標籤:安全 ipv6地址 自己 檔案拷貝 添加 一個 src 發送資料 軟體
一、SSH
1.SSH(Secure Shell),安全通道協議,主要實現字元介面的遠端連線、遠程複製等;加密資料傳輸、使用者密碼、指令等
2.Telnet(遠程登入):一般使用者遠端連線網路裝置,如交換器等;還可用於連接埠測試;不加密資料
3.C(Client)/S(Server)
4.openssh軟體包提供SSH協議
5.登入驗證方式
1)密碼驗證:遠端連線時與伺服器中使用者名稱密碼匹配,允許登入
2)密碼對驗證:用戶端建立密鑰(私密金鑰、公開金鑰),將公開金鑰放到伺服器指定位置(/root/.ssh/),伺服器能解析用戶端的發送資料,即允許登入
6.SSH用戶端
1)Windows串連Linux:Xshell、CRT
2)Linux串連Linux:ssh命令、scp(拷貝)
二、密碼驗證方式(以下編輯應先去掉或添加前邊注釋#號後更改)
1)編輯密鑰驗證方式 vim /etc/ssh/sshd_config
//ssh協議監聽連接埠,預設22
//監聽的IPV4地址;0.0.0.0監聽所有IP地址
//刪除此行,次行為設定監聽IPV6地址
//設定串連的無操作時間,到達時間後中斷連線
//允許root使用者使用ssh
//密碼錯誤次數
//最大串連數量
//不允許密碼為空白的使用者使用ssh
/啟用密碼驗證方式
//禁用GSSAPI驗證方式
//禁用GSSAPI
//禁用DNS解析
//登入ssh時提示檔案
//只允許hehe使用者登入;DenyUsers hehe拒絕hehe使用者登入;不要同時啟用(自己根據情況是否添加)
2)重啟sshd服務 /etc/init.d/sshd restart
4.chkconfig --level 35 sshd on //啟動3、5運行層級sshd開啟自啟
5.Linux驗證:ssh 使用者名稱@IP //Linux遠端連線Linux伺服器
6.Linux拷貝檔案:scp 本地檔案 使用者名稱@IP:路徑 //將Linux本地檔案上傳到遠程Linux伺服器指定位置
7.Linux下載檔案:scp 使用者名稱@IP:路徑 本地路徑 //將遠程Linux服務的檔案拷貝到本地Linux系統中
三、金鑰組驗證方式
1. linux用戶端產生金鑰組;-t指定密鑰類型、-b指定加密位元 ssh-keygen -t rsa -b 1024
2.用戶端上傳Linux本地公開金鑰到遠程Linux服務端系統root使用者家目錄下 scp ~/.ssh/id_rsa.pub [email protected]:/root/
3. 在Linux伺服器上建立.ssh目錄 mkdir .ssh
4.在Linux伺服器上將/root/id_rsa.pub移動到~/.ssh/authorized_keys
5.編輯linux伺服器上密鑰驗證方式 vim /etc/ssh/sshd_config
PubkeyAuthentication yes //啟用金鑰組認證 AuthorizedKeysFile .ssh/authorized_keys //指定公開金鑰檔案位置
PasswordAuthentication no //禁用密碼驗證方式
6. 重啟sshd服務 /etc/init.d/sshd restart
7. 驗證無密碼登入
註:如果想多使用者金鑰組登入,將公開金鑰檔案拷貝到多個使用者.ssh/authorized_keys;建議一個金鑰組實現一個使用者登入,也可用於使用同一公開金鑰檔案
四、TCP Wapper
1.實現控制服務的訪問
2.TCP Wapper
1) 允許訪問的檔案清單/etc/hosts.allow 中添加允許訪問的服務+(IP或者網段)
2)拒絕訪問的檔案清單/etc/hosts.deny
3.訪問優先順序
1)先檢查/etc/hosts.allow是否有對應條目,如有則允許訪問
2)再檢查/etc/hosts.deny是否有對否條目,如有則拒絕訪問
3)如兩個檔案都未有用戶端對應條目,則允許訪問
案例:
vim /etc/hosts.deny
服務名:IP
sshd:192.168.1. //拒絕192.168.1.0網段訪問sshd服務,其餘全部允許
sshd:ALL //拒絕所有網段訪問sshd服務
sshd:192.168.1.10 //拒絕192.168.1.10訪問sshd服務,其餘全部允許
SSH協議與TCP Wapper