遠(yuǎn)程訪問(wèn)及控制

1、第五章第五章 遠(yuǎn)程訪問(wèn)及控制遠(yuǎn)程訪問(wèn)及控制 理論部分 遠(yuǎn)程訪問(wèn)及控制 使用su、sudo的用途是什么？ 如何查詢當(dāng)前用戶能通過(guò)sudo執(zhí)行哪些命令？ 如何防止通過(guò)單用戶模式進(jìn)入Linux系統(tǒng)？ 課程回顧 學(xué)會(huì)構(gòu)建SSH遠(yuǎn)程登錄服務(wù) 學(xué)會(huì)使用SSH客戶端工具 學(xué)會(huì)編寫TCP Wrappers訪問(wèn)策略 技能展示 本章結(jié)構(gòu) 遠(yuǎn)程訪問(wèn)及控制遠(yuǎn)程訪問(wèn)及控制 TCP Wrappers概述概述 TCP Wrappers訪問(wèn)策略訪問(wèn)策略 使用使用SSH客戶端程序客戶端程序 密鑰對(duì)驗(yàn)證的密鑰對(duì)驗(yàn)證的SSH體系體系 SSH遠(yuǎn)程管理遠(yuǎn)程管理 TCP Wrappers控制控制 配置配置OpenSSH服務(wù)端服務(wù)端 SS

2、H協(xié)議 為客戶機(jī)提供安全的Shell環(huán)境，用于遠(yuǎn)程管理 默認(rèn)端口：TCP 22 OpenSSH 服務(wù)名稱：sshd 服務(wù)端主程序：/usr/sbin/sshd 客戶端主程序：/usr/bin/ssh 服務(wù)端配置文件：/etc/ssh/sshd_config 客戶端配置文件：/etc/ssh/ssh_config OpenSSH服務(wù)器4-1 服務(wù)監(jiān)聽(tīng)選項(xiàng) 端口號(hào)、協(xié)議版本、監(jiān)聽(tīng)I(yíng)P地址 禁用反向解析 OpenSSH服務(wù)器4-2 rootlocalhost # vi /etc/ssh/sshd_config Port 22 Protocol 2 ListenAddress 5

3、4 UseDNS no 用戶登錄控制 禁止root用戶、空密碼用戶 登錄時(shí)間、重試次數(shù) AllowUsers、DenyUsers OpenSSH服務(wù)器4-3 rootlocalhost # vi /etc/ssh/sshd_config PermitRootLogin no PermitEmptyPasswords no LoginGraceTime 2m MaxAuthTries 6 AllowUsers jerry admin5 不要與不要與DenyUsersDenyUsers同時(shí)用同時(shí)用 登錄驗(yàn)證對(duì)象 服務(wù)器中的本地用戶賬號(hào) 登錄驗(yàn)證方式 密碼驗(yàn)證：核對(duì)用戶名、密碼是

4、否匹配 密鑰對(duì)驗(yàn)證：核對(duì)客戶的私鑰、服務(wù)端公鑰是否匹配 OpenSSH服務(wù)器4-4 rootlocalhost # vi /etc/ssh/sshd_config PasswordAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys 啟用密碼驗(yàn)證、密鑰對(duì)驗(yàn)啟用密碼驗(yàn)證、密鑰對(duì)驗(yàn) 證、指定公鑰庫(kù)位置證、指定公鑰庫(kù)位置 ssh命令 遠(yuǎn)程安全登錄 格式：ssh userhost scp命令 遠(yuǎn)程安全復(fù)制 格式1：scp userhost:file1 file2 格式2：scp file1

5、 userhost:file2 sftp命令 安全FTP上下載 格式：sftp userhost 使用SSH客戶端程序3-1 端口選項(xiàng)：端口選項(xiàng)：-p 22-p 22 端口選項(xiàng)：端口選項(xiàng)：-P 22-P 22 端口選項(xiàng)：端口選項(xiàng)：-oPort=22-oPort=22 PuttyCN 一款跨平臺(tái)的Telnet/SSH圖形客戶端軟件 使用SSH客戶端程序3-2 WinSCP 一款Windows平臺(tái)的SCP、SFTP圖形客戶端軟件 使用SSH客戶端程序3-3 整體實(shí)現(xiàn)過(guò)程 構(gòu)建密鑰對(duì)驗(yàn)證的SSH體系5-1 第一步第一步：創(chuàng)建密鑰對(duì) 私鑰文件：id_rsa 公鑰文件：id_rsa.pub SSH客戶機(jī)

6、SSH服務(wù)器 第二步第二步：上傳公鑰文件 id_rsa.pub 第三步第三步：導(dǎo)入公鑰信息 公鑰庫(kù)文件：/.ssh/authorized_keys 第四步第四步：使用密鑰對(duì)驗(yàn)證方式 由客戶端的用戶zhangsan 在本地創(chuàng)建密鑰對(duì) 導(dǎo)入到服務(wù)端用戶lisi的 公鑰數(shù)據(jù)庫(kù) 以服務(wù)端的用戶lisi的身 份進(jìn)行登錄 1. 在客戶機(jī)中創(chuàng)建密鑰對(duì) ssh-keygen命令 可用的加密算法：RSA或DSA 構(gòu)建密鑰對(duì)驗(yàn)證的SSH體系5-2 zhangsanlocalhost $ ssh-keygen -t rsa Generating public/private rsa key pair. Enter

7、file in which to save the key (/home/zhangsan/.ssh/id_rsa): Created directory /home/zhangsan/.ssh. Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/zhangsan/.ssh/id_rsa. Your public key has been saved in /home/zhangsan/.ssh/id_rsa.p

8、ub. 公鑰文件位置公鑰文件位置 設(shè)置密鑰短語(yǔ)設(shè)置密鑰短語(yǔ) 私鑰文件位置私鑰文件位置 2. 將公鑰文件上傳至服務(wù)器 任何方式均可（共享、FTP、Email、SCP、） 構(gòu)建密鑰對(duì)驗(yàn)證的SSH體系5-3 zhangsanlocalhost $ scp /.ssh/id_rsa.pub rootserver:/tmp/ root54s password: id_rsa.pub 100% 412 0.4KB/s 00:00 3. 在服務(wù)器中導(dǎo)入公鑰文本 將公鑰文本添加至目標(biāo)用戶的公鑰庫(kù) 默認(rèn)公鑰庫(kù)位置：/.ssh/authorized_keys 構(gòu)建密鑰對(duì)驗(yàn)證的SSH體系5-4

9、 rootlocalhost # su - lisi lisilocalhost $ cat /tmp/id_rsa.pub /.ssh/authorized_keys lisilocalhost $ tail -1 /.ssh/authorized_keys ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAm8uUlE5TNRTiVLGBsy4Ozf cXTqNLF4pAUyrFqEOA/HDnQxX1af5M6B9s0UqcUc5fVRB51H3z2VMU9ivP YzmFMAck1ual12+Jjn8TeRoEO2vVl9wd83xRbNOjbH7zuWf+LOz

10、S2yO0XE NxU5KirzALrRh/YFA42/8+c7RH/TZb9xjKb37vx/HJ5OsFZ1AU+SrlG/MpZaR 3kSLBDSx/LbkBJaAhy1nOk4S8F42Ksh9wVheJcqOVuFdXNJxCckviAsFJDH f9t8sjsctDPBo/fTyiH9O/ZNNt4093LsiwT7Yos0NuT+Ej6/aWiNUgp7wJghgG60 c4BAbNbBJs90uZLsI4Q= zhangsanlocalhost.localdomain 4. 客戶端使用密鑰對(duì)驗(yàn)證登陸 驗(yàn)證用戶：服務(wù)端的用戶lisi 驗(yàn)證密碼：客戶端的用戶zhangsan的私鑰

11、短語(yǔ) 構(gòu)建密鑰對(duì)驗(yàn)證的SSH體系5-5 zhangsanlocalhost $ ssh lisi54 Enter passphrase for key /home/zhangsan/.ssh/id_rsa: lisilocalhost $ 以以zhangsanzhangsan的私鑰的私鑰 短語(yǔ)進(jìn)行驗(yàn)證短語(yǔ)進(jìn)行驗(yàn)證 請(qǐng)思考： 如何禁止root用戶登錄ssh服務(wù)器？ SSH的密碼驗(yàn)證、密鑰對(duì)驗(yàn)證有什么區(qū)別？ 構(gòu)建密鑰對(duì)驗(yàn)證SSH體系的基本過(guò)程是什么？ 小結(jié) “包袱”保護(hù)原理 TCP Wrappers概述2-1 TCP Wrappers機(jī)制 代為監(jiān)聽(tīng)端口21 代為監(jiān)聽(tīng)端口23

12、代為監(jiān)聽(tīng)端口110 代為監(jiān)聽(tīng)端口143 客戶機(jī)的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求 對(duì) 訪 問(wèn) 請(qǐng) 求 進(jìn) 行 過(guò) 濾 控 制 vsftpd telnet ipop3 imap 調(diào)用相應(yīng)的網(wǎng)絡(luò)程序 保護(hù)機(jī)制的實(shí)現(xiàn)方式 方式1：通過(guò)tcpd主程序?qū)ζ渌?wù)程序進(jìn)行包裝 方式2：由其他服務(wù)程序調(diào)用libwrap.so.*鏈接庫(kù) 訪問(wèn)控制策略的配置文件 /etc/hosts.allow /etc/hosts.deny TCP Wrappers概述2-2 設(shè)置訪問(wèn)控制策略 策略格式：服務(wù)列表:客戶機(jī)地址列表 服務(wù)列表 n多個(gè)服務(wù)以逗號(hào)分隔，ALL 表示所有服務(wù) 客戶機(jī)地址列表 n多個(gè)地址以逗號(hào)分隔，ALL表示所有地址 n允

13、許使用通配符 ? 和 * n網(wǎng)段地址，如 192.168.4. 或者 / n區(qū)域地址，如 TCP Wrappers策略應(yīng)用3-1 策略的應(yīng)用順序 先檢查hosts.allow，找到匹配則允許訪問(wèn) 否則再檢查hosts.deny，找到則拒絕訪問(wèn) 若兩個(gè)文件中均無(wú)匹配策略，則默認(rèn)允許訪問(wèn) TCP Wrappers策略應(yīng)用3-2 策略應(yīng)用示例 僅允許從以下地址訪問(wèn)sshd服務(wù) n主機(jī)7 n網(wǎng)段/24 禁止其他所有地址訪問(wèn)受保護(hù)的服務(wù) TCP Wrappers策略應(yīng)用3-3 rootlocalhost # vi

14、/etc/hosts.allow sshd:7,192.168.2.* rootlocalhost # vi /etc/hosts.deny sshd:ALL 本章總結(jié) 遠(yuǎn)程訪問(wèn)及控制遠(yuǎn)程訪問(wèn)及控制 TCP Wrappers概述概述 TCP Wrappers訪問(wèn)策略訪問(wèn)策略 使用使用SSH客戶端程序客戶端程序 密鑰對(duì)驗(yàn)證的密鑰對(duì)驗(yàn)證的SSH體系體系 SSH遠(yuǎn)程管理遠(yuǎn)程管理 TCP Wrappers控制控制 配置配置OpenSSH服務(wù)端服務(wù)端 第五章第五章 遠(yuǎn)程訪問(wèn)及控制遠(yuǎn)程訪問(wèn)及控制 上機(jī)部分 第五章 遠(yuǎn)程訪問(wèn)及控制 實(shí)驗(yàn)環(huán)境 為Web服務(wù)器配置OpenSSH服務(wù) 實(shí)驗(yàn)案例

15、：構(gòu)建安全的SSH服務(wù)體系4-1 局域網(wǎng)段 /24 網(wǎng)站服務(wù)器（網(wǎng)站服務(wù)器（SSHSSH） Internet 網(wǎng)關(guān)服務(wù)器 eth0: 1 eth1: 網(wǎng)管工作站 10 Internet測(cè)試用機(jī) 18 需求描述 允許用戶wzadm從任意地址登陸，采用密鑰對(duì)驗(yàn)證 允許用戶jacky從主機(jī)10登陸 禁止其他所有用戶遠(yuǎn)程登錄 實(shí)現(xiàn)思路 同時(shí)啟用密碼驗(yàn)證、密鑰對(duì)驗(yàn)證 鎖定wzadm用戶，改以密鑰對(duì)方式進(jìn)行驗(yàn)證 使用AllowUser配置，僅允許wzadm、ja