中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

SSH遠程管理與TCP Wrappers控制

發布時間:2020-06-23 05:02:26 來源:網絡 閱讀:350 作者:caozhengtao1213 欄目:系統運維

一、SSH協議及配置文件

SSH遠程管理與TCP Wrappers控制
SSH服務配置文件:
?服務名稱:sshd
?服務端主程序:/usr/sbin/sshd
?服務端配置文件:/etc/ssh/sshd_config

二、服務監聽選項:

?端口號,協議版本,監聽IP地址
?禁用反向解析
SSH遠程管理與TCP Wrappers控制

三、用戶登錄控制

?禁止root用戶,空密碼用戶
?登錄時間,重試次數
?AllowUsers,DenyUsers(配置文件中手工添加)
SSH遠程管理與TCP Wrappers控制

四、SSH服務實驗解析:

1、默認其他終端可以使用SSH以root身份登錄到服務器進行維護。
SSH遠程管理與TCP Wrappers控制
2、禁止其他終端可以使用SSH以root身份登錄到服務器。
(1)執行“vim etc/ssh/sshd_config”命令進入到ssf服務端的配置文件。
SSH遠程管理與TCP Wrappers控制
(2)刪除“PermitRootLogin”開頭的“#”符號,并將“yes”改成“no”即可。
SSH遠程管理與TCP Wrappers控制
(3)執行“systemctl restart sshd”命令重啟ssh服務。
SSH遠程管理與TCP Wrappers控制
(4)終端將無法使用root身份登錄。
SSH遠程管理與TCP Wrappers控制
(5)然而終端可以通過其他用戶作為跳板,并使用su命令切換root用戶。
SSH遠程管理與TCP Wrappers控制
(6)我們可以啟用PAM認證模塊,執行“vim /etc/pam.d/su”命令進入到pam認證模塊配置文件。
SSH遠程管理與TCP Wrappers控制
(7)在配置文件中將第六行開頭的“#”符號刪除,以開啟pam認證。
SSH遠程管理與TCP Wrappers控制
(8)我們使用id命令開頭看到czt用戶屬于pam認證的wheel組,而lisi用戶不屬于wheel組。
SSH遠程管理與TCP Wrappers控制
(9)不隸屬于wheel組的lisi用戶無法切換root用戶,而隸屬于wheel組的czt用戶方能切換root用戶。
SSH遠程管理與TCP Wrappers控制
3、我們可以設定登錄驗證的次數來防止密碼破解。
(1)執行“vim etc/ssh/sshd_config”命令進入到ssf服務端的配置文件。
SSH遠程管理與TCP Wrappers控制

(2)刪除“MaxAuthTries 6”開頭處的“#”符號一開啟登錄驗證功能。
SSH遠程管理與TCP Wrappers控制

(3)執行“systemctl restart sshd”命令重啟ssh服務。
SSH遠程管理與TCP Wrappers控制

(4)默認情況下我們只輸入三次就被指定登出了。

SSH遠程管理與TCP Wrappers控制
(5)我們可以在登錄時即加入一個參數,“ssh -o NumberOfPasswordPrompts=8 lisi@192.168.174.151
”即可按照默認的嘗試次數去反復輸入密碼,輸錯六次后自動登出。
SSH遠程管理與TCP Wrappers控制
4、線網上建議設定白名單——AllowUsers
(1)執行“vim etc/ssh/sshd_config”命令進入到ssf服務端的配置文件。
SSH遠程管理與TCP Wrappers控制

(2)手工在空行處輸入“AllowUsers zhaoliu”僅zhaoliu用戶可以登錄。
SSH遠程管理與TCP Wrappers控制
(3)執行“systemctl restart sshd”命令重啟ssh服務。

SSH遠程管理與TCP Wrappers控制
(4)其他用戶便無法登錄到服務器,僅zhaoliu用戶可以登錄。
SSH遠程管理與TCP Wrappers控制

五、SSH密鑰對登錄驗證

SSH遠程管理與TCP Wrappers控制
1、執行“vim etc/ssh/sshd_config”命令進入到ssf服務端的配置文件。
SSH遠程管理與TCP Wrappers控制

2、將“PubkeyAuthentication yes”前的“#”符號刪除以開啟密鑰對驗證功能。
SSH遠程管理與TCP Wrappers控制
3、在服務端執行“systemctl restart sshd”命令重啟ssh服務。
SSH遠程管理與TCP Wrappers控制

4、在客戶端執行“ssh-keygen -t ecdsa
”命令來創建密鑰對;按回車鍵保持默認路徑不變;輸入密鑰對的密碼即可獲取到加密的密鑰。
SSH遠程管理與TCP Wrappers控制
5、我們在客戶端執行“cd .ssh/”命令進入到隱藏文件夾可見“id_ecdsa”私鑰文件,以及“id_ecdsa.pub”公鑰文件。
SSH遠程管理與TCP Wrappers控制
6、執行“ ssh-copy-id -i id_ecdsa.pub czt@192.168.174.151
”命令將公鑰文件推送給服務器。
SSH遠程管理與TCP Wrappers控制
7、在服務端執行“cd .ssh/”命令進入隱藏目錄查看是否收到來自ccc用戶的公鑰文件。
SSH遠程管理與TCP Wrappers控制
8、客戶端下次登錄時就需要進行密鑰驗證,輸入密鑰密碼即可成功登錄。
SSH遠程管理與TCP Wrappers控制
9、然而登錄需要進行密碼驗證交互步驟,我們可以使用代理功能來實現免交互登錄(建議不要在公共設備上使用)。
SSH遠程管理與TCP Wrappers控制
六、sftp服務
1、我們可以執行“sftp root@192.168.174.151”命令來登錄到服務端的家目錄中。
SSH遠程管理與TCP Wrappers控制

2、在服務端我們可以執行thouch命令創建文件。
SSH遠程管理與TCP Wrappers控制
3、客戶端便可以通過使用“get”命令安全下載到服務端的文件。
SSH遠程管理與TCP Wrappers控制
4、客戶端亦可以使用“put” 命令安全上傳文件給服務器。
SSH遠程管理與TCP Wrappers控制
七、TCP Wrappers 控制
SSH遠程管理與TCP Wrappers控制
1、訪問控制策略的配置文件:
?/etc/hosts.allow
?/etc/hosts.deny
2、設置訪問控制策略:
?策略格式:服務列表:客戶機地址列表
?服務列表:多個服務一逗號分隔,ALL表示所有服務
3、策略的應用順序:
?先檢查hosts.allow,找到匹配則允許訪問
?否則再檢查hosts.deny,找到則拒絕訪問
?若兩個文件中均無匹配策略,則默認允許訪問

4、實驗解析:

(1)在服務端執行“vim /etc/hosts.allow
”命令進入到白名單配置文件。
SSH遠程管理與TCP Wrappers控制
(3)在白名單配置文件中寫入“ssh:192.168.174.110”僅允許此IP地址的主機登錄。
SSH遠程管理與TCP Wrappers控制
(4)執行“vim /etc/hosts.deny
”命令進入到黑名單配置文件。
SSH遠程管理與TCP Wrappers控制
(5)在還沒到配置文件中寫入“sshd:ALL”拒絕所有ip登錄。
SSH遠程管理與TCP Wrappers控制
(6)除了終端IP地址為“192.168.174.110”能登錄,其他無法登錄。
SSH遠程管理與TCP Wrappers控制
(7)在服務端執行“vim /etc/hosts.allow
”命令進入到白名單配置文件。
SSH遠程管理與TCP Wrappers控制
(8)只在黑名單配置文件中寫入“ssh:192.168.174.110”僅拒絕此IP地址的主機登錄,其他IP地址的主機可用登錄。
SSH遠程管理與TCP Wrappers控制
(9)除了終端IP地址為“192.168.174.110”無法登錄,其他IP的主機都能登錄。
SSH遠程管理與TCP Wrappers控制

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

巴塘县| 兰考县| 嘉祥县| 东源县| 金川县| 开江县| 潮州市| 常州市| 准格尔旗| 徐州市| 开远市| 长治市| 波密县| 金坛市| 金昌市| 微山县| 南木林县| 泌阳县| 古丈县| 贵定县| 岫岩| 皮山县| 文水县| 泰来县| 汉寿县| 鄂州市| 增城市| 宁乡县| 龙江县| 金塔县| 峨眉山市| 务川| 连南| 东乌| 肃北| 金塔县| 大竹县| 新化县| 依兰县| 通海县| 金乡县|