Linux远程登录管理与安全加固

SSH远程管理

  • 一 SSH服务配置文件
    • 1.服务监听选项
    • 2.用户登录控制
    • 3.登录验证方式
    • 4.远程拷贝文件
    • 5.sftp安全FTP
    • 6.构建密钥对访问主机
  • 二 TCP Wrappers概述

一 SSH服务配置文件

射手服务的配置文件默认位于/etc/ssh/sshd_config目录下,正确调整配置项可以提高SSH远程登录安全性。

1.服务监听选项

vi /etc/ssh/sshd_config
Port 22			//监听端口为22
ListenAddress 20.0.0.11	//监听地址为20.0.0.11(提高在网络中的隐蔽性)
Protocol 2		//使用SSH V2协议(安全性更高)
UseDNS no		//禁用DNS反向解析(可以提高服务器的响应速度)
systemctl restart sshd

2.用户登录控制

vi /etc/ssh/sshd_config
LoginGraceTime 2m			//登录验证时间为2分钟
PermitRootLogin no		//禁止root用户远程登陆
MaxAuthTries 3			//密码重试次数不超过3次
PermitEmptyPasswords no		//禁止空密码用户登录
……
AllowUsers cen jay [email protected]	//只允许cen、jay、young用户登录,其中young用户仅能从IP地址为20.0.0.1的主机远程登录

systemctl restart sshd

3.登录验证方式

sshd服务支持两种验证方式——密码验证、密钥对验证,可以设置只使用其中一种方式,也可以两种方式都启用。

vi /etc/ssh/sshd_config
PasswordAuthentication yes		//启用密码验证
PubkeyAuthentication yes		//启用密钥对验证

ssh [email protected]			//远程登录指定主机

4.远程拷贝文件

pc2:cd /opt
touch 1.txt
scp 1.txt [email protected]:/opt		//从pc2拷贝到pc1的/opt目录下(注意需要输入密码)

pc1:
vi /opt/2.txt
pc2:
scp [email protected]:/opt/2.txt /opt	//从pc1拷贝到pc2

5.sftp安全FTP

通过sftp命令可以利用SSH安全连接与远程主机上传、下载文件,涉及到sftp登录、浏览、文件上传过程。

在pc2(20.0.0.12)中
sftp [email protected]
输入密码
sftp>ls				//浏览
sftp>put /opt/1.txt			//上传文件到pc1
sftp>get /opt/2.txt /opt/		//下载文件到pc2中的/opt目录下
sftp>bye				//退出登录

6.构建密钥对访问主机

step1:创建密钥对,私钥文件:id_rsa 公钥文件:id_rsa.pub
step2:上传公钥文件id_rsa.pub
step3:导入公钥信息
step4:使用密钥对验证方式

1.在客户端创建密钥对
ssh-keygen -t rsa		//-t表示type,类型
						//指定私钥位置
						//设置私钥短语
						//确认所设置的短语
2.在pc1(20.0.0.11)上传公钥
ssh-copy-id [email protected]
	yes

pc2查看
cd /root
ll -a

3.在pc1上远程登录
ssh 20.0.0.12

二 TCP Wrappers概述

策略的应用顺序
1.检查hosts.allow,找到匹配则允许访问
2.hosts.deny,找到则拒绝访问
3.若两个文件中均无匹配策略,则默认允许访问

vi /etc/hosts.allow
sshd:20.0.0.0/255.255.255.0
:wq

vi /etc/hosts.deny
sshd:ALL
:wq

意为:拒绝除20.0.0.0网段的其他所有IP地址访问sshd服务

你可能感兴趣的:(Linux专栏)