如何做网站网页免费,thinkphp网站后台模板,朔州做网站的,宣传册SSH远程管理
SSH(Secure Shell)是一种安全通道协议#xff0c;主要用来实现字符界面的远程登录、远程复制等功能。SSH 协议对通信双方的数据传输进行了加密处理#xff0c;其中包括用户登录时输入的用户口令。与早期的 Telent(远程登录)、RSH(Remote Shell#xff0c;远程执…SSH远程管理
SSH(Secure Shell)是一种安全通道协议主要用来实现字符界面的远程登录、远程复制等功能。SSH 协议对通信双方的数据传输进行了加密处理其中包括用户登录时输入的用户口令。与早期的 Telent(远程登录)、RSH(Remote Shell远程执行命令)、RCP(Remote File Copy远程文件复制)等应用相比SSH 协议提供了更好的安全性。 本节将以 OpenSSH 为例介绍 Linux 服务器的远程管理及安全控制。OpenSSH 是实现 SSH 协议的开源软件项目适用于各种 UNIX、Linux操作系统。关于 OpenSSH 项目的更多内容可以访问其官方网站 http://www.openssh.com。
配置OpenSSH服务端
在 CentOS 7.3 系统中OpenSSH 服务器由 openssh、openssh-server 等软件包提供(默认已安装)并已将 sshd 添加为标准的系统服务。执行systemctl start sshd命令即可启动 sshd 服务包括root 在内的大部分用户(只要拥有合法的登录 Shell)都可以远程登录系统。 sshd 服务的默认配置文件是/etc/ssh/sshd config正确调整相关配置项可以进一步提高sshd 远程登录的安全性。下面介绍最常用的一些配置项关于sshd config 文件的更多配置可参考 man 手册页。
服务监听选项
sshd 服务使用的默认端口号为 22必要时建议修改此端口号并指定监听服务的具体IP地址以提高在网络中的隐蔽性。除此之外SSH协议的版本选用V2比V1的安全性要更好禁用 DNS 反向解析可以提高服务器的响应速度。 用户登录控制
sshd服务默认允许root用户登录但在Internet中使用时是非常不安全的。普遍的做法如下先以普通用户远程登入进入安全shell环境后根据实际需要使用su命令切换为root用户。
关于 sshd 服务的用户登录控制通常应禁止root 用户或密码为空的用户登录。另外,可以限制登录验证的时间(默认为2分钟)及最大重试次数若超过限制后仍未能登录则断开连接。 当希望只允许或禁止某些用户登录时可以使用 AllowUsers 或 DenyUsers 配置两者用法类似(注意不要同时使用)。例如若只允许jerny、tsengyia 和 admin 用户登录且其中admin用户仅能够从IP地址为61.23.24.25的主机远程登录则可以在/etc/ssh/sshd config 配置文件中添加以下配置。 登录验证方式
对于服务器的远程管理除了用户账号的安全控制以外登录验证的方式也非常重要。sshd服务支持两种验证方式----密码验证/密钥对验证可以设置只使用其中的一种方式也可以两种方式都用。
密码验证:对服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便但从客户端角度来看正在连接的服务器有可能被假冒;从服务器角度来看当遭遇密码穷举(暴力破解)攻击时防御能力比较弱。密钥对验证:要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件(公钥、私钥)然后将公钥文件放到服务器中的指定位置。远程登录时系统将使用公钥、私钥进行加密/解密关联验证大大增强了远程管理的安全性。该方式不易被假冒且可以免交互登录在Shel 中被广泛使用。 当密码验证、密钥对验证都启用时服务器将优先使用密钥对验证。对于安全性要求较高的服务器建议将密码验证方式禁用只允许启用密钥对验证方式:若没有特殊要求则两种方式都可启用。 其中公钥库文件用来保存多个客户端上传的公钥文本以便与客户端本地的私钥文件进行匹配。
使用ssh客户端程序
在 CentOS 7.3 系统中OpenSSH 客户端由 openssh-clients 软件包提供(默认已安装)其中包括ssh 远程登录命令以及 scp、sftp 远程复制和文件传输命令等。实际上任何支持 SSH 协议的客户端程序都可以与 OpenSSH 服务器进行通信如Windows 平台中的Xshell、SecureCRT、Putty等图形工具。
命令程序ssh、scp、sftp
通过 ssh 命令可以远程登录 sshd 服务为用户提供一个安全的 Shel 环境以便对服务器进行管理和维护。使用时应指定登录用户、目标主机地址作为参数。例如若要登录主机 172.16.16.22以对方服务器的 tsengyia 用户进行验证可以执行以下操作。 当用户第一次登录 SSH 服务器时必须接受服务器发来的 ECDSA密钥(根据提示输入yes”)后才能继续验证。接收的密钥信息将保存到~1.ssh/known hosts 文件中。密码验证成功以后即可登录目标服务器的命令行环境中了就好像把客户端的显示器、键盘连接到服务器一样。 如果 sshd 服务器使用了非默认的端口号(如 2345)则在登录时必须通过-p”选项指定端口号。例如执行以下操作将访问主机 192.168.4.22的2345端口以对方服务器的jerry用户验证登录。 scp远程复制
通过 scp 命令可以利用 SSH 安全连接与远程主机相互复制文件。使用 scp 命令时除了必须指定复制源、目标之外还应指定目标主机地址、登录用户执行后根据提示输入验证口令即可。例如以下操作分别演示了下行、上行复制的操作过程将远程主机中的/etc/passwd 文件复制到本机并将本机的/etc/vsftpd 目录复制到远程主机。 sftp安全FTP
通过 sftp 命令可以利用 SSH 安全连接与远程主机上传、下载文件采用了与 FTP 类似的登录过程和交互式环境便于目录资源管理。例如以下操作依次演示了sftp 登录、浏览、文件上传等过程。 图形工具XShell
图形工具Xshell 是 Windows 下一款功能非常强大的安全终端模拟软件支持 Teinet、 SSH、SFTP 等协议可以方便地对Linux 主机进行远程管理。安装并运行 Xshel 后,在新建会话窗口中指定远程主机的 IP 地址、端口号等相关信息,然后单击连接”按钮根据提示接受密钥、验证密码后即可成功登录目标主机如图 4.1所示。 构建密钥对验证的ssh体系
正如前面所提及的密钥对验证方式可以为远程登录提供更好的安全性。下面将介绍在 CentOS 7.3 服务器、客户端中构建密钥对验证 SSH 体系的基本过程。如图 4.2 所示以 RSA 加密算法为例整个过程包括四步首先要在SSH客户端以zhangsan 用户身份创建密钥对并且要将创建的公钥文件上传至 SSH 服务器端然后要将公钥信息导入服务器端的目标用户 lisi 的公钥数据库最后以服务器端用户 lisi 的身份登录验证。 在客户端创建密钥对
在 CentOS 7.3 客户端中通过 ssh-keygen 工具为当前用户创建密钥对文件。可用的加密算法为 RSA、ECDSA 或 DSA 等(ssh-keygen 命令的“-选项用于指定算法类型)。例如以zhangsan 用户登录客户端并生成基于 ECDSA 算法的 SSH 密钥对(公钥、私钥)文件操作如下所示。 上述操作过程中提示指定私钥文件的存放位置时一般直接按 Enter 键即可最后生成的私钥、公钥文件默认存放在宿主目录中的隐藏文件夹.ssh下。私钥短语用来对私钥文件进行保护当使用该私钥验证登录时必须正确提供此处所设置的短语。尽管不设置私钥短语也是可行的(实现无口令登录)但在生产环境中不建议这样做。 新生成的密钥对文件中id ecdsa是私钥文件权限默认为600对于私钥文件必须妥善保管不能泄露给他人;id ecdsa.pub 是公钥文件用来提供给SSH服务器。
将公钥文件上传至服务器
将上一步生成的公钥文件上传至服务器并部署到服务器端用户的公钥数据库中。上传公钥文件时可以选择scp、ftp、samba、HTTP 甚至发送 E-mai 等任何方式。例如可以通过 SCP 方式将文件上传至服务器的tmp 目录下。 在服务器中导入公钥文本
在服务器中目标用户(指用来远程登录的账号lisi)的公钥数据库位于~1.ssh 目录默认的文件名是“authorized keys”。如果目录不存在需要手动创建。当获得客户端发送过来的公钥文件以后可以通过重定向将公钥文本内容追加到目标用户的公钥数据库。 在公钥库 authorized keys 文件中最关键的内容是“ecdsa-sha2-nistp256 加密字串”部分当导入非 ssh-keygen 工具创建的公钥文本时应确保此部分信息完整最后的“zhangsanlocalhost”是注释信息。 由于 sshd 服务默认采用严格的权限检测模式(StrictModes yes)因此还需注意公钥库文件 authorized keys 的权限--要求除了登录的目标用户或root用户,同组或其他用户对该文件不能有写入权限否则可能无法成功使用密钥对验证。 在客户端使用密钥对验证
当私钥文件(客户端)、公钥文件(服务器)均部署到位以后就可以在客户端中进行测试了。首先确认客户端中当前的用户为 zhangsan,然后通过 ssh 命令以服务器端用户 isi的身份进行远程登录。如果密钥对验证方式配置成功则在客户端将会要求输入私钥短语以便调用私钥文件进行匹配(若未设置私钥短语则直接登入目标服务器)。 经过“客户端创建密钥对”、将公钥上传至服务器”、在服务器中导入公钥文本”与在客户端使用密钥对验证四个步骤SSH密钥对验证体系已经构建完成。而在上述步骤中,第二步和第三步其实可以采用另外一种方法实现,即使用ssh-copy-id- 公钥文件 userhost格式,-!选项指定公钥文件,user是指目标主机的用户。验证密码后会将公钥自动添加到目标主机 user 宿主目录下的.sshauthorized keys 文件结尾。 查看服务器中目标用户 lisi的公钥数据库如下,
[rootlocalhost ~]# ls- /home/lisi/.ssh/authorized keys-rw-----1 lisi lisi 192 8月14 19:46 /home/lisi/.ssh/authorized keys[rootlocalhost ~]# tail -1 /home/lisi/.ssh/authorized keysecdsa-sha2-nistp256AAAAE2VjZHNhLXNoYTItbmIzdHAyNTYAAAAIbmIzdHAyNTYAAABBBLJSnBhscYBinnHxSYAJEBD4SNKTLMF7itcFGM33RdeXU89QNQkMnCrCJHzAIZURrzpXG6Mp62mz9gRXUnARk8s
ssh-copy-id 命令在上传公钥文件到服务器的时候具有简单、快捷的优点可优先使用此命令上传公钥,但通过SCP命令拷贝再导入的方式具有通用性,可应对没有ssh-copy-id命令的情况。
