一、ssh基本配置
開兩臺centos系統7-1(服務端)、7-2(客戶端)
用xshell連接,證明sshd的22端口開放出來了
配置文件所在位置
進入服務端配置文件,進行一系列配置:端口22功能打開等等
爲區分兩個系統用戶,我們分別將其用戶名設爲test01、test02,接着進行遠程登陸。
輸入訪問命令,即可連接並進行一系列操作
可在對方的opt下創建abc文本,進行遠程操作
回到7-1的服務端,進ssh配置文件,更改不允許對方用root身份登陸,保存退出。即在客戶端用root身份不可登陸,即使有密碼也無法登陸。
但隨之而來的問題,我們先用普通用戶lisi登陸服務端,接着可切換到服務器的root用戶,可實現跳板登陸
解決:進行pam模塊驗證,開啓功能,即不在wheel組內成員不可用su命令切換用戶。
在客戶端用lisi登陸,並用su切換root,被拒絕。並且切換同級別權限的zhangsan,也不能切換。(pam驗證開啓非常重要,加大系統安全)
結論:不在wheel組內平級用戶也切換不了,zhangsan在wheel組內,可切換爲lisi用戶,也可切換root用戶。
開啓最大驗證次數功能,卻發現默認驗證3次。
要想驗證次數變爲6,那麼我們就要更改驗證次數爲8,即驗證最大次數從默認的3變爲了6。
回到服務器7-1,配置文件中插入白名單,即皆可登陸服務器的zhangsan和wangwu用戶
此時我們還需在開一臺centos7-3,IP爲129.168.195.130,登陸服務器wangwu(配置文件中沒設置wangwu允許登陸的ip,可從任意終端登陸)
結論:白名單上爲僅允許,名單上有的條目可以去執行,沒有的一概不能執行;反之黑名單則爲僅拒絕,即名單上的條目皆不可執行。(在企業環境中建議使用白名單)
二、密鑰對進行身份驗證
在配置文件中開啓密鑰對驗證功能
用7-2客戶端進行密鑰生成,用戶caiwu來驗證。
在家目錄下有公鑰和私鑰,推送公鑰給服務端,指定服務端用戶zhangsan,輸入對方登陸密碼,家目錄下生成一個known_hosts(內有推送的服務端ip、加密方式ecdsa等)。
再次回到服務端,家目錄中已有公鑰導入文件。
查看當前用戶方法
只有用caiwu用戶ssh遠程訪問服務器zhangsan用戶要用密鑰對驗證(每次驗證都要密鑰對驗證)。
防止每次都要進行密鑰驗證,我們來設置只需一次驗證,之後可直接進入。
三、ssh客戶端
若服務器的端口改爲123,那麼在客戶端遠程訪問就要輸入以下命令,先開啓客戶端可用root用戶登陸的權限(複製操作要用到),刪除之前建立的白名單。
Scp遠程複製文件到服務器端。
Scp遠程複製文件夾到服務器端。
將之前opt下文件全部刪除,進行ssh安全下載文件。進行遠程連接後,會回到對方服務器的家目錄下
首先給文件改名server,進行ssh安全上傳文件server文件
可以直接切換用戶目錄,進行任意更改文件。爲限制只可訪問對方服務器的家目錄,我們研究出了一套方法。
在配置文件中找到這一行註釋,並打開此功能。
並輸入一系列命令。
且權限必須爲755,文件屬主、屬組必須是root。
四、TCP Wrappers
在配置之前,需要將黑白名單在ssh配置文件中刪除,否則配置策略應用時會重複。在/etc/hosts.allow中進行配置
在/etc/hosts.deny中進行配置
測試129客戶端能否訪問服務器,發現可以
測試130客戶端能否訪問服務器,發現被直接拒絕(黑白名單是允許輸入密碼,不一樣)
現在在兩個中配置兩個一樣的內容:均爲129,發現允許訪問。
結論:先檢查allow中,找到匹配則允許訪問。否則再檢查hosts.deny,找到則拒絕訪問;若兩個文件中都沒有內容,則默認所有文件允許訪問。