码迷,mamicode.com
首页 > 移动开发 > 详细

ssh的使用、配置全程实操(sftp、密钥对验证、TCP Wrappers策略应用),可跟做

时间:2019-09-08 22:10:31      阅读:167      评论:0      收藏:0      [点我收藏+]

标签:code   访问   app   策略   现在   服务   终端   安全   打开   

一、ssh基本配置

开两台centos系统7-1(服务端)、7-2(客户端)
用xshell连接,证明sshd的22端口开放出来了
技术图片
配置文件所在位置
技术图片
进入服务端配置文件,进行一系列配置:端口22功能打开等等
技术图片
技术图片
为区分两个系统用户,我们分别将其用户名设为test01、test02,接着进行远程登陆。
技术图片
技术图片

输入访问命令,即可连接并进行一系列操作
技术图片

可在对方的opt下创建abc文本,进行远程操作
技术图片
技术图片

回到7-1的服务端,进ssh配置文件,更改不允许对方用root身份登陆,保存退出。即在客户端用root身份不可登陆,即使有密码也无法登陆。
技术图片
技术图片

但随之而来的问题,我们先用普通用户lisi登陆服务端,接着可切换到服务器的root用户,可实现跳板登陆
技术图片
解决:进行pam模块验证,开启功能,即不在wheel组内成员不可用su命令切换用户。
技术图片
技术图片

在客户端用lisi登陆,并用su切换root,被拒绝。并且切换同级别权限的zhangsan,也不能切换。(pam验证开启非常重要,加大系统安全)
技术图片
技术图片

结论:不在wheel组内平级用户也切换不了,zhangsan在wheel组内,可切换为lisi用户,也可切换root用户。
技术图片
开启最大验证次数功能,却发现默认验证3次。
技术图片
技术图片

要想验证次数变为6,那么我们就要更改验证次数为8,即验证最大次数从默认的3变为了6。
技术图片
回到服务器7-1,配置文件中插入白名单,即皆可登陆服务器的zhangsan和wangwu用户
技术图片
技术图片

此时我们还需在开一台centos7-3,IP为129.168.195.130,登陆服务器wangwu(配置文件中没设置wangwu允许登陆的ip,可从任意终端登陆)
技术图片
结论:白名单上为仅允许,名单上有的条目可以去执行,没有的一概不能执行;反之黑名单则为仅拒绝,即名单上的条目皆不可执行。(在企业环境中建议使用白名单)

二、密钥对进行身份验证

在配置文件中开启密钥对验证功能
技术图片
用7-2客户端进行密钥生成,用户caiwu来验证。
技术图片

在家目录下有公钥和私钥,推送公钥给服务端,指定服务端用户zhangsan,输入对方登陆密码,家目录下生成一个known_hosts(内有推送的服务端ip、加密方式ecdsa等)。
技术图片
再次回到服务端,家目录中已有公钥导入文件。
技术图片
技术图片
查看当前用户方法
技术图片
只有用caiwu用户ssh远程访问服务器zhangsan用户要用密钥对验证(每次验证都要密钥对验证)。
技术图片
防止每次都要进行密钥验证,我们来设置只需一次验证,之后可直接进入。
技术图片

三、ssh客户端

若服务器的端口改为123,那么在客户端远程访问就要输入以下命令,先开启客户端可用root用户登陆的权限(复制操作要用到),删除之前建立的白名单。
技术图片
技术图片

Scp远程复制文件到服务器端。
技术图片
技术图片
Scp远程复制文件夹到服务器端。
技术图片
技术图片
将之前opt下文件全部删除,进行ssh安全下载文件。进行远程连接后,会回到对方服务器的家目录下
技术图片
首先给文件改名server,进行ssh安全上传文件server文件
技术图片
技术图片
可以直接切换用户目录,进行任意更改文件。为限制只可访问对方服务器的家目录,我们研究出了一套方法。
在配置文件中找到这一行注释,并打开此功能。
技术图片
并输入一系列命令。
技术图片
且权限必须为755,文件属主、属组必须是root。

四、TCP Wrappers

在配置之前,需要将黑白名单在ssh配置文件中删除,否则配置策略应用时会重复。在/etc/hosts.allow中进行配置
技术图片
在/etc/hosts.deny中进行配置
技术图片
测试129客户端能否访问服务器,发现可以
技术图片

测试130客户端能否访问服务器,发现被直接拒绝(黑白名单是允许输入密码,不一样)
技术图片

现在在两个中配置两个一样的内容:均为129,发现允许访问。
技术图片
结论:先检查allow中,找到匹配则允许访问。否则再检查hosts.deny,找到则拒绝访问;若两个文件中都没有内容,则默认所有文件允许访问。

ssh的使用、配置全程实操(sftp、密钥对验证、TCP Wrappers策略应用),可跟做

标签:code   访问   app   策略   现在   服务   终端   安全   打开   

原文地址:https://blog.51cto.com/14475593/2436530

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!