04 远程访问及控制

1、SSH远程管理

SSH是一种安全通道协议，主要用来实现字符界面的远程登录、远程复制等功能。

SSH协议对通信双方的数据传输进行了加密处理（包括用户登陆时输入得用户口令）。

终端：接收用户的指令

TTY终端不能远程，它是操作系统自带的终端

虚拟终端：借助了ssh协议

ssh的端口号22，加密

telnet端口号23，不加密

解释器：shell

注：与早期的Telnet(远程登录)、RSH（远程执行命令）、RCP（远程文件复制）等应用相比，SSH协议提供了更好地安全性。

OpenSSH是实现SSH协议的开源软件项目，适用于各种UNIX、Linux操作系统。

1.1 配置OpenSSH服务端

在Centos系统中，OpenSSH服务器由openssh、openssh-server等软件包提供。

注：执行systemctl start sshd命令可启动sshd服务，包括root用户在内的大部分用户（只要拥有合法的登录Shell）都可以远程登录系统。

sshd服务的默认配置文件是/etc/ssh/sshd_config，在这个配置文件里正确调整相关的配置项，可以进一步提高sshd远程登录的安全性。

（1）服务监听选项

在sshd服务中，使用的默认端口号为22，在必要时建议可修改端口号，并指定监听服务的具体IP地址，以提高在网络中的隐蔽性。

注：SSH协议的版本选用V2比V1的安全性要更好一些，禁用DNS反向解析可以提高服务器的响应速度。

（2）用户登录控制

sshd服务默认允许root用户登录，但这在Internet中使用时是非常不安全的。

注：普遍的做法是先以普通用户远程登录，进入安全Shell环境之后，再根据实际需要使用su命令切换为root用户。

关于对sshd服务的用户登录控制，通常应禁止root用户或密码为空的用户登录。另外，还可以限制登陆验证的时间及最大重试次数（若超过限制次数后仍未能登录，则断开连接）。

如果希望只允许或禁止某些用户登陆时，可以使用AllowUser或DenyUsers配置（两者的用法类似，但注意不要同时使用）。

例如，若只允许jerry、tsengyia和admin用户登录，且其中的admin用户能够从IP地址为61.23.24.25的主机远程登录，那就可以在/etc/ssh/sshd_config配置文件中添加如下图中的配置：

（3）登录验证方式

对于服务器的远程管理，除了用户账号的安全控制外，登陆验证的方式也非常重要。

sshd服务支持两种验证方式——密码验证、密钥对验证。

注：可以设置只使用其中的一种方式，也可以两种方式都启用。

• 密码验证：对服务器中本地系统用户的登录名称、密码进行验证。

从客户端角度来看，正在连接的服务器有可能被假冒；

从服务器角度来看，当遭遇密码穷举（暴力破解）攻击时防御能力比较弱。

• 密钥对验证：要求提供相匹配的密钥信息才能通过验证。

通常先在客户端中创建一对密钥文件（公钥、私钥），然后将公钥文件放到服务器中的指定位置。

远程登陆时，系统将使用公钥、私钥进行加密/解密关联验证，这大大增强了远程管理的安全性。

密钥对验证的这种方式不易被假冒，且可以免交互登录，在Shell中被广泛使用。

当密码验证、密钥对验证都启用时，服务器将优先使用密钥对验证。

补充：对于安全性要求比较高的服务器，建议将密码验证方式禁用，只允许启用密钥对验证方式；若没有特殊要求，则两种方式都可启用，如下图：

上图中的公钥库文件用来保存多个客户端上传的公钥文本，以便与客户端本地的私钥文件进行匹配。

1.2 使用SSH客户端程序

OpenSSH客户端由openssh-clients软件包提供（默认已安装）。

任何支持SSH协议的客户端程序都可以与OpenSSH服务器进行通信，如Windows中的Xshell、SecureCRT、Putty等图形工具。

（1）ssh——远程登录

通过ssh命令可以远程登录sshd服务，这为用户提供了一个安全的Shell环境，以便对服务器进行管理和维护。

注：使用ssh命令时，应该指定登录用户、目标主机地址作为参数。

例如，若要登录主机172.16.16.22，以对方服务器的tsengyia用户进行验证，可执行如下图中的命令：

补充：

• 当用户第一次登录SSH服务器时，必须接受服务器发来的ECDSA密钥（根据提示输入yes）

后才能继续验证。接收到的密钥信息将保存到~/.ssh/known_hosts文件中。

密码验证成功之后，即可登录目标服务器的命令行环境中了，这就好像把客户端的显示器、键盘连接到服务器一样。

如果sshd服务器使用了非默认的端口号（如2345），则在登录时必须通过-p选项来指定端口号。

例如，执行以下操作将访问主机172.16.16.22的2345端口，并以对方服务器的jerry用户验证登录：

（2）scp——远程复制

通过scp命令可以利用SSH安全连接与远程主机相互复制文件。

注:使用scp命令时，除了必须指定复制源、目标之外，还应指定目标主机地址、登录用户。

例如，执行下图中的命令可将远程主机中的/etc/passwd文件复制到本机：

执行下图中的命令，可以将本机的/etc/vsftpd目录复制到远程主机：

（3）sftp——安全FTP

通过sftp命令，可以利用SSH安全连接与远程主机上传、下载文件。采用了与FTP类似的登录过程合交互式环境，便于目录资源管理。

如下图，分别演示了sftp登录、浏览、文件上传等过程：

2、图形工具XShell

图形工具XShell是Windows下一款功能非常强大的安全终端模拟软件，它支持Telnet、SSH、SFTP等协议，可以方便的对Linux主机进行远程管理。

安装并运行Xshell之后，在新建会话窗口中指定远程主机的IP地址、端口号等相关信息，然后点击连接按钮，根据提示接受密钥、验证密码后既可成功登录目标主机。如下图所示：

2.1 构建密钥对验证的SSH体系

密钥对的验证方式可以为远程登录提供更好的安全性，在Centos7服务器、客户端中构建密钥对验证SSH体系的基本过程如下图所示：

以RSA加密算法为例，整个过程包括4步。

首先在SSH客户端以用户zhangsan的身份创建密钥对，并且要将创建的公钥文件上传至SSH服务器端；

然后将公钥信息导入服务器端的目标用户lisi的公钥数据库，

最后以服务器端用户lisi的身份登录验证。

2.1.1 在客户端创建密钥对

例如，以zhangsan用户登录客户端，并生成基于ECDSA算法的SSH密钥对（公钥、私钥）文件，如下图所示：

补充：ssh-keygen命令的-t选项用于指定算法的类型。

上图操作过程中，提示指定私钥文件的存放位置时，一般直接按Enter键即可，最后生成的私钥、公钥文件默认存放在宿主目录中的隐藏文件夹.ssh下。

私钥短语——是用来对私钥文件进行保护的（当使用该私钥验证登录时必须正确提供此处所设置的短语）

尽管不设置私钥短语也是可行的（实现无口令登录），但在生产环境中不建议这样做。

上图中，新生成的密钥对文件中，id_ecdsa是私钥文件，权限默认为600（对于私钥文件必须妥善保管，不能泄露给他人）

id_ecdsa.pub是公钥文件，用来提供给SSH服务器。

2.1.2 将公钥文件上传至服务器

将上一步生成的公钥文件上传至服务器，并部署到服务器端用户的公钥数据库中。上传公钥文件时，可以选择SCP、FTP、Samba、HTTP甚至发送E-mail等任何方式。

例如，可以通过SCP的方式将文件上传至服务器的/tmp目录下：

2.1.3 在服务器中导入公钥文本

在服务器中，目标用户（指用来远程登录的账号lisi）的公钥数据库位于~/。ssh目录，默认的文件名是authorize_keys(如果目录不存在，需要手动创建)

当获得客户端发送过来的公钥文件以后，可以通过重定向将公钥文本内容追加到目标用户的公钥数据库：

上图中，在公钥库authorized_keys文件中，最关键的内容是ecdsa-sha2-nistp256加密字串部分。当导入非ssh-keygen工具创建的公钥文本时，应确保此部分信息完整，最后的zhangsan@localhost是注释信息。

注：sshd服务默认采用严格的权限检测模式，因此还需要注意公钥库文件authorized_keys的权限——要求除了登陆的目标拥护火root用户，同组或其他拥护对该文件不能有写入的权限，否则可能无法成功使用密钥对验证。

2.1.4 在客户端使用密钥对验证

当私钥文件（客户端）、公钥文件（服务器）均部署到位以后，就可以进行测试了。

首先确认客户端中的当前的用户为zhangsan，然后通过ssh命令以服务器端用户lisi的身份进行远程登录。

如果密钥对验证方式配置成功，则在客户端将会要求输入私钥短语，以便调用撕咬文件进行匹配（若未设置私钥短语，则直接登入目标服务器）

经过上述4个步骤，SSH密钥对验证体系已经构建完成。

3.TCP Wrapper访问控制

TCP Wrappers是一种防护机制，以作为应用服务与网络之间的一道特殊防线，提供额外的安全保障。

3.1 TCP Wrappers的访问策略

TCP Wrappers机制的保护对象为各种网络服务程序，针对访问服务的客户端地址进行访问控制。

TCP Wrappers对应的两个策略文件为/etc/hosts.allow和/etc/hosts.deny，分别用来设置允许和拒绝的策略。

3.1.1 策略的配置格式

两个策略文件的作用相反，但配置记录的格式相同，如下图所示：

注:服务程序列表、客户端地址列表之间以冒号分隔，在每个列表内的多个项之间以逗号分隔。

（1）服务程序列表

服务程序列表可以分为以下几类：

• ALL：代表所有的服务
• 单个服务程序：如vsftpd
• 多个服务程序组成的列表：如vsftpd，sshd

（2）客户端地址列表

客户端地址列表可以分为：

• ALL:代表任何客户端地址
• LOCAL：代表本机地址
• 单个IP地址：如192.168.4.4
• 网络段地址：如192.168.4.0/255.255.255.0
• 以.开始的域名：如.bdqn.com匹配bdqn.com域中的所有主机
• 以.结束的网络地址：如192.168.4.匹配整个192.168.4.0/24的网段
• 嵌入通配符*？：前者表示任意长度字符，后者仅表示一个字符。
• 如10.0.8.2匹配以10.0.8.2开头的所有IP地址（不可与.开始或结束的模式混用）
• 多个客户端组成的列表：如192.168.1.

3.2 访问控制的基本原则

关于TCP Wrappers机制的访问策略，应用时遵循以下顺序和原则：

首先检查/etc/hosts.allow文件，如果找到相匹配的策略，则允许访问；

否则继续检查/etc/hosts.deny文件，如果找到相匹配的策略，则拒绝访问；如果检查上述两个文件都找不到相匹配的策略，则允许访问。

例如，若只希望从IP地址为61.63.65.67的主机或者位于192.168.2.0/24网段的主机访问sshd服务，其他地址被拒绝，可执行下图中的操作：