遠(yuǎn)程訪問及控制_第1頁
遠(yuǎn)程訪問及控制_第2頁
遠(yuǎn)程訪問及控制_第3頁
遠(yuǎn)程訪問及控制_第4頁
遠(yuǎn)程訪問及控制_第5頁
已閱讀5頁,還剩24頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

1、第五章第五章 遠(yuǎn)程訪問及控制遠(yuǎn)程訪問及控制 理論部分遠(yuǎn)程訪問及控制使用su、sudo的用途是什么?如何查詢當(dāng)前用戶能通過sudo執(zhí)行哪些命令?如何防止通過單用戶模式進入Linux系統(tǒng)?課程回顧學(xué)會構(gòu)建SSH遠(yuǎn)程登錄服務(wù)學(xué)會使用SSH客戶端工具學(xué)會編寫TCP Wrappers訪問策略技能展示本章結(jié)構(gòu)遠(yuǎn)程訪問及控制遠(yuǎn)程訪問及控制TCP Wrappers概述概述TCP Wrappers訪問策略訪問策略使用使用SSH客戶端程序客戶端程序密鑰對驗證的密鑰對驗證的SSH體系體系SSH遠(yuǎn)程管理遠(yuǎn)程管理TCP Wrappers控制控制配置配置OpenSSH服務(wù)端服務(wù)端SSH協(xié)議為客戶機提供安全的Shell環(huán)境

2、,用于遠(yuǎn)程管理默認(rèn)端口:TCP 22OpenSSH服務(wù)名稱:sshd服務(wù)端主程序:/usr/sbin/sshd客戶端主程序:/usr/bin/ssh服務(wù)端配置文件:/etc/ssh/sshd_config客戶端配置文件:/etc/ssh/ssh_configOpenSSH服務(wù)器4-1服務(wù)監(jiān)聽選項端口號、協(xié)議版本、監(jiān)聽IP地址禁用反向解析OpenSSH服務(wù)器4-2rootlocalhost # vi /etc/ssh/sshd_configPort 22Protocol 2ListenAddress 54UseDNS no用戶登錄控制禁止root用戶、空密碼用戶登錄時間、重

3、試次數(shù)AllowUsers、DenyUsersOpenSSH服務(wù)器4-3rootlocalhost # vi /etc/ssh/sshd_configPermitRootLogin noPermitEmptyPasswords noLoginGraceTime 2mMaxAuthTries 6 AllowUsers jerry admin5不要與不要與DenyUsersDenyUsers同時用同時用登錄驗證對象服務(wù)器中的本地用戶賬號登錄驗證方式密碼驗證:核對用戶名、密碼是否匹配密鑰對驗證:核對客戶的私鑰、服務(wù)端公鑰是否匹配OpenSSH服務(wù)器4-4rootlocalhost

4、 # vi /etc/ssh/sshd_configPasswordAuthentication yesPubkeyAuthentication yesAuthorizedKeysFile .ssh/authorized_keys啟用密碼驗證、密鑰對驗啟用密碼驗證、密鑰對驗證、指定公鑰庫位置證、指定公鑰庫位置ssh命令 遠(yuǎn)程安全登錄格式:ssh userhostscp命令 遠(yuǎn)程安全復(fù)制格式1:scp userhost:file1 file2格式2:scp file1 userhost:file2sftp命令 安全FTP上下載格式:sftp userhost使用SSH客戶端程序3-1端口選項:端

5、口選項:-p 22-p 22端口選項:端口選項:-P 22-P 22端口選項:端口選項:-oPort=22-oPort=22PuttyCN一款跨平臺的Telnet/SSH圖形客戶端軟件使用SSH客戶端程序3-2WinSCP一款Windows平臺的SCP、SFTP圖形客戶端軟件使用SSH客戶端程序3-3整體實現(xiàn)過程構(gòu)建密鑰對驗證的SSH體系5-1第一步第一步:創(chuàng)建密鑰對 私鑰文件:id_rsa 公鑰文件:id_rsa.pubSSH客戶機SSH服務(wù)器第二步第二步:上傳公鑰文件 id_rsa.pub第三步第三步:導(dǎo)入公鑰信息 公鑰庫文件:/.ssh/authorized_keys第四步第四步:使用密

6、鑰對驗證方式由客戶端的用戶zhangsan在本地創(chuàng)建密鑰對導(dǎo)入到服務(wù)端用戶lisi的公鑰數(shù)據(jù)庫以服務(wù)端的用戶lisi的身份進行登錄1. 在客戶機中創(chuàng)建密鑰對ssh-keygen命令可用的加密算法:RSA或DSA構(gòu)建密鑰對驗證的SSH體系5-2zhangsanlocalhost $ ssh-keygen -t rsaGenerating public/private rsa key pair.Enter file in which to save the key (/home/zhangsan/.ssh/id_rsa):Created directory /home/zhangsan/.ssh.

7、Enter passphrase (empty for no passphrase):Enter same passphrase again:Your identification has been saved in /home/zhangsan/.ssh/id_rsa.Your public key has been saved in /home/zhangsan/.ssh/id_rsa.pub.公鑰文件位置公鑰文件位置設(shè)置密鑰短語設(shè)置密鑰短語私鑰文件位置私鑰文件位置2. 將公鑰文件上傳至服務(wù)器任何方式均可(共享、FTP、Email、SCP、)構(gòu)建密鑰對驗證的SSH體系5-3zhangsan

8、localhost $ scp /.ssh/id_rsa.pub rootserver:/tmp/root54s password:id_rsa.pub 100% 412 0.4KB/s 00:003. 在服務(wù)器中導(dǎo)入公鑰文本將公鑰文本添加至目標(biāo)用戶的公鑰庫默認(rèn)公鑰庫位置:/.ssh/authorized_keys構(gòu)建密鑰對驗證的SSH體系5-4rootlocalhost # su - lisilisilocalhost $ cat /tmp/id_rsa.pub /.ssh/authorized_keyslisilocalhost $ tail -1 /.ssh/aut

9、horized_keysssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAm8uUlE5TNRTiVLGBsy4OzfcXTqNLF4pAUyrFqEOA/HDnQxX1af5M6B9s0UqcUc5fVRB51H3z2VMU9ivPYzmFMAck1ual12+Jjn8TeRoEO2vVl9wd83xRbNOjbH7zuWf+LOzS2yO0XENxU5KirzALrRh/YFA42/8+c7RH/TZb9xjKb37vx/HJ5OsFZ1AU+SrlG/MpZaR3kSLBDSx/LbkBJaAhy1nOk4S8F42Ksh9wVheJcqOVuFdXNJxCckvi

10、AsFJDHf9t8sjsctDPBo/fTyiH9O/ZNNt4093LsiwT7Yos0NuT+Ej6/aWiNUgp7wJghgG60c4BAbNbBJs90uZLsI4Q= zhangsanlocalhost.localdomain4. 客戶端使用密鑰對驗證登陸驗證用戶:服務(wù)端的用戶lisi驗證密碼:客戶端的用戶zhangsan的私鑰短語構(gòu)建密鑰對驗證的SSH體系5-5zhangsanlocalhost $ ssh lisi54Enter passphrase for key /home/zhangsan/.ssh/id_rsa:lisilocalhost $ 以

11、以zhangsanzhangsan的私鑰的私鑰短語進行驗證短語進行驗證請思考:如何禁止root用戶登錄ssh服務(wù)器?SSH的密碼驗證、密鑰對驗證有什么區(qū)別?構(gòu)建密鑰對驗證SSH體系的基本過程是什么?小結(jié)“包袱”保護原理TCP Wrappers概述2-1TCP Wrappers機制代為監(jiān)聽端口21代為監(jiān)聽端口23代為監(jiān)聽端口110代為監(jiān)聽端口143客戶機的網(wǎng)絡(luò)訪問請求對訪問請求進行過濾控制vsftpdtelnetipop3imap調(diào)用相應(yīng)的網(wǎng)絡(luò)程序保護機制的實現(xiàn)方式方式1:通過tcpd主程序?qū)ζ渌?wù)程序進行包裝方式2:由其他服務(wù)程序調(diào)用libwrap.so.*鏈接庫訪問控制策略的配置文件/et

12、c/hosts.allow/etc/hosts.denyTCP Wrappers概述2-2設(shè)置訪問控制策略策略格式:服務(wù)列表:客戶機地址列表服務(wù)列表 n多個服務(wù)以逗號分隔,ALL 表示所有服務(wù)客戶機地址列表n多個地址以逗號分隔,ALL表示所有地址n允許使用通配符 ? 和 *n網(wǎng)段地址,如 192.168.4. 或者 /n區(qū)域地址,如 TCP Wrappers策略應(yīng)用3-1策略的應(yīng)用順序先檢查hosts.allow,找到匹配則允許訪問否則再檢查hosts.deny,找到則拒絕訪問若兩個文件中均無匹配策略,則默認(rèn)允許訪問TCP Wrappers策略應(yīng)

13、用3-2策略應(yīng)用示例僅允許從以下地址訪問sshd服務(wù)n主機7n網(wǎng)段/24禁止其他所有地址訪問受保護的服務(wù)TCP Wrappers策略應(yīng)用3-3rootlocalhost # vi /etc/hosts.allowsshd:7,192.168.2.*rootlocalhost # vi /etc/hosts.denysshd:ALL本章總結(jié)遠(yuǎn)程訪問及控制遠(yuǎn)程訪問及控制TCP Wrappers概述概述TCP Wrappers訪問策略訪問策略使用使用SSH客戶端程序客戶端程序密鑰對驗證的密鑰對驗證的SSH體系體系SSH遠(yuǎn)程管理遠(yuǎn)程管理TC

14、P Wrappers控制控制配置配置OpenSSH服務(wù)端服務(wù)端第五章第五章 遠(yuǎn)程訪問及控制遠(yuǎn)程訪問及控制 上機部分第五章 遠(yuǎn)程訪問及控制實驗環(huán)境為Web服務(wù)器配置OpenSSH服務(wù)實驗案例:構(gòu)建安全的SSH服務(wù)體系4-1局域網(wǎng)段/24網(wǎng)站服務(wù)器(網(wǎng)站服務(wù)器(SSHSSH)Internet網(wǎng)關(guān)服務(wù)器eth0: 1eth1: 網(wǎng)管工作站10Internet測試用機18需求描述允許用戶wzadm從任意地址登陸,采用密鑰對驗證允許用戶jacky從主機10登陸禁止其他所有用戶遠(yuǎn)程登錄實現(xiàn)思路同時啟用密碼驗證、密鑰對驗證鎖定wzadm用戶,改以密鑰對方式進行驗證使用AllowUser配置,僅允許wzadm、

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論