SSH远程访问控制

目录

一：SSH概述 

1.1什么是SSH

1.2SSH的作用

1.3SSH的主程序以及配置文件

二：SSH远程登录方式

2.1ssh [远程主机用户名]@[远程服务器主机名或IP地址] -p port

2.2ssh -l [远程主机用户名] [远程服务器主机名或IP地址]  -p  port

2.3扩展

三：openssh服务包 

四：服务配置与管理

4.1端口的使用

4.2限制登录验证的时间

​4.3是否允许root用户登录 

4.4显示上次登录时间

4.5最大重试次数 

​4.6仅允许添加的用户登录

​4.7sshd_config配置文件的常用选项设置

五：scp——安全性复制

5.1本地文件复制到服务器

5.2复制服务器的文件到本地

​5.3本地目录复制到服务器

5.4服务器目录复制到本地

​六： sftp——安全性传输

七：配置秘钥对验证

八：TCP  Wrappers 访问控制

九：总结

引言：在生产环境中我们最要注意的就是安全问题，本章内容学习ssh它是一种安全通道协议，能够更好的保证我们数据传输的安全性

一：SSH概述 

1.1什么是SSH

SSH (Secure Shell)是一种安全通道协议，主要用来实现字符界面的远程登录、远程、复制等功能。SSH协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的用户口令，SSH为建立在应用层和传输层基础上的安全协议。

SSH客户端<--------------网络--------------->SSH服务端

数据传输是加密的，可以防止信息泄漏

数据传输是压缩的，可以提高传输速度

1.2SSH的作用

SSH客户端:Putty、 xshell、 CRT、MobaXterm、Finalshell

SSH服务端:openssH

openSSH是实现SSH协议的开源软件项目，适用于各种UNIX、Linux操作系统。Centos 7系统默认已安装openssh相关软件包，并将sshd 服务添加为开机自启动。执行"systemctl start sshd"命令即可启动sshd服务

sshd服务默认使用的是TCP的22端口，安全协议版本sshv2，除了2之外还有1(有漏洞)

sshd服务的默认配置文件是/etc/ ssh/sshd_config

ssh_config和sshd_config都是ssh服务器的配置文件，二者区别在于前者是针对客户端的配置文件，后者则是针对服务端的配置文件。

ssh服务端主要包括两个服务功能：ssh远程链接和sftp服务

作用:SSHD服务使用sSH协议可以用来进行远程控制，或在计算机之间传送文件。相比较之前用Telnet方式来传输文件要安全很多，因为Telnet使用明文传输，SSH 是加密传输。

1.3SSH的主程序以及配置文件

ssh-v：查看版本

服务名称: sshd

服务端主程序：/usr/sbin/sshd

服务端配置文件：/etc/ ssh/sshd_config

远程管理linux系统基本上都要使用到ssh，原因很简单:telnet、FTP等传输方式是?以明文传送用户认证信息，本质上是不安全的,存在被网络窃听的危险

SSH(Secure Shell）目前较可靠，是专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题，透过SSH可以对所有传输的数据进行加密，也能够防止DNS欺骗和IP欺骗

openSSH常用配置文件有两个：/etc/ssh/ssh_config和/etc/sshd_config

ssh_config:为客户端配置文件，设置与客户端相关的应用可通过此文件实现

sshd_config:为服务器端配置文件，设置与服务端相关的应用可通过此文件实现

二：SSH远程登录方式

2.1ssh [远程主机用户名]@[远程服务器主机名或IP地址] -p port

当在Linux 主机上远程连接另一台Linux 主机时，如当前所登录的用户是 root的话，当连接另一台主机时也是用root用户登录时，可以直接使用ssh IP，端口默认即可，如果端口不是默认的情况下，需要使用-p指定端口

RSA算法基于一个十分简单的数论事实:将两个大素数相乘十分容易，但是想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥

进入vim /etc/hosts编辑如下图所示

登录成功

2.2ssh -l [远程主机用户名] [远程服务器主机名或IP地址]  -p  port

-l ：-l 选项,指定登录名称。

-p： -p 选项，指定登录端口（当服务端的端口非默认时，需要使用-p指定端口进行登录) 

注:第一次登录服务器时系统没有保存远程主机的信息，为了确认该主机身份会提示用户是否继续连接，输入yes后登录，这时系统会将远程服务器信息写入用户主目录下的$HOME/.ssh/known_hosts文件中，下次再进行登录时因为保存有该主机信息就不会再提示了

2.3扩展

ssh会把你每个你访问过计算机的公钥(public key)都记录在~/ .ssh/known_hosts。当下次访问相同计算机时，OpensSSH会核对公钥。如果公钥不同，openSSH会发出警告，避免你受到DNSHijack之类的攻击。

解决办法：

1.使用ssh连接远程主机时加上"-o strictHostKeyChecking=no"的选项，如下:

ssh -o StrictHostKeyChecking=no 192.168 . XXX.XXX

2.一个彻底去掉这个提示的方法是，修改/etc/ssh/ssh_config文件（或$HONE/ .ssh/config)中的配置，添加如下两行配置:

StrictHostKeyChecking no 

UserKnownHostsFile /dev/null

原因:一台主机上有多个Linux系统，会经常切换，那么这些系统使用同一ip，登录过一次后就会把ssh信息记录在本地的~/ .ssh/known_hsots文件中，切换该系统后再用ssh访问这台主机就会出现冲突警告，需要手动删除修改known_hsots里面的内容。

三：openssh服务包 

要安装openssH四个安装包:

OpenSSH软件包，提供了服务端后台程序和客户端工具，用来加密远程控件和文件传输过程中的数据，并由此来代替原来的类似服务Telnet或Ftp

安装包: 

Openssh服务需要4个软件包。

openssh-5.3p1-114.el6_7.x86_64包含 OpenSSH服务器及客户端需要的核心文件

openssh-clients-5.3p1-114.el6_7.x86_64 OpenssH客户端软件包

openssh-server-5.3p1-114.el6_7.x86_64 OpenSSH服务器软件包

openssh-askpass-5.3p1-114.el6_7.x86_64 支持对话框窗口的显示，是一个基于x系统的演示下远程登录的方法

四：服务配置与管理

4.1端口的使用

1.进入服务端配置文件进行修改

2.重启sshd服务

3.查看结果

4.2限制登录验证的时间

1.进入服务端配置文件进行修改

2. 重启sshd服务

3.验证结果，1分钟后自动断开

4.3是否允许root用户登录 

1.先创建账户

2.进入服务端配置文件进行修改

3.重启sshd服务

4.验证结果 ：root用户不可以，普通用户可以

 

4.4显示上次登录时间

1.进入服务端配置文件

2.验证结果

4.5最大重试次数 

1.进入服务端配置文件进行修改 

2.重启服务

3.验证结果

4.6仅允许添加的用户登录

1.创建用户

2.进入服务端配置文件进行修改

3.重启sshd服务

4.验证结果（root用户也不能登录）

4.7sshd_config配置文件的常用选项设置

 

五：scp——安全性复制

scp（secure copy）：用于在Linux下进行远程拷贝文件的命令，而且scp传输是加密的

5.1本地文件复制到服务器

1.在本地进行操作

2.在服务器查看 

5.2复制服务器的文件到本地

1.查看服务器需要复制的文件

2.在本地进行操作

5.3本地目录复制到服务器

1.在本地进行操作

2.在服务器查看

5.4服务器目录复制到本地

1.查看服务器需要复制的目录

2.在本地进行操作

六： sftp——安全性传输

sftp（Secure File Transfer Protocol）：安全文件传送协议。可以为传输文件提供一种安全的网络的加密方法。

sftp 与 ftp 有着几乎一样的语法和功能。SFTP为 SSH的其中一部分，其实在SSH软件包中，已经包含了一个叫作SFTP(S8ecure FileTransfer Protoccl)的安全文件信息传输子系统，SFTP本身没有单独的守护进程，它必须使用sshd宇护进程（端口号默认是22）来完成相应的连接和答复操作

所以，使用SFTP是非常安全的。但是，由于这种传输方式使用了加密/解密技术，所以传输效率比普通的FTP要低得多，如果对网络安全性要求更高时,可以使用SFTP代替FTP

sftp [email protected]      登陆到服务器

get （下载文件）：get anaconda-ks.cfg  / home /

get -r（下载目录）

put 上传：put abc.txt   默认时会上传到/root

help：查看sftp可使用的命令和用途

pwd：打印当前服务器所在位置

lpwd：打印当前本地位置

cd：切换服务器上的目录

ls：查看当前目录下文件列表

quit：退出sftp

 

七：配置秘钥对验证

密钥对验证:要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件（公钥、私钥)，然后将公钥文件放到服务器中的指定位置。远程登录时，系统将使用公钥、私钥进行加密/解密关联验证，大大增强了远程管理的安全性。该方式不易被假冒，且可以免交程登录,在shell中被广泛使用。当密码验证、密钥对验证都启用时，服务器将优先使用密钥对验证。对于安全性要求较高的服务器，建议将密码验证方式禁用，只允许启用密钥对验证万式:若没有特殊要求,则两种方式都可启用。

1.进入服务端配置文件进行修改

vim /etc/ssh/sshd_config

2.确认生成新秘钥文件

3.将公钥文件上传至服务器

scp  ~/.ssh/id_rsa.pub [email protected]:/指定目录

或

cd ~/.ssh/

ssh-copy-id  -i  id_ rsa.pub [email protected]

4.在服务端查看上传的公钥文件

5.在客户端使用密钥对认证

八：TCP  Wrappers 访问控制

在 Linux 系统中，许多网络服务针对客户端提供了访问控制机制，如 Samba、BIND、 HTTPD、OpenSSH 等

TCP Wrappers 将 TCP 服务程序“包裹”起来，代为监听 TCP 服务程序的端口，增加了 一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得许可后才能访问真正的服务程序

rpm -q  tcp_wrappers       #查询是否安装，一般系统会默认安装

vim /etc/hosts.allow  允许192.168.137.15机器连接

 

vim /etc/hosts.deny  拒绝192.168.137.10机器连接 

 

九：总结

在生产环境中我们经常会使用到ssh来进行远程连接，我们要了解openssh服务端的配置文件内监听选项，用户登录控制，登录验证方式，以及密码对验证的ssh体系的原理和TCP Warppers访问控制，从而达到我们安全连接的目的。