遠(yuǎn)程訪問及控制

1、第五章第五章 遠(yuǎn)程訪問及控制遠(yuǎn)程訪問及控制 理論部分 遠(yuǎn)程訪問及控制 使用su、sudo的用途是什么？ 如何查詢當(dāng)前用戶能通過sudo執(zhí)行哪些命令？ 如何防止通過單用戶模式進(jìn)入Linux系統(tǒng)？ 課程回顧 學(xué)會構(gòu)建SSH遠(yuǎn)程登錄服務(wù) 學(xué)會使用SSH客戶端工具 學(xué)會編寫TCP Wrappers訪問策略 技能展示 本章結(jié)構(gòu) 遠(yuǎn)程訪問及控制遠(yuǎn)程訪問及控制 TCP Wrappers概述概述 TCP Wrappers訪問策略訪問策略 使用使用SSH客戶端程序客戶端程序 密鑰對驗證的密鑰對驗證的SSH體系體系 SSH遠(yuǎn)程管理遠(yuǎn)程管理 TCP Wrappers控制控制 配置配置OpenSSH服務(wù)端服務(wù)端 SS

2、H協(xié)議 為客戶機提供安全的Shell環(huán)境，用于遠(yuǎn)程管理 默認(rèn)端口：TCP 22 OpenSSH 服務(wù)名稱：sshd 服務(wù)端主程序：/usr/sbin/sshd 客戶端主程序：/usr/bin/ssh 服務(wù)端配置文件：/etc/ssh/sshd_config 客戶端配置文件：/etc/ssh/ssh_config OpenSSH服務(wù)器4-1 服務(wù)監(jiān)聽選項 端口號、協(xié)議版本、監(jiān)聽IP地址 禁用反向解析 OpenSSH服務(wù)器4-2 rootlocalhost # vi /etc/ssh/sshd_config Port 22 Protocol 2 ListenAddress 5

3、4 UseDNS no 用戶登錄控制 禁止root用戶、空密碼用戶 登錄時間、重試次數(shù) AllowUsers、DenyUsers OpenSSH服務(wù)器4-3 rootlocalhost # vi /etc/ssh/sshd_config PermitRootLogin no PermitEmptyPasswords no LoginGraceTime 2m MaxAuthTries 6 AllowUsers jerry admin5 不要與不要與DenyUsersDenyUsers同時用同時用 登錄驗證對象 服務(wù)器中的本地用戶賬號 登錄驗證方式 密碼驗證：核對用戶名、密碼是

4、否匹配 密鑰對驗證：核對客戶的私鑰、服務(wù)端公鑰是否匹配 OpenSSH服務(wù)器4-4 rootlocalhost # vi /etc/ssh/sshd_config PasswordAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys 啟用密碼驗證、密鑰對驗啟用密碼驗證、密鑰對驗 證、指定公鑰庫位置證、指定公鑰庫位置 ssh命令 遠(yuǎn)程安全登錄 格式：ssh userhost scp命令 遠(yuǎn)程安全復(fù)制 格式1：scp userhost:file1 file2 格式2：scp file1

5、 userhost:file2 sftp命令 安全FTP上下載 格式：sftp userhost 使用SSH客戶端程序3-1 端口選項：端口選項：-p 22-p 22 端口選項：端口選項：-P 22-P 22 端口選項：端口選項：-oPort=22-oPort=22 PuttyCN 一款跨平臺的Telnet/SSH圖形客戶端軟件 使用SSH客戶端程序3-2 WinSCP 一款Windows平臺的SCP、SFTP圖形客戶端軟件 使用SSH客戶端程序3-3 整體實現(xiàn)過程 構(gòu)建密鑰對驗證的SSH體系5-1 第一步第一步：創(chuàng)建密鑰對 私鑰文件：id_rsa 公鑰文件：id_rsa.pub SSH客戶機

6、SSH服務(wù)器 第二步第二步：上傳公鑰文件 id_rsa.pub 第三步第三步：導(dǎo)入公鑰信息 公鑰庫文件：/.ssh/authorized_keys 第四步第四步：使用密鑰對驗證方式 由客戶端的用戶zhangsan 在本地創(chuàng)建密鑰對 導(dǎo)入到服務(wù)端用戶lisi的 公鑰數(shù)據(jù)庫 以服務(wù)端的用戶lisi的身 份進(jìn)行登錄 1. 在客戶機中創(chuàng)建密鑰對 ssh-keygen命令 可用的加密算法：RSA或DSA 構(gòu)建密鑰對驗證的SSH體系5-2 zhangsanlocalhost $ ssh-keygen -t rsa Generating public/private rsa key pair. Enter

7、file in which to save the key (/home/zhangsan/.ssh/id_rsa): Created directory /home/zhangsan/.ssh. Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/zhangsan/.ssh/id_rsa. Your public key has been saved in /home/zhangsan/.ssh/id_rsa.p

8、ub. 公鑰文件位置公鑰文件位置 設(shè)置密鑰短語設(shè)置密鑰短語 私鑰文件位置私鑰文件位置 2. 將公鑰文件上傳至服務(wù)器 任何方式均可（共享、FTP、Email、SCP、） 構(gòu)建密鑰對驗證的SSH體系5-3 zhangsanlocalhost $ scp /.ssh/id_rsa.pub rootserver:/tmp/ root54s password: id_rsa.pub 100% 412 0.4KB/s 00:00 3. 在服務(wù)器中導(dǎo)入公鑰文本 將公鑰文本添加至目標(biāo)用戶的公鑰庫 默認(rèn)公鑰庫位置：/.ssh/authorized_keys 構(gòu)建密鑰對驗證的SSH體系5-4

9、 rootlocalhost # su - lisi lisilocalhost $ cat /tmp/id_rsa.pub /.ssh/authorized_keys lisilocalhost $ tail -1 /.ssh/authorized_keys ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAm8uUlE5TNRTiVLGBsy4Ozf cXTqNLF4pAUyrFqEOA/HDnQxX1af5M6B9s0UqcUc5fVRB51H3z2VMU9ivP YzmFMAck1ual12+Jjn8TeRoEO2vVl9wd83xRbNOjbH7zuWf+LOz

10、S2yO0XE NxU5KirzALrRh/YFA42/8+c7RH/TZb9xjKb37vx/HJ5OsFZ1AU+SrlG/MpZaR 3kSLBDSx/LbkBJaAhy1nOk4S8F42Ksh9wVheJcqOVuFdXNJxCckviAsFJDH f9t8sjsctDPBo/fTyiH9O/ZNNt4093LsiwT7Yos0NuT+Ej6/aWiNUgp7wJghgG60 c4BAbNbBJs90uZLsI4Q= zhangsanlocalhost.localdomain 4. 客戶端使用密鑰對驗證登陸 驗證用戶：服務(wù)端的用戶lisi 驗證密碼：客戶端的用戶zhangsan的私鑰

11、短語 構(gòu)建密鑰對驗證的SSH體系5-5 zhangsanlocalhost $ ssh lisi54 Enter passphrase for key /home/zhangsan/.ssh/id_rsa: lisilocalhost $ 以以zhangsanzhangsan的私鑰的私鑰 短語進(jìn)行驗證短語進(jìn)行驗證 請思考： 如何禁止root用戶登錄ssh服務(wù)器？ SSH的密碼驗證、密鑰對驗證有什么區(qū)別？ 構(gòu)建密鑰對驗證SSH體系的基本過程是什么？ 小結(jié) “包袱”保護(hù)原理 TCP Wrappers概述2-1 TCP Wrappers機制 代為監(jiān)聽端口21 代為監(jiān)聽端口23

12、代為監(jiān)聽端口110 代為監(jiān)聽端口143 客戶機的網(wǎng)絡(luò)訪問請求 對 訪 問 請 求 進(jìn) 行 過 濾 控 制 vsftpd telnet ipop3 imap 調(diào)用相應(yīng)的網(wǎng)絡(luò)程序 保護(hù)機制的實現(xiàn)方式 方式1：通過tcpd主程序?qū)ζ渌?wù)程序進(jìn)行包裝 方式2：由其他服務(wù)程序調(diào)用libwrap.so.*鏈接庫 訪問控制策略的配置文件 /etc/hosts.allow /etc/hosts.deny TCP Wrappers概述2-2 設(shè)置訪問控制策略 策略格式：服務(wù)列表:客戶機地址列表 服務(wù)列表 n多個服務(wù)以逗號分隔，ALL 表示所有服務(wù) 客戶機地址列表 n多個地址以逗號分隔，ALL表示所有地址 n允

13、許使用通配符 ? 和 * n網(wǎng)段地址，如 192.168.4. 或者 / n區(qū)域地址，如 TCP Wrappers策略應(yīng)用3-1 策略的應(yīng)用順序 先檢查hosts.allow，找到匹配則允許訪問 否則再檢查hosts.deny，找到則拒絕訪問 若兩個文件中均無匹配策略，則默認(rèn)允許訪問 TCP Wrappers策略應(yīng)用3-2 策略應(yīng)用示例 僅允許從以下地址訪問sshd服務(wù) n主機7 n網(wǎng)段/24 禁止其他所有地址訪問受保護(hù)的服務(wù) TCP Wrappers策略應(yīng)用3-3 rootlocalhost # vi

14、/etc/hosts.allow sshd:7,192.168.2.* rootlocalhost # vi /etc/hosts.deny sshd:ALL 本章總結(jié) 遠(yuǎn)程訪問及控制遠(yuǎn)程訪問及控制 TCP Wrappers概述概述 TCP Wrappers訪問策略訪問策略 使用使用SSH客戶端程序客戶端程序 密鑰對驗證的密鑰對驗證的SSH體系體系 SSH遠(yuǎn)程管理遠(yuǎn)程管理 TCP Wrappers控制控制 配置配置OpenSSH服務(wù)端服務(wù)端 第五章第五章 遠(yuǎn)程訪問及控制遠(yuǎn)程訪問及控制 上機部分 第五章 遠(yuǎn)程訪問及控制 實驗環(huán)境 為Web服務(wù)器配置OpenSSH服務(wù) 實驗案例

15、：構(gòu)建安全的SSH服務(wù)體系4-1 局域網(wǎng)段 /24 網(wǎng)站服務(wù)器（網(wǎng)站服務(wù)器（SSHSSH） Internet 網(wǎng)關(guān)服務(wù)器 eth0: 1 eth1: 網(wǎng)管工作站 10 Internet測試用機 18 需求描述 允許用戶wzadm從任意地址登陸，采用密鑰對驗證 允許用戶jacky從主機10登陸 禁止其他所有用戶遠(yuǎn)程登錄 實現(xiàn)思路 同時啟用密碼驗證、密鑰對驗證 鎖定wzadm用戶，改以密鑰對方式進(jìn)行驗證 使用AllowUser配置，僅允許wzadm、ja