SSH 远程管理
SSH(Secure Shell) 是一种安全通道协议,主要用来实现字符界面的远程登录、远程、复制等功能。SSH 协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。与早期的Telent(远程登录)、RSH(Remote Shell, 远程执行命令)、RCP (Remote File Copy, 远程文件复制)等应用相比, SSH 协议提供了更好的安全性。
配置 OpenSSH服务端
在CentOS7.3系统中,OpenSSH服务器由openssh、openssh-server等软件包提供(默认已安装),并已将sshd添加为标准的系统服务。执行"systemctl start sshd"命令即可启动sshd服务,包括root在内的大部分用户(只要拥有合法的登录Shell)都可以远程登录系统。
sshd服务的默认配置文件是/etc/ssh/sshd_config,正确调整相关配置项,可以进一步提高sshd远程登录的安全性。下面介绍最常用的一些配置项,关于sshd_config文件的更多配置可参考 man 手册页。
1. 服务监听选项
sshd 服务使用的默认端口号为22,必要时建议修改此端口号,并指定监听服务的具体IP地址,以提高在网络中的隐蔽性。除此之外, SSH 协议的版本选用V2 比V1 的安全性要更好,禁用DNS反向解析可以提高服务器的响应速度。
vim /etc/ssh/sshd_config //进入sshd配置文件
port=22 //修改该端口号然后保存退出
systemctl restart sshd //重启sshd服务应用修改
2. 用户登录控制
sshd服务默认允许root用户登录,但在Internet中使用时是非常不安全的。普遍的做法如下:先以普通用户远程登入,进入安全Shell 环境后,根据实际需要使用su 命令切换为root 用户。
关于sshd服务的用户登录控制,通常应禁止root用户或密码为空的用户登录。另外,可以限制登录验证的时间(默认为2分钟)及最大重试次数,若超过限制后仍未能登录则断开连接。
[root@localhost~]#vim /etc/ssh/sshd_config
LoginGraceTime 2m //登录验证时间为2分钟
PermitRootLogin no //禁止root用户登录
MaxAuthTries 6 //最大重试次数为6
PermitEmptyPasswords no //禁止空密码用户登录
[root@localhost~]# systemctl restart sshd
当希望只允许或禁止某些用户登录时,可以使用AllowUsers或DenyUsers配置,两者用法类似(注意不要同时使用)。
[root@localhost~]#vim /etc/ssh/sshd_config
AllowUsers jerry tsengyia admin@61.23.24.25
3. 登 录 验 证 方 式
对于服务器的远程管理,除了用户账号的安全控制以外,登录验证的方式也非常重要。也可以两种方式都启用。
> 密码验证:对服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便,但从客户端角度来看,正在连接的服务器有可能被假冒;从服务器角度来
看,当遭遇密码穷举(暴力破解)攻击时防御能力比较弱。
> 密钥对验证:要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件(公钥、私钥),然后将公钥文件放到服务器中的指定位置。远程登录时,系统将使用公钥、私钥进行加密/解密关联验证,大大增强了远程管理的安全性。该方式不易被假冒,且可以免交互登录,在 Shell 中被广泛使用。
当密码验证、密钥对验证都启用时,服务器将优先使用密钥对验证。对于安全性要求较 高的服务器,建议将密码验证方式禁用,只允许启用密钥对验证方式;若没有特殊要求,则两种方式都可启用。
[root@localhost ~]#vim /etc/ssh/sshd_config
PasswordAuthentication yes 启用密码验证
PubkeyAuthentication yes 启用公钥验证
AuthorizedKeysFile .ssh/authorized_keys 公钥库文件所在位置
......|Ⅱ省略部分内容
[root@localhost~]#systemctl restart sshd
其中,公钥库文件用来保存多个客户端上传的公钥文本,以便与客户端本地的私钥文件进行匹配。
使用SSH 客户端程序
在CentOS 7.3 系统中, OpenSSH 客户端由openssh-clients 软件包提供(默认已安装),其中包括ssh 远程登录命令,以及scp、sftp 远程复制和文件传输命令等。实际上,任何支持SSH协议的客户端程序都可以与OpenSSH服务器进行通信,如Windows平台中的Xshell、SecureCRT、Putty 等图形工具。
1. 命令程序ssh、scp、sftp
1)ssh 远程登录
通过ssh 命令可以远程登录sshd 服务,为用户提供一个安全的 Shell 环境,以便对服务器进行管理和维护。使用时应指定登录用户、目标主机地址作为参数。例如,若要登录主机 172.16.16.22,以对方服务器的 tsengyia 用户进行验证,可以执行以下操作。
[root@localhost ~]#ssh tsengyia@172.16.16.22
The authenticity of host'172.16.16.22 (172.16.16.22)'can't be established.
ECDSA key fingerprint is d9:61:d2:c4:72:a8:16:b2:7b:94:04:4d:f0:c2:2b:b9.
Are you sure you want to continue connecting (yes/no)? yes // 接受密钥
Warning:Permanently added '172.16.16.22'(ECDSA)to the list of known hosts. tsengyia@172.16.16.22's password: //输入密码
当用户第一次登录 SSH 服务器时,必须接受服务器发来的 ECDSA 密钥(根据提示输 入"yes" ) 后才能继续验证。接收的密钥信息将保存到~1.ssh/known_hosts 文件中。密码验 证成功以后,即可登录目标服务器的命令行环境中了,就好像把客户端的显示器、键盘连接到服务器一样。
如果sshd 服务器使用了非默认的端口号(如2345) ,则在登录时必须通过"-p"选项指定端口号。
[root@localhost ~]#ssh -p 2345 jerry@172.16.16.22
2)scp 远程复制
通过scp命令可以利用SSH安全连接与远程主机相互复制文件。使用scp命令时,除了必须指定复制源、目标之外,还应指定目标主机地址、登录用户,执行后根据提示输入验 证口令即可。例如,以下操作分别演示了下行、上行复制的操作过程,将远程主机中的/etc/passwd 文件复制到本机,并将本机的/etc/vsftpd 目录复制到远程主机。
[root@localhost ~]#scp root@172.16.16.22:/etc/passwd Iroot/pwd254.txt [root@localhost~]#scp-r /etclvsftpd/root@172.16.16.22:/opt
3) sftp安全FTP
通过sftp命令可以利用SSH安全连接与远程主机上传、下载文件,采用了与FTP类似的登录过程和交互式环境,便于目录资源管理。例如,以下操作依次演示了sftp 登录、浏览、文件上传等过程。
[root@localhost ~]#sftp tsengyia@172.16.16.22
Connecting to 172.16.16.22... tsengyia@172.16.16.22's password:
sftp>put /boot/config-3.10.0-514.el7.x86_64
构建密钥对验证的SSH 体系
密钥对验证方式可以为远程登录提供更好的安全性。
- 在客户端创建密钥对
在CentOS 7.3客户端中,通过ssh-keygen工具为当前用户创建密钥对文件。可用的加密算法为RSA、ECDSA或 DSA等 (ssh-keygen 命令的"-t"选项用于指定算法类型)。例如,以zhangsan 用户登录客户端,并生成基于ECDSA算法的SSH密钥对(公钥、私钥)
文件,操作如下所示。
[zhangsan@localhost~]$ ssh-keygen -t ecdsa
Generating public/private ecdsa key pair.
Enter file in which to save the key(/home/zhangsan/.ssh/id_ecdsa):
Created directory /home/zhangsan/.ssh'. //指定私钥位置
Enter passphrase (empty for no passphrase): //设置私钥短语
Enter same passphrase again: //确认所设置的短语
上述操作过程中,提示指定私钥文件的存放位置时,一般直接按Enter 键即可,最后生成的私钥、公钥文件默认存放在宿主目录中的隐藏文件夹.ssh 下。私钥短语用来对私钥文 件进行保护,当使用该私钥验证登录时必须正确提供此处所设置的短语。尽管不设置私钥短语也是可行的(实现无口令登录),但在生产环境中不建议这样做。
新生成的密钥对文件中, id_ecdsa 是私钥文件,权限默认为600,对于私钥文件必须妥善保管,不能泄露给他人; id_ecdsa.pub 是公钥文件,用来提供给 SSH 服务器。
2. 将公钥文件上传至服务器
将上一步生成的公钥文件上传至服务器,并部署到服务器端用户的公钥数据库中。上传公钥文件时可以选择 SCP、FTP、Samba、HTTP 甚至发送 E-mail 等任何方式。例如,可以通过 SCP 方式将文件上传至服务器的/tmp目录下。
[zhangsan@localhost ~]Sscp~1.ssh/id_ecdsa.pub root@172.16.16.22:tmp
3. 在服务器中导入公钥文本
在服务器中,目标用户(指用来远程登录的账号lisi) 的公钥数据库位于~1.ssh 目录,默认的文件名是"authorized_keys"。如果目录不存在,需要手动创建。当获得客户端发送过来的公钥文件以后,可以通过重定向将公钥文本内容追加到目标用户的公钥数据库。
[root@localhost~]#mkdir /home/lisi/.ssh/
[root@localhost~]#cat/tmp/id_ecdsa.pub >>/home/lisi/.ssh/authorized_keys
在公钥库authorized_keys 文件中,最关键的内容是"ecdsa-sha2-nistp256 加密字串"部分,当导入非 ssh-keygen 工具创建的公钥文本时,应确保此部分信息完整,最后的"zhangsan@localhost" 是注释信息。
由于sshd 服务默认采用严格的权限检测模式(StrictModes yes), 因此还需注意公钥库文件 authorized_keys 的权限------要求除了登录的目标用户或root 用户,同组或其他用户对该文件不能有写入权限,否则可能无法成功使用密钥对验证。除此之外,应确认sshd 服务是否支持密钥对验证方式。
4. 在客户端使用密钥对验证
当私钥文件(客户端)、公钥文件(服务器)均部署到位以后,就可以在客户端中进行的身份进行远程登录。如果密钥对验证方式配置成功,则在客户端将会要求输入私钥短语,以
便调用私钥文件进行匹配(若未设置私钥短语,则直接登入目标服务器)。
经过"客户端创建密钥对"、"将公钥上传至服务器"、"在服务器中导入公钥文本"与"在客户端使用密钥对验证"四个步骤, SSH 密钥对验证体系已经构建完成。
而在上述步骤中,第二步和第三步其实可以采用另外一种方法实现,即使用"ssh-copy-id-i 公钥文件 user@host" 格式,"-1"选项指定公钥文件,"user"是指目标主机的用户。验证密码后,会将公钥自动添加到目标主机user 宿主目录下的.ssh/authorized_keys 文件结尾。
[zhangsan@localhost~]$ ssh-copy-id -i~1.ssh/id_ecdsa.pub lisi@172.16.16.22 /bin/ssh-copy-id:INFO:attempting to log in with the new key(s),to filter
ssh-copy-id 命令在上传公钥文件到服务器的时候,具有简单、快捷的优点,可优先使 用此命令上传公钥,但通过SCP 命令拷贝再导入的方式具有通用性,可应对没有ssh-copy-id命令的情况。
TCP Wrappers 访问控制
在Linux 系统中,许多网络服务针对客户端提供了访问控制机制,如 Samba 、BIND、HTTPD 、OpenSSH 等。本节将介绍另一种防护机制 --- TCP Wrappers (TCP 封套),以作为应用服务与网络之间的一道特殊防线,提供额外的安全保障。
TCP Wrappers 概述
TCP Wrappers 将 TCP 服务程序"包裹"起来,代为监听 TCP 服务程序的端口,增加了 一个安全检测过程,外来的连接请求必须先通过这层安全检测,获得许可后才能访问真正 的服务程序,如图4.3 所 示 。TCP Wrappers 还可以记录所有企图访问被保护服务的行为,
为管理员提供丰富的安全分析资料。
对于大多数Linux发行版,TCP Wrappers 是默认提供的功能。CentOS 7.3 中使用的 软件包是 tcp_wrappers-7.6-77.el7.x86_64.rp m, 该软件包提供了执行程序tcpd 和共享链接 库文件 libwrap.So.*, 对应 TCP Wrapper 保护机制的两种实现方式------直接使用 tcpd 程序。
对其他服务程序进行保护,需要运行tcpd; 由其他网络服务程序调用libwrap.so.* 链接库,不需要运行 tcpd 程序。
通常,链接库方式的应用要更加广泛,也更有效率。例如, vsftpd 、sshd 及超级服务器xinetd等,都调用了libwrap 共享库(使用ldd 命令可以查看程序的共享库)。
[root@localhost~]#ldd /usr/sbin/sshd I grep "libwrap"
libwrap.so.0 =>/lib64/libwrap.so.0 (0x00007fb178fce000)
注意: xinetd 是一个特殊的服务管理程序,通常被称为超级服务器。xinetd 通过在 /etc/xinetd.d目录下为每个被保护的程序建立一个配置文件,调用 TCP Wrappers 机制来提供额外的访问控制保护。
TCP Wrappers 的访问策略
TCPWrappers 机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行 访问控制。对应的两个策略文件为/etc/hosts.allow 和/etc/hosts.deny, 分别用来设置允许和拒绝的策略。
1. 策略的配置格式
两个策略文件的作用相反,但配置记录的格式相同。
服务程序列表、客户端地址列表之间以冒号分隔,在每个列表内的多个项之间以逗号分隔。
(1)服务程序列表
服务程序列表可分为以下几类。
> ALL: 代表所有的服务。
> 单个服务程序:如"vsftpd"。
> 多个服务程序组成的列表:如"vsftpd,sshd"。
(2)客户端地址列表
客户端地址列表可分为以下几类。
> LOCAL: 代表本机地址。
> 单个 IP 地址:如"192.168.4.4"。
> 网络段地址:如"192.168.4.0/255.255.255.0"。
> 以"."开始的域名:如".bdqn.com"匹配 bdqn.com 域中的所有主机。
> 以"."结束的网络地址:如"192.168.4."匹配整个 192.168.4.0/24 网段。
> 嵌入通配符"*""?":前者代表任意长度字符,后者仅代表一个字符,如"10.0.8.2*"匹配以 10.0.8.2开头的所有 IP 地址。不可与以"."开始或结束的模式混用。
> 多个客户端地址组成的列表:如"192.168.1.,172.16.16.,. bdqn.com" 。
2. 访问控制的基本原则
关于TCP Wrappers 机制的访问策略,应用时遵循以下顺序和原则:首先检查 /etc/hosts.allow 文件,如果找到相匹配的策略,则允许访问;否则继续检查/etc/hosts.deny 文件,如果找到相匹配的策略,则拒绝访问;如果检查上述两个文件都找不到相匹配的策略,则允许访问。
3.TCP Wrappers 配置实例
实际使用TCP Wrappers 机制时,较宽松的策略可以是"允许所有,拒绝个别",较严格 的策略是"允许个别,拒绝所有"。前者只需在hosts.deny文件中添加相应的拒绝策略就可以 了;后者则除了在 hosts.allow 中添加允许策略之外,还需要在 hosts.deny 文件中设置"ALL:ALL"的拒绝策略。
例如,若只希望从IP 地址为61.63.65.67的主机或者位于192.168.2.0/24 网段的主机访问sshd 服务,其他地址被拒绝,可以执行以下操作。
[root@localhost ~]# vi /etc/hosts.allow sshd:61.63.65.67,192.168.2.*
[root@localhost~]#vi /etc/hosts.deny sshd:ALL