13888898888
网站首页 关于我们
企业优势
产品中心
公司动态
成功案例
行业动态
资质荣誉
工程业绩
在线留言
联系我们

公司动态

当前位置:官网首页 > 公司动态 >

CentOS7配置SSH远程访问

发布时间:2019-10-19

在实际生产环境中,不可能一直在服务器本地对服务器进行相应的管理,大多数企业服务器都是通过远程登录的方式进行管理的。当需要从一个工作站管理数以百计的服务器主机时,远程维护的方式将更占优势。

SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方的数据传输进行加密处理,其中包括用户登录时输入的用户口令。比以往的Telnet(远程登录)、RSH(远程执行命令)等传统的方式相比,SSH协议提供了更好的安全性。

OpenSSH是实现SSH协议的开源软件项目。在centos7.3系统中。OpenSSH服务器由openssh、openssh-server等软件包提供(默认已安装),并已将sshd添加为标准的系统服务。

sshd服务使用的默认端口号为22,必要时建议修改此端口号,并指定监听服务的具体IP地址,以提高在网络中的隐蔽性。除此之外,SSH协议的版本选用v2比v1的安全性要更好,禁用DNS反向解析可以提高服务器的响应速度。

sshd服务默认允许root用户登录,但在网络中是很大的安全隐患,普遍的做法是普通用户,然后切换到root用户。

当希望只允许或禁止某个用户登录时,可以使用AllowUsers或DenyUsers配置,两者用法类似(但是注意不要同时使用)。例如允许xiaoli和xiaozhang用户登录,且其中xiaozhang用户仅能从IP地址为192.168.1.2的地址远程登录。

当密码验证、密钥对验证都启用时,服务器将优先使用密钥对验证!没有特殊要求,建议两种方式都启用!

在CentOS 7.3系统中,OpenSSH客户端由openssh-clients软件包提供(默认已安装),其中包括ssh远程登录命令,以及scp、sftp远程复制和文件传输命令等。

通过ssh命令可以远程登录sshd服务,为用户提供一个安全的Shell环境,以便对服务器进行管理和维护!

如果sshd服务器使用非默认的端口号(比如2222)则需要使用“-p”选项指定端口号。

如果需要指定端口,使用“-P”选项!

通过sftp命令可以利用SSH安全连接与远程主机上传、下载文件,采用了与FTP类似的登录过程和交互式环境,便于目录资源管理。

在Windows主机上可以使用一些列图形化工具Xshell、SecureCRT、Putty等图形工具,支持Telnet、SSH、SFTP等协议,方便对Linux主机进行远程管理。这些图形化工具都提供了中文界面、功能和操作比较简单,这里不再做深入介绍。

密钥对验证方式可以为远程登录提供提供更好的安全性,流程图:

1.在客户端创建密钥对在LInux客户端中,通过ssh-keygen工具为当前用户创建密钥对文件,可用的加密算法为ECDSA或DSA(ssh-keygen命令的“-t”选项用于指定算法类型)

$ ssh-keygen -t ecdsa //创建基于ECDSA算法的SSH密钥对 Generating public/private ecdsa key pair. Enter file in which to save the key (/home/xiaowang/.ssh/id_ecdsa): //指定私钥存放位置 Created directory '/home/xiaowang/.ssh'. Enter passphrase (empty for no passphrase): //设置私钥短语 Enter same passphrase again: //确认所设置的短语 Your identification has been saved in /home/xiaowang/.ssh/id_ecdsa. Your public key has been saved in /home/xiaowang/.ssh/id_ecdsa.pub. The key fingerprint is: 13:c2:03:63:bc:2e:d8:7e:be:f1:1b:1d:95:6b:4c:49 xiaowang@kehuduan The key's randomart image is: +--[ECDSA 256]---+ | .+ E | | ..+ . o | | .+ . = | | . o = . | | o . S + | |. o . . + | | . .. . . | | . .o . | | oo.o. | +-----------------+

$ ls -lh ~/.ssh/id_ecdsa* -rw-------. 1 xiaowang xiaowang 227 8月 8 16:45 /home/xiaowang/.ssh/id_ecdsa -rw-r--r--. 1 xiaowang xiaowang 179 8月 8 16:45 /home/xiaowang/.ssh/id_ecdsa.pub

新生成的密钥对文件中,id_ecdsa是私钥文件 ,权限为600,需妥善保管;id_ecdsa.pub是公钥文件,用来提供给SSH服务器。

2.将公钥文件上传至服务器将刚才生成的公钥文件上传到服务端用户的公钥数据库中。

3.在服务器中导入公钥文本在服务器中,目标用户(指用阿里远程登录的账号)的公钥数据库位于~/.ssh目录,默认的文件名“authorized_keys”,需要自己手动创建!

# cat /mnt/id_ecdsa.pub >> /home/xiaozhang/.ssh/authorized_keys

# cat /home/xiaozhang/.ssh/authorized_keys ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBJmtmVbjnjH6NbWBRQcFjbYHoDBILQYclqrIHbVe0oyA15IXd+WBGsOcX3FYX8FYnIPHfL36Auj7aWb2MuVqmac= xiaowang@kehuduan

4.在客户端使用密钥对验证[xiaowang@kehuduan ~]$ ssh xiaozhang@192.168.1.1Last login: Thu Aug 8 16:03:33 2019 from 192.168.1.2//不用输入密码,即可连接,实验完成!

# ssh-copy-id -i ~/.ssh/id_ecdsa.pub root@192.168.1.1 //“-i”用来指定公钥文件,这一步把刚才第二、三步结合在一起 /bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed /bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys root@192.168.1.1's password: //输入服务端root用户密码 Number of key(s) added: 1 Now try logging into the machine, with: "ssh 'root@192.168.1.1'" and check to make sure that only the key(s) you wanted were added.

# ssh root@192.168.1.1 Last login: Thu Aug 8 17:03:20 2019 //验证实验效果

使用密钥对验证的方式登录时,不需要知道目标用户的面膜,而是验证客户端用户的私钥短语并检查私钥、公钥是否配对,这样安全性更好。

TCP Wrappers将TCP服务程序“包裹”起来,代为坚挺TCP服务程序的端口,增加了一个安全监测过程,外联的连接请求必须先通过这层安全监测,获得许可证才能访问真正的服务程序。如图:对于大多数Linux发行版,TCP Wrappers是默认提供的功能。CentOS 7.3使用的软件包是tcp_wrappers-7.6-77.el7.x86_64.rpm。

TCP Wrappers机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制,对应的两个策略文件为/etc/hosts.allow和/etc/hosts.deny ,分别用阿里设置允许和拒绝的策略。

服务器程序列表,客户端地址列表之间用冒号进行分隔,在列表内的多个项之间用逗号分隔。1)服务程序列表2)客户端地址列表

要求:希望仅允许192.168.1.0网段的主机访问sshd服务

# vim /etc/hosts.deny sshd:ALL