ssh的使用、配置全程实操(sftp、密钥对验证、TCP Wrappers策略应用),可跟做

一、ssh基本配置

开两台centos系统7-1(服务端)、7-2(客户端)
用xshell连接,证明sshd的22端口开放出来了
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
配置文件所在位置
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
进入服务端配置文件,进行一系列配置:端口22功能打开等等
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
为区分两个系统用户,我们分别将其用户名设为test01、test02,接着进行远程登陆。
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做

输入访问命令,即可连接并进行一系列操作
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做

可在对方的opt下创建abc文本,进行远程操作
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做

回到7-1的服务端,进ssh配置文件,更改不允许对方用root身份登陆,保存退出。即在客户端用root身份不可登陆,即使有密码也无法登陆。
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做

但随之而来的问题,我们先用普通用户lisi登陆服务端,接着可切换到服务器的root用户,可实现跳板登陆
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
解决:进行pam模块验证,开启功能,即不在wheel组内成员不可用su命令切换用户。
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做

在客户端用lisi登陆,并用su切换root,被拒绝。并且切换同级别权限的zhangsan,也不能切换。(pam验证开启非常重要,加大系统安全)
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做

结论:不在wheel组内平级用户也切换不了,zhangsan在wheel组内,可切换为lisi用户,也可切换root用户。
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
开启最大验证次数功能,却发现默认验证3次。
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做

要想验证次数变为6,那么我们就要更改验证次数为8,即验证最大次数从默认的3变为了6。
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
回到服务器7-1,配置文件中插入白名单,即皆可登陆服务器的zhangsan和wangwu用户
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做

此时我们还需在开一台centos7-3,IP为129.168.195.130,登陆服务器wangwu(配置文件中没设置wangwu允许登陆的ip,可从任意终端登陆)
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
结论:白名单上为仅允许,名单上有的条目可以去执行,没有的一概不能执行;反之黑名单则为仅拒绝,即名单上的条目皆不可执行。(在企业环境中建议使用白名单)

二、密钥对进行身份验证

在配置文件中开启密钥对验证功能
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
用7-2客户端进行密钥生成,用户caiwu来验证。
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做

在家目录下有公钥和私钥,推送公钥给服务端,指定服务端用户zhangsan,输入对方登陆密码,家目录下生成一个known_hosts(内有推送的服务端ip、加密方式ecdsa等)。
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
再次回到服务端,家目录中已有公钥导入文件。
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
查看当前用户方法
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
只有用caiwu用户ssh远程访问服务器zhangsan用户要用密钥对验证(每次验证都要密钥对验证)。
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
防止每次都要进行密钥验证,我们来设置只需一次验证,之后可直接进入。
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做

三、ssh客户端

若服务器的端口改为123,那么在客户端远程访问就要输入以下命令,先开启客户端可用root用户登陆的权限(复制操作要用到),删除之前建立的白名单。
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做

Scp远程复制文件到服务器端。
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
Scp远程复制文件夹到服务器端。
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
将之前opt下文件全部删除,进行ssh安全下载文件。进行远程连接后,会回到对方服务器的家目录下
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
首先给文件改名server,进行ssh安全上传文件server文件
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
可以直接切换用户目录,进行任意更改文件。为限制只可访问对方服务器的家目录,我们研究出了一套方法。
在配置文件中找到这一行注释,并打开此功能。
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
并输入一系列命令。
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
且权限必须为755,文件属主、属组必须是root。

四、TCP Wrappers

在配置之前,需要将黑白名单在ssh配置文件中删除,否则配置策略应用时会重复。在/etc/hosts.allow中进行配置
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
在/etc/hosts.deny中进行配置
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
测试129客户端能否访问服务器,发现可以
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做

测试130客户端能否访问服务器,发现被直接拒绝(黑白名单是允许输入密码,不一样)
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做

现在在两个中配置两个一样的内容:均为129,发现允许访问。
ssh的使用、配置全程实操(sftp、密钥对验证、TCP  Wrappers策略应用),可跟做
结论:先检查allow中,找到匹配则允许访问。否则再检查hosts.deny,找到则拒绝访问;若两个文件中都没有内容,则默认所有文件允许访问。

ssh的使用、配置全程实操(sftp、密钥对验证、TCP Wrappers策略应用),可跟做

上一篇:nagios 部署与配置方法


下一篇:知识全聚集 .Net Core 技术突破 | 如何实现一个模块化方案二