远程访问及控制要点课件.ppt

第五章 远程访问及控制, 理论部分,远程访问及控制,使用su、sudo的用途是什么？如何查询当前用户能通过sudo执行哪些命令？如何防止通过单用户模式进入Linux系统？,课程回顾,学会构建SSH远程登录服务学会使用SSH客户端工具学会编写TCP Wrappers访问策略,技能展示,本章结构,远程访问及控制,TCP Wrappers概述,TCP Wrappers访问策略,使用SSH客户端程序,密钥对验证的SSH体系,SSH远程管理,TCP Wrappers控制,配置OpenSSH服务端,SSH协议为客户机提供安全的Shell环境，用于远程管理默认端口：TCP 22OpenSSH服务名称：sshd服务端主程序：/usr/sbin/sshd客户端主程序：/usr/bin/ssh服务端配置文件：/etc/ssh/sshd_config客户端配置文件：/etc/ssh/ssh_config,OpenSSH服务器4-1,服务监听选项端口号、协议版本、监听IP地址禁用反向解析,OpenSSH服务器4-2,rootlocalhost # vi /etc/ssh/sshd_configPort 22Protocol 2ListenAddress 192.168.4.254UseDNS no,用户登录控制禁止root用户、空密码用户登录时间、重试次数AllowUsers、DenyUsers,OpenSSH服务器4-3,rootlocalhost # vi /etc/ssh/sshd_configPermitRootLogin noPermitEmptyPasswords noLoginGraceTime 2mMaxAuthTries 6 AllowUsers jerry admin61.23.24.25,不要与DenyUsers同时用,登录验证对象服务器中的本地用户账号登录验证方式密码验证：核对用户名、密码是否匹配密钥对验证：核对客户的私钥、服务端公钥是否匹配,OpenSSH服务器4-4,rootlocalhost # vi /etc/ssh/sshd_configPasswordAuthentication yesPubkeyAuthentication yesAuthorizedKeysFile .ssh/authorized_keys,启用密码验证、密钥对验证、指定公钥库位置,ssh命令 远程安全登录格式：ssh userhostscp命令 远程安全复制格式1：scp userhost:file1 file2格式2：scp file1 userhost:file2sftp命令 安全FTP上下载格式：sftp userhost,使用SSH客户端程序3-1,端口选项：-p 22,端口选项：-P 22,端口选项：-oPort=22,PuttyCN一款跨平台的Telnet/SSH图形客户端软件,使用SSH客户端程序3-2,WinSCP一款Windows平台的SCP、SFTP图形客户端软件,使用SSH客户端程序3-3,整体实现过程,构建密钥对验证的SSH体系5-1,第一步：创建密钥对 私钥文件：id_rsa 公钥文件：id_rsa.pub,SSH客户机,SSH服务器,第二步：上传公钥文件 id_rsa.pub,第三步：导入公钥信息 公钥库文件：/.ssh/authorized_keys,第四步：使用密钥对验证方式,由客户端的用户zhangsan在本地创建密钥对,导入到服务端用户lisi的公钥数据库,以服务端的用户lisi的身份进行登录,1. 在客户机中创建密钥对ssh-keygen命令可用的加密算法：RSA或DSA,构建密钥对验证的SSH体系5-2,zhangsanlocalhost $ ssh-keygen -t rsaGenerating public/private rsa key pair.Enter file in which to save the key (/home/zhangsan/.ssh/id_rsa):Created directory /home/zhangsan/.ssh.Enter passphrase (empty for no passphrase):Enter same passphrase again:Your identification has been saved in /home/zhangsan/.ssh/id_rsa.Your public key has been saved in /home/zhangsan/.ssh/id_rsa.pub.,公钥文件位置,设置密钥短语,私钥文件位置,2. 将公钥文件上传至服务器任何方式均可（共享、FTP、Email、SCP、）,构建密钥对验证的SSH体系5-3,zhangsanlocalhost $ scp /.ssh/id_rsa.pub rootserver:/tmp/root192.168.4.254s password:id_rsa.pub 100% 412 0.4KB/s 00:00,3. 在服务器中导入公钥文本将公钥文本添加至目标用户的公钥库默认公钥库位置：/.ssh/authorized_keys,构建密钥对验证的SSH体系5-4,rootlocalhost # su - lisilisilocalhost $ cat /tmp/id_rsa.pub /.ssh/authorized_keyslisilocalhost $ tail -1 /.ssh/authorized_keysssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAm8uUlE5TNRTiVLGBsy4OzfcXTqNLF4pAUyrFqEOA/HDnQxX1af5M6B9s0UqcUc5fVRB51H3z2VMU9ivPYzmFMAck1ual12+Jjn8TeRoEO2vVl9wd83xRbNOjbH7zuWf+LOzS2yO0XENxU5KirzALrRh/YFA42/8+c7RH/TZb9xjKb37vx/HJ5OsFZ1AU+SrlG/MpZaR3kSLBDSx/LbkBJaAhy1nOk4S8F42Ksh9wVheJcqOVuFdXNJxCckviAsFJDHf9t8sjsctDPBo/fTyiH9O/ZNNt4093LsiwT7Yos0NuT+Ej6/aWiNUgp7wJghgG60c4BAbNbBJs90uZLsI4Q= zhangsanlocalhost.localdomain,4. 客户端使用密钥对验证登陆验证用户：服务端的用户lisi验证密码：客户端的用户zhangsan的私钥短语,构建密钥对验证的SSH体系5-5,zhangsanlocalhost $ ssh lisi192.168.4.254Enter passphrase for key /home/zhangsan/.ssh/id_rsa:lisilocalhost $,以zhangsan的私钥短语进行验证,请思考：如何禁止root用户登录ssh服务器？SSH的密码验证、密钥对验证有什么区别？构建密钥对验证SSH体系的基本过程是什么？,小结,“包袱”保护原理,TCP Wrappers概述2-1,TCP Wrappers机制,代为监听端口21代为监听端口23代为监听端口110代为监听端口143,客户机的网络访问请求,对访问请求进行过滤控制,vsftpdtelnetipop3imap,调用相应的网络程序,保护机制的实现方式方式1：通过tcpd主程序对其他服务程序进行包装方式2：由其他服务程序调用libwrap.so.*链接库访问控制策略的配置文件/etc/hosts.allow/etc/hosts.deny,TCP Wrappers概述2-2,设置访问控制策略策略格式：服务列表:客户机地址列表服务列表 多个服务以逗号分隔，ALL 表示所有服务客户机地址列表多个地址以逗号分隔，ALL表示所有地址允许使用通配符 ? 和 *网段地址，如 192.168.4. 或者 192.168.4.0/255.255.255.0区域地址，如 ,TCP Wrappers策略应用3-1,策略的应用顺序先检查hosts.allow，找到匹配则允许访问否则再检查hosts.deny，找到则拒绝访问若两个文件中均无匹配策略，则默认允许访问,TCP Wrappers策略应用3-2,策略应用示例仅允许从以下地址访问sshd服务主机61.63.65.67网段192.168.2.0/24禁止其他所有地址访问受保护的服务,TCP Wrappers策略应用3-3,rootlocalhost # vi /etc/hosts.allowsshd:61.63.65.67,192.168.2.*rootlocalhost # vi /etc/hosts.denysshd:ALL,本章总结,远程访问及控制,TCP Wrappers概述,TCP Wrappers访问策略,使用SSH客户端程序,密钥对验证的SSH体系,SSH远程管理,TCP Wrappers控制,配置OpenSSH服务端,第五章 远程访问及控制, 上机部分,第五章 远程访问及控制,实验环境为Web服务器配置OpenSSH服务,实验案例：构建安全的SSH服务体系4-1,局域网段192.168.3.0/24,网站服务器（SSH）192.168.3.7,Internet,网关服务器eth0: 218.29.30.31eth1: 192.168.3.1,网管工作站192.168.3.110,Internet测试用机218.29.30.218,需求描述允许用户wzadm从任意地址登陆，采用密钥对验证允许用户jacky从主机192.168.3.110登陆禁止其他所有用户远程登录实现思路同时启用密码验证、密钥对验证锁定wzadm用户，改以密钥对方式进行验证使用AllowUser配置，仅允许wzadm、jacky用户登录,实验案例：构建安全的SSH服务体系4-2,学员练习1在Web服务器中创建测试用户jacky、wzadm在客户机中创建密钥对，上传并部署公钥文本在Web服务器中配置、启动sshd服务,实验案例：构建安全的SSH服务体系4-3,35分钟完成,学员练习2测试密钥对验证登录（wzadm）测试IP地址及用户限制（jacky、root）根据需求修正服务器配置，再重新进行测试,实验案例：构建安全的SSH服务体系4-4,45分钟完成,