固定Mac获取指定IP)

----本实验环境为openEuler系统<以server方式安装>&#xff08;CentOS8基本一致&#xff0c;可参考本文&#xff09;---- 目录 一、知识点二、实验&#xff08;一&#xff09;为服务器配置网卡和IP&#xff08;二&#xff09;为服务器安装DHCP服务软件&#xff08;三&a…

STC8增强型单片机开发day02

逻辑分析仪 什么是逻辑分析仪 逻辑分析仪&#xff08;Logic Analyzer&#xff09;是一种工具&#xff0c;用于分析数字信号&#xff0c;例如控制信号&#xff0c;时钟信号等等。它可以用于调试和验证数字电路、嵌入式系统等等 本人采用的是mini版USB 逻辑分析仪。总共有10个…

【Linux】进程间通信方式之管道

&#x1f916;个人主页&#xff1a;晚风相伴-CSDN博客 &#x1f496;如果觉得内容对你有帮助的话&#xff0c;还请给博主一键三连&#xff08;点赞&#x1f49c;、收藏&#x1f9e1;、关注&#x1f49a;&#xff09;吧 &#x1f64f;如果内容有误的话&#xff0c;还望指出&…

7.基于麻雀搜索算法(SSA)优化VMD参数(SSA-VMD)

01.智能优化算法优化VMD参数的使用说明 02.基本原理 麻雀搜索算法&#xff08;SSA&#xff09;是一种基于鸟类觅食行为的启发式优化算法&#xff0c;它模拟了麻雀在觅食时的群体行为&#xff0c;通过模拟麻雀的觅食过程来寻找问题的最优解。SSA的基本原理是通过模拟麻雀的搜索…

机器学习初学者 6 个核心算法!建议收藏,反复观看!

今天再来介绍机器学习算法的基本概念和适用场景&#xff01; 首先&#xff0c;引用一句英国统计学家George E. P. Box的名言&#xff1a;All models are wrong, but some are useful. 没有哪一种算法能够适用所有情况&#xff0c;只有针对某一种问题更有用的算法。 也就是说&…

Linux-笔记 修改开发板默认时区

1. 时区文件 使用命令date -R查看当前的默认时区&#xff0c;date - R命令会自动解析/etc/localtime 文件&#xff0c;而该文件又是指向“ /usr/share/zoneinfo/$主时区/$次时区 ”&#xff0c;当需要更改到指定的时区只要将/etc/localtime 文件软链接到 ”/usr/share/zoneinf…

视频降噪算法 hqdn3d 原理分析

视频降噪 视频降噪是一种处理技术&#xff0c;旨在减少视频中的噪声&#xff0c;提高画面质量。噪声可能来自多种源头&#xff0c;包括摄像机的传感器、压缩算法、传输过程中的干扰等。降噪处理对于视频监控、视频会议、电影后期制作以及任何需要高画质输出的应用场景都非常重…