Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

telnet   tcp 端口23

安装软件包服务器 安装之前要先安装依赖包

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

修改配置文件 /etc/xinetd.d/telnet 开启telnet服务

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

启动telnet服务

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

查看telnet的运行端口 端口为23

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

客户端:

下载安装软件包

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

新建一个李四用户

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

进行telnet连接

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

服务器端查看对应的文件

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

服务器查看与李四有关的进程

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

使用finger查看

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

SSH协议

为客户机提供安全的shell环境 用于远程管理

默认端口 TCP 22

 

OpenSSH

服务名称 sshd

服务端主程序 /usr/sbin/sshd

客户端主程序 /usr/bin/ssh

服务端配置文件 /etc/ssh/sshd_config

客户端配置文件 /etc/ssh/ssh_config

 

Linux服务后面的d 是daemon守护进程

 

服务监听选项

端口号、协议版本、监听IP地址(协议版本2安全性更高一点)

禁用反向解析

 

用户登陆控制

禁止root用户、空密码用户

登陆时间、重试次数

AllowUsers、DenyUsers

 

登陆验证对象

服务器中的本地用户账号

 

登陆验证方式

密码验证:核对用户名 密码是否匹配

**对验证:核对客户的私钥 服务端公钥是否匹配

 

修改配置文件

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

新建一个用户张五

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

重启服务

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

用未被允许的用户登陆 访问被拒绝

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

用不被允许的IP登陆 访问被拒绝

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

用被允许的IP和用户访问

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

如果密码输入错过超过三次

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

构建**对验证的SSH体系

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

1.在客户机中创建**对

ssh-******命令

可用的加密算法:RSA或DSA

2.在SSH服务端 创建lisi用户 创建.ssh目录

3.上传公钥文件id_rsa.pub

4.在SSH服务端导入公钥信息

公钥库文件:/home/lisi/.ssh/authorized_keys

5.使用**对验证方式,登录服务器

禁用SSH服务端的密码认证 启用公钥认证

使用**对验证方式 登陆服务器

 

在客户端建立张三用户

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

在客户端里建立**对 123.com

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

进入服务器的李四用户目录 创建.ssh目录

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

上传公钥文件到服务器

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

服务器端查看文件

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

服务器端导出公钥信息

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

禁用服务器端的密码认证 启用公钥认证

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

重启服务

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

使用**对验证方式 登陆服务器失败

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

查看客户端相关文件的权限

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

服务器端的相关文件权限

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

修改权限

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

重新启动服务后登陆 使用**对验证方式登陆成功

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

TCP Wrappers

通过tcpd主程序对其他服务程序进行包装

由其他服务程序调用libwrap.so.*链接库

 

访问控制策略的配置文件

/etc/hosts.allow

/etc/hosts.deny

 

策略的应用顺序

先检查hosts.allow 找到匹配则允许访问

否则再检查hosts.deny 找到则允许访问

若两个文件中均无匹配策略 则默认允许访问

 

设置访问控制策略

策略格式:服务列表:客户机地址列表

服务列表--多个服务器以逗号分隔 all表示所有服务

客户机地址列表

多个地址以逗号分隔 all表示所有地址

允许使用通配符?和*  *任意长度 ?单个

网段地址 如192.168.4.  或者 192.168.4.0/255.255.255.0

区域地址 如 .test.com

 

 

策略应用 禁止其他所有地址访问受保护的服务

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

允许客户机的IP访问

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

重启服务

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

用被允许的客户端登陆 登陆成功

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

 

用其他IP的客户端登陆

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

Linux SSH服务安全配置(密码验证、**对验证、设置访问控制策略)

连接失败