SSH的认证方式与访问策略(学习笔记)

SSH服务的安全性不仅仅体现在加密的数据传输方式，同时还具有多种身份验证方式，配合SSH本身访问策略以及Linux系统中自带的防火墙和TCP Wrappers提供对访问权限的控制。

SSH两种认证方式

• SSH配置基于口令的认证方式
• SSH配置基于密钥的认证方式

通过用户和IP限制连接SSH

• 限制用户连接SSH
• 限制IP连接SSH

SSH配置基于口令的认证方式

口令是SSH服务的基础认证方式，在不对SSH进行相应配置的情况下口令认证方式默认启用。
Linux操作系统，使用SSH客户端的命令格式：

ssh options username@hostname 'command'

SSH配置基于密钥的认证方式

密钥认证是Linux运维中常用的较为安全的认证方式，由于无须输入口令，固应用与自动化与集群运维中
1.生成密钥与公钥文件
ssh-keygen命令可以生成公钥(id_rsa.pub)与密钥(id_rsa)
2.将公钥文件加入主机的认证文件中
cat id_rsa.pub>>~/.ssh/authorized_keys(注意 .ssh目录权限为700, authorized_keys文件为600)
3.chmod 600 antorized_keys
4.使用WinSCP把密钥文件复制到本地，用PuttyGenerator把格式转换为.ppk(Concersions-->Import key-->选中-->Save private key)

5.PuTTY中Connection下的Data输入用户名，SSH下载入密钥文件(.ppk)

限制用户连接SSH

基于用户的访问策略需要在SSH服务的配置文件中进行配置/etc/ssh/sshd_config
DenyUsers test #禁止test用户登入
AllowUsers test #允许test用户登入
DenyGroups test #禁止test群组登入
AllowGroups test #允许test群组登入
1.vim /etc/ssh/sshd_config

2.service sshd restart

限制IP连接SSH

基于IP地址的访问策略有两种方式实现：

1.iptables防火墙
iptables -A INPUT -p tcp --dport 22 -s 192.168.0.10/32 -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j DROP

2.TCP Wrappers(只支持长格式掩码，不能用192.168.0.0/24)

/etc/hosts.allow
sshd:102.168.0.10/255.255.255.255

/etc/hosts.deny
sshd:ALL或sshd:ALL EXCEPT 192.168.0.10