一、ssh远程管理 1、常见的远程管理访问 1)telnet 默认端口23 安全性差 传输数据没有被加密 适合局域网使用 2)ssh 默认端口22 安全性强 传输数据加密 3)http、https 默认端口80或者443 兼容性强 通过浏览远程管理 2、openssh的组成 1)openssh-server 服务器端 配置ssh服务使用 2)openssh 客户端 用于访问远程访问服务器使用 3、openssh验证类型 1)账户密码验证 默认验证访问 远程管理输入账户密码登录 2)密钥对验证 需要配置公钥验证 不许压迫输入账户密码 使用数字整数验证客户端身份 适合批量管理远程客户端 二、配置ssh服务 1、ssh服务控制 1)启动sshd服务 [root@centos01 ~]# systemctl start sshd 2)设置开机启动 [root@centos01 ~]# systemctl enable sshd 2、ssh服务主配置文件选项 [root@centos01 ~]# vim /etc/ssh/sshd_config 18 Port 22 监听端口号 21 ListenAddress 192.168.100.10 监听IP地址 118 UseDNS no 禁用DNS反向解析 40 LoginGrace Time 2m 登录验证时间2分钟 42 PerminRootLogin yes 允许ssh的使用root登录 45 MaxAuthTries 6 最大重试次数 70 PasswordAuthentication yes 开启账户密码验证功能 71 PermitEmptyPasswords no 禁止空密码登录 [root@centos02 ~]# ssh root@192.168.100.10 客户端登录远程服务
3、远程访问控制 1)允许远程账户bob登录 [root@centos01 ~]# vim /etc/ssh/sshd_config AllowUsers bob@192.168.100.20 允许bob用户通过192.168.100.20访问 DenyUsers tom@192.168.100.20 拒绝tom通过192.168.100.20访问,不要同时使用
验证 4、配置ssh密钥对身份验证 1)修改ssh主配置文件支持密钥对身份验证 [root@master1 ~]# vim /etc/ssh/sshd_config 43 PubkeyAuthentication yes 47 AuthorizedKeysFile .ssh/authorized_keys 2)重新启动sshd服务 [root@master1 ~]# systemctl restart sshd 3)生成密钥对 [root@node1 ~]# ssh-keygen -t rsa 4)上传密钥到ssh服务器端 [root@node1 ~]# ssh-copy-id -i ssh/id_rsa.pub root@192.168.100.10 5)客户端无身份验证模式登录服务器端 [root@node1 ~]# ssh root@192.168.100.10 5、ssh客户端、scp和sftp使用 1)ssh客户端 [root@node1 ~]# ssh root@192.168.100.10 使用22端口登录远程服务器 [root@node1 ~]# ssh -p 2222 root@192.168.100.10 使用2222端口登录远程服务器 2)scp将源主机数据赋值到目标主机 [root@master1 ~]# scp /etc/hosts root@192.168.100.20:/root 复制本地主机hosts文件到远程主机100.20的家目录 [root@master1 ~]# scp -r /benet/ root@192.168.100.20:/root 复制本地主机/benet目录数据到100.20的家目录 3)将远程主机100.20的hosts文件数复制到本地 [root@master1 ~]# scp root@192.168.100.20:/root/hosts ./ 4)sftp上传大文件使用 [root@master1 ~]# sftp root@192.168.100.20 sftp> pwd 查看登录远程主机的位置 sftp> put 2.txt 将本地2.txt上传到100.20 三、Linux访问 1、TCP Warppers的作用和特点 1)作用 最应用层协议进行访问控制 2)特点 安全性强 避免应用层协议遭受攻击 3)TCP Warppers支持限制协议类型 Vsftp 20、21 Telnet 23 Pop3 110 Smtp 25 2、TCP Warppers访问策略文件 1)允许访问策略文件 /etc/hosts.allow 2)拒绝访问策略文件 /etc/hosts.deny 3、TCP Warppers策略列表组成 1)服务程序列表 ALL:所有服务 vsftpd:单个服务名 vsftpd,sshd:多个服务名 2)客户端地址列表 ALL:表示所有客户端 LOCAL:本地地址 192.168.100.10.0/255.255.255.0:网络地址段 192.168.100.10,192.168.100.20:限制多个IP地址 4、使用TCP Warppers限制客户端访问 1)拒绝客户端192.168.100.20访问vsftpd和sshd服务 [root@master1 ~]# vim/etc/hosts.deny sshd,vsftpd:192.168.100.20 2)TCP Warppers的原理 检查允许列表,发现允许不在往下检查规则 允许列表为空,检查拒绝列表,发现拒绝列表规则应用拒绝客户端访问 允许拒绝列表都为空默认允许访问
ssh客户端 修改端口号 使用2222端口登录远程服务器 scp将源主机数据赋值到目标主机 复制本地主机hosts文件到远程主机100.10的家目录 复制本地主机/benet目录数据到100.10的家目录 将远程主机100.10的hosts文件数复制到本地 sftp上传大文件使用 下载 上传 查看 使用ftp访问 客户端 使用TCP Wrappers限制客户端访问 拒绝客户端192.168.100.20访问vsftpd和sshd服务
