526互联

sshd服务端配置

发布时间 2023-06-12 19:23:55作者: m_zhuang

目录

sshd服务端配置文件:/etc/ssh/sshd_config

服务监听选项:

  • 端口号、协议版本、监听IP地址
  • 禁用反向解析

参数说明:

[root@localhost ~]# cat /etc/ssh/sshd_config
 --------------------
  17 #Port 22                   //端口号,生产环境建议修改端口号
  18 #AddressFamily any
  19 #ListenAddress 0.0.0.0
  20 #ListenAddress ::
 
  38 #LoginGraceTime 2m         //发起连接后多少时间内必须登录,超时断开连接
  39 #PermitRootLogin yes       //是否允许root用户登录,ubantu不允许root远程ssh登录
  40 #StrictModes yes           //检查.ssh/文件的所有者,权限等
  41 #MaxAuthTries 6            //最多允许输错几次密码(centos7默认3次,修改也无效)
  42 #MaxSessions 10            //同一时间最多允许10个远程连接
 
  65 #PermitEmptyPasswords no    //是否允许空密码用户登录
  66 PasswordAuthentication yes  //基于用户和密码验证
 
 116 #UseDNS no                //禁用反向解析,提高速度可设置为no
 
 
 #设置黑白名单
 #llowUsers jlx@192.168.19.20  lisi   //只允许yuji用户从192.168.19.20访问,允许lisi从所有地址访问
 #enyUsers jlx    //不允许使用liwu用户登录
 
 #白名单的优先级高于黑名单。如果一个用户同时加入了白名单和黑名单,那么该用户是可以访问的。
 #如果不设置白名单,则所有用户都可以登录访问。一旦设置了白名单,那么只有白名单内的用户可以访问。

sshd客户端配置

客户端配置文件

客户端配置文件:/etc/ssh/ssh_config

客户端首次连接服务端时,系统询问是否交换公钥,进行安全确认。这是由客户端配置文件默认的,可以修改配置文件ssh_config取消询问。

取消35行的注释,并将ask改成改成no,则首次连接时,系统不会进行确认询问。

这种做法只在内网中使用,如果服务器暴露在外网中,不建议这样操作,非常危险。

客户端的使用方式

ssh scp sftp 都是默认使用ssh协议,端口为 tcp 22

远程登录

ssh [-p 端口]  [用户]@服务端IP

推送 上行复制

scp [-r 目录] 文件   [用户]@服务端IP:保存路径

拉取 下行复制

scp [-P] [用户]@服务端IP:保存路径   本地路径

sftp命令

SFTP是SSH File Transfer Protocol的缩写,安全文件传送协议。SFTP与FTP有着几乎一样的语法和功能。SFTP为SSH的其中一部分,是一种传输档案至 Blogger 伺服器的安全方式。其实在SSH软件包中,已经包含了一个叫作SFTP的安全文件信息传输子系统,SFTP本身没有单独的守护进程,它必须使用sshd守护进程(端口号默认是22)来完成相应的连接和答复操作,所以从某种意义上来说,SFTP并不像一个服务器程序,而更像是一个客户端程序。

sftp命令格式:

 sftp  [用户名@]IP地址
 sftp -oPort=220 [用户名@]IP地址     //修改了默认端口的情况下,需要指定端口号
 
 例:
 sftp 192.168.72.129
 sftp root@192.168.72.129
 
 #sftp连接后,进入的是当前登录用户的家目录。例如使用root登录,则sftp连接后进入的是/root/目录.
 #文件的上传和下载,不能使用绝对路径。文件必须位于当前目录下。

sftp连接后的常用命令:

 get        #下载文件
 get -r     #下载目录
 put        #上传文件
 put -r     #上传目录
 quit、exit、bye      #退出

sftp和ftp的区别:

  • 连接方式:FTP使用TCP端口21上的控制连接建立连接。而,SFTP是在客户端和服务器之间通过SSH协议(TCP端口22)建立的安全连接来传输文件。
  • 安全性:SFTP使用加密传输认证信息和传输的数据,所以使用SFTP相对于FTP是非常安全。
  • 效率:SFTP这种传输方式使用了加密解密技术,所以传输效率比普通的FTP要低得多。

免密码登录

认证方式

  • 用户账户
  • 密码认证
  • 密钥对认证
PasswordAuthentication yes
PubkeyAuthentication yes

设置免密码登录(创建密钥对验证)

实验思路:

  1. 在客户端创建密钥对
  2. 将公钥文件上传至服务器
  3. 在服务器中导入公钥文本
  4. 在客户端使用密钥对验证
  5. 在客户机设置ssh代理功能,实现免交互登录

实验步骤:

步骤一:

在客户端创建密钥对

[root@localhost ~]# ssh-keygen -t ecdsa
Generating public/private ecdsa key pair.
Enter file in which to save the key (/root/.ssh/id_ecdsa): 123456         Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in 123456.
Your public key has been saved in 123456.pub.
The key fingerprint is:
SHA256:/nDEZ9z0YX1bA5MaAsNRZ5eQO4OAI8JelD8paKi4Ndo root@localhost.localdomain
The key's randomart image is:
+---[ECDSA 256]---+
|. ... o++. +o+o  |
| o + o o..oo.oo .|
|o + o o . o + .++|
|.+ . +   o * o..*|
|+   . . S o * ...|
|o o    . . o     |
| = .    o .      |
|o E      +       |
|          .      |
+----[SHA256]-----+

步骤二:

将公钥文件上传至服务器

[root@localhost ~]# scp ~/.ssh/id_ecdsa.pub root@192.168.68.103
cp: 无法获取"/root/.ssh/id_ecdsa.pub" 的文件状态(stat): 没有那个文件或目录
[root@localhost ~]# scp ~/.ssh/id_ecdsa.pub root@192.168.68.103:/opt
ssh: connect to host 192.168.68.103 port 22: No route to host
lost connection
[root@localhost ~]# scp ~/.ssh/id_ecdsa.pub root@192.168.68.103:/opt
The authenticity of host '192.168.68.103 (192.168.68.103)' can't be established.
ECDSA key fingerprint is SHA256:c/vT25iGBsM5bT0AqPkAXIYENkTV7KskP2y6i7tZpVQ.
ECDSA key fingerprint is MD5:ab:67:31:42:18:a0:6e:66:3b:ec:48:0d:af:31:36:9c.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.68.103' (ECDSA) to the list of known hosts.
root@192.168.68.103's password: 
/root/.ssh/id_ecdsa.pub: No such file or directory

步骤三:

在服务器中导入公钥文本

[root@localhost ~]# scp ~/.ssh/id_ecdsa.pub root@192.168.19.10:/opt
The authenticity of host '192.168.19.10 (192.168.19.10)' can't be established.
ECDSA key fingerprint is SHA256:hWBYEEW/YrLPAB8JwD8k9BzaRAqeJAU/xBFUFLBU+cE.
ECDSA key fingerprint is MD5:95:fa:43:3c:e5:3b:8f:a5:7d:b0:43:d9:5a:90:d9:d1.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.19.10' (ECDSA) to the list of known hosts.
root@192.168.19.10's password: 
id_ecdsa.pub

步骤四:

在客户端使用密钥对验证

步骤五:

在客户机设置ssh代理功能,实现免交互登录

[root@localhost ~]# ssh-agent bash
[root@localhost ~]# ssh-add
Enter passphrase for /root/.ssh/id_ecdsa:           //输入私钥密码
Identity added: /root/.ssh/id_ecdsa (/root/.ssh/id_ecdsa)
[root@localhost ~]# ssh jlx@192.168.19.10       //此时远程连接无需密码
Last login: Thu Aug 18 15:33:45 2022 from 192.168.19.20
[jlx@localhost ~]$

TCP Wrappers 访问控制

TCP_Wrappers是一个工作在第四层(传输层)的的安全工具,对有状态连接的特定服务进行安全检测并实现访问控制,凡是包含有libwrap.so库文件的的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问,常见的程序有 rpcbind、vsftpd、sshd、telnet。

有些进程不受tcp_wrappers管理,例如 httpd、smb、squid等。

格式

<服务程序列表>:<客户端地址列表>

工作原理

TCP_Wrappers有一个TCP的守护进程叫作tcpd。以ssh为例,每当有ssh的连接请求时,tcpd即会截获请求,先读取系统管理员所设置的访问控制文件,符合要求,则会把这次连接原封不动的转给真正的ssh进程,由ssh完成后续工作;如果这次连接发起的ip不符合访问控制文件中的设置,则会中断连接请求,拒绝提供ssh服务。

基本原则

  • 首先检查/etc/host.allow文件,如果找到相匹配的策略,则允许访问;
  • 否则继续检查/etc/hosts.deny文件,如果找到相匹配的策略,则拒绝访问;
  • 如果检查上述两个文件都找不到相匹配的策略,则允许访问。

拓展:

允许个别,拒绝所有

除了在/etc/hosts.allow中添加允许策略之外,还需要在/etc/hosts.deny文件中设置“ALL:ALL"的拒绝策略。

实例:

若只希望从IP地址为12.0.0.1的主机或者位于192.168.19.0/24网段的主机访问sshd服务,其他地址被拒绝。

[root@localhost ~]# vim /etc/hosts.allow 

sshd:12.0.0.1,192.168.19.*

[root@localhost ~]# vim /etc/hosts.deny 

sshd:ALL

总结:

  • 认证方式
    • 用户账户
    • 密码认证
    • 密钥对认证
  • 设置密钥的方式 ---ssh-keygen