Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)
telnet tcp 端口23
安装软件包服务器 安装之前要先安装依赖包
修改配置文件 /etc/xinetd.d/telnet 开启telnet服务
启动telnet服务
查看telnet的运行端口 端口为23
客户端:
下载安装软件包
新建一个李四用户
进行telnet连接
服务器端查看对应的文件
服务器查看与李四有关的进程
使用finger查看
SSH协议
为客户机提供安全的shell环境 用于远程管理
默认端口 TCP 22
OpenSSH
服务名称 sshd
服务端主程序 /usr/sbin/sshd
客户端主程序 /usr/bin/ssh
服务端配置文件 /etc/ssh/sshd_config
客户端配置文件 /etc/ssh/ssh_config
Linux服务后面的d 是daemon守护进程
服务监听选项
端口号、协议版本、监听IP地址(协议版本2安全性更高一点)
禁用反向解析
用户登陆控制
禁止root用户、空密码用户
登陆时间、重试次数
AllowUsers、DenyUsers
登陆验证对象
服务器中的本地用户账号
登陆验证方式
密码验证:核对用户名 密码是否匹配
**对验证:核对客户的私钥 服务端公钥是否匹配
修改配置文件
新建一个用户张五
重启服务
用未被允许的用户登陆 访问被拒绝
用不被允许的IP登陆 访问被拒绝
用被允许的IP和用户访问
如果密码输入错过超过三次
构建**对验证的SSH体系
1.在客户机中创建**对
ssh-******命令
可用的加密算法:RSA或DSA
2.在SSH服务端 创建lisi用户 创建.ssh目录
3.上传公钥文件id_rsa.pub
4.在SSH服务端导入公钥信息
公钥库文件:/home/lisi/.ssh/authorized_keys
5.使用**对验证方式,登录服务器
禁用SSH服务端的密码认证 启用公钥认证
使用**对验证方式 登陆服务器
在客户端建立张三用户
在客户端里建立**对 123.com
进入服务器的李四用户目录 创建.ssh目录
上传公钥文件到服务器
服务器端查看文件
服务器端导出公钥信息
禁用服务器端的密码认证 启用公钥认证
重启服务
使用**对验证方式 登陆服务器失败
查看客户端相关文件的权限
服务器端的相关文件权限
修改权限
重新启动服务后登陆 使用**对验证方式登陆成功
TCP Wrappers
通过tcpd主程序对其他服务程序进行包装
由其他服务程序调用libwrap.so.*链接库
访问控制策略的配置文件
/etc/hosts.allow
/etc/hosts.deny
策略的应用顺序
先检查hosts.allow 找到匹配则允许访问
否则再检查hosts.deny 找到则允许访问
若两个文件中均无匹配策略 则默认允许访问
设置访问控制策略
策略格式:服务列表:客户机地址列表
服务列表--多个服务器以逗号分隔 all表示所有服务
客户机地址列表
多个地址以逗号分隔 all表示所有地址
允许使用通配符?和* *任意长度 ?单个
网段地址 如192.168.4. 或者 192.168.4.0/255.255.255.0
区域地址 如 .test.com
策略应用 禁止其他所有地址访问受保护的服务
允许客户机的IP访问
重启服务
用被允许的客户端登陆 登陆成功
用其他IP的客户端登陆
连接失败