2. it技术
  3. 远程访问及控制

远程访问及控制

it2024-10-31  9

远程访问及控制

​ SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录.远程复制等功 能。SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。与早 期的Telent(远程登录)、RSH(Hemote Shell,远程执行命令)、HCP(Remote File Copy,远程文件复 制)等应用相比,SSH协议提供了更好的安全性。

​ 在CentOS 7.3系统中,OpenSSH服务器由openssh、openssh-server等软件包提供(默认已安装). 并已将sshd添加为标准的系统服务。执行“systemctl start sshd”命令即可启动sshd 服务,包括root 在内的大部分用户(只要拥有合法的登录Shell)都可以远程登录系统。 ​ sshd服务的配置文件默认位于/etc/ssh/sshd_config目录下,正确调整相关配置项,可以进一步 提高sshd远程登录的安全性。下面介绍最常用的一些配置项,关于sshd_config文件的更多配置可参

配置OpenSSh

1.安装

[root@centos01 ~]# rpm -ivh /mnt/Packages/openssh-server-7.4p1-11.el7.x86_64.rpm

[root@centos01 ~]# rpm -ivh /mnt/Packages/openssh-clients-7.4p1-11.el7.x86_64.rpm

2.服务选项

Port 22监听的端口ListenAddress 0.0.0.0监听任意IP地址LoginGraceTime 2m登录超时时间2分钟PermitRootLogin yes允许root登录no表示阻止root登录PubkeyAuthentication yes开启密钥对身份验证AuthorizedKeysEile.ssh/authorized_keys存储身份验证密钥文件PasswordAuthentication yes开启账户密码验证More Actions PermitRootLogin no阻止root用户本地登录More Actions DenyUsers root@192.168.100.20拒绝192.168.100.20使用root远程登录服务器端PubkeyAuthentication yes开启密钥对验证AuthorizedKeysFile .ssh/authorized_keys指定公钥存储位置

4.使用SSH客户端

[root@centos02 ~]# ssh root@192.168.100.10

5.指定端口登录

[root@centos01 ~]# vim /etc/ssh/sshd_config

Port 1234ListenAddress 192.168.100.10

重启服务

[root@centos02 ~]# ssh -p 1234 root@192.168.100.10

6.密钥验证登录ssh

开启密钥验证

[root@centos01 ~]# vim /etc/ssh/sshd_config

将端口和监控ip注释添加以下代码

PubkeyAuthentication yes

生成客户端密钥对

[root@centos02 ~]# ssh-keygen -t rsa

家目录下.ssh隐藏文件中

[root@centos02 ~]# ls ~/.ssh/

id_rsa.pub是公钥id_rsa是密钥

将公钥copy到服务器

[root@centos02 ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.100.10

查看是否接受到公钥

TCP Wrappers

文件位置在/etc/hosts.allow 允许 和 /etc/hosts.deny 拒绝

<服务程序列表>:<客户端地址列表>

ALL:代表所有的服务单个服务程序:如“vsftpd”多个服务程序组成的列表:如“vsftpd , sshd”. ALL:代表任何客户端地址LOCAL:代表本机地址单个P地址:如“192.168,4.4”网络段地址:如“192.168,4.0/255.255.255.0”以“.”开始的域名:如“.bdqn . com”匹配bdqn . com域中的所有主机以“.”结束的网络地址:如“192.168,4.”匹配整个192.168.4.0/24网段嵌入通配符“”“?”:前者代表任意长度字符,后者仅代表一个字符,如“10.0.8.2”配以10.0.8.2开头的所有P地址。不可与以“.”开始或结束的模式混用多个客户端地址组成的列表:如“192.168.1. , 172.16.16. , . bdan . com”。

实验

允许网站管理员wzadm通过笔记本电脑远程登录Web服务器,笔记本电脑的P地址并不 是固定的,采用密钥对验证方式以提高安全性。 允许用户jacky远程登录Web服务器,但仅限于从网管工作站192.168,3.110访问。 禁止其他用户通过SSH方式远程登录Web服务器。

创建wzadm和jacky并设置密码

[root@centos01 ~]# useradd wzadm [root@centos01 ~]# passwd wzadm

[root@centos01 ~]# useradd jacky [root@centos01 ~]# passwd jacky

[root@centos01 ~]# rpm -ivh /mnt/Packages/openssh-server-7.4p1-11.el7.x86_64.rpm [root@centos01 ~]# rpm -ivh /mnt/Packages/openssh-clients-7.4p1-11.el7.x86_64.rpm

开启密钥对验证只允许wzadm和jacky的指定ip登录

创建wzadm密钥对

[root@centos02 ~]# ssh-keygen -t rsa

copy到网站服务器

[root@centos02 ~]# ssh-copy-id -i .ssh/id_rsa.pub wzadm@192.168.100.10

查看wzadm是否接收到

测试登录wzadm

在192.168.100.30测试登录

测试能否在192.168.100.20登录jacky

最新回复(0)