SSH協議與TCP Wapper

標籤：安全   ipv6地址   自己   檔案拷貝   添加   一個   src   發送資料   軟體   

一、SSH

1.SSH(Secure Shell)，安全通道協議，主要實現字元介面的遠端連線、遠程複製等；加密資料傳輸、使用者密碼、指令等

2.Telnet(遠程登入)：一般使用者遠端連線網路裝置，如交換器等；還可用於連接埠測試；不加密資料

3.C(Client)/S(Server)

4.openssh軟體包提供SSH協議

5.登入驗證方式

1)密碼驗證：遠端連線時與伺服器中使用者名稱密碼匹配，允許登入

2)密碼對驗證：用戶端建立密鑰(私密金鑰、公開金鑰)，將公開金鑰放到伺服器指定位置(/root/.ssh/)，伺服器能解析用戶端的發送資料，即允許登入

6.SSH用戶端

1)Windows串連Linux：Xshell、CRT

2)Linux串連Linux：ssh命令、scp(拷貝)

二、密碼驗證方式（以下編輯應先去掉或添加前邊注釋#號後更改）

1）編輯密鑰驗證方式  vim /etc/ssh/sshd_config

//ssh協議監聽連接埠，預設22

 

//監聽的IPV4地址；0.0.0.0監聽所有IP地址

//刪除此行，次行為設定監聽IPV6地址

//設定串連的無操作時間，到達時間後中斷連線

//允許root使用者使用ssh

//密碼錯誤次數

//最大串連數量

//不允許密碼為空白的使用者使用ssh

/啟用密碼驗證方式

 

//禁用GSSAPI驗證方式

 

//禁用GSSAPI

 

//禁用DNS解析

 

//登入ssh時提示檔案

 

//只允許hehe使用者登入；DenyUsers hehe拒絕hehe使用者登入；不要同時啟用（自己根據情況是否添加）

 

2）重啟sshd服務  /etc/init.d/sshd restart

 

4.chkconfig --level 35 sshd on              //啟動3、5運行層級sshd開啟自啟

 

5.Linux驗證：ssh 使用者名稱@IP    //Linux遠端連線Linux伺服器

6.Linux拷貝檔案：scp 本地檔案 使用者名稱@IP:路徑    //將Linux本地檔案上傳到遠程Linux伺服器指定位置

7.Linux下載檔案：scp 使用者名稱@IP:路徑 本地路徑                  //將遠程Linux服務的檔案拷貝到本地Linux系統中

三、金鑰組驗證方式

1. linux用戶端產生金鑰組；-t指定密鑰類型、-b指定加密位元     ssh-keygen -t rsa -b 1024      

 

2.用戶端上傳Linux本地公開金鑰到遠程Linux服務端系統root使用者家目錄下   scp ~/.ssh/id_rsa.pub [email protected]:/root/

 

3. 在Linux伺服器上建立.ssh目錄   mkdir .ssh

 

4.在Linux伺服器上將/root/id_rsa.pub移動到~/.ssh/authorized_keys

 

5.編輯linux伺服器上密鑰驗證方式  vim /etc/ssh/sshd_config

PubkeyAuthentication yes                     //啟用金鑰組認證 AuthorizedKeysFile   .ssh/authorized_keys       //指定公開金鑰檔案位置

PasswordAuthentication no                               //禁用密碼驗證方式

 

6. 重啟sshd服務   /etc/init.d/sshd restart

 

7. 驗證無密碼登入

 

註：如果想多使用者金鑰組登入，將公開金鑰檔案拷貝到多個使用者.ssh/authorized_keys；建議一個金鑰組實現一個使用者登入，也可用於使用同一公開金鑰檔案

四、TCP Wapper

1.實現控制服務的訪問

2.TCP Wapper

1) 允許訪問的檔案清單/etc/hosts.allow 中添加允許訪問的服務+（IP或者網段）

 

2）拒絕訪問的檔案清單/etc/hosts.deny

3.訪問優先順序

1)先檢查/etc/hosts.allow是否有對應條目，如有則允許訪問

2)再檢查/etc/hosts.deny是否有對否條目，如有則拒絕訪問

3)如兩個檔案都未有用戶端對應條目，則允許訪問

案例：

vim /etc/hosts.deny

服務名:IP

sshd:192.168.1.                  //拒絕192.168.1.0網段訪問sshd服務，其餘全部允許

sshd:ALL                   //拒絕所有網段訪問sshd服務

sshd:192.168.1.10             //拒絕192.168.1.10訪問sshd服務，其餘全部允許

 

 

 

 

 

 

 

 

 

 

 

 

 

SSH協議與TCP Wapper