一、ssh遠端管理
1、常見的遠端管理訪問
1）telnet
預設埠23
安全性差
傳輸資料沒有被加密
適合區域網使用
2）ssh
預設埠22
安全性強
傳輸資料加密
3）http、https
預設埠80或者443
相容性強
通過瀏覽遠端管理
2、openssh的組成
1）openssh-server
伺服器端
配置ssh服務使用
2）openssh
客戶端
用於訪問遠端訪問伺服器使用
3、openssh驗證型別
1）賬戶密碼驗證
預設驗證訪問
遠端管理輸入賬戶密碼登入
2）金鑰對驗證
需要配置公鑰驗證
不許壓迫輸入賬戶密碼
使用數字整數驗證客戶端身份
適合批量管理遠端客戶端
二、配置ssh服務

1、ssh服務控制
1）啟動sshd服務
[[email protected] ~]# systemctl start sshd
2）設定開機啟動
[[email protected] ~]# systemctl enable sshd
2、ssh服務主配置檔案選項
[[email protected] ~]# vim /etc/ssh/sshd_config
18 Port 22 監聽埠號
21 ListenAddress 192.168.100.10 監聽IP地址
118 UseDNS no 禁用DNS反向解析
40 LoginGrace Time 2m 登入驗證時間2分鐘
42 PerminRootLogin yes 允許ssh的使用root登入
45 MaxAuthTries 6 最大重試次數
70 PasswordAuthentication yes 開啟賬戶密碼驗證功能
71 PermitEmptyPasswords no 禁止空密碼登入
[[email protected] ~]# ssh [email protected] 客戶端登入遠端服務

3、遠端訪問控制
1）允許遠端賬戶bob登入
[[email protected] ~]# vim /etc/ssh/sshd_config
AllowUsers [email protected] 允許bob使用者通過192.168.100.20訪問
DenyUsers

[email protected] 拒絕tom通過192.168.100.20訪問，不要同時使用

驗證


4、配置ssh金鑰對身份驗證
1）修改ssh主配置檔案支援金鑰對身份驗證
[[email protected] ~]# vim /etc/ssh/sshd_config
43 PubkeyAuthentication yes
47 AuthorizedKeysFile .ssh/authorized_keys



2）重新啟動sshd服務
[[email protected] ~]# systemctl restart sshd

3）生成金鑰對
[[email protected] ~]# ssh-keygen -t rsa

4）上傳金鑰到ssh伺服器端
[[email protected] ~]# ssh-copy-id -i ssh/id_rsa.pub [email protected]

5）客戶端無身份驗證模式登入伺服器端
[[email protected] ~]# ssh [email protected]

5、ssh客戶端、scp和sftp使用
1）ssh客戶端
[[email protected] ~]# ssh [email protected] 使用22埠登入遠端伺服器
[[email protected] ~]# ssh -p 2222 [email protected] 使用2222埠登入遠端伺服器
2）scp將源主機資料賦值到目標主機
[[email protected] ~]# scp /etc/hosts [email protected]:/root 複製本地主機hosts檔案到遠端主機100.20的家目錄
[[email protected] ~]# scp -r /benet/ [email protected]:/root 複製本地主機/benet目錄資料到100.20的家目錄
3）將遠端主機100.20的hosts檔案數複製到本地
[[email protected] ~]# scp [email protected]:/root/hosts ./
4）sftp上傳大檔案使用
[[email protected] ~]# sftp [email protected]
sftp> pwd 檢視登入遠端主機的位置
sftp> put 2.txt 將本地2.txt上傳到100.20
三、Linux訪問
1、TCP Warppers的作用和特點
1）作用
最應用層協議進行訪問控制
2）特點
安全性強
避免應用層協議遭受攻擊
3）TCP Warppers支援限制協議型別
Vsftp 20、21
Telnet 23
Pop3 110
Smtp 25
2、TCP Warppers訪問策略檔案
1）允許訪問策略檔案
/etc/hosts.allow
2）拒絕訪問策略檔案
/etc/hosts.deny
3、TCP Warppers策略列表組成
1）服務程式列表
ALL：所有服務
vsftpd：單個服務名
vsftpd,sshd：多個服務名
2）客戶端地址列表
ALL：表示所有客戶端
LOCAL：本地地址
192.168.100.10.0/255.255.255.0：網路地址段
192.168.100.10,192.168.100.20：限制多個IP地址
4、使用TCP Warppers限制客戶端訪問
1）拒絕客戶端192.168.100.20訪問vsftpd和sshd服務
[[email protected] ~]# vim/etc/hosts.deny
sshd,vsftpd:192.168.100.20
2）TCP Warppers的原理
檢查允許列表，發現允許不在往下檢查規則
允許列表為空，檢查拒絕列表，發現拒絕列表規則應用拒絕客戶端訪問
允許拒絕列表都為空預設允許訪問

ssh客戶端
修改埠號


使用2222埠登入遠端伺服器

scp將源主機資料賦值到目標主機
複製本地主機hosts檔案到遠端主機100.10的家目錄

複製本地主機/benet目錄資料到100.10的家目錄

將遠端主機100.10的hosts檔案數複製到本地

sftp上傳大檔案使用


下載


上傳

檢視

使用ftp訪問


客戶端


使用TCP Wrappers限制客戶端訪問
拒絕客戶端192.168.100.20訪問vsftpd和sshd服務