LinuxDay19——加密与安全(2)

SSH

ssh:

secure shell, protocol, 22/tcp, 安全的远程登录

具体的软件实现

  OpenSSH: ssh协议的开源实现,CentOS默认安装

  dropbear:另一个开源实现

SSH协议版本

  v1: 基于CRC-32做MAC,不安全;man-in-middle

  v2:双方主机协议选择安全的MAC方式

  基于DH算法做密钥交换,基于RSA或DSA实现身份认证

两种方式的用户登录认证

  基于password

  基于key

配置文件

/etc/ssh/ssh_config

Host PATTERN

StrictHostKeyChecking no 首次登录不显示检查提示

格式

 ssh [user@]host [COMMAND]

 ssh [-l user] host [COMMAND]

-p port:远程服务器监听的端口

-b:指定连接的源IP

-v:调试模式

-C:压缩方式

-X: 支持x11转发

-Y:支持信任x11转发

  ForwardX11Trusted yes

-t: 强制伪tty分配

  ssh -t remoteserver1 ssh remoteserver2

 

ssh服务登录验证

基于用户名口令登录验证

 

  ssh服务登录验证

  基于密钥的方式

  1首先在客户端生成一对密钥(ssh-keygen)

  2并将客户端的公钥ssh-copy-id拷贝到服务器

  3挡客户端再次发送一个连接请求,包括ip、用户名

  4服务端得到客户端的请求后,会到authorized_key中国查找,如果有相应的IP和用户,就会随机生成一个字符串;例如:acdf

  5服务器端将使用客户端拷贝过来的公钥进行加密,然后发送给客户端

  6得到服务端发来的消息后,客户端会使用私钥进行解密,然后将解密后的字符串发送给服务端

  7服务端接受到客户端发来的字符串后,根之前的字符串进行对比,如果一致,就免密码登入

 

基于密钥的登录方式

 

基于key认证

 基于密钥认证

  1)在客户端生成密钥对

   ssh -genkey -t rsa [-P"] [-f "~/.ssh/id_rsa"]

  2)把公钥文件传输至远程服务器对应用户的家目录

   ssh-copy-id [-i[identity_file]] [user@host

  3)测试

  4)在SecureCRT或Xshell实现基于key验证

   在SecureCRT工具→创建公钥→生成Identity.pub文件

   转化为openssh兼容格式(适合SecureCRT,Xshell不需要转化格式),并复制到需登录主机上相应文件authorized_key中,注意权限必须为600,在登录的ssh主机上执行

  ssh -keygen -i -f Identity.pub >> .ssh/authorized_key

  5)重设私钥口令:

   ssh -keygen -p

  6)验证代理( authentication agent )保密解密后的密钥

   这样口令就只需要输入一次

   在GNOME中,代理被主动提供给root用户

   否则运行ssh -agent bash

  7)钥匙通过命令添加给代理

   ssh -add

 

设置Xshell ssh登入方式

1选择新建用户秘钥生成向导 生成公钥

2将公钥拷贝到 /root/.ssh下

3执行cat将公钥写入文件

 

SSH端口转发

  SSH 会自动加密和解密所有 SSH 客户端与服务端之间的网络数据。但是,SSH 还能够将其他 TCP 端口的网络数据通过 SSH 链接来转发,并且自动提供了相应的加密及解密服务。这一过程也被叫做“隧道”(tunneling),这是因为 SSH 为其他 TCP 链接提供了一个安全的通道来进行传输而得名。例如,Telnet,SMTP,LDAP 这些 TCP 应用均能够从中得益,避免了用户名,密码以及隐私信息的明文传输。而与此同时,如果工作环境中的防火墙限制了一些网络端口的使用,但是允许 SSH 的连接,也能够通过将 TCP 端口转发来使用 SSH 进行通讯

SSH 端口转发能够提供两大功能:

  加密 SSH Client 端至 SSH Server 端之间的通讯数据

  突破防火墙的限制完成一些之前无法建立的 TCP 连接

 

本地转发:

 

 

 

 

 

 

你处于客户端

1、模拟防火墙及准备工作

 

server ~]#yum install telnet-server

server ~]#systemctl start telnet.socket

ss -ntl查看是否启动

2、搭建桥梁

ss -ntl确认端口没有其他程序使用

client ~]#ssh -L 9527:192.168.30.17:23(telnet机器) 192.168.30.6(server端)

3、连接

client ~]#telnet 172.0.0.1 9527

 

远程转发 :

模拟防火墙

 

lanserver ~]#ssh -R 9527:192.168.30.17(telent机器)192.168.30.7(外部人员机器)

外部人员进行连接

 

X 协议转发

所有图形化应用程序都是X客户程序

能够通过tcp/ip连接远程X服务器

数据没有加密机,但是它通过ssh连接隧道安全进行

  ssh -X user@remotehost gedit

remotehost主机上的gedit工具,将会显示在本机的X服务器上

传输的数据将通过ssh连接加密

 

服务器端

sshd,

配置文件: /etc/ssh/sshd_config

常用参数:

Port

ListenAddress ip

LoginGraceTime 2m

PermitRootLogin yes

StrictModes yes 检查.ssh/文件的所有者,权限等

MaxAuthTries 6

MaxSessions 10 同一个连接最大会话

PubkeyAuthentication yes

PermitEmptyPasswords no

PasswordAuthentication yes

GatewayPorts no

ClientAliveInterval:单位:秒

ClientAliveCountMax:默认3

UseDNS yes

GSSAPIAuthentication yes 提高速度可改为no

MaxStartups 未认证连接最大值,默认值10

Banner /path/file

限制可登录用户的办法:

AllowUsers user1 user2 user3

DenyUsers

AllowGroups

DenyGroups

 

ssh服务的最佳实践

建议使用非默认端口

禁止使用protocol version 1

限制可登录用户

设定空闲会话超时时长

利用防火墙设置ssh访问策略

仅监听特定的IP地址

基于口令认证时,使用强密码策略

tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30| xargs

使用基于密钥的认证

禁止使用空密码

禁止root用户直接登录

限制ssh的访问频度和并发在线数

经常分析日志

 

scp命令

scp [options] SRC... DEST/

两种方式:

 scp [options] [user@]host:/sourcefile /destpath

 scp [options] /sourcefile [user@]host:/destpath

常用选项:

-C: 压缩数据流

-r: 递归复制

-p: 保持原文件的属性信息

-q: 静默模式

-P PORT: 指明remote host的监听的端口

 

rsync命令

基于ssh和rsh服务实现高效率的远程系统之间复制文件

使用安全的shell连接做为传输方式

rsync –av /etc server1:/tmp 复制目录和目录下文件

rsync –av /etc/ server1:/tmp 只复制目录下文件

比scp更快,只复制不同的文件

选项:

-n 模拟复制过程

-v 显示详细过程

-r 递归复制目录树

-p 保留权限

-t 保留时间戳

-g 保留组信息

-o 保留所有者信息

-l 将软链接文件本身进行复制(默认)

-L 将软链接文件指向的文件复制

-a 存档,相当于–rlptgoD,但不保留ACL(-A)和SELinux属性(-X)

 

sftp命令

交互式文件传输工具

用法和传统的ftp工具相似

利用ssh服务实现安全的文件上传和下载

使用ls cd mkdir rmdir pwd get put等指令,可用?或help获取帮助信息

sftp [user@]host

sftp> help

 

pssh工具

pssh是一个python编写可以在多台服务器上执行命令的工具,也可实现文件复制

选项如下:

--version:查看版本

-h:主机文件列表,内容格式”[user@]host[:port]”

-H:主机字符串,内容格式”[user@]host[:port]”

-l:登录使用的用户名

-p:并发的线程数【可选】

-o:输出的文件目录【可选】

-e:错误输入文件【可选】

-t:TIMEOUT 超时时间设置,0无限制【可选】

-O:SSH的选项

-v:详细模式

-A:手动输入密码模式

-x:额外的命令行参数使用空白符号,引号,反斜线处理

-X:额外的命令行参数,单个参数模式,同-x

-i:每个服务器内部处理信息输出

-P:打印出服务器返回信息

 

dropbear

ssh协议的另一个实现:dropbear

源码编译安装:

1、安装开发包组:yum groupinstall “Development tools”

2、下载dropbear-2017.75.tar.bz2

3、tar xf dropbear-2017.75.tar.bz2

4、less INSTALL README

5、./configure

6、make PROGRAMS="dropbear dbclient dropbearkey dropbearconvert scp"

7、make PROGRAMS="dropbear dbclient dropbearkey dropbearconvert scp" install

8、ls /usr/local/sbin/ /usr/local/bin/

9、/usr/local/sbin/dropbear -h

10、mkdir /etc/dropbear

11、dropbearkey -t rsa -f /etc/dropbear/dropbear_rsa_host_key -s 2048

12、dropbearkey -t dss -f /etc/dropbear/dropbear_dsa_host_key

13、dropbear -p :2222 -F –E #前台运行

  dropbear -p :2222 #后台运行

客户端访问:

14、ssh -p 2222 root@127.0.0.1

15、dbclient -p 2222 root@127.0.0.1

 

expect

expect 是由Don Libes基于Tcl( Tool Command Language )语言开发的,主要应用于自动化交互式操作的场景,借助Expect处理交互的命令,可以将交互过程如:ssh登录,ftp登录等写在一个脚本上,使之自动化完成。尤其适用于需要对多台服务器执行相同操作的环境中,可以大大提高系统管理人员的工作效率。

用法:expect [ 选项 ] [ -c cmds ] [ [ -[f|b] ] cmdfile ] [ args ]

选项:

-c:从命令行执行expect脚本,默认expect是交互地执行的 

-d:可以输出输出调试信息

命令:

spawn:启动新的进程

send:用于向进程发送字符串

expect:从进程接收字符串

interact:允许用户交互

exp_continue:匹配多个字符串在执行动作后加此命令

 

posted @ 2018-05-29 09:53  Gmiao  阅读(213)  评论(0编辑  收藏  举报