Linux网络服务之SSH(远程访问及控制)
1 SSH
1.1 SSH 概念
SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能
SSH 协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令
SSH 为建立在应用层和传输层基础上的安全协议。对数据进行压缩,加快传输速度。
1.2 SSH 优点
SSH客户端<--------------网络---------------->SSH服务端
数据传输是加密的,可以防止信息泄漏
数据传输是压缩的,可以提高传输速度
1.3 常见的SSH服务软件/工具
客户端软件:- Linux 客户端: ssh, scp, sftp,slogin
- Windows 客户端:xshell, MobaXterm,putty, securecrt, ssh secure shell client
- 软件名sshd,闭源。
- 软件名openssh,服务名sshd。CENTOS 7默认安装的是这个软件包。
- 服务名称:sshd
- 服务端主程序:/usr/sbin/sshd
- 服务端配置文件:/etc/ssh/sshd_config
- 客户端配置文件:/etc/ssh/ssh.config
ssh服务端主要包括两个服务功能ssh远程连接和sftp服务。
作用:SSHD服务使用SSH协议可以用来进行远程控制,或在计算机之间传输文件。
相比较之前的telnet方式传输文件要安全很多,因为telnet使用明文密码,别人抓包就能看见,非常不安全。
2 ssh原理
2.1公钥传输原理
- 客户端发起链接请求。
- 服务端返回自己的公钥,以及一个会话ID(这一步客户端得到服务端公钥)。
- 客户端生成密钥对。
- 客户端用自己的公钥异或会话ID,计算出一个值Res,并用服务端的公钥加密。
- 客户端发送加密后的值到服务端,服务端用私钥解密,得到Res。
- 服务端用解密后的值Res异或会话ID,计算出客户端的公钥(这一步服务端得到客户端公钥)。
- 最终:双方各自持有三个秘钥,分别为自己的一对公、私钥,以及对方的公钥,之后的所有通讯都会被加密
2.2 登录
登录方式一:
示例:
1)当在 Linux 主机上远程连接另一台 Linux 主机时,如当前所登录的用户是 root 的话,当连接另一台主机时也是用 root 用户登录时,可以直接使用 ssh IP,端口默认即可,如果端口不是默认的情况下,需要使用-p 指定端口。
2)以用户lulu的身份进行登录访问。
登录方式二:
登录方式三:
ssh连接时直接跟命令,连接后命令立即生效。例如跟 ls 命令:
2.3 known_hosts 文件
ssh会把每个你访问过的服务端的公钥(public key)都记录在known_hosts 文件中。 同时服务端也会记录客户端的公钥。文件位置:~/.ssh/known_hostsknown_hosts 文件的作用:A通过ssh首次连接到B,B会将公钥1(host key)传递给A,A将公钥1存入known_hosts文件中,以后A再连接B时,B依然会传递给A一个公钥2,OpenSSH会核对公钥,通过对比公钥1与公钥2 是否相同来进行简单的验证,如果公钥不同,OpenSSH会发出警告, 避免你受到DNS Hijack之类的攻击。。举例说明:如果主机A的known_hosts 文件,已经记录了主机B(IP地址为192.168.72.129)的公钥,下次主机C将IP地址修改成了和B的一样假冒B,那么A使用ssh连接192.168.72.129时,就会出现冲突警告,因为C的公钥和 known_hosts 文件中记录的不一致,系统不允许连接。
2)客户端的 known_hosts 文件会记录服务端的公钥。
3)服务端的 known_hosts 文件会记录客户端的公钥。
思考
- 我们登录时如何确认对方是不是我需要连接的服务器?
- 方法:A的known_hosts 文件中已经记录了B的公钥,那么A在连接B之前,B可以使用”ssh 127.0.0.1“命令连接自己,之后B查看本地known_hosts文件中自己的公钥,和A中记录的进行核对。
3 sshd服务端配置
sshd服务端配置文件:/etc/ssh/sshd_config
服务监听选项:
- 端口号、协议版本、监听IP地址
- 禁用反向解析
#设置黑白名单
#llowUsers yuji@192.168.72.10 lisi //只允许yuji用户从192.168.72.10访问,允许lisi从所有地址访问
#enyUsers liwu //不允许使用liwu用户登录
#白名单的优先级高于黑名单。如果一个用户同时加入了白名单和黑名单,那么该用户是可以访问的。
#如果不设置白名单,则所有用户都可以登录访问。一旦设置了白名单,那么只有白名单内的用户可以访问。
示例:
修改端口号,将默认端口22修改为9527。
[
4 sshd客户端配置
4.1 客户端配置文件
客户端配置文件:/etc/ssh/ssh_config
客户端首次连接服务端时,系统询问是否交换公钥,进行安全确认。这是由客户端配置文件默认的,可以修改配置文件ssh_config取消询问。
注:
这种做法只在内网中使用,如果服务器暴露在外网中,不建议这样操作,非常危险。
4.2 sftp命令
SFTP是SSH File Transfer Protocol的缩写,安全文件传送协议。SFTP与FTP有着几乎一样的语法和功能。SFTP为SSH的其中一部分,是一种传输档案至 Blogger 伺服器的安全方式。其实在SSH软件包中,已经包含了一个叫作SFTP的安全文件信息传输子系统,SFTP本身没有单独的守护进程,它必须使用sshd守护进程(端口号默认是22)来完成相应的连接和答复操作,所以从某种意义上来说,SFTP并不像一个服务器程序,而更像是一个客户端程序。
sftp和ftp的区别:
- 连接方式:FTP使用TCP端口21上的控制连接建立连接。而,SFTP是在客户端和服务器之间通过SSH协议(TCP端口22)建立的安全连接来传输文件。
- 安全性:SFTP使用加密传输认证信息和传输的数据,所以使用SFTP相对于FTP是非常安全。
- 效率:SFTP这种传输方式使用了加密解密技术,所以传输效率比普通的FTP要低得多。
5 免密码登录
5.1 sshd服务支持登录验证方式
-
密码验证: 以服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便,但从客户机角度来看,正在连接的服务器有可能被假冒,从服务器角度来看,当遭遇密码暴力破解攻击时防御能力比较弱。
-
密钥对验证: 要求提供相匹配的密钥信息才能通过验证,通常先在客户机中创建一对密钥文件(公钥和私钥),然后将公钥文件放到服务器中的指定位置。远程登录时,系统将使用公钥、私钥进行加密/解密关联验证,增强了远程管理的安全性。
- 公钥和私钥是成对生成的,这两个密钥互不相同,可以互相加密和解密;
- 不能根据一个密码来推算出另一个密钥;
- 公钥对外公开,私钥只有私钥的持有人才知道
5.2 设置免密码登录
免密码原理流程:
- 首先在客户端生成一对密钥(ssh-keygen)。
- 并将客户端的公钥ssh-copy-id 拷贝到服务端。
- 当客户端再次发送一个连接请求时,包括ip、用户名。
- 服务端得到客户端的请求后,会到 authorized_keys 文件中查找,如果有相应的IP和用户,就会随机生成一个字符串,例如:kfc。
- 服务端将使用客户端拷贝过来的公钥进行加密,然后发送给客户端。
- 得到服务端发来的消息后,客户端会使用私钥进行解密,然后将解密后的字符串发送给服务端。
- 服务端接受到客户端发来的字符串后,跟之前的字符串进行对比,如果一致,就进行免密码登录。
操作步骤:
1、客户端使用命令生成密钥文件。
家目录 ~/.ssh/ 下会生成两个密钥文件,一个公钥一个私钥,.pub结尾的是公钥。
2、将客户端的公钥文件拷贝到服务端。注意路径不要写错。
3、测试远程连接服务端时,是否免密码。
6 TCP Wrappers 访问控制
TCP_Wrappers是一个工作在第四层(传输层)的的安全工具,对有状态连接的特定服务进行安全检测并实现访问控制,凡是包含有libwrap.so库文件的的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问,常见的程序有 rpcbind、vsftpd、sshd、telnet。
有些进程不受tcp_wrappers管理,例如 httpd、smb、squid等。
6.1 工作原理
TCP_Wrappers有一个TCP的守护进程叫作tcpd。以ssh为例,每当有ssh的连接请求时,tcpd即会截获请求,先读取系统管理员所设置的访问控制文件,符合要求,则会把这次连接原封不动的转给真正的ssh进程,由ssh完成后续工作;如果这次连接发起的ip不符合访问控制文件中的设置,则会中断连接请求,拒绝提供ssh服务。
保护机制实现方式:
- 方式1:通过tcpd程序对其他服务程序进行包装
- 方式2:由其他服务程序调用libwrap.so.*链接库
6.2 访问控制策略的配置文件
白名单:/etc/hosts.allow
黑名单:/etc/hosts.deny
示例:
1)设置白名单
小贴士:
-
白名单的优先级高于黑名单,如果一个地址既在白名单也在黑名单中,该地址是可以访问的。
-
实际工作中一般通过防火墙的方式来实现同样功能。
