远程访问与控制

SSH远程管理

配置OpenSSH服务器

使用SSH客户端程序

密钥对验证的SSH体系

TCP Wrappers访问控制

TCP Wrappers概述

TCP Wrappers访问策略

总结

OpenSSH服务器

SSH协议是一种安全通道协议，主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的用户口令，SSH为建立在应用层和传输层基础上的安全协议。

SSH客户端<——————网络——————>SSH服务端

数据传输是加密的，可以防止信息泄露

数据传输时压缩的，可以提高传输速度

SSH客户端：Putty、Xshell、CRT、MobaXterm、FinalShell

SSH服务端：OpenSSH

OpenSSH是实现SSH协议的开源软件项目，适用于各种UNIX、Linux操作系统。

Centos7系统默认已安装openssh相关软件包，并将sshd服务添加为开机自启动。

执行“systemctl start sshd”命令即可启动sshd服务

sshd服务的默认使用的TCP的22端口，安全协议版本sshv2，出来2之外还有1（有漏洞）

sshd服务的默认配置文件时/etc/ssh/sshd_config

ssh_config和sshd_config都是ssh服务器的配置文件，二者区别在于前者是针对客户端的配置文件，后者是针对服务端的配置文件。

ssh服务端主要包括两个服务功能 ssh远程链接和sftp服务

作用：SSHD服务使用SSH协议可以用来进行远程控制，或在计算机之间传送文件。

相比较之前用Telnet方式来传输文件要安全很多，因为Telnet使用明文传输，SSH是加密传输

OpenSSH

服务名称：sshd

服务端主程序：/usr/sbin/sshd

服务端配置文件：/etc/ssh/sshd_config

远程管理Linux系统基本上都要使用到ssh，原因很简单，telnet、FTP等传输方式是以明文传送用户认证信息，本质上是不安全的，存在被网络窃听的危险，SSH（Secure Shell）目前较可靠，是专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题，通过SSH可以对所有传输的数据进行加密，也能够防止DNS欺骗和IP欺骗。

OpenSSH 常用配置文件有两个/etc/ssh/ssh_config和/etc/ssh/sshd_config。

ssh_config：为客户端配置文件，设置与客户端相关的应用可通过此文件实现

sshd_config：为服务器端配置文件，设置与服务端相关的应用可通过此文件实现。

ssh -V #查询OpenSSH版本

绿盟科技扫描

更新版本

ssh远程登录方式

登录方法一：

ssh【远程主机用户名】 @【远程服务器主机名或IP地址】 -p port

当在Linux主机上远程连接另一台Linux主机时，如当前所登录的用户是root

的话，当连接另一台主机时也是用root用户登录时，可以直接使用ssh

IP，端口默认即可，如果端口不是默认的情况下，需要使用-p指定端口。

ssh root@192.168.100.80

登录方法二

ssh -l 【远程主机用户名】【远程服务器主机名或IP地址】 -p port

-l ： -l 选项，指定登录名称。

-p ： -p 选项，指定登录端口（当服务端的端口非默认时，需要使用-p 指定端口进行登录）

ssh -l root 192.168.100.80

注：第一次登录服务器时系统没有保存远程主机的信息，为了确认该主机身份会提示用户是否继续连接，输入yes后登录，这时系统会将远程服务器信息写入用户主目录下的$HOME/ .ssh/known_hosts文件中，下次再进行登录时因为保存该主机信息就不会再提示了

cat /root/.ssh/known_hosts

故障集

在平时工作中，有时候需要SSH登陆到别的Linux主机上去，但有时候SSH登陆会被禁止，并弹出如下类似提示：

The authenticity of host '192.168.100.80 (192.168.100.80)' can't be established.
ECDSA key fingerprint is SHA256:gO6gx0AvbSQyuQ0A1QpHtlYDTdLmy4xKSHZVhSBB020.
ECDSA key fingerprint is MD5:ab:1f:f7:0d:06:57:e0:78:f1:cf:f7:0e:be:e3:ff:dc.
Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added '192.168.100.80' (ECDSA) to the list of known hosts

ssh会把你每个访问过计算机的公钥（public key）都记录在~/ .ssh/known_hosts。当下次访问相同计算机时，OpenSSH会核对公钥，如果公钥不同，OpenSSH会发出警告，避免你受到DNS Hijack之类攻击。

解决方法

1.使用ssh连接远程主机时加上“-o StrictHostKeyChecking=no”的选项，StrictHostKeyChecking（信任主机）如下：

ssh -o StrictHostKeyChecking=no 192.168.100.17

2.一个彻底去掉这个提示的方法是，修改/etc/ssh/ssh_config文件中的配置，添加如下两行设置

StrictHostKeyChecking no

UserKnownHostsFile /dev/null

原因：一台主机上有多个Linux系统，会经常切换，那么这些系统使用同一ip，登录过一次后就会把ssh信息记录在本地的~/.ssh/known_hosts文件中，切换该系统后再用ssh访问这台主机就会出现冲突警告，需要手动删除修改known_hosts里面的内容

服务配置与管理

1.服务配置

#监听端口修改实验

设置SSHD监听端口号
SSH预设使用22这个port，也可以使用多个port，即重复使用port这个设定项。

例如想要开放SSHD端口为22和222，则多加一行内容为: Port 222即可。
然后重新启动SSHD这样就好了。建议大家修改 port number为其它端口，防止别人暴力破解。

——配服务端配置文件

！！一定要关防火墙并增强

systemctl stop firewalld
setenforce 0

重启服务

2.安全调优

/var/log/secure #所有用户登录信息都在这里面

安全级别的事情

对未经过安全认证的RPM包进行安全检查

Linux用户方面的加固
设定密码策略20位

对用户密码强度的设定
对用户的登录次数进行限制

禁止ROOT用户远程登录
设置历史命令保存条数和账户超时时间
设置只有指定用户组才能使用su命令切换到root用户

对Linux账户进行管理
对重要的文件进行锁定，即使ROOT用户也无法删除

建立日志服务器日

sshd 服务支持两种验证方式
1.密码验证:对服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便，但从客户端角度来看，正在连接的服务器有可能被假冒;从服务器角度来看，当遭遇密码穷举（暴力破解）攻击时防御能力比较弱。位密码复杂性端口做好安全

⒉.密钥对验证:要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件（公钥、私钥)，然后将公钥文件放到服务器中的指定位置。远程登录时，系统将使用公钥、私钥进行加密/解密关联验证，大大增强了远程管理的安全性。该方式不易被假冒，且可以免交互登录，在 shell中被广泛使用。

当密码验证、密钥对验证都启用时，服务器将优先使用密钥对验证。对于安全性要求较高的服务器，建议将密码验证方式禁用，只允许启用密钥对验证方式:若没有特殊要求，则两种方式都可启用

免密登录
ssh-agent bash #将公钥添加管理在客户端操作

ssh-add

构建密钥对验证的SSH

1.公钥和私钥的关系:
在非对称加密技术中，有两种密钥，分为私钥和公钥，私钥是密钥对所有者持有，不可公布，公钥是密钥对持有者公布给他人的。I
公钥用来给数据加密，用公钥加密的数据只能使用私钥解
构建密钥对验证的SSH原理
首先ssh通过加密算法在客户端产生密钥对（公钥和私钥)，公钥发送给服务器端，自己保留私钥，如果要想连接到带有公钥的SSH服务器，客户端SSH软件就会向SSH服务器发出请求，请求用联机的用户密钥进行安全验证。SSH服务器收到请求之后，会先在该SSH服务器上连接的用户的家目录下寻找事先放上去的对应用户的公用密钥，然后把它和连接的ssH客户端发送过来的公用密钥进行比较。如果两个密钥一致，SSH服务器就用公钥加密"质询"( challenge)并把它发送给SSH客户端。

当密码验证、密钥对验证都启用时，服务器将优先使用密钥对验证。可根据实际情况设置验证方式。

客户端发起链接请求
服务端返回自己的公钥，以及一个会话ID（这一步客户端得到服务端公钥)

客户端生成密钥对
客户端用自己的公钥异或会话ID，计算出一个值Res，并用服务端的公钥加密

客户端发送加密后的值到服务端I服务端用私钥解密，得到Res
服务端用解密后的值Res异或会话ID，计算出客户端的公钥（这一步服务端得到客户端公钥)
最终:双方各自持有三个秘钥，分别为自己的一对公、私钥，以及对方的公钥，之后的所有通讯都

会被加密

scp复制

安全性复制
scp: scp是secure copy的简写，用于在Linux下进行远程拷贝文件的命令，而且scp传输是加密的
1.###本地文件复制到服务器
scp initial-setup-ks.cfg root@192.168.100.80:/home/
2.####复制服务器的文件到本地

scp root@192.168.100.80:/home/123.txt ./

3.####本地目录复制到服务器
scp -r cheng5/ root@192.168.100.80:/home/

安全性传输sftp
sftp是secure File Transfer
Protocol的缩写，安全文件传送协议。可以为传输文件提供一种安全的网络的加密方法。

sftp 与 ftp有着几乎一样的语法和功能。SFTP 为
SSH的其中一部分，其实在SSH软件包中，已经包含了一个叫作SFTP(Secure File Transfer
Protocol)的安全文件信息传输子系统，SFTP本身没有单独的守护进程，它必须使用sshd守护进程（端口

号默认是22）来完成相应的连接和答复操作所以，使用SFTP是非常安全的。但是，由于这种传输方式使用
了加密/解密技术，所以传输效率比普通的FTP要低得多，如果您对网络安全性要求更高时，

可以使用SFTP代替FTP

get下载
get anaconda-ks.cfg / home /
上传
put abc.txt #默认时会上传的/root

put abc.txt / home /

查看可用命令
help #查看sftp可使用的命令和用途

打印服务器当前位置
pwd #非打印当前服务器所在位置
lpwd #打印当前本地位置

切换目录、查看文件
cd #切换服务器上的目录
ls #查看当前目录下文件列表

下载文件、退出sftp

get   #下载文件
get -r   #下载目录
quit   #退出sftp
put   #上传文件
退出命令:quit. exit、bye都可以

配置密钥对验证

1.在客户端创建密钥对
通过ssh-keygen.工具为当前用户创建密钥对文件。可用的加密算法为RSA、ECDSA或DsA等（ ssh-

keygen命令的“-t"选项用于指定算法类型)。
useradd admin
echo "123123”l passwd --stdin adminsu admin
ssh-keygen -t ecdsa
Generating public/private ecdsa key pair.
Enter file in which to save the key ( /home/ admin/ .ssh/id_ ecdsa)

:#指定私钥位置，直接回车使用默认位置
Created directory ' / home/ admin/.ssh'. #生成的私钥、公钥文件默认存放在宿主目录中的隐藏目录.ssh/下

Enter passphrase (empty for no passphrase):#设置私钥的密码
Enter same passphrase again:#确认输入
ls -i ~/ .ssh/id ecdsa*
tid_ecdsa是私钥文件，权限默认为600;

id_ecdsa,pub是公钥文件，用来提供给SSH服务器

2.将公钥文件、上传至服务器
scp ~ / .ssh/id_ecdsa.pub root@192.168.80.10: / opt或
#此方法可直接在服务器的/home/zhangsan/.ssh/目录中导入公钥文本

cd ~ /.ssh/
ssh-copy-id -i id_ecdsa.pub zhangsan@192.168.80.10

3．在服务器中导入公钥文本
mkdir / home / zhangsan/ .ssh/
cat /opt/id_ecdsa.pub >>/home/zhangsan/.ssh/authorized_keys
cat / home / zhangsan / .ssh / authorized_ keys
4.在客户端使用密钥对验证
ssh zhangsan@192.168.80.10
Enter passphrase for key '/home/admin/.ssh/id_ecdsa' :#输入私钥的密码

5.在客户机设置ssh代理功能，实现免交互登录;
ssh-agent bash #开启ssh代理功能
ssh-add #添加大秘钥到ssh-agent缓存

Enter passphrase for / home / admin/ .ssh/id_ecdsa：#输入私钥的密码
ssh zhangsan@192.168.80.10