Centos 7.4中的遠程訪問控制的實現方法

發布時間: 2019-11-13 12:29:35 來源: 互聯網 欄目: LINUX 點擊:

這篇文章主要介紹了Centos 7.4中的遠程訪問控制的實現方法,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧

一、SSH遠程管理

SSH是一種安全通道協議,主要用來實現字符界面的遠程登錄、遠程復制等功能。SSH協議對通信雙方的數據傳輸進行了加密處理,其中包括用戶登錄時輸入的用戶口令。與早期的Telent、RSH、RCP、等應用相比,SSH協議提供了更好的安全性。

1、配置OpenSSH服務端

在Centos 7.4系統中,OpenSSH服務器由openssh、openssh-server等軟件包提供(默認已安裝),并已將sshd添加為標準的系統服務。執行“systemctl start sshd”命令即可啟動sshd服務,包括root在內的大部分用戶都可以遠程登錄系統。sshd服務的配置文件默認位于/etc/ssh/sshd_config目錄下,正確調整相關配置項,可以進一步提高sshd遠程登錄的安全性。

1)服務監聽選項

sshd服務使用的默認端口號為22,必要時建議修改此端口號,并指定監聽服務的具體IP地址,以提高在網絡中的隱蔽性。V2版本要比V1版本的安全性要更好,禁用DNS反向解析可以提高服務器的響應速度。

[[email protected] ~]# vim /etc/ssh/sshd_config  <!--編輯sshd主配置文件-->
17 Port 22     <!--監聽端口為22-->
19 ListenAddress 192.168.100.10  <!--監聽地址為192.168.100.10-->
21 Protocol 2    <!--使用SSH V2協議-->
118 UseDNS no  <!--禁用DNS反向解析-->
......       <!--此處省略部分內容-->
[[email protected] ~]# systemctl restart sshd  <!--重啟sshd服務-->

2)用戶登錄控制

sshd服務默認允許root用戶登錄,但在Internet中使用時是非常不安全的。關于sshd服務的用戶登錄控制,通常應禁止root用戶或密碼為空的用戶登錄。另外,可以限制登錄驗證的時間(默認為2分鐘)及最大重試次數,若超過限制后仍未能登錄則斷開連接。

[[email protected] ~]# vim /etc/ssh/sshd_config   <!--編輯sshd主配置文件-->
 37 LoginGraceTime 2m    <!--登錄驗證時間為2分鐘-->
 38 PermitRootLogin yes   <!--禁止root用戶登錄-->
 40 MaxAuthTries 6        <!--最大重試次數為6-->
 67 PermitEmptyPasswords no    <!--禁止空密碼用戶登錄-->
 ......       <!--此處省略部分內容-->
[[email protected] ~]# systemctl restart sshd      <!--重啟sshd服務-->

2、登錄驗證方式

對于服務器的遠程管理,除了用戶賬戶的安全控制以外,登錄驗證的方式也非常重要。sshd服務支持兩種驗證方式——密碼驗證、密鑰對驗證,可以設置只使用其中一種方式,也可以兩種方式都啟用。

密碼驗證:對服務器中本地系統用戶的登錄名稱、密碼進行驗證。這種方式使用最為簡便,但從客戶端角度來看,正在連接的服務器有可能被假冒;從服務器角度來看,當遭遇密碼窮舉第三者時防御能力比較弱。

密鑰對驗證:要求提供相匹配的密鑰信息才能通過驗證。通常先在客戶端中創建一對密鑰文件(公鑰、私鑰),然后將公鑰文件放到服務器中的指定位置。遠程登錄時,系統將使用公鑰,私鑰進行加密/解密關聯驗證,大大增強了遠程管理的安全性。該方式不易被假冒,且可以免交互登錄,在Shell中被廣泛使用。

當密碼驗證,密鑰對驗證都啟用時,服務器將優先使用密鑰對驗證。對于安全性要求較高的服務器,建議將密碼驗證方式禁用,只允許啟用密鑰對驗證方式;若沒有特殊要求,則兩種方式都可以啟用。

[[email protected] ~]# vim /etc/ssh/sshd_config <!--編輯sshd主配置文件-->
 43 PubkeyAuthentication yes     <!--啟用密鑰對驗證-->
 47 AuthorizedKeysFile   .ssh/authorized_keys <!--指定公鑰庫文件-->
 66 PasswordAuthentication yes    <!--啟用密碼驗證-->
......       <!--此處省略部分內容-->
[[email protected] ~]# systemctl restart sshd     <!--重啟sshd服務-->

其中,公鑰文件用來保存多個客戶端上傳的公鑰文本,以便與客戶端本地的私鑰文件進行匹配。

二、使用SSH客戶端程序

在Centos 7.4系統中,OpenSSH客戶端由openssh-clients軟件包提供(默認已安裝),其中包括ssh遠程登錄命令,以及scp、sftp遠程復制和文件傳輸命令等。

1、命令程序ssh遠程登錄

通過ssh命令可以遠程登錄sshd服務,為用戶提供一個安全的Shell環境,以便對服務器進行管理和維護。使用時應指定登錄用戶、目標主機地址作為參數。示例如下:

[[email protected] ~]# ssh [email protected]
[email protected]'s password: 
Last login: Mon Nov 11 19:02:50 2019 from 192.168.100.254
[[email protected] ~]# 
[[email protected] ~]# 
[[email protected] ~]# ssh [email protected]
The authenticity of host '192.168.100.10 (192.168.100.10)' can't be established.
ECDSA key fingerprint is SHA256:PUueT9fU9QbsyNB5NC5hbSXzaWxxQavBxXmfoknXl4I.
ECDSA key fingerprint is MD5:6d:f7:95:0e:51:1a:d8:9e:7b:b6:3f:58:51:51:4b:3b.
Are you sure you want to continue connecting (yes/no)? yes  <!--接受密鑰-->
Warning: Permanently added '192.168.100.10' (ECDSA) to the list of known hosts.
[email protected]'s password:   <!--輸入密碼-->
Last login: Mon Nov 11 19:03:08 2019 from 192.168.100.20
[[email protected] ~]# who     <!--確認當前用戶-->
root   pts/1    2019-11-11 19:03 (192.168.100.20)
root   pts/2    2019-11-11 19:04 (192.168.100.10)

如果sshd服務器使用了非默認的端口(如2222),則在登錄時必須通過“-p”選項指定端口號。示例如下:

[[email protected] ~]# vim /etc/ssh/sshd_config<!--修改ssh主配置文件-->
Port 2222     <!--修改監聽端口號為2222-->
[[email protected] ~]# systemctl restart sshd  <!--重啟sshd服務-->
[[email protected] ~]# ssh -p 2222 [email protected]   <!--客戶端登錄ssh-->
[email protected]'s password:     <!--輸入密碼-->
Last login: Mon Nov 11 19:20:28 2019 from 192.168.100.10
[[email protected] ~]#      <!--成功登錄-->

2、scp遠程復制

通過scp命令可以利用SSH安全連接與遠程主機相互復制文件,使用scp命令時,除了必須指定復制源、目標之外,還應指定目標主機地址、登錄用戶,執行后根據提示輸入驗證口令即可。示例如下:

[[email protected] ~]# scp
[email protected]:/etc/ssh/sshd_config ./ 
     <!--將遠程主機數據復制到本地數據,保存在當前位置-->
[email protected]'s password:   <!--輸入密碼-->
sshd_config          100% 3910   3.6MB/s  00:00  
[[email protected] ~]# scp -r ./sshd_config
[email protected]:/opt   
     <!--將本地數據上傳到遠程主機目錄的opt中-->
[email protected]'s password:   <!--輸入密碼-->
sshd_config          100% 3910   1.2MB/s  00:00  

3、sftp安裝FTP

通過sftp命令可以利用SSH安全連接與遠程主機上傳、下載文件,采用了與FTP類似的登錄過程和交互環境,便于目錄資源管理。示例如下:

[[email protected] ~]# cd /opt/    <!--進入opt目錄-->
[[email protected] opt]# sftp [email protected]  <!--登錄sftp-->
[email protected]'s password:   <!--輸入密碼-->
Connected to 192.168.100.20.
sftp> pwd    <!--查看客戶端登錄sftp的位置默認在宿主目錄-->
Remote working directory: /root
sftp> put sshd_config    <!--上傳數據到遠程主機-->
Uploading sshd_config to /root/sshd_config
sshd_config          100% 3910   6.4MB/s  00:00  
sftp> get sshd_config     <!--下載數據到本地-->
Fetching /root/sshd_config to sshd_config
/root/sshd_config       100% 3910   3.6MB/s  00:00  
sftp> exit         <!--退出登錄-->

三、構建密鑰對驗證的SSH體系

密鑰對驗證方式可以遠程登錄提供更好的安全性。在Linux服務器、客戶端中構建密鑰對驗證SSH體系的基本過程。如下圖所示,整個過程包括四步,首先要在SSH客戶端以zhangsan用戶身份創建密鑰對,并且要將創建的公鑰文件上傳至SSH服務器端,然后要將公鑰信息導入服務器端的目標用戶lisi的公鑰數據庫,最后以服務器端用戶lisi的身份登錄驗證。

1、在客戶端創建密鑰對

在客戶端中,通過ssh-keygen工具為當前用戶創建密鑰對文件。可用的加密算法為ECDSA或DSA(ssh-keygen命令的“-t”選項用于指定算法類型)。示例如下:

[[email protected] ~]# ssh-keygen -t dsa   <!--創建密鑰對-->
Generating public/private dsa key pair.
Enter file in which to save the key (/root/.ssh/id_dsa):  <!--指定私鑰位置-->
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase): <!--設置私鑰短語-->
Enter same passphrase again:    <!--確認所設置的短語-->
Your identification has been saved in /root/.ssh/id_dsa.
Your public key has been saved in /root/.ssh/id_dsa.pub.
The key fingerprint is:
SHA256:zv0EdqIuOfwSovN2Dkij08y9wZ0f1+IyhY7LFNKKzkk [email protected]
The key's randomart image is:
+---[DSA 1024]----+
|         |
|         |
|         |
|   .      |
| o . o S.+ .  |
| * *.+.=.+.=   |
|o E.*o+==.+ o  |
| =o..*Oo++ +   |
| ++oo+*+o. .  |
+----[SHA256]-----+
[[email protected] ~]# ls -lh ~/.ssh/id_dsa* <!--確認生成的密鑰文件-->
-rw------- 1 root root 668 11月 12 16:11 /root/.ssh/id_dsa
-rw-r--r-- 1 root root 603 11月 12 16:11 /root/.ssh/id_dsa.pub

新生成的密鑰對文件中,id_das是私鑰文件,權限默認為600,對于私鑰文件必須妥善保管,不能泄露給他人;id_dsa.pub是公鑰文件,用來提供給ssh服務器。

2、將公鑰文件上傳至服務器

將上一步生成的公鑰文件上傳至服務器,并部署到服務器端用戶的公鑰數據庫中。上傳公鑰文件時可以選擇SCP、FTP、HTTP甚至發送E-mail等任何方式。

[email protected] ~]# ssh-copy-id -i ./.ssh/id_dsa.pub 
[email protected] <!--將公鑰文件上傳至服務器并導入公鑰文本-->
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "./.ssh/id_dsa.pub"
The authenticity of host '192.168.100.10 (192.168.100.10)' can't be established.
ECDSA key fingerprint is SHA256:PUueT9fU9QbsyNB5NC5hbSXzaWxxQavBxXmfoknXl4I.
ECDSA key fingerprint is MD5:6d:f7:95:0e:51:1a:d8:9e:7b:b6:3f:58:51:51:4b:3b.
Are you sure you want to continue connecting (yes/no)? yes  <!--輸入yes-->
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
[email protected]'s password:   <!--輸入密碼-->

Number of key(s) added: 1

Now try logging into the machine, with:  "ssh '[email protected]'"
and check to make sure that only the key(s) you wanted were added.

3、在客戶端使用密鑰對驗證

當私鑰文件(客戶端)、公鑰文件(服務器)均部署到位以后,就可以在客戶端中進行測試了。首先確認客戶端中當前的用戶為root,然后通過ssh命令以服務器端用戶root的身份進行遠程登錄。如果密鑰對驗證方式配置成功,則在客戶端將會要求輸入私鑰短語,以便調用私鑰文件進行匹配(若未設置私鑰短語,則直接登入目標服務器)。

[[email protected] ~]# ssh [email protected]   <!--登錄ssh服務器-->
Last login: Tue Nov 12 16:03:56 2019 from 192.168.100.254
[[email protected] ~]# who  <!--登錄成功服務器,查看都有哪些用戶-->
root   pts/0    2019-11-12 17:35 (192.168.100.20)
root   pts/2    2019-11-12 16:03 (192.168.100.254)

以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持我們。

本文標題: Centos 7.4中的遠程訪問控制的實現方法
本文地址: http://www.leskzw.tw/os/linux/286061.html

如果認為本文對您有所幫助請贊助本站

支付寶掃一掃贊助微信掃一掃贊助

  • 支付寶掃一掃贊助
  • 微信掃一掃贊助
  • 支付寶先領紅包再贊助
    聲明:凡注明"本站原創"的所有文字圖片等資料,版權均屬編程客棧所有,歡迎轉載,但務請注明出處。
    linux 上在指定時間段內每隔多少分鐘自動執行任務計劃crontabLinux下查看壓縮文件內容的10種方法(小結)
    Top 广东好彩1中奖规则