SSH远程登录协议

目录

• 一、SSH服务
  • 1.1SSH基础
  • 1.2SSH原理
  • 1.3服务端配置
  • 1.4SSH客户端
• 二、TCP Wrappers
  • 2.1策略的配置格式
  • 2.2访问控制的基本格式

 

---

Top

一、SSH服务

1.1SSH基础

（1）SSH：是一种安全通道协议，主要用来实现字符界面的远程登录、远程复制等功能。SSH 协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的用户口令，SSH 为建立在应用层和传输层基础上的安全协议。对数据进行压缩，加快传输速度。
SSH客户端<--------------网络（通过网络连接服务端和客户端）---------------->SSH服务端

(2)SSH协议的优点：

• 数据传输是加密的，可以防止信息泄漏
• 数据传输是压缩的，可以提高传输速度

(3)服务名称：sshd

服务端主程序：/usr/sbin/sshd
服务端配置文件：/etc/ssh/sshd_config
客户端配置文件：/etc/ssh/ssh_config

1.2SSH原理

(1)公钥传输原理

• 客户端发起链接请求
• 服务端返回自己的公钥，以及一个会话ID（这一步客户端得到服务端公钥）
• 客户端生成密钥对
• 客户端用自己的公钥异或会话ID，计算出一个值Res，并用服务端的公钥加密
• 客户端发送加密值到服务端，服务端用私钥解密，得到Res
• 服务端用解密后的值Res异或会话ID，计算出客户端的公钥（这一步服务端得到客户端公钥）
• 最终：双方各自持有三个秘钥，分别为自己的一对公、私钥，以及对方的公钥，之后的所有通讯都会被加密

(2)ssh远程登录

方法一：
ssh [远程主机用户名]@[远程服务器主机名或IP地址] -p 端口号

方法二：
ssh -l [远程主机用户名] [远程服务器主机名或IP 地址] -p 端口号

-l：-l选项，指定登录名称。
-p：-p选项，指定登录端口（当服务端的端口非默认时，需要使用-p 指定端口进行登录）。

1.3服务端配置

[root@client ~]# vim /etc/ssh/sshd_config        #修改常用配置项

• Port 22 　　#生产建议修改
• ListenAddress ip 　　#监听地址设置SSHD服务器绑定的IP 地址，0.0.0.0 表示侦听所有地址安全建议：如果主机不需要从公网ssh访问，可以把监听地址改为内网地址 这个值可以写成本地IP地址，也可以写成所有地址，即0.0.0.0 表示所有IP。
• LoginGraceTime 2m 　　#用来设定如果用户登录失败，在切断连接前服务器需要等待的时间，单位为秒
• PermitRootLogin yes 　　#默认 ubuntu不允许root远程ssh登录
• StrictModes yes 　　#检查.ssh/文件的所有者，权限等
• MaxAuthTries 　　#用来设置最大失败尝试登陆次数为6
• MaxSessions 10 　　#同一个连接最大会话
• PubkeyAuthentication yes 　　#基于key验证
• PermitEmptyPasswords no 　　#密码验证当然是需要的！所以这里写 yes，也可以设置为 no，在真实的生产服务器上，根据不同安全级别要求，有的是设置不需要密码登陆的，通过认证的秘钥来登陆。
• PasswordAuthentication yes 　　#基于用户名和密码连接
• GatewayPorts no
• ClientAliveInterval 10 　　#单位:秒
• ClientAliveCountMax 3 　　#默认3
• UseDNS yes 　　#提高速度可改为no 内网改为no 禁用反向解析
• GSSAPIAuthentication yes 　　#提高速度可改为no
• MaxStartups 　　#未认证连接最大值，默认值10
• Banner /path/file 　　#以下可以限制可登录用户的办法：白名单 黑名单
• AllowUsers user1 user2 user3@ip（限制主机）
• DenyUsers user1 user2 user3
• AllowGroups g1 g2
• DenyGroups g1 g2

（1）白名单黑名单列表

 （2）输入密码限制

 

1.4SSH客户端

（1）免密登录

[root@server ~]#ssh-keygen
[root@server ~]#ssh-copy-id -i .ssh/id_rsa.pub 192.168.10.20
[root@server ~]#ssh 192.168.10.20

（2）隐藏端口号，并且不让用户使用su命令切换root用户

[root@server ~]#vim /etc/ssh/sshd_config
#修改以下两行
Port 10086
PermitRootLogin no
[root@server ~]#systemctl restart sshd

[root@server ~]#vim /etc/pam.d/su
打开第6行

客户端测试：
[root@client ~]#ssh zhangzijun@192.168.10.10 -p 10086

 

Top

二、TCP Wrappers

在Linux 系统中，许多网络服务针对客户端提供了访问控制机制，如 Samba、BIND、 HTTPD、OpenSSH 等。本节将介绍另一种防护机制——TCP Wrappers（TCP 封套），以作为应用服务与网络之间的一道特殊防线，提供额外的安全保障。TCP Wrappers 将 TCP 服务程序“包裹”起来，代为监听 TCP 服务程序的端口，增加了 一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得许可后才能访问真正 的服务程序。TCP Wrappers 还可以记录所有企图访问被保护服务的行为， 为管理员提供丰富的安全分析资料。

2.1策略的配置格式

两个策略文件的作用相反，但配置记录的格式相同，如下所示
服务程序列表、客户端地址列表之间以冒号分隔，在每个列表内的多个项之间以逗号分隔
（1）服务程序列表可分为以下几类。

• ALL：代表所有的服务
• 单个服务程序：如“vsftpd“
• 多个服务程序组成的列表：如“vsftpd,sshd”

（2）客户端地址列表可分为以下几类。

• ALL：代表任何客户端地址。
• LOCAL：代表本机地址。
• 单个 IP 地址：如“192.168.10.10”
• 网络段地址：如“192.168.10.0/255.255.255.0”
• 以“.”开始的域名：如“.bdqn.com”匹配 bdqn.com 域中的所有主机。
• 以“.”结束的网络地址：如“192.168.10.”匹配整个 192.168.10.0/24 网段
• 嵌入通配符“*”“?”：前者代表任意长度字符，后者仅代表一个字符，如“10.0.8.2*”
• 匹配以 10.0.8.2 开头的所有 IP 地址。不可与以“**.**”开始或结束的模式混用
• 多个客户端地址组成的列表：如“192.168.1.，172.16.16.，.bdqn.com”

2.2访问控制的基本格式

注意sshd_config的黑白名单：