一、SSH協(xié)議及配置文件

SSH服務(wù)配置文件：
?服務(wù)名稱：sshd
?服務(wù)端主程序：/usr/sbin/sshd
?服務(wù)端配置文件：/etc/ssh/sshd_config

成都創(chuàng)新互聯(lián)長期為近千家客戶提供的網(wǎng)站建設(shè)服務(wù)，團隊從業(yè)經(jīng)驗10年，關(guān)注不同地域、不同群體，并針對不同對象提供差異化的產(chǎn)品和服務(wù)；打造開放共贏平臺，與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為福貢企業(yè)提供專業(yè)的成都網(wǎng)站建設(shè)、網(wǎng)站建設(shè)，福貢網(wǎng)站改版等技術(shù)服務(wù)。擁有十載豐富建站經(jīng)驗和眾多成功案例,為您定制開發(fā)。

二、服務(wù)監(jiān)聽選項：

?端口號，協(xié)議版本，監(jiān)聽IP地址
?禁用反向解析

三、用戶登錄控制

?禁止root用戶，空密碼用戶
?登錄時間，重試次數(shù)
?AllowUsers,DenyUsers（配置文件中手工添加）

四、SSH服務(wù)實驗解析：

1、默認(rèn)其他終端可以使用SSH以root身份登錄到服務(wù)器進行維護。

2、禁止其他終端可以使用SSH以root身份登錄到服務(wù)器。
（1）執(zhí)行“vim etc/ssh/sshd_config”命令進入到ssf服務(wù)端的配置文件。

（2）刪除“PermitRootLogin”開頭的“#”符號，并將“yes”改成“no”即可。

（3）執(zhí)行“systemctl restart sshd”命令重啟ssh服務(wù)。

（4）終端將無法使用root身份登錄。

（5）然而終端可以通過其他用戶作為跳板，并使用su命令切換root用戶。

（6）我們可以啟用PAM認(rèn)證模塊，執(zhí)行“vim /etc/pam.d/su”命令進入到pam認(rèn)證模塊配置文件。

（7）在配置文件中將第六行開頭的“#”符號刪除，以開啟pam認(rèn)證。

（8）我們使用id命令開頭看到czt用戶屬于pam認(rèn)證的wheel組，而lisi用戶不屬于wheel組。

（9）不隸屬于wheel組的lisi用戶無法切換root用戶，而隸屬于wheel組的czt用戶方能切換root用戶。

3、我們可以設(shè)定登錄驗證的次數(shù)來防止密碼破解。
（1）執(zhí)行“vim etc/ssh/sshd_config”命令進入到ssf服務(wù)端的配置文件。

（2）刪除“MaxAuthTries 6”開頭處的“#”符號一開啟登錄驗證功能。

（3）執(zhí)行“systemctl restart sshd”命令重啟ssh服務(wù)。

（4）默認(rèn)情況下我們只輸入三次就被指定登出了。

（5）我們可以在登錄時即加入一個參數(shù)，“ssh -o NumberOfPasswordPrompts=8 lisi@192.168.174.151
”即可按照默認(rèn)的嘗試次數(shù)去反復(fù)輸入密碼，輸錯六次后自動登出。

4、線網(wǎng)上建議設(shè)定白名單——AllowUsers
（1）執(zhí)行“vim etc/ssh/sshd_config”命令進入到ssf服務(wù)端的配置文件。

（2）手工在空行處輸入“AllowUsers zhaoliu”僅zhaoliu用戶可以登錄。

（3）執(zhí)行“systemctl restart sshd”命令重啟ssh服務(wù)。

（4）其他用戶便無法登錄到服務(wù)器，僅zhaoliu用戶可以登錄。

五、SSH密鑰對登錄驗證

1、執(zhí)行“vim etc/ssh/sshd_config”命令進入到ssf服務(wù)端的配置文件。

2、將“PubkeyAuthentication yes”前的“#”符號刪除以開啟密鑰對驗證功能。

3、在服務(wù)端執(zhí)行“systemctl restart sshd”命令重啟ssh服務(wù)。

4、在客戶端執(zhí)行“ssh-keygen -t ecdsa
”命令來創(chuàng)建密鑰對；按回車鍵保持默認(rèn)路徑不變；輸入密鑰對的密碼即可獲取到加密的密鑰。

5、我們在客戶端執(zhí)行“cd .ssh/”命令進入到隱藏文件夾可見“id_ecdsa”私鑰文件，以及“id_ecdsa.pub”公鑰文件。

6、執(zhí)行“ ssh-copy-id -i id_ecdsa.pub czt@192.168.174.151
”命令將公鑰文件推送給服務(wù)器。

7、在服務(wù)端執(zhí)行“cd .ssh/”命令進入隱藏目錄查看是否收到來自ccc用戶的公鑰文件。

8、客戶端下次登錄時就需要進行密鑰驗證，輸入密鑰密碼即可成功登錄。

9、然而登錄需要進行密碼驗證交互步驟，我們可以使用代理功能來實現(xiàn)免交互登錄（建議不要在公共設(shè)備上使用）。

六、sftp服務(wù)
1、我們可以執(zhí)行“sftp root@192.168.174.151”命令來登錄到服務(wù)端的家目錄中。

2、在服務(wù)端我們可以執(zhí)行thouch命令創(chuàng)建文件。

3、客戶端便可以通過使用“get”命令安全下載到服務(wù)端的文件。

4、客戶端亦可以使用“put” 命令安全上傳文件給服務(wù)器。

七、TCP Wrappers 控制

1、訪問控制策略的配置文件：
?/etc/hosts.allow
?/etc/hosts.deny
2、設(shè)置訪問控制策略：
?策略格式：服務(wù)列表：客戶機地址列表
?服務(wù)列表：多個服務(wù)一逗號分隔，ALL表示所有服務(wù)
3、策略的應(yīng)用順序：
?先檢查hosts.allow，找到匹配則允許訪問
?否則再檢查hosts.deny，找到則拒絕訪問
?若兩個文件中均無匹配策略，則默認(rèn)允許訪問

4、實驗解析：

（1）在服務(wù)端執(zhí)行“vim /etc/hosts.allow
”命令進入到白名單配置文件。

（3）在白名單配置文件中寫入“ssh：192.168.174.110”僅允許此IP地址的主機登錄。

（4）執(zhí)行“vim /etc/hosts.deny
”命令進入到黑名單配置文件。

（5）在還沒到配置文件中寫入“sshd:ALL”拒絕所有ip登錄。

（6）除了終端IP地址為“192.168.174.110”能登錄，其他無法登錄。

（7）在服務(wù)端執(zhí)行“vim /etc/hosts.allow
”命令進入到白名單配置文件。

（8）只在黑名單配置文件中寫入“ssh：192.168.174.110”僅拒絕此IP地址的主機登錄，其他IP地址的主機可用登錄。

（9）除了終端IP地址為“192.168.174.110”無法登錄，其他IP的主機都能登錄。

網(wǎng)站標(biāo)題：SSH遠程管理與TCPWrappers控制
網(wǎng)頁URL：http://chinadenli.net/article40/gidiho.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信公眾號、企業(yè)網(wǎng)站制作、電子商務(wù)、品牌網(wǎng)站制作、虛擬主機、域名注冊

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)