远程访问及控制
远程访问及控制
1 SSH远程管理
SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录,远程复制等功能。SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。与早期的telnet(远程登录)、rsh(Remote Shell,远程执行命令)、rcp(Remote File Copy,远程文件复制)等应用相比,SSH协议提供了更好的安全性。
本节将以OpenSSH为例,介绍Linux服务器的远程管理及安全控制。OpenSSH是实现SSH协议的开源软件项目,适用于各种UNIX、Linux操作系统。关于OpenSSH项目的更多内容可以访问其官方网站http://www.openssh.com。
1.1 配置OpenSSH服务端
在RHEL5系统中,OpenSSH服务器由openssh、openssh-server等软件包提供(默认已安装),并已将sshd添加为标准的系统服务。执行“service sshd start”命令即可按默认配置启动sshd服务,包括root在内的大部分用户(只要拥有合法的登录Shell)都可以远程登录系统。
sshd服务的配置文件默认位于/etc/ssh/sshd_config,正确调整相关配置项可以进一步提高sshd远程登录的安全性。
1.服务监听选项
sshd服务使用的默认端口号为22,必要时建议修改此端口号,并指定监听服务的具体IP地址,以提高在网络中的隐蔽性。除此以外,SSH协议的版本选用V2比V1的安全性要更好,禁用DNS反向解析可以提高服务器的响应速度。
[root@sky ~]# vim /etc/ssh/sshd_config Port 22 <==监听端口为22Protocol 2 <==使用SSH V2协议ListenAddress 192.168.1.10 <==监听地址UseDNS no <==禁用DNS反向解析...... //省略部分内容[root@sky ~]# service sshd reload |
2.用户登录控制
sshd服务默认允许root用户登录,当在Internet中使用时这是非常不安全的.更普遍的做法是:先以普通用户远程登入,进入安全Shell环境后,根据实际需要使用su命令切换为root用户。
关于sshd服务的用户登录控制,通常应禁止root用户或密码为空的用户登录。另外可以限制登录验证的时间(默认为2分钟)及最大重试次数,若超过限制后仍未能登录则断开连接。
[root@sky ~]# vim /etc/ssh/sshd_configPermitRootLogin no <==禁止root用户登录PermitEmptyPasswords no <==禁止空密码用户登录LoginGraceTime 2m <==登录验证时间为2分钟MaxAuthTries 6 <==最大重试次数为6...... //省略部分内容[root@sky ~]# service sshd reload |
当希望只允许或禁止某些用户登录时,可以使用Allowusers或Denyusers配置,两者用法类似(注意不要同时使用)。例如,若只允许tom和admin用户登录,且其中admin用户仅能够从IP地址为61.23.24.25的主机远程登录,可以参考以下操作:
[root@sky ~]# vim /etc/ssh/sshd_config AllowUsers tom admin@61.23.24.25 <==手动添加,多个用户以空格分 |
3.登录验证方式
对于服务器的远程管理来说,除了用户账号的安全控制以外,登录验证的方式也非常重要。sshd服务支持两种验证方式一一密码验证,密钥对验证,可以设置只使用其中一种方式也可以两种方式都启用。
➣ 密码验证:以服务器中本地系统用户的登录名称,密码进行验证。这种方式使用最为简便,但从客户机角度来看正在连接的服务器有可能被假冒,从服 务器角度来看当遭遇密码穷举(暴力破解)攻击时防御能力比较弱。
➣ 密钥对验证:要求提供相匹配的密钥信息才能通过验证。通常先在客户机中创建一对密钥文件(公钥,私钥),然后将公钥文件放到服务器中的指定位置。远程登录时,系统将使用公钥私钥进行加密/解密关联验证,大大增强了远程管理的安全性。
当密码验证,密钥对验证都启用时服务器将优先使用密钥对验证。对于安全性要求较高的服务器建议将密码验证方式禁用,只允许密钥对验证方式;若没有特殊要求,则两种方式都可启用。
[root@sky ~]# vim /etc/ssh/sshd_config PasswordAuthentication yes <==启用密码验证PubkeyAuthentication yes <==启用密钥对验证AuthorizedKeysFile .ssh/authorized_keys <==指定公钥库数据文件...... //省略部分内容 |
其中,公钥库文件用来保存各客户机上传的公钥文本,以便与客户机本地的私钥文件进行匹配。
1.2 使用SSH客户端程序
在RHEL5系统中,OpenSSH客户端由openssh-clients软件包提供(默认已安装),其中包括ssh远程登录命令,以及scp,sftp远程复制和文件传输命令等。实际上,任何支持SSH协议的客户端程序都可以与OpenSSH服务器进行通信,例如Windows平台中的PuttyCN,WinSCP,SecureCRT等图形工具。
1.命令程序ssh、scp、sftp
1)ssh远程登录
通过ssh命令可以远程登录到sshd服务为用户提供一个安全的Shell环境,以便对服务器进行管理和维护。使用时应指定登录用户,目标主机地址作为参数,例如若要登录主机192.168.1.10,以对方的wangwu用户进行验证可以执行以下操作。
[root@client ~]# ssh wangwu@192.168.1.10The authenticity of host '192.168.1.10 (192.168.1.10)' can't be established.RSA key fingerprint is a4:80:3d:4f:99:d5:25:10:50:4d:04:01:12:a7:70:48.Are you sure you want to continue connecting (yes/no)? yes <==接受密钥Warning: Permanently added '192.168.1.10' (RSA) to the list of known hosts.wangwu@192.168.1.10's password: <==输入密码 |
当用户第一次登录SSH服务器时必须接受服务器发来的RSA密钥(根据提示输入yes)后才能继续验证。接收的密钥信息将保存到~/.ssh/known_hosts文件中。密码验证成功以后就登录到目标服务器的命令行环境中了,就好比把客户机的显示器,键盘连接到服务器一样。
[wangwu@sky ~]$ whoamiwangwu [wangwu@sky ~]$ /sbin/ifconfig eth1 | grep "inet addr" <==确认当前主机地址 inet addr:192.168.1.10 Bcast:192.168.1.255 Mask:255.255.255.0 |
如果sshd服务器使用了非默认的端口号(如2887),则在登录时必须通过”-p“选项指定端口号。例如,以下操作将访问主机192.168.1.10的2345端口,以对方的wangwu用户验证登录。
[root@client ~]# ssh -p 2887 wangwu@192.168.1.10 wangwu@192.168.1.10's password: [wangwu@sky ~]$ |
2)scp远程复制
通过scp命令可以利用SSH安全连接与远程主机相互复制文件。使用scp命令时除了必须指定复制源,目标以外,还应指定目标主机地址、登录用户,执行后提示验证口令即可,例如,以下操作分别演示了下行、上行复制的操作过程,将远程主机中的/etc/passwd文件复制到本机,并将本机的/etc/vsftpd/目录复制到远程主机。
[root@client ~]# scp root@192.168.1.10:/etc/passwd /root/pwd254.txtroot@192.168.1.10's password:passwd 100% 1657 1.6KB/s 00:00 [root@client ~]# scp -r /etc/vsftpd/ root@192.168.1.10:/opt/root@192.168.1.10's password:ftpusers 100% 125 0.1KB/s 00:00 vsftpd.conf 100% 4599 4.5KB/s 00:00 user_list 100% 361 0.4KB/s 00:00 vsftpd_conf_migrate.sh 100% 338 0.3KB/s 00:00 |
3)sftp安全FTP
通过sftp命令可以利用SSH安全连接与远程主机上传、下载文件,采用了与FTP类似的登录过程和交互式环境,便于目录资源管理。例如,以下操作依次演示了sftp登录、浏览、文件上传等过程。
[root@client ~]# sftp wangwu@192.168.1.10Connecting to 192.168.1.10...wangwu@192.168.1.10's password: <==输入密码sftp> lsDesktop Maildirsftp> put /boot/config-2.6.18-194.e15 <==上传文件Uploading /boot/config-2.6.18-194.e15 to /home/wangwu/config-2.6.18-194.e15/boot/config-2.6.18-194.e15 100% 0 0.0KB/s 00:00sftp> lsDesktop Maildir config-2.6.18-194.e15sftp> bye <==退出 |
2.图形工具PuTTYCN、WinSCP
1)PuTTYCN远程登录
PuTTY是一款跨平台的Telnet/SSH图形客户端软件,能够在Windows32平台模拟xterm终端环境,主要作者为Simon Tacham。PuTTYCN是对应的中文版,推荐选择.zip格式的免安装包。
使用PuTTYCN时,只需运行主程序Putty.exe,然后在窗口中指定远程主机的IP地址,端口号等相关信息,单击”打开”按钮,根据提示接受密钥,验证密码后即可成功登录到目标主机。
2)WinSCP远程复制
WinSCP是一款用于Windows平台的SSH图形客户端软件,用来通过SCP、SFTP方式在本地与远程计算机之间安全的复制文件。WinSCP的官方网站位于http://winscp.net/,建议下载.zip格式的免安装包,如Winscp433.zip。
使用WinSCP时,只需运行主程序WinSCP.exe,然后在窗口中指定远程主机的IP地址,端口号等相关信息,再单击“登录”按钮根据提示接受密钥,验证密码后即可成功连接到目标主机,操作界面与常见的FTP客户软件类似.
1.3 构建密钥对验证的SSH体系
正如前面所提及的,密钥对验证方式可以为远程登录提供更好的安全性。下面将学习在Linux服务器,客户机中构建密钥对验证SSH体系的基本过程。
1.在客户端创建密钥对
在Linux客户机中,通过ssh-keygen工具为当前用户创建密钥对文件。可用的加密算法为RSA或DSA(”ssh-keygen“命令的”-t”选项用于指定算法类型)。例如,以zhangsan用户登录到客户机,并生成基于RSA算法的SSH密钥对(公钥,私钥)文件,操作如下。
[zhangsan@client ~]$ ssh-keygen -t rsaGenerating public/private rsa key pair.Enter file in which to save the key (/home/zhangsan/.ssh/id_rsa): <==回车Created directory '/home/zhangsan/.ssh'.Enter passphrase (empty for no passphrase): <==回车Enter same passphrase again: <==回车Your identification has been saved in /home/zhangsan/.ssh/id_rsa.Your public key has been saved in /home/zhangsan/.ssh/id_rsa.pub.The key fingerprint is:5f:c1:e3:f1:dd:85:c5:5b:56:af:a8:00:64:21:e7:13 zhangsan@client |
上述操作过程中,提示指定私钥文件的存放位置时一般直接按Enter键即可,最后生成的私钥,公钥文件默认存放在宿主目录中的隐藏文件夹.ssh/下、私钥短语用来对私钥文件进行保护,当使用该私钥验证登录时必须正确提供此处用设置的短语。尽管不设置私钥短语也是可行的(实现无口令登录),但从安全角度考虑不建议这么做.
[zhangsan@client ~]$ ls -lh ~/.ssh/id_rsa* <==确认生成的秘钥文件-rw-------. 1 zhangsan zhangsan 1.7K May 5 15:51 /home/zhangsan/.ssh/id_rsa-rw-r--r--. 1 zhangsan zhangsan 397 May 5 15:51 /home/zhangsan/.ssh/id_rsa.pub |
新生成的密钥对文件中,id_rsa是私钥文件权限默认为600,对于私钥文件必须妥善保管,不能泄露给他人;id_rsa.pub是公钥文件,用来提供给SSH服务器。
2.将公钥文件上传至服务器
将上一步生成的公钥文件发送给服务器,并部署到服务器端用户的公钥数据库中。上传公钥文件时可以选择FTP,Samba、HTTP甚至发送E-mail等任何方式。例如,可以通过scp方式将文件上传至服务器的/tmp/目录中。
[zhangsan@client ~]$ scp ~/.ssh/id_rsa.pub root@192.168.1.10:/tmp/root@192.168.1.10's password:id_rsa.pub 100% 397 0.4KB/s 00:00 |
3.在服务器中导入公钥文本
在服务器中,目标用户(指用来远程登录的账号)的公钥数据库位于~/.ssh/目录,默认的文件名是authorized_keys。当获得客户机发送过来的公钥文件以后,可以通过重定向将公钥文本内容追加到目标用户(如:zhangsan)的公钥数据库。
[root@sky ~]# mkdir -p /home/lisi/.ssh/[root@sky ~]# cat /tmp/id_rsa.pub >> /home/lisi/.ssh/authorized_keys[root@sky ~]# tail -1 /home/lisi/.ssh/authorized_keysssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAudgdVc+ZOxI+cnWJgbT+ot2AL91+i7jh31udCIBb8sPlFk7HfeNptMrMe4XXd/qOCcbBosAmsIK/DUFdbqmv49sYTp7nJAB8RCHhaXOdIsZ2KxSizcGOaurL58196c6JuvI+SN+HdMZez11txpcIxlaKdnjbb8t3s9OW1inR+QCDTKqz54LLOZP+oRIks9RfWMEL2LL2/7SRHL+bFgzPn++8CczDSl3pAg+WgddJM7EGWTrGbFUj4gjVooKlnVu9DqsJG7s4qyfE+tXJQXnOQeo0r4VlRntoCMNiWt9YgHFUSaWc5Fbz4m86OdZTSeGOaV3j1PMnpBNzpz30v6kpqw== zhangsan@client在公钥库authorized_keys文件中,最关键的内容是“ssh-rsa加密字串”部分,当导入非ssh-keygen工具创建的公钥文本时,应确保此部分信息完整,最后的“zhangsan@client”是注释信息(可有可无)。
由于sshd服务默认采用严格的权限检测模式(StrictModes yes),因此还需注意公钥库文件authorized_keys的权限——要求是登录的目标用户或root,同组或其他用户对该文件不能有写入权限否则可能无法成功使用密钥对验证。
[root@sky ~]# ls -l /home/lisi/.ssh/authorized_keys-rw-r--r--. 1 root root 397 5月 5 16:04 /home/lisi/.ssh/authorized_keys |
4.在客户端使用密钥对验证
当私钥文件(客户端)公钥文件(服务器)均部署到位以后,就可以在客户机中进行测试了。首先确认客户机中当前的用户为zhangsan,然后通过ssh命令以服务器端用户lisi的身份进行远程登录。如果密钥对验证方式配置成功则在客户端将会要求输入私钥短语,以便调用私钥文件进行匹配(若未设置私钥短语则直接登入目标服务器)。
[zhangsan@client ~]$ ssh lisi@192.168.1.10 <==我没有设置私钥短语,直接就可以登录[lisi@sky ~]$ |
使用密钥对验证的方式登录时,不需要知道目标用户的密码,而是改为验证客户端用户的私钥短语并检查双方的私钥,公钥文件是否配对,安全性更好。
2 TCP Wrappers访问控制
在Linux系统中,许多网络服务都针对客户机提供了某种访问控制机制,如Samba,BIND、HTTPD、OpenSSH等。除此以外,网络边界中的防火墙,入侵检测等设备也是强有力的安全屏障。本节将要学习另一种防护机制——TCP Wrappers(TCP封套)以作为应用服务与网络之间的一道特殊防线,提供额外的安全保障。
2.1 TCP Wrappers 概述
TCP Wrappers将其他的TCP服务程序,包裹一起来増加了一个安全检测过程,外来的连接请求必须先通过这层安全检测,获得许可后才能访问真正的服务程序,如画所示。TCP Wrappers还可以记录所有企图访问被保护服务的行为,为管理员提供丰富的安全分析资料。
对大多数Linux发行版来说,TCP Wrappers是默认提供的功能。RHEL5.5中使用的软件包是tcp-wrappers-7.6-40.7.e15,该软件包提供了执行程序tcpd和共享链接库文件 libwrap. so.*,对应着TCP Wrapper保护机制的两种实现方式——直接使用tcpd对其他服务程序进行保护,需要运行tcpd;由其他网络服务程序调用libwrap.so.*,链接库不需要运行tcpd。
[lisi@sky ~]$ rpm -ql tcp_wrappers |
通常链接库方式的应用要更加广泛也更有效率,例如vsftpd,sshd以及超级服务器xinetd等,都调用了libwrap共享库(使用ldd命令可以查看程序的共享库)。
[root@sky ~]# ldd /usr/sbin/vsftpd | grep "libwrap" libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f18fb688000)[root@sky ~]# ldd /usr/sbin/sshd | grep "libwrap" libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f366bfc3000) |
2.2 TCP Wrappers的访问策略
TCP Wrappers机制的保护对象为各种网络服务程序,针对访问服务的客户机地址进行访问控制。对应的两个策略文件为/etc/hosts.allow,/etc/hosts.deny,分别用来设置允许和拒绝的策略。
1. 策略的配置格式
两个策略文件的作用相反,但配置记录的格式相同,如下所示。服务程序列表,客户机地址列表之间以冒号分隔,在每个列表内的多个项之间以逗号分隔。
<服务程序列表>:<客户机地址列表>
1)服务程序列表
服务程序列表可分为以下几类。
➣ ALL,代表所有的服务
➣ 单个服务程序,例如“vsftpd"
➣ 多个服务程序组成的列表,例如”vsftpd,sshd”
2)客户机地址列表
客户机地址列表可分为以下几类。
➣ ALL,代表任何客户机地址
➣ LOCAL,代表本机地址
➣ 单个IP地址,例如“192.168.1.1”
➣ 网络段地址,例如“192.168.1.0/255.255.255.0
➣ 以"."开始的域名,例如”sky.com”匹配sky.com域中的所有主机
➣ 以"."结束的网络地址,例如”192.168.1.“匹配整个192.168.1.0/24网段
➣ 嵌入通配符*,?,前者代表任意长度字符,后者仅代表一个字符,例如"10.0.8.2*"匹配以10.0.8.2开头的所有ip地址.不可与以”.“开始或结束模式混用。
➣ 多个客户机地址组成的列表,例如“192.168.1.,172.16.1.,sky.com”
2. 访问控制的基本原则
关于TCP Wrappers机制的访问策略,应用时遵循以下顺序和原则。
(1)首先检查/etc/hosts.allow文件,如果找到相匹配的策略,则允许访问。
(2)否则继续检查/etc/hosts.deny文件,如果找到相匹配的策略,则拒绝访问。
(3)如果检查上述两个文件都找不到相匹配的策略,则允许访问。
3.TCPWrappers配置实例
实际使用TCP Wrappers机制时,较宽松的策略可以是“允许所有,拒绝个别”,较严格的策略是“允许个别,拒绝所有”。前者只需在hosts.deny文件中添加相应的拒绝策略就可以了;后者则除了在hosts.alow中添加允许策略以外,还需要在hosts.deny文件中设置“ALL:ALL“的拒绝策略。
例如,若只希望从IP地址为61.63.65.67的主机或者位于192.168.2.0/24网段的主机访问sshd服务,其他所有地址将被拒绝,可以执行以下操作。
[root@sky ~]# vim /etc/hosts.allow sshd:61.63.65.67,192.168.2.*[root@sky ~]# vim /etc/hosts.deny sshd:ALL |
