目录
sshd服务端配置文件:/etc/ssh/sshd_config
服务监听选项:
- 端口号、协议版本、监听IP地址
- 禁用反向解析
参数说明:
[root@localhost ~]# cat /etc/ssh/sshd_config
--------------------
17 #Port 22 //端口号,生产环境建议修改端口号
18 #AddressFamily any
19 #ListenAddress 0.0.0.0
20 #ListenAddress ::
38 #LoginGraceTime 2m //发起连接后多少时间内必须登录,超时断开连接
39 #PermitRootLogin yes //是否允许root用户登录,ubantu不允许root远程ssh登录
40 #StrictModes yes //检查.ssh/文件的所有者,权限等
41 #MaxAuthTries 6 //最多允许输错几次密码(centos7默认3次,修改也无效)
42 #MaxSessions 10 //同一时间最多允许10个远程连接
65 #PermitEmptyPasswords no //是否允许空密码用户登录
66 PasswordAuthentication yes //基于用户和密码验证
116 #UseDNS no //禁用反向解析,提高速度可设置为no
#设置黑白名单
#llowUsers [email protected] lisi //只允许yuji用户从192.168.19.20访问,允许lisi从所有地址访问
#enyUsers jlx //不允许使用liwu用户登录
#白名单的优先级高于黑名单。如果一个用户同时加入了白名单和黑名单,那么该用户是可以访问的。
#如果不设置白名单,则所有用户都可以登录访问。一旦设置了白名单,那么只有白名单内的用户可以访问。
sshd客户端配置
客户端配置文件
客户端配置文件:/etc/ssh/ssh_config
客户端首次连接服务端时,系统询问是否交换公钥,进行安全确认。这是由客户端配置文件默认的,可以修改配置文件ssh_config取消询问。
取消35行的注释,并将ask改成改成no,则首次连接时,系统不会进行确认询问。
这种做法只在内网中使用,如果服务器暴露在外网中,不建议这样操作,非常危险。
客户端的使用方式
ssh scp sftp 都是默认使用ssh协议,端口为 tcp 22
远程登录
ssh [-p 端口] [用户]@服务端IP
推送 上行复制
scp [-r 目录] 文件 [用户]@服务端IP:保存路径
拉取 下行复制
scp [-P] [用户]@服务端IP:保存路径 本地路径
sftp命令
SFTP是SSH File Transfer Protocol的缩写,安全文件传送协议。SFTP与FTP有着几乎一样的语法和功能。SFTP为SSH的其中一部分,是一种传输档案至 Blogger 伺服器的安全方式。其实在SSH软件包中,已经包含了一个叫作SFTP的安全文件信息传输子系统,SFTP本身没有单独的守护进程,它必须使用sshd守护进程(端口号默认是22)来完成相应的连接和答复操作,所以从某种意义上来说,SFTP并不像一个服务器程序,而更像是一个客户端程序。
sftp命令格式:
sftp [用户名@]IP地址
sftp -oPort=220 [用户名@]IP地址 //修改了默认端口的情况下,需要指定端口号
例:
sftp 192.168.72.129
sftp [email protected]
#sftp连接后,进入的是当前登录用户的家目录。例如使用root登录,则sftp连接后进入的是/root/目录.
#文件的上传和下载,不能使用绝对路径。文件必须位于当前目录下。
sftp连接后的常用命令:
get #下载文件
get -r #下载目录
put #上传文件
put -r #上传目录
quit、exit、bye #退出
sftp和ftp的区别:
- 连接方式:FTP使用TCP端口21上的控制连接建立连接。而,SFTP是在客户端和服务器之间通过SSH协议(TCP端口22)建立的安全连接来传输文件。
- 安全性:SFTP使用加密传输认证信息和传输的数据,所以使用SFTP相对于FTP是非常安全。
- 效率:SFTP这种传输方式使用了加密解密技术,所以传输效率比普通的FTP要低得多。
免密码登录
认证方式
- 用户账户
- 密码认证
- 密钥对认证
PasswordAuthentication yes
PubkeyAuthentication yes
设置免密码登录(创建密钥对验证)
实验思路:
- 在客户端创建密钥对
- 将公钥文件上传至服务器
- 在服务器中导入公钥文本
- 在客户端使用密钥对验证
- 在客户机设置ssh代理功能,实现免交互登录
实验步骤:
步骤一:
在客户端创建密钥对
[root@localhost ~]# ssh-keygen -t ecdsa
Generating public/private ecdsa key pair.
Enter file in which to save the key (/root/.ssh/id_ecdsa): 123456 Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in 123456.
Your public key has been saved in 123456.pub.
The key fingerprint is:
SHA256:/nDEZ9z0YX1bA5MaAsNRZ5eQO4OAI8JelD8paKi4Ndo [email protected]
The key's randomart image is:
+---[ECDSA 256]---+
|. ... o++. +o+o |
| o + o o..oo.oo .|
|o + o o . o + .++|
|.+ . + o * o..*|
|+ . . S o * ...|
|o o . . o |
| = . o . |
|o E + |
| . |
+----[SHA256]-----+
步骤二:
将公钥文件上传至服务器
[root@localhost ~]# scp ~/.ssh/id_ecdsa.pub [email protected]
cp: 无法获取"/root/.ssh/id_ecdsa.pub" 的文件状态(stat): 没有那个文件或目录
[root@localhost ~]# scp ~/.ssh/id_ecdsa.pub [email protected]:/opt
ssh: connect to host 192.168.68.103 port 22: No route to host
lost connection
[root@localhost ~]# scp ~/.ssh/id_ecdsa.pub [email protected]:/opt
The authenticity of host '192.168.68.103 (192.168.68.103)' can't be established.
ECDSA key fingerprint is SHA256:c/vT25iGBsM5bT0AqPkAXIYENkTV7KskP2y6i7tZpVQ.
ECDSA key fingerprint is MD5:ab:67:31:42:18:a0:6e:66:3b:ec:48:0d:af:31:36:9c.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.68.103' (ECDSA) to the list of known hosts.
[email protected]'s password:
/root/.ssh/id_ecdsa.pub: No such file or directory
步骤三:
在服务器中导入公钥文本
[root@localhost ~]# scp ~/.ssh/id_ecdsa.pub [email protected]:/opt
The authenticity of host '192.168.19.10 (192.168.19.10)' can't be established.
ECDSA key fingerprint is SHA256:hWBYEEW/YrLPAB8JwD8k9BzaRAqeJAU/xBFUFLBU+cE.
ECDSA key fingerprint is MD5:95:fa:43:3c:e5:3b:8f:a5:7d:b0:43:d9:5a:90:d9:d1.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.19.10' (ECDSA) to the list of known hosts.
[email protected]'s password:
id_ecdsa.pub
步骤四:
在客户端使用密钥对验证
步骤五:
在客户机设置ssh代理功能,实现免交互登录
[root@localhost ~]# ssh-agent bash
[root@localhost ~]# ssh-add
Enter passphrase for /root/.ssh/id_ecdsa: //输入私钥密码
Identity added: /root/.ssh/id_ecdsa (/root/.ssh/id_ecdsa)
[root@localhost ~]# ssh [email protected] //此时远程连接无需密码
Last login: Thu Aug 18 15:33:45 2022 from 192.168.19.20
[jlx@localhost ~]$
TCP Wrappers 访问控制
TCP_Wrappers是一个工作在第四层(传输层)的的安全工具,对有状态连接的特定服务进行安全检测并实现访问控制,凡是包含有libwrap.so库文件的的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问,常见的程序有 rpcbind、vsftpd、sshd、telnet。
有些进程不受tcp_wrappers管理,例如 httpd、smb、squid等。
格式
<服务程序列表>:<客户端地址列表>
工作原理
TCP_Wrappers有一个TCP的守护进程叫作tcpd。以ssh为例,每当有ssh的连接请求时,tcpd即会截获请求,先读取系统管理员所设置的访问控制文件,符合要求,则会把这次连接原封不动的转给真正的ssh进程,由ssh完成后续工作;如果这次连接发起的ip不符合访问控制文件中的设置,则会中断连接请求,拒绝提供ssh服务。
基本原则
- 首先检查/etc/host.allow文件,如果找到相匹配的策略,则允许访问;
- 否则继续检查/etc/hosts.deny文件,如果找到相匹配的策略,则拒绝访问;
- 如果检查上述两个文件都找不到相匹配的策略,则允许访问。
拓展:
允许个别,拒绝所有
除了在/etc/hosts.allow中添加允许策略之外,还需要在/etc/hosts.deny文件中设置“ALL:ALL"的拒绝策略。
实例:
若只希望从IP地址为12.0.0.1的主机或者位于192.168.19.0/24网段的主机访问sshd服务,其他地址被拒绝。
[root@localhost ~]# vim /etc/hosts.allow
sshd:12.0.0.1,192.168.19.*
[root@localhost ~]# vim /etc/hosts.deny
sshd:ALL
总结:
- 认证方式
- 用户账户
- 密码认证
- 密钥对认证
- 设置密钥的方式 ---ssh-keygen