linux的防火牆和ssh連線
阿新 • • 發佈:2021-02-09
Centos 7 的防火牆和ssh連線
Centos 7 firewall :
1、firewalld的基本使用
啟動: systemctl start firewalld
關閉: systemctl stop firewalld
檢視狀態: systemctl status firewalld
開機禁用 : systemctl disable firewalld
開機啟用 : systemctl enable firewalld
2、iptables的基本使用
啟動: service iptables start 關閉: service iptables stop 檢視狀態: service iptables status 開機禁用 : chkconfig iptables off 開機啟用 : chkconfig iptables on
SSH的英文全稱是Secure SHell。通過使用SSH,你可以把所有傳輸的資料進行加密,這樣“中間人”這種攻擊方式就不可能實現了,而且也能夠防止DNS和IP欺騙。還有一個額外的好處就是傳輸的資料是經過壓縮的,所以可以加快傳輸的速度。SSH有很多功能,它既可以代替telnet,又可以為ftp、pop、甚至ppp提供一個安全的“通道”。
SSH在Linux中的服務是sshd,安裝openssh後才可開啟。CentOS 7 安裝後預設情況下是不啟動sshd服務,即無法通過ssh服務遠端連線。
首先檢視系統是否安裝openssh,一般情況想都是預設安裝了,
[[email protected]
如果沒有安裝可以通過yum線上安裝。
[[email protected] ~]# yum install openssh
ssh遠端連線失敗
vim /etc/ssh/sshd_config //編輯sshd_config配置檔案
將PermitRootLogin yes 開啟
service ssh restart 重啟ssh服務
手動設定啟動ssh服務
1、先檢查確認有沒有安裝ssh-server伺服器,輸入命令:ps –e|grep ssh
2、在CentOS命令區輸入:yum install openssh-server
3、啟動、關閉、重啟命令:
開啟ssh服務:service sshd start
關閉ssh服務:service sshd stop
重啟ssh服務:service sshd restart
4、開機自啟動相關設定:
SSH服務開機自動啟動:chkconfigsshd on
取消開機自啟動:chkconfig sshd off
開啟服務後,檢查服務狀態:service sshd status
# $OpenBSD: sshd_config,v 1.73 2005/12/06 22:38:28 reyk Exp $
# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.
# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.
#############1. 關於 SSH Server 的整體設定##############
#Port 22
##port用來設定sshd監聽的埠,為了安全起見,建議更改預設的22埠為5位以上陌生埠
#Protocol 2,1
Protocol 2
##設定協議版本為SSH1或SSH2,SSH1存在漏洞與缺陷,選擇SSH2
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress用來設定sshd伺服器繫結的IP地址
##監聽的主機適配卡,舉個例子來說,如果您有兩個 IP, 分別是 192.168.0.11 及 192.168.2.20 ,那麼只想要
###開放 192.168.0.11 時,就可以設定為:ListenAddress 192.168.0.11
####表示只監聽來自 192.168.0.11 這個 IP 的SSH聯機。如果不使用設定的話,則預設所有介面均接受 SSH
#############2. 說明主機的 Private Key 放置的檔案##########
#ListenAddress ::
##HostKey用來設定伺服器祕鑰檔案的路徑
# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
##設定SSH version 1 使用的私鑰
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
##設定SSH version 2 使用的 RSA 私鑰
#HostKey /etc/ssh/ssh_host_dsa_key
##設定SSH version 2 使用的 DSA 私鑰
#Compression yes
##設定是否可以使用壓縮指令
# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
##KeyRegenerationInterval用來設定多長時間後系統自動重新生成伺服器的祕鑰,
###(如果使用金鑰)。重新生成祕鑰是為了防止利用盜用的金鑰解密被截獲的資訊。
#ServerKeyBits 768
##ServerKeyBits用來定義伺服器金鑰的長度
###指定臨時伺服器金鑰的長度。僅用於SSH-1。預設值是 768(位)。最小值是 512 。
# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
##SyslogFacility用來設定在記錄來自sshd的訊息的時候,是否給出“facility code”
#LogLevel INFO
##LogLevel用來設定sshd日誌訊息的級別
#################3.安全認證方面的設定################
#############3.1、有關安全登入的設定###############
# Authentication:
##限制使用者必須在指定的時限內認證成功,0 表示無限制。預設值是 120 秒。
#LoginGraceTime 2m
##LoginGraceTime用來設定如果使用者登入失敗,在切斷連線前伺服器需要等待的時間,單位為妙
#PermitRootLogin yes
##PermitRootLogin用來設定能不能直接以超級使用者ssh登入,root遠端登入Linux很危險,建議登出或設定為no
#StrictModes yes
##StrictModes用來設定ssh在接收登入請求之前是否檢查使用者根目錄和rhosts檔案的許可權和所有權,建議開啟
###建議使用預設值"yes"來預防可能出現的低階錯誤。
#RSAAuthentication yes
##RSAAuthentication用來設定是否開啟RSA金鑰驗證,只針對SSH1
#PubkeyAuthentication yes
##PubkeyAuthentication用來設定是否開啟公鑰驗證,如果使用公鑰驗證的方式登入時,則設定為yes
#AuthorizedKeysFile .ssh/authorized_keys
##AuthorizedKeysFile用來設定公鑰驗證檔案的路徑,與PubkeyAuthentication配合使用,預設值是".ssh/authorized_keys"。
###該指令中可以使用下列根據連線時的實際情況進行展開的符號: %% 表示'%'、%h 表示使用者的主目錄、%u 表示該使用者的使用者名稱
####經過擴充套件之後的值必須要麼是絕對路徑,要麼是相對於使用者主目錄的相對路徑。
#############3.2、安全驗證的設定###############
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
##是否使用強可信主機認證(通過檢查遠端主機名和關聯的使用者名稱進行認證)。僅用於SSH-1。
###這是通過在RSA認證成功後再檢查 ~/.rhosts 或 /etc/hosts.equiv 進行認證的。出於安全考慮,建議使用預設值"no"。
# similar for protocol version 2
#HostbasedAuthentication no
##這個指令與 RhostsRSAAuthentication 類似,但是僅可以用於SSH-2。
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
##IgnoreUserKnownHosts用來設定ssh在進行RhostsRSAAuthentication安全驗證時是否忽略使用者的“/$HOME/.ssh/known_hosts”檔案
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
##IgnoreRhosts用來設定驗證的時候是否使用“~/.rhosts”和“~/.shosts”檔案
# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
##PasswordAuthentication用來設定是否開啟密碼驗證機制,如果用密碼登入系統,則設定yes
#PermitEmptyPasswords no
#PermitEmptyPasswords用來設定是否允許用口令為空的賬號登入系統,設定no
#PasswordAuthentication yes
##是否允許使用基於密碼的認證。預設為"yes"。
PasswordAuthentication yes
# Change to no to disable s/key passwords
##設定禁用s/key密碼
#ChallengeResponseAuthentication yes
##ChallengeResponseAuthentication 是否允許質疑-應答(challenge-response)認證
ChallengeResponseAuthentication no
########3.3、與 Kerberos 有關的引數設定,指定是否允許基於Kerberos的使用者認證########
#Kerberos options
#KerberosAuthentication no
##是否要求使用者為PasswdAuthentication提供的密碼必須通過Kerberos KDC認證,要使用Kerberos認證,
###伺服器必須提供一個可以校驗KDC identity的Kerberos servtab。預設值為no
#KerberosOrLocalPasswd yes
##如果Kerberos密碼認證失敗,那麼該密碼還將要通過其他的的認證機制,如/etc/passwd
###在啟用此項後,如果無法通過Kerberos驗證,則密碼的正確性將由本地的機制來決定,如/etc/passwd,預設為yes
#KerberosTicketCleanup yes
##設定是否在使用者退出登入是自動銷燬使用者的ticket
#KerberosGetAFSToken no
##如果使用AFS並且該使用者有一個Kerberos 5 TGT,那麼開啟該指令後,
###將會在訪問使用者的家目錄前嘗試獲取一個AFS token,並嘗試傳送 AFS token 給 Server 端,預設為no
####3.4、與 GSSAPI 有關的引數設定,指定是否允許基於GSSAPI的使用者認證,僅適用於SSH2####
##GSSAPI 是一套類似 Kerberos 5 的通用網路安全系統介面。
###如果你擁有一套 GSSAPI庫,就可以通過 tcp 連線直接建立 cvs 連線,由 GSSAPI 進行安全鑑別。
# GSSAPI options
#GSSAPIAuthentication no
##GSSAPIAuthentication 指定是否允許基於GSSAPI的使用者認證,預設為no
GSSAPIAuthentication yes
#GSSAPICleanupCredentials yes
##GSSAPICleanupCredentials 設定是否在使用者退出登入是自動銷燬使用者的憑證快取
GSSAPICleanupCredentials yes
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication mechanism.
# Depending on your PAM configuration, this may bypass the setting of
# PasswordAuthentication, PermitEmptyPasswords, and
# "PermitRootLogin without-password". If you just want the PAM account and
# session checks to run without PAM authentication, then enable this but set
# ChallengeResponseAuthentication=no
#UsePAM no
##設定是否通過PAM驗證
UsePAM yes
# Accept locale-related environment variables
##AcceptEnv 指定客戶端傳送的哪些環境變數將會被傳遞到會話環境中。
###[注意]只有SSH-2協議支援環境變數的傳遞。指令的值是空格分隔的變數名列表(其中可以使用'*'和'?'作為萬用字元)。
####也可以使用多個 AcceptEnv 達到同樣的目的。需要注意的是,有些環境變數可能會被用於繞過禁止使用者使用的環境變數。
#####由於這個原因,該指令應當小心使用。預設是不傳遞任何環境變數。
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
AllowTcpForwarding yes
##AllowTcpForwarding設定是否允許允許tcp埠轉發,保護其他的tcp連線
#GatewayPorts no
##GatewayPorts 設定是否允許遠端客戶端使用本地主機的埠轉發功能,出於安全考慮,建議禁止
#############3.5、X-Window下使用的相關設定###############
#X11Forwarding no
##X11Forwarding 用來設定是否允許X11轉發
X11Forwarding yes
#X11DisplayOffset 10
##指定X11 轉發的第一個可用的顯示區(display)數字。預設值是 10 。
###可以用於防止 sshd 佔用了真實的 X11 伺服器顯示區,從而發生混淆。
X11DisplayOffset 10
#X11UseLocalhost yes
#################3.6、登入後的相關設定#################
#PrintMotd yes
##PrintMotd用來設定sshd是否在使用者登入時顯示“/etc/motd”中的資訊,可以選在在“/etc/motd”中加入警告的資訊
#PrintLastLog yes
#PrintLastLog 是否顯示上次登入資訊
#TCPKeepAlive yes
##TCPKeepAlive 是否持續連線,設定yes可以防止死連線
###一般而言,如果設定這專案的話,那麼 SSH Server 會傳送 KeepAlive 的訊息給 Client 端,以確保兩者的聯機正常!
####這種訊息可以檢測到死連線、連線不當關閉、客戶端崩潰等異常。在這個情況下,任何一端死掉後, SSH 可以立刻知道,而不會有殭屍程式的發生!
#UseLogin no
##UseLogin 設定是否在互動式會話的登入過程中使用。預設值是"no"。
###如果開啟此指令,那麼X11Forwarding 將會被禁止,因為login不知道如何處理 xauth cookies 。
####需要注意的是,在SSH底下本來就不接受 login 這個程式的登入,如果指UsePrivilegeSeparation ,那麼它將在認證完成後被禁用。
UserLogin no
#UsePrivilegeSeparation yes
##UsePrivilegeSeparation 設定使用者的許可權
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#ShowPatchLevel no
#UseDNS yes
##UseDNS是否使用dns反向解析
#PidFile /var/run/sshd.pid
#MaxStartups 10
##MaxStartups 設定同時允許幾個尚未登入的聯機,當用戶連上ssh但並未輸入密碼即為所謂的聯機,
###在這個聯機中,為了保護主機,所以需要設定最大值,預設為10個,而已經建立聯機的不計算入內,
####所以一般5個即可,這個設定可以防止惡意對伺服器進行連線
#MaxAuthTries 6
##MaxAuthTries 用來設定最大失敗嘗試登陸次數為6,合理設定辭職,可以防止攻擊者窮舉登入伺服器
#PermitTunnel no
############3.7、開放禁止使用者設定############
#AllowUsers<使用者名稱1> <使用者名稱2> <使用者名稱3> ...
##指定允許通過遠端訪問的使用者,多個使用者以空格隔開
#AllowGroups<組名1> <組名2> <組名3> ...
##指定允許通過遠端訪問的組,多個組以空格隔開。當多個使用者需要通過ssh登入系統時,可將所有使用者加入一個組中。
#DenyUsers<使用者名稱1> <使用者名稱2> <使用者名稱3> ...
##指定禁止通過遠端訪問的使用者,多個使用者以空格隔開
#DenyGroups<組名1> <組名2> <組名3> ...
##指定禁止通過遠端訪問的組,多個組以空格隔開。
# no default banner path
#Banner /some/path
# override default of no subsystems
Subsystem sftp /usr/libexec/openssh/sftp-server
ClientAliveInterval 3600
ClientAliveCountMax 0
[[email protected] ~]# vi /etc/ssh/sshd_config
# $OpenBSD: sshd_config,v 1.93 2014/01/10 05:59:19 djm Exp $
# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.
# This sshd was compiled with PATH=/usr/local/bin:/usr/bin
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options override the
# default value.
# If you want to change the port on a SELinux system, you have to tell
# SELinux about this change.
# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER
#
#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::
# The default requires explicit activation of protocol 1
#Protocol 2
# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024
# Ciphers and keying
#RekeyLimit default none
# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO
# Authentication:
#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
#RSAAuthentication yes
#PubkeyAuthentication yes
# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
# but this is overridden so installations will only check .ssh/authorized_keys
AuthorizedKeysFile .ssh/authorized_keys
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no
PasswordAuthentication yes
# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no
# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no
#KerberosUseKuserok yes
# GSSAPI options
GSSAPIAuthentication yes
GSSAPICleanupCredentials no
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no
#GSSAPIEnablek5users no
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
# WARNING: 'UsePAM no' is not supported in Red Hat Enterprise Linux and may cause several
# problems.
UsePAM yes
#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
UsePrivilegeSeparation sandbox # Default for new installations.
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#ShowPatchLevel no
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none
#VersionAddendum none
# no default banner path
#Banner none
# Accept locale-related environment variables
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS
# override default of no subsystems
Subsystem sftp /usr/libexec/openssh/sftp-server
# Example of overriding settings on a per-user basis
#Match User anoncvs
# X11Forwarding no
# AllowTcpForwarding no
# PermitTTY no
# ForceCommand cvs server
修改埠的時候需要新增到防火牆的控制中,否則無法使用ssh連線。
[[email protected] ~]# semanage port -l | grep ssh #檢視當前ssh服務監聽的埠
ssh_port_t tcp 22
[[email protected] ~]# semanage port -a -t ssh_port_t -p tcp 8090 #增加監聽埠8090
[[email protected] ~]# semanage port -l | grep ssh
ssh_port_t tcp 8090,22
semanage只是埠工具,修改防火牆只能使用firewall-cmd
[[email protected] ssh]# yum provides firewall-cmd #查詢防火牆工具所在的包
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
base: mirror.bit.edu.cn
extras: mirrors.btte.net
updates: mirrors.btte.net
firewalld-0.3.9-14.el7.noarch : A firewall daemon with D-BUS interface providing a dynamic firewall
Repo : base
Matched from:
Filename : /usr/bin/firewall-cmd
[[email protected] ssh]# yum -y install firewalld #安裝防火牆工具
[[email protected] ssh]# systemctl start firewalld #啟動防火牆服務
[[email protected] ssh]# systemctl status firewalld #檢視防火牆狀態
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since Sat 2016-09-17 04:22:15 CST; 15s ago
Main PID: 16979 (firewalld)
CGroup: /system.slice/firewalld.service
└─16979 /usr/bin/python -Es /usr/sbin/firewalld –nofork –nopid
Sep 17 04:22:14 localhost systemd[1]: Starting firewalld - dynamic firewall daemon…
Sep 17 04:22:15 localhost systemd[1]: Started firewalld - dynamic firewall daemon.
[[email protected] ssh]# firewall-cmd –zone=public –add-port=8090/tcp –permanent #防火牆中允許8090埠通過
success
[[email protected] ssh]# semanage port -m -t ssh_port_t -p tcp 8090 #將ssh服務修改為8090埠
[[email protected] ssh]# firewall-cmd –zone=public –remove-port=22/tcp –permanent #刪除22埠
success
[[email protected] ssh]# firewall-cmd –reload #重新載入防火牆服務配置
success