Linux系統(tǒng)SSH服務(wù)詳解-創(chuàng)新互聯(lián)

簡(jiǎn)介：

SSH 為 secure shell 的縮寫(xiě)，由 IETF 的網(wǎng)絡(luò)小組（Network Working Group）所制定；SSH 為建立在應(yīng)用層基礎(chǔ)上的安全協(xié)議。SSH 是目前較可靠，專為遠(yuǎn)程登錄會(huì)話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議。利用 SSH 協(xié)議可以有效防止遠(yuǎn)程管理過(guò)程中的信息泄露問(wèn)題。SSH最初是UNIX系統(tǒng)上的一個(gè)程序，后來(lái)又迅速擴(kuò)展到其他操作平臺(tái)。SSH在正確使用時(shí)可彌補(bǔ)網(wǎng)絡(luò)中的漏洞。SSH客戶端適用于多種平臺(tái)。幾乎所有UNIX平臺(tái)—包括HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix，以及其他平臺(tái)，都可運(yùn)行SSH。

目前創(chuàng)新互聯(lián)已為上千多家的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)絡(luò)空間、網(wǎng)站托管維護(hù)、企業(yè)網(wǎng)站設(shè)計(jì)、尉氏網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長(zhǎng)，共同發(fā)展。

基本功能：

1.首先我們開(kāi)啟兩臺(tái)Linux系統(tǒng)，一臺(tái)作為服務(wù)端，一臺(tái)作為客戶端。我們先用vim編輯器對(duì)ssh服務(wù)端配置文件“/etc/ssh/sshd_config”進(jìn)行編輯。

Port 22                                          監(jiān)聽(tīng)端口，默認(rèn)監(jiān)聽(tīng)22端口  
#AddressFamily any                     IPV4和IPV6協(xié)議家族用哪個(gè)，any表示二者均有
#ListenAddress 0.0.0.0                 指明監(jiān)控的地址，0.0.0.0表示本機(jī)的所有地址 
#ListenAddress ::                           指明監(jiān)聽(tīng)的IPV6的所有地址格式

#LoginGraceTime 2m                 會(huì)話時(shí)間，默認(rèn)2分鐘則自動(dòng)斷開(kāi)連接
#PermitRootLogin yes                是否允許管理員直接登錄，'yes'表示允許
#StrictModes yes                         是否讓sshd去檢查用戶主目錄或相關(guān)文件的權(quán)限數(shù)據(jù)
MaxAuthTries 6                           大認(rèn)證嘗試次數(shù)，最多可以嘗試6次輸入密碼。
#MaxSessions 10                        允許的大會(huì)話數(shù)
（將“#”刪除即可開(kāi)啟相應(yīng)功能）

2.配置完畢記得重啟服務(wù)才會(huì)生效，我們用客戶端嘗試連接一下服務(wù)端。

我們直接輸入用來(lái)的登錄的用戶root（注意是服務(wù)端用戶）和服務(wù)端IP地址即可，然后輸入用戶密碼即可登錄。我之前登陸過(guò)，如果沒(méi)有登陸過(guò)，系統(tǒng)會(huì)問(wèn)你是否想連接，你只需輸入“yes”即可。

如果客戶端的用戶名和服務(wù)端的用戶名相同，登錄時(shí)可以省略用戶名。

SSH服務(wù)的默認(rèn)端口是22，如果你不設(shè)置端口的話，登錄請(qǐng)求會(huì)自動(dòng)送到遠(yuǎn)程主機(jī)的22端口。如果我們?cè)谂渲梦募镄薷牧硕丝谔?hào)，我們可以使用 -p 選項(xiàng)來(lái)指定端口號(hào)。例如端口改為了123：

3.我們知道root用戶是系統(tǒng)的管理員，如果別人能夠隨意登錄肯定是不安全的。所以我們可以通過(guò)修改配置文件，不讓別人通過(guò)root用戶登錄。修改完記得重啟服務(wù)。

我們?cè)俅斡胷oot用戶登錄，輸入密碼后顯示權(quán)限拒絕，而換成zhangsan用戶又可以登錄了。

4.雖然我們限制了使用root用戶登錄，但是當(dāng)我們用zhangsan用戶登錄了，用“su”命令任然可以切換到root用戶。

所以我們可以開(kāi)啟“su”命令的PAM安全認(rèn)證功能，我們只要將允許用“su”命令的用戶添加到“wheel”組即可。

可以看到用戶“jiang”在“wheel”組中，用戶“zhangsan”不在。我們?cè)儆谩皕hangsan”用戶切換root用戶已經(jīng)顯示權(quán)限拒絕，而在“wheel”組用戶“jiang”任然可以切換root用戶。

5.前面我將大認(rèn)證嘗試次數(shù)6次數(shù)開(kāi)啟了，我們可以測(cè)試一下是否成功。
可以看到當(dāng)我們嘗試了6次，就自動(dòng)被斷開(kāi)連接了。但是我們得用“-o NumberOfPasswordPrompts=8”選項(xiàng)才能測(cè)試成功，如果直接輸入，還是默認(rèn)3次就會(huì)斷開(kāi)連接。

6.我們還可以通過(guò)在服務(wù)端配置文件里添加黑白名單來(lái)限制登錄的用戶和IP地址。

黑白名單不能同時(shí)存在，一般企業(yè)中多用白名單，下面以白名單為例演示。
首先我們?cè)谂渲梦募刑砑影酌麊?，限制zhangsan用戶只能在ip為192.168.52.132的主機(jī)上進(jìn)行登錄，lisi用戶可以在任意主機(jī)上進(jìn)行登錄。配置完成要重啟服務(wù)。

我們?cè)趇p為192.168.52.132的主機(jī)上登錄時(shí)，可以看到由于設(shè)置了白名單，用戶“jiang”不在名單里所有已經(jīng)不能登錄了，而zhangsan與lisi用戶任然可以登錄。

我們?cè)趇p為192.168.52.128的主機(jī)上登錄時(shí)，只有l(wèi)isi用戶可以登錄，zhangsan用戶不能登錄，因?yàn)槲覀兿拗屏藌hangsan用戶只能在ip為192.168.52.132的主機(jī)上進(jìn)行登錄。

scp命令與sftp命令

1.我們將之前設(shè)置的白名單刪除，允許root用戶登錄改為“yes”，并重啟服務(wù)。

2.首先在client主機(jī)的“/opt/”目錄，新建一個(gè)文件“ssh_client.txt”和一個(gè)目錄“ssh”，然后用scp命令將它們都復(fù)制到server主機(jī)的“/opt/”目錄下。

3.再在client主機(jī)的“/opt/”目錄下，創(chuàng)建一個(gè)文件“test01”，然后在“server”主機(jī)用scp命令將文件復(fù)制過(guò)來(lái)。

4.我們將之前在兩臺(tái)主機(jī)“/opt/”目錄下新建的目錄和文件刪除，分別在server與client的“/opt/”目錄下創(chuàng)建兩個(gè)文件demo01、demo02。

5.我們?cè)赾lient主機(jī)用sftp命令也可以登錄server主機(jī)進(jìn)行文件的上傳和下載。上傳用“put”命令，下載用“get”命令，同時(shí)我們還可以用cd命令進(jìn)行目錄的切換。

6.可以看到我們可以用cd命令隨意切換目錄，這樣很不安全，所以我們可以通過(guò)對(duì)ssh服務(wù)端配置文件進(jìn)行修改，將sftp命令連接后限制在我們指定的目錄里。

首先用vim編輯器對(duì)文件“/etc/ssh/sshd_config”進(jìn)行編輯，將“Subsystem sftp /usr/libexec/openssh/sftp-server”注釋掉。然后添加下面的命令：

Subsystem  sftp  internal-sftp
Match User zhangsan
ChrootDirectory /home/zhangsan
X11Forwarding no
ForceCommand internal-sftp
AllowTcpForwarding no
（配置完別忘了重啟服務(wù)）

然后我們進(jìn)入“/home/”目錄，將我們指定的目錄“zhangsan”的權(quán)限設(shè)為“755”，屬主、屬組均改為root。

我們?cè)佟?home/zhangsan/”目錄下，新建5個(gè)空文件。

我們?cè)俅斡胏lient主機(jī)，通過(guò)sftp連接server主機(jī)，可以看到我們直接就登錄到“zhangsan/目”錄中了。當(dāng)我們想切換到別的目錄時(shí)，都不能成功。

密鑰對(duì)登錄

1.將之前的限制sftp登錄切換目錄的配置修改回來(lái)，開(kāi)啟密鑰對(duì)登錄功能（刪除#即可），并重啟服務(wù)。

2.首先用“ssh-keygen -t ecdsa”命令生成密鑰對(duì)，將密鑰文件存在“/home/zhangsan/.ssh/”目錄中。

3.用命令“ssh-copy-id -i id_ecdsa.pub zhangsan@192.168.52.131”將目錄“/home/zhangsan/.ssh/”下的公鑰文件“id_ecdsa.pub”導(dǎo)入到server主機(jī)。

4.當(dāng)我們?cè)俅斡胹sh命令登錄時(shí)，這是只要輸入之前的密鑰即可。

5.但是我們每次登錄都得輸入密鑰會(huì)很麻煩，此時(shí)我們只要用bash代理，添加密鑰即可，我們下次登錄就不用輸入密鑰了。

TCP Wrappers策略

控制策略的配置文件：

• /etc/hosts.allow（白名單文件）
• /etc/hosts.deny（黑名單文件）

策略的應(yīng)用順序：

• 先檢查hosts.allow文件，找到匹配則直接允許訪問(wèn)，不再檢查hosts.deny文件；
• 若hosts.allow文件中沒(méi)有，再檢測(cè)hosts.deny文件，找到則拒絕訪問(wèn)；
• 若兩個(gè)文件中均無(wú)匹配策略，則默認(rèn)允許訪問(wèn)。

1.先用vim編輯器對(duì)文件“/etc/hosts.allow”進(jìn)行編輯，添加一個(gè)白名單ip192.168.52.132。

2.再用vim編輯器對(duì)文件“/etc/hosts.deny”進(jìn)行編輯，將所有ip設(shè)為黑名單。

3.下面我們用ip為192.168.52.132的主機(jī)client和ip為192.168.52.128的主機(jī)client02分別進(jìn)行登錄，只有白名單里的client主機(jī)可以登錄。

4.將白名單中的client主機(jī)ip刪除，加入到黑名單中，再用client主機(jī)去登錄，結(jié)果不能登錄。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)站標(biāo)題：Linux系統(tǒng)SSH服務(wù)詳解-創(chuàng)新互聯(lián)
轉(zhuǎn)載源于：http://muchs.cn/article18/dddpgp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供定制網(wǎng)站、品牌網(wǎng)站建設(shè)、標(biāo)簽優(yōu)化、電子商務(wù)、虛擬主機(jī)、關(guān)鍵詞優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)