手機版
你好,游客 登錄 注冊
背景:
閱讀新聞

Linux中SSH遠程訪問及控制

[日期:2019-10-10] 來源:Linux社區  作者:Linux [字體: ]

SSH遠程管理

SSH遠程控制介紹

SSH是一種安全通道協議,主要用來實現字符界面的遠程登錄、遠程復制等功能。SSH協議對通信雙方的數據傳輸進行了加密處理,其中包括用戶登錄時輸入的用戶口令。與早期的telnet、rsh、rcp等應用相比,SSH協議提供了更好的安全性。

OpenSSH服務器

SSH協議

  • 為客戶機提供安全的shell環境,用于與遠程管理
  • 默認端口:TCP 22

OpenSSH

  • 服務名稱:sshd
  • 服務端主程序:/usr/sbin/sshd
  • 服務端配置文件:/etc/ssh/sshd_config
  • 客戶端配置文件:ssh_config

服務監聽選項

  • 端口號、協議版本、監聽IP地址
  • 禁用反向解析
#Port 22              //端口號
#AddressFamily any    
#ListenAddress 0.0.0.0   //ipv4監聽地址
#ListenAddress ::        //ipv6監聽地址

用戶登錄控制

  • 禁止root用戶、空密碼用戶
  • 登錄時間、重試次數
  • AllowUsers、DenyUsers(黑白名單,允許和拒絕)
#LoginGraceTime 2m      //會話時間
#PermitRootLogin yes    //是否進制root登錄
#StrictModes yes        //是否驗證訪問權限
#MaxAuthTries 6         //驗證次數6次
#MaxSessions 10         //訪問的最大鏈接數

#PubkeyAuthentication yes  //是否驗證公鑰

登錄驗證對象

  • 服務器中的本地用戶賬戶

登錄驗證方式

  • 密碼驗證:核對用戶名、密碼是否匹配
  • 密鑰對驗證:核對客戶的私鑰、服務端公鑰是否匹配

使用SSH客戶端程序

  • ssh命令——遠程安全登錄
  • scp命令——遠程安全復制
  • sftp命令——安全FTP上下載
    • get 下載
    • put 上傳
    • bye 退出

Demo

在VMware 15中打開兩天Linux系統,一臺用作主服務器(tast01IP地址:192.168.144.133),一臺用作遠程終端(tast02IP地址:192.168.144.135),使用SSH協議登錄主服務器

使用SSH服務

1、在tast01中進入SSH主服務器配置文件,更改配置文件條目,開啟SSH服務。

[[email protected] ~]# vim /etc/ssh/sshd_config    //進入編輯服務器配置文件信息
Port 22                                      //開啟端口
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::
:wq                                           //保存退出
[[email protected] ~]# systemctl restart sshd       //重啟SSH服務

2、在tast02中使用SSH服務登錄tast01。

[[email protected] ~]# ssh [email protected]          //使用SSH服務登錄tast01服務器
The authenticity of host '192.168.144.133 (192.168.144.133)' can't be established.
ECDSA key fingerprint is SHA256:B8IsZOFG7FbtVkIK+dMILmo0iA4OEIeVGY0GnnCbXhk.
ECDSA key fingerprint is MD5:c2:d8:09:17:de:6e:ec:07:06:1b:ac:b6:1e:bd:62:09.
Are you sure you want to continue connecting (yes/no)? yes          //詢問是否建立會話
Warning: Permanently added '192.168.144.133' (ECDSA) to the list of known hosts.
[email protected]'s password:             //輸入密碼
Last login: Mon Sep  9 13:59:09 2019
[[email protected] ~]#                           //成功登錄tast01
[[email protected] ~]# exit                //退出
登出
Connection to 192.168.144.133 closed.
[[email protected] ~]#                        //回到tast02端口

3、回到tast01服務器,更改SSH服務器配置文件,禁止root用戶登錄。然后再創建siti用戶

[[email protected] ~]# vim /etc/ssh/sshd_config       //進入編輯主配置文件
#LoginGraceTime 2m
PermitRootLogin no                              //開啟是否啟用禁用root登錄,更改yes為no,禁止root用戶登錄
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
:wq                                            //保存退出
[[email protected] ~]# systemctl restart sshd        //重啟服務
[[email protected] ~]# useradd siti                   //創建siti普通用戶
[[email protected] ~]# passwd siti                    //設置用戶密碼
更改用戶 siti 的密碼 。
新的 密碼:
無效的密碼: 密碼少于 8 個字符
重新輸入新的 密碼:
passwd:所有的身份驗證令牌已經成功更新。
[[email protected] ~]# id siti                        //查看新建用戶siti信息
uid=1001(siti) gid=1001(siti) 組=1001(siti)
[[email protected] ~]# id sun                          //查看用戶sun信息
uid=1000(sun) gid=1000(sun) 組=1000(sun),10(wheel)

4、使用tast02登錄tast01的root用戶,看更改的服務是否生效

[[email protected] ~]# ssh [email protected]      //使用SSH服務登錄tast01服務器root用戶
[email protected]'s password:               //輸入密碼登錄
Permission denied, please try again.           //拒絕登錄root
[email protected]'s password:          
Permission denied, please try again.
[email protected]'s password: 
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password). //嘗試輸入密碼三次后彈出,拒絕登錄
[[email protected] ~]# ssh [email protected]      //使用SSH服務登錄siti用戶
[email protected]'s password: 
[[email protected] ~]$                               //成功登錄tast01服務器siti用戶
[[email protected] ~]$ su - root                     //再siti用戶下使用su切換root用戶
]密碼:                                         //輸入密碼
上一次登錄:一 9月  9 15:16:00 CST 2019從 192.168.144.135pts/1 上
最后一次失敗的登錄:一 9月  9 15:33:03 CST 2019從 192.168.144.135ssh:notty 上
最有一次成功登錄后有 3 次失敗的登錄嘗試。
[[email protected] ~]#                              //成功登錄root用戶。
[[email protected] ~]# exit                         //退出
登出 
[[email protected] ~]$ exit                         //退出
登出
Connection to 192.168.144.133 closed. 
[[email protected] ~]#                             //回到tast02用戶

5、通過上面的操作我們禁止了遠程登錄root但是可以通過普通用戶切換登錄,這個時候我們就可以開啟tast01系統中的pam認證,來提高系統的安全性。

[[email protected] ~]# vim /etc/pam.d/su                   //進入編輯pam配置文件
#%PAM-1.0
auth            sufficient      pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth           sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth            required        pam_wheel.so use_uid              //開啟pam認證
auth            substack        system-auth
auth            include         postlogin
account         sufficient      pam_succeed_if.so uid = 0 use_uid quiet
account         include         system-auth
password        include         system-auth
session         include         system-auth
session         include         postlogin
session         optional        pam_xauth.so
~                                                                                      
~                                                                                      
~                                                                                      
:wq                                                           //保存退出

6、查看是否還能夠通過siti用戶切換到root用戶

[[email protected] ~]# ssh [email protected]               //登錄siti用戶
[email protected]'s password:                        //輸入密碼
Last failed login: Mon Sep  9 16:09:32 CST 2019 from 192.168.144.135 on ssh:notty
There was 1 failed login attempt since the last successful login.
Last login: Mon Sep  9 15:47:20 2019 from 192.168.144.135
[[email protected] ~]$ su - root                  //登錄siti用戶,并切換root用戶
密碼:                                       //輸入密碼
su: 拒絕權限                                 //權限拒絕,無法切換
[[email protected] ~]$                            

7、因為設定了權限,siti用戶不在wheel組,所以無法用siti用戶切換root用戶,我們可不可以通過siti用戶切換wheel組中sun用戶,再用sun用戶切換root,看是否可以。

[[email protected] ~]$ su - sun            //切換sun用戶
密碼:                                //輸入密碼
su: 拒絕權限                          //權限拒絕,無法切換
[[email protected] ~]$ 

9、回到tast01中開啟SSH服務配置密碼驗證次數服務

[[email protected] ~]# vim /etc/ssh/sshd_config       //進入服務器配置文件
#LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes
MaxAuthTries 6                          //開啟密碼驗證次數
#MaxSessions 10
:wq                                      //保存退出

10、進入tast02驗證密碼次數是否成功開啟

[[email protected] ~]# ssh [email protected]          //登錄sun用戶
[email protected]'s password:                   //輸入錯誤密碼
Permission denied, please try again.              //1次輸錯,拒絕登錄
[email protected]'s password:                   //輸入錯誤密碼
Permission denied, please try again.              //2次輸錯,拒絕登錄
[email protected]'s password:                   //輸入錯誤密碼
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).   //3次輸入錯誤直接登出

11、通過上面的實驗發現并沒有實現6次密碼后再彈出,而是默認的三次,這個時候我們就用通過命令來提高默認密碼次數來實現密碼次數的設置。

[[email protected] ~]# ssh -o NumberofPasswordPrompts=8 [email protected]  //使用命令提高密碼輸入次數
[email protected]'s password: 
Permission denied, please try again.
[email protected]'s password: 
Permission denied, please try again.
[email protected]'s password: 
Permission denied, please try again.
[email protected]'s password: 
Permission denied, please try again.
[email protected]'s password: 
Permission denied, please try again.
[email protected]'s password: 
Received disconnect from 192.168.144.133 port 22:2: Too many authentication failures
Authentication failed.            //輸入密碼6次后彈出,設設置生效

黑白名單設置(AllowUsers、DenyUsers)

在VMware 15中再增加一臺Linux客戶端(tast03IP地址:192.168.144.132),用于遠程連接服務器。

1、再tast01中配置ssh服務端配置文件,添加AllowUsers條目,添加僅允許登錄的客戶端

[[email protected] ~]# vim /etc/ssh/sshd_config       //進入編輯ssh服務端配置文件
#LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes
MaxAuthTries 6
#MaxSessions 10
AllowUsers [email protected] stii   //在此處添加條目,僅允許IP地址為192.168.144.135客戶機登錄sun用戶
                                         僅允許客戶端登錄stii用戶
#PubkeyAuthentication yes

:wq                                  //保存退出
[[email protected] ~]# useradd stii        //添加stii用戶
[[email protected] ~]# passwd stii         //設置stii用戶密碼
更改用戶 stii 的密碼 。
新的 密碼:
無效的密碼: 密碼少于 8 個???符
重新輸入新的 密碼:
passwd:所有的身份驗證令牌已經成功更新。
[[email protected] ~]# systemctl restart sshd    //重啟ssh服務

2、分別在tast02、tast03客戶機使用ssh服務遠程登錄tast01服務器

[[email protected] ~]# ssh [email protected]       //在tast02客戶端中登錄服務器sun用戶
[email protected]'s password:                //輸入密碼
Last failed login: Mon Sep  9 17:24:32 CST 2019 from 192.168.144.135 on ssh:notty
There were 6 failed login attempts since the last successful login.
Last login: Mon Sep  9 17:21:47 2019 from 192.168.144.133
[[email protected] ~]$                     //成功登錄
[[email protected] ~]$ exit                //退出用戶
登出
Connection to 192.168.144.133 closed.
[[email protected] ~]# ssh [email protected]         //使用ssh登錄服務器siti用戶
[email protected]'s password:                  //輸入密碼
Permission denied, please try again.              //拒絕登錄
[[email protected] ~]# ssh [email protected]         //登錄stii用戶
[email protected]'s password:                  //輸入密碼
[[email protected] ~]$                                  //成功登錄
[[email protected] ~]# ssh [email protected]          //tast03客戶機使用ssh服務登錄服務器sun用戶
The authenticity of host '192.168.144.133 (192.168.144.133)' can't be established.
ECDSA key fingerprint is SHA256:B8IsZOFG7FbtVkIK+dMILmo0iA4OEIeVGY0GnnCbXhk.
ECDSA key fingerprint is MD5:c2:d8:09:17:de:6e:ec:07:06:1b:ac:b6:1e:bd:62:09.
Are you sure you want to continue connecting (yes/no)? yes       //詢問是否建立會話,輸入yes確定建立會話
Warning: Permanently added '192.168.144.133' (ECDSA) to the list of known hosts.
[email protected]'s password:                     //輸入密碼
Permission denied, please try again.                //拒絕登錄
[[email protected] ~]# ssh [email protected]           //tast03客戶機使用ssh服務登錄服務器siti用戶
[email protected]'s password:                    //輸入密碼
Permission denied, please try again.                //拒絕登錄
[[email protected] ~]# ssh [email protected]           //tast03客戶機使用ssh服務登錄服務器stii用戶
[email protected]'s password:                    //輸入密碼
Last login: Mon Sep  9 21:55:49 2019 from 192.168.144.135
[[email protected] ~]$                                     //成功登錄

3、回到tast01服務器,編輯ssh服務器配置文件

[[email protected] ~]# vim /etc/ssh/sshd_config        //編輯ssh服務器配置文件
#LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes
MaxAuthTries 6
#MaxSessions 10
DenyUsers [email protected] stii             //刪除僅允許條目,添加拒絕條目

#PubkeyAuthentication yes
:wq                                            //保存退出
[[email protected] ~]# systemctl restart sshd        //重啟ssh服務

4、分別在tast02、tast03客戶機使用ssh服務遠程登錄tast01服務器

[[email protected] ~]# ssh [email protected]          //在tast02客戶端中登錄服務器sun用戶
[email protected]'s password:                   //輸入密碼
Permission denied, please try again.              //拒絕登錄
[[email protected] ~]# ssh [email protected]         //在tast02客戶端中登錄服務器stii用戶
[email protected]'s password:                  //輸入密碼
Permission denied, please try again.              //拒絕登錄
[[email protected] ~]# ssh [email protected]         //在tast02客戶端中登錄服務器siti用戶
[email protected]'s password:                  //輸入密碼
Last failed login: Mon Sep  9 22:02:00 CST 2019 from 192.168.144.132 on ssh:notty
There were 2 failed login attempts since the last successful login.
Last login: Mon Sep  9 21:53:53 2019 from 192.168.144.135
[[email protected] ~]$                                  //成功登錄
[[email protected] ~]# ssh [email protected]           //tast03客戶機使用ssh服務登錄服務器stii用戶
[email protected]'s password:                    //輸入密碼
Permission denied, please try again.                //拒絕登錄
[[email protected] ~]# ssh [email protected]            //tast03客戶機使用ssh服務登錄服務器sun用戶
[email protected]'s password:                     //輸入密碼
Last failed login: Mon Sep  9 22:30:55 CST 2019 from 192.168.144.135 on ssh:notty
There was 1 failed login attempt since the last successful login.
Last login: Mon Sep  9 22:24:51 2019 from 192.168.144.133
[[email protected] ~]$                                     //成功登錄
[[email protected] ~]# ssh [email protected]           //tast03客戶機使用ssh服務登錄服務器siti用戶
[email protected]'s password:                    //輸入密碼
Last login: Mon Sep  9 22:32:16 2019 from 192.168.144.135
[[email protected] ~]$                                     //成功登錄

使用密鑰對驗證登錄

1、首先在tast01服務器中進入編輯ssh配置文件,開啟密鑰驗證條目

[[email protected] ~]# vim /etc/ssh/sshd_config    //編輯ssh配置文件
#LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes
MaxAuthTries 6
#MaxSessions 10
DenyUsers [email protected] stii

PubkeyAuthentication yes                      //開啟密鑰對驗證功能

# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
# but this is overridden so installations will only check .ssh/authorized_keys
AuthorizedKeysFile      .ssh/authorized_keys    //密鑰存放位置

:wq                                      //保存退出

2、進入客戶端tast02客戶機中,配置密鑰

[[email protected] ~]# useradd siaa          //在tast02客戶機中創建用戶
[[email protected] ~]# passwd siaa           //設置用戶目錄
更改用戶 siaa 的密碼 。
新的 密碼:
無效的密碼: 密碼少于 8 個字符
重新輸入新的 密碼:
passwd:所有的身份驗證令牌已經成功更新。
[[email protected] ~]# su - siaa                //切換至用戶siaa
[[email protected] ~]$ ssh-keygen -t ecdsa      //制作ecdsa類型密鑰
Generating public/private ecdsa key pair.
Enter file in which to save the key (/home/siaa/.ssh/id_ecdsa):     //密鑰存放位置,保持不變,直接回車     
Created directory '/home/siaa/.ssh'.
Enter passphrase (empty for no passphrase):            //輸入要設置的密碼
Enter same passphrase again:                           //再次輸入密碼
Your identification has been saved in /home/siaa/.ssh/id_ecdsa.
Your public key has been saved in /home/siaa/.ssh/id_ecdsa.pub.
The key fingerprint is:
SHA256:5mTvLU19q7uUUXECnEmNldB3S4gUiNZdvm1zupFUf0Y [email protected]
The key's randomart image is:
+---[ECDSA 256]---+
|        o [email protected]+o.|
|       o o o*.+o=|
|      .      ..oE|
|              ++.|                           //生成ecdsa密鑰
|        S    +.+=|
|       = .  ..=+=|
|        . .o o+..|
|         ...o  + |
|          ...+=  |
+----[SHA256]-----+
[[email protected] ~]$ ls -a            //查看用戶家目錄隱藏文件
.  ..  .bash_logout  .bash_profile  .bashrc  .cache  .config  .mozilla  .ssh
[[email protected] ~]$ cd .ssh           //進入生成的.ssh目錄
[[email protected] .ssh]$ ls              //查看目錄內容
id_ecdsa  id_ecdsa.pub              //生成的私鑰與公鑰文件
[[email protected] .ssh]$ ssh-copy-id -i id_ecdsa.pub [email protected]  //指定生成的公鑰文件推送到服務器siti用戶
/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "id_ecdsa.pub"
The authenticity of host '192.168.144.133 (192.168.144.133)' can't be established.
ECDSA key fingerprint is SHA256:B8IsZOFG7FbtVkIK+dMILmo0iA4OEIeVGY0GnnCbXhk.
ECDSA key fingerprint is MD5:c2:d8:09:17:de:6e:ec:07:06:1b:ac:b6:1e:bd:62:09.
Are you sure you want to continue connecting (yes/no)? yes         //詢問是推送,輸入yes
/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
[email protected]'s password:      //輸入服務器siti用戶密碼

Number of key(s) added: 1         //成功添加文件

Now try logging into the machine, with:   "ssh '[email protected]'"
and check to make sure that only the key(s) you wanted were added.
[[email protected] .ssh]$ ls           //查看目錄信息
id_ecdsa  id_ecdsa.pub  known_hosts       //創建文件Known_hosts
[[email protected] .ssh]$ vim known_hosts        //查看文件信息
192.168.144.133 ecdsa-sha2-nistp256      AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBC6sBj5BEqQkEIXTdcRDCzDlQRfhaoaY7OvyWzxcNxt+n6ZjbA1PSYK2SeTW3MAhUZOry7T6gNDFL7YyfMfXOGo=        //成功將ecdsa生成的密鑰推送給服務器

3、回到tast01服務器中查看siti家目錄中是否有推送的文件

[[email protected] ~]# cd /home/siti        //進入siti家目錄
[[email protected] siti]# ls -a             //查看隱藏文件
.   .bash_history  .bash_profile  .cache   .mozilla
..  .bash_logout   .bashrc        .config  .ssh
[[email protected] siti]# cd .ssh           //進入添加的.ssh目錄
[[email protected] .ssh]# ls               //查看信息
authorized_keys
[[email protected] .ssh]# cat authorized_keys    //查看信息內容
ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBD6B4elJHibp7lYDfogSfd7krTUPyKzvLHZNk75GTm1oibrA0aMirgtwxxfUEOi+9+ZGU2V0C3+zH6vQpjvvPoo= [email protected]      //[email protected]的ecdsa加密文件

4、在tast02客戶端中使用siaa用戶進行驗證登錄服務器tast01中siti用戶

[[email protected] .ssh]$ whoami    //使用命令查看當前登錄用戶
siaa                          //確定當前登錄用戶為siaa
[[email protected] .ssh]$ ssh [email protected]     //使用ssh服務登錄服務器siti用戶
Enter passphrase for key '/home/siaa/.ssh/id_ecdsa':       //輸入設置的ecdsa密碼
Last login: Mon Sep  9 22:37:19 2019 from 192.168.144.132
[[email protected] ~]$                                           //成功登錄服務器siti用戶

5、設置客戶機信任用戶免驗證登錄服務器

[[email protected] ~]$ exit           //退出當前用戶
登出
Connection to 192.168.144.133 closed.
[[email protected] .ssh]$ ssh-agent bash   //回到tast02中siaa用戶,使用命令代理bash環境
[[email protected] .ssh]$ ssh-add           //使用命令添加驗證密碼
Enter passphrase for /home/siaa/.ssh/id_ecdsa:  //輸入驗證密碼
Identity added: /home/siaa/.ssh/id_ecdsa (/home/siaa/.ssh/id_ecdsa)  //成功添加密碼
[[email protected] .ssh]$ ssh [email protected]          //登錄服務器siti用戶
Last login: Mon Sep  9 23:31:28 2019 from 192.168.144.135      
[[email protected] ~]$                            //成功登錄,免密碼驗證

SSH客戶端程序

1、進入tast01服務器,編輯SSH配置文件,打開root登錄,因為在Linux系統中有些路徑沒有root權限,無法實現復制功能,

[[email protected] ~]# vim /etc/ssh/sshd_config
...//省略部分內容...
# Authentication:

#LoginGraceTime 2m
PermitRootLogin yes       //開啟登錄root用戶權限
#StrictModes yes
MaxAuthTries 6
#MaxSessions 10

PubkeyAuthentication yes

# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
:wq                         //保存退出    
[[email protected] ~]# systemctl restart sshd  //重啟SSH服務

2、在tast02中驗證root用戶登錄權限是否成功開啟。

[[email protected] ~]# ssh [email protected]        //使用ssh服務登錄服務器root用戶
[email protected]'s password:                 //輸入用戶密碼
Last login: Wed Sep 11 22:56:28 2019 from 192.168.144.135
[[email protected] ~]#                                 //成功登錄

3、在tast02中退出服務器root用戶登錄,在opt目錄下創建文件,使用scp命令推送給tast01用戶

[[email protected] ~]# exit             //退出
登出
Connection to 192.168.144.133 closed.
[[email protected] ~]# cd /opt/              //進入opt目錄
[[email protected] opt]# ls                  //查看
rh
[[email protected] opt]# echo "this is ssh-client" > ssh_client.txt     //創建.txt文件
[[email protected] opt]# mkdir -p tast/si11                             //遞歸創建tast目錄并在tast目錄下創建si11目錄
[[email protected] opt]# ls                                             //查看
rh  ssh_client.txt  tast                                          //成功創建文件與目錄
[[email protected] opt]# scp ssh_client.txt [email protected]:/home/  //將創建的.txt文件推送到服務器root用戶home目錄下
[email protected]'s password:           //輸入密碼
ssh_client.txt                                                100%   19     6.0KB/s   00:00    //成功推送 

4、回到tast01服務器中,查看home目錄下是否有推送過去的文件。

[[email protected] ~]# ls /home/          //查看home目錄下文件
ssh_client.txt  sun                 //成功添加文件
[[email protected] ~]# cat /home/ssh_client.txt    //查看文件內容
this is ssh-client                           //顯示文件內容

5、在tast02中把剛創建的文件夾推送給tast01服務器,并在tast01服務器中查看是否成功推送

[[email protected] opt]# scp -r tast/ [email protected]:/home/     //推送文件夾
[email protected]'s password:                                //輸入密碼
[[email protected] opt]#                                             //推送成功
[[email protected] ~]# ls /home/                          //查看home目錄
ssh_client.txt  sun  tast                           //顯示推送的文件夾
[[email protected] ~]# ls /home/tast/                     //查看文件夾內容
si11                                                //顯示創建的si11目錄

使用sftp命令實現遠程上傳和下載

1、在tast02中刪除創建的文件與文件夾

[[email protected] opt]# ls                     //查看信息
rh  ssh_client.txt  tast                  //顯示內容
[[email protected] opt]# rm -rf ssh_client.txt  //刪除txt文件
[[email protected] opt]# rm -rf tast/           //刪除文件夾
[[email protected] opt]# ls                     //查看
rh                                        //成功刪除

2、使用sftp命令從tast01服務器中下載文件

[[email protected] opt]# sftp [email protected]      //使用sftp命令登錄tast01服務器root用戶
[email protected]'s password:                   //輸入密碼
Connected to 192.168.144.133.                      
sftp> ls                                      //成功登錄并查看目錄信息
anaconda-ks.cfg         initial-setup-ks.cfg    下載                  公共                  
圖片                  文檔                  桌面                  模板         //此時在root用戶家目錄下             
視頻                  音樂                  
sftp> cd /home/                      //進入home目錄
sftp> ls                             //查看
ssh_client.txt  sun             tast       //顯示內容         
sftp> get ssh_client.txt                    //使用get命令下載txt文件
Fetching /home/ssh_client.txt to ssh_client.txt      
/home/ssh_client.txt                                          100%   19    19.3KB/s   00:00    
sftp> bye                        //退出
[[email protected] opt]# ls             //查看目錄下是否有內容
rh  ssh_client.txt                //成功下載

3、將下載的文件更改名字,在使用sftp命令將文件上傳至tast01服務器home目錄,并回到tast01服務器中查看信息

[[email protected] opt]# mv ssh_client.txt ssh_server.txt    //更改文件名稱
[[email protected] opt]# ls                                  //查看
rh  ssh_server.txt                                     //已更改
[[email protected] opt]# sftp [email protected]            //使用sftp命令登錄tast01root用戶
[email protected]'s password:                       //輸入密碼
Connected to 192.168.144.133.
sftp> cd /home/                                          //進入home目錄
sftp> ls                                               //查看內容
ssh_client.txt  sun             tast            
sftp> put ssh_server.txt                               //將文件上傳至tast01服務器home目錄中
Uploading ssh_server.txt to /home/ssh_server.txt
ssh_server.txt                                                100%   19    15.6KB/s   00:00    
sftp> bye                //退出
[[email protected] opt]# 
[[email protected] ~]# ls /home/                   //查看home目錄內容
ssh_client.txt  ssh_server.txt  sun  tast    //成功上傳文件 

TCP wrappers訪問控制

TCP wrappers概述

保護原理

TCP wrappers將其他的TCP服務程序“包裹”起來,增加了一個安全的檢測過程,外來的連接請求必須先通過這層安全檢測,獲得許可后才能訪問真正的服務程序。TCP wrappers還可以記錄所有企圖訪問被保護服務的行為,為管理員提供豐富的安全分析資料。TCP wrappers的訪問是基于TCP協議的應用服務。

保護機制的實現方式

  • 方式1:通過tcpd主程序對其他服務程序進行包裝
  • 方式2:有其他服務程序調用libwrap.os.*連接庫

訪問控制策略的配置文件

  • /etc/hosts.allow
  • /etc/hosts.deny

TCP Wrappers策略應用

設置訪問控制策略

  • 策略格式:服務列表:客戶機地址列表
  • 服務列表

    • 多個服務以逗號分隔,ALL表示所有服務
  • 客戶機地址列表
    • 多個地址以逗號分隔,ALL表示所有地址
    • 允許使用通配符?和*
    • 網段地址,如:192.168.4.0或者192.168.4.0/255.255.255.0
    • 區域地址,如:.benet.com

策略的應用順序

  • 先檢查hosts.allow,找到匹配則允許訪問
  • 否則再檢查hosts.deny,找到則拒絕訪問
  • 若兩個文件中均無匹配策略,則默認允許訪問

Demo

實驗環境:

在VMware 15中開啟三臺CentOS 7系統計算機,主機名分別為tast01、tast02、tast03,tast01作為服務器系統,tast02、tast03分別為兩臺客戶機,tast01IP地址:192.168.144.133、tast02IP地址:192.168.144.135、tast03IP地址:192.168.144.132

搭建實驗

使用TCP Wrappers之前我們先要查看etc目錄下是否存在hosts.allow配置文件,有此配置文件才可以正常使用TCP Wrappers功能。(一般系統默認配置此文件)

[[email protected] ~]# cd /etc          //進入etc目錄
[[email protected] etc]# ls ./ | grep *.allow         //查看當前目錄內容,并過濾所有后綴為.allow的文件
hosts.allow                         //顯示文件

進入 hosts.allow配置文件,設置僅允許192.168.144.132客戶機可以通過ssh服務訪問服務器,在hosts.deny配置文件中添加拒絕所有客戶機使用SSH服務訪問服務器。

[[email protected] etc]# vim hosts.allow               //進入編輯配置文件
## hosts.allow   This file contains access rules which are used to
#               allow or deny connections to network services that
#               either use the tcp_wrappers library or that have been
#               started through a tcp_wrappers-enabled xinetd.
#
#               See 'man 5 hosts_options' and 'man 5 hosts_access'
#               for information on rule syntax.
#               See 'man tcpd' for information on tcp_wrappers
#
#
sshd:192.168.144.132                           //添加條目,僅允許192.168.144.132客戶機訪問服務器
~                                                                                               
~                                                                                                            
~                                                                                               
:wq                                          //保存退出 
[[email protected] etc]# vim hosts.deny
#
# hosts.deny    This file contains access rules which are used to
#               deny connections to network services that either use
#               the tcp_wrappers library or that have been
#               started through a tcp_wrappers-enabled xinetd.
#
#               The rules in this file can also be set up in
#               /etc/hosts.allow with a 'deny' option instead.
#
#               See 'man 5 hosts_options' and 'man 5 hosts_access'
#               for information on rule syntax.
#               See 'man tcpd' for information on tcp_wrappers
#
sshd:ALL                                         //編輯條目拒絕所有客戶機訪問(注意,此處使用大寫)
~                                                                                               
~                                                                                               
~                                                                                               
:wq                                             //保存退出
[[email protected] ~]# ssh [email protected]        //使用tast03客戶機訪問服務器
[email protected]'s password:                 //輸入密碼
Last login: Mon Sep 16 13:43:33 2019    
[[email protected] ~]#                                 //成功登錄
[[email protected] ~]# ssh [email protected]         //使用tast02客戶機訪問服務器
ssh_exchange_identification: read: Connection reset by peer     //拒絕訪問
[[email protected] ~]# 
linux
本文評論   查看全部評論 (0)
表情: 表情 姓名: 字數

       

評論聲明
  • 尊重網上道德,遵守中華人民共和國的各項有關法律法規
  • 承擔一切因您的行為而直接或間接導致的民事或刑事法律責任
  • 本站管理人員有權保留或刪除其管轄留言中的任意內容
  • 本站有權在網站內轉載或引用您的評論
  • 參與本評論即表明您已經閱讀并接受上述條款
彩票投注骗局