標籤:linux免密碼登入 linux系統存取控制 linux系統金鑰組驗證
一、秘鑰對驗證
加密認證演算法:RSA 、DSA兩個都可使用
1
、在客戶機上產生金鑰組
在客戶機上執行”ssh-keygen -t rsa” 產生非對稱式加密秘鑰對
2、將公開金鑰檔案上傳到伺服器
在客戶機家目錄的.ssh/目錄下,將id_rsa.pub公開金鑰檔案上傳給服務機
3、在伺服器上建立秘鑰目錄並修改上傳的秘鑰檔案名稱
上傳完成後,要在服務機端的家目錄下建立一個 .ssh/ 的目錄,把id_rsa.pub改名為authorized_keys並剪下到家目錄下的.ssh/目錄裡面。
4、編輯服務機端的/etc/ssh/sshd_config檔案,取消注釋
5、遠程傳輸工具的使用
(1) scp 進行檔案的上傳和下載
上傳格式:scp 本機檔案 使用者名稱@IP地址:目錄
下載格式:scp 使用者名稱@IP地址:檔案名稱 本地儲存位置
指定連接埠:-P(大)
(2)sftp 安全的ftp傳輸協議
登入方法:sftp 使用者名稱@IP地址
指定連接埠:-oPort=連接埠
用sftp登入到服務端以後,操作服務端的命令和操作本機相同,如果想在登入服務端的同時操作本機,需要在命令前 面加上l
如果想讓Windows也可以免密碼串連到Linux,需要用x-shell工具-建立使用者秘鑰產生嚮導產生一個秘鑰,然後將秘鑰複製到Linux服務端的authorized_keys 檔案裡面即可
6、僅允許秘鑰對登入,禁止密碼登入
*確保啟用ssh公開金鑰認證功能,查看/etc/ssh/sshd_config檔案,確保以下兩條yes :
*禁止密碼安全驗證,編輯/etc/ssh/sshd_config檔案,確保以下檔案出現在檔案中:
編輯這個檔案完成之後,需要重啟sshd服務:service sshd restart即可禁止密碼登入,只能用秘鑰對登入。
想讓其他使用者通過秘鑰登入,可以直接把可以登入的私密金鑰檔案傳給某個使用者即可。
注意:一定要保護好私密金鑰的安全性。
7、金鑰組的快速產生及上傳
上面所有的步驟介紹的是秘鑰的詳細產生過程,下面介紹秘鑰對的快速產生及上傳生效:
(1) 在客戶機上輸入命令:ssh-keygen -t rsa
(2) 上傳公開金鑰到服務端:ssh-copy-id 服務端使用者名稱@IP地址
這樣即可快速產生並上傳,而且不用改名和提前建立.ssh目錄
二
、TCP Wrappers管理及存取控制
1、TCP Wrappers管理命令的條件
如果某個命令調用庫檔案libwarp.so ,那麼這個命令就可以被TCP Wrappers管理。
which 命令名稱 查詢某服務命令所在位置
ldd 命令名稱 查詢某命令調用的庫檔案
2、存取控制策略的設定檔
白名單(允許訪問):/etc/hosts.allow
黑名單(拒絕訪問):/etc/hosts.deny
注意:白名單比黑名單優先順序高
3
、設定存取控制策略
策略格式:服務列表:客戶機地址清單
服務列表:多個服務以逗號分隔,ALL 表示所有服務
客戶機地址清單:多個地址以逗號分隔,ALL表示所有地址
例如:
允許使用萬用字元 ? 和 *
網段地址,如 192.168.4. 或者 192.168.4.0/255.255.255.0
4、策略的應用順序
先檢查hosts.allow,匹配即停止(即允許)
否則再檢查hosts.deny,匹配即停止(即拒絕)
若兩個檔案中均無匹配策略,則預設允許訪問
金鑰組驗證及TCP Wrappers存取控制