欢迎来到三一办公! | 帮助中心 三一办公31ppt.com(应用文档模板下载平台)
三一办公
全部分类
  • 办公文档>
  • PPT模板>
  • 建筑/施工/环境>
  • 毕业设计>
  • 工程图纸>
  • 教育教学>
  • 素材源码>
  • 生活休闲>
  • 临时分类>
  • ImageVerifierCode 换一换
    首页 三一办公 > 资源分类 > PPT文档下载  

    远程访问及控制要点课件.ppt

    • 资源ID:1797989       资源大小:426KB        全文页数:29页
    • 资源格式: PPT        下载积分:16金币
    快捷下载 游客一键下载
    会员登录下载
    三方登录下载: 微信开放平台登录 QQ登录  
    下载资源需要16金币
    邮箱/手机:
    温馨提示:
    用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)
    支付方式: 支付宝    微信支付   
    验证码:   换一换

    加入VIP免费专享
     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    远程访问及控制要点课件.ppt

    第五章 远程访问及控制, 理论部分,远程访问及控制,使用su、sudo的用途是什么?如何查询当前用户能通过sudo执行哪些命令?如何防止通过单用户模式进入Linux系统?,课程回顾,学会构建SSH远程登录服务学会使用SSH客户端工具学会编写TCP Wrappers访问策略,技能展示,本章结构,远程访问及控制,TCP Wrappers概述,TCP Wrappers访问策略,使用SSH客户端程序,密钥对验证的SSH体系,SSH远程管理,TCP Wrappers控制,配置OpenSSH服务端,SSH协议为客户机提供安全的Shell环境,用于远程管理默认端口:TCP 22OpenSSH服务名称:sshd服务端主程序:/usr/sbin/sshd客户端主程序:/usr/bin/ssh服务端配置文件:/etc/ssh/sshd_config客户端配置文件:/etc/ssh/ssh_config,OpenSSH服务器4-1,服务监听选项端口号、协议版本、监听IP地址禁用反向解析,OpenSSH服务器4-2,rootlocalhost # vi /etc/ssh/sshd_configPort 22Protocol 2ListenAddress 192.168.4.254UseDNS no,用户登录控制禁止root用户、空密码用户登录时间、重试次数AllowUsers、DenyUsers,OpenSSH服务器4-3,rootlocalhost # vi /etc/ssh/sshd_configPermitRootLogin noPermitEmptyPasswords noLoginGraceTime 2mMaxAuthTries 6 AllowUsers jerry admin61.23.24.25,不要与DenyUsers同时用,登录验证对象服务器中的本地用户账号登录验证方式密码验证:核对用户名、密码是否匹配密钥对验证:核对客户的私钥、服务端公钥是否匹配,OpenSSH服务器4-4,rootlocalhost # vi /etc/ssh/sshd_configPasswordAuthentication yesPubkeyAuthentication yesAuthorizedKeysFile .ssh/authorized_keys,启用密码验证、密钥对验证、指定公钥库位置,ssh命令 远程安全登录格式:ssh userhostscp命令 远程安全复制格式1:scp userhost:file1 file2格式2:scp file1 userhost:file2sftp命令 安全FTP上下载格式:sftp userhost,使用SSH客户端程序3-1,端口选项:-p 22,端口选项:-P 22,端口选项:-oPort=22,PuttyCN一款跨平台的Telnet/SSH图形客户端软件,使用SSH客户端程序3-2,WinSCP一款Windows平台的SCP、SFTP图形客户端软件,使用SSH客户端程序3-3,整体实现过程,构建密钥对验证的SSH体系5-1,第一步:创建密钥对 私钥文件:id_rsa 公钥文件:id_rsa.pub,SSH客户机,SSH服务器,第二步:上传公钥文件 id_rsa.pub,第三步:导入公钥信息 公钥库文件:/.ssh/authorized_keys,第四步:使用密钥对验证方式,由客户端的用户zhangsan在本地创建密钥对,导入到服务端用户lisi的公钥数据库,以服务端的用户lisi的身份进行登录,1. 在客户机中创建密钥对ssh-keygen命令可用的加密算法:RSA或DSA,构建密钥对验证的SSH体系5-2,zhangsanlocalhost $ ssh-keygen -t rsaGenerating public/private rsa key pair.Enter file in which to save the key (/home/zhangsan/.ssh/id_rsa):Created directory /home/zhangsan/.ssh.Enter passphrase (empty for no passphrase):Enter same passphrase again:Your identification has been saved in /home/zhangsan/.ssh/id_rsa.Your public key has been saved in /home/zhangsan/.ssh/id_rsa.pub.,公钥文件位置,设置密钥短语,私钥文件位置,2. 将公钥文件上传至服务器任何方式均可(共享、FTP、Email、SCP、),构建密钥对验证的SSH体系5-3,zhangsanlocalhost $ scp /.ssh/id_rsa.pub rootserver:/tmp/root192.168.4.254s password:id_rsa.pub 100% 412 0.4KB/s 00:00,3. 在服务器中导入公钥文本将公钥文本添加至目标用户的公钥库默认公钥库位置:/.ssh/authorized_keys,构建密钥对验证的SSH体系5-4,rootlocalhost # su - lisilisilocalhost $ cat /tmp/id_rsa.pub /.ssh/authorized_keyslisilocalhost $ tail -1 /.ssh/authorized_keysssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAm8uUlE5TNRTiVLGBsy4OzfcXTqNLF4pAUyrFqEOA/HDnQxX1af5M6B9s0UqcUc5fVRB51H3z2VMU9ivPYzmFMAck1ual12+Jjn8TeRoEO2vVl9wd83xRbNOjbH7zuWf+LOzS2yO0XENxU5KirzALrRh/YFA42/8+c7RH/TZb9xjKb37vx/HJ5OsFZ1AU+SrlG/MpZaR3kSLBDSx/LbkBJaAhy1nOk4S8F42Ksh9wVheJcqOVuFdXNJxCckviAsFJDHf9t8sjsctDPBo/fTyiH9O/ZNNt4093LsiwT7Yos0NuT+Ej6/aWiNUgp7wJghgG60c4BAbNbBJs90uZLsI4Q= zhangsanlocalhost.localdomain,4. 客户端使用密钥对验证登陆验证用户:服务端的用户lisi验证密码:客户端的用户zhangsan的私钥短语,构建密钥对验证的SSH体系5-5,zhangsanlocalhost $ ssh lisi192.168.4.254Enter passphrase for key /home/zhangsan/.ssh/id_rsa:lisilocalhost $,以zhangsan的私钥短语进行验证,请思考:如何禁止root用户登录ssh服务器?SSH的密码验证、密钥对验证有什么区别?构建密钥对验证SSH体系的基本过程是什么?,小结,“包袱”保护原理,TCP Wrappers概述2-1,TCP Wrappers机制,代为监听端口21代为监听端口23代为监听端口110代为监听端口143,客户机的网络访问请求,对访问请求进行过滤控制,vsftpdtelnetipop3imap,调用相应的网络程序,保护机制的实现方式方式1:通过tcpd主程序对其他服务程序进行包装方式2:由其他服务程序调用libwrap.so.*链接库访问控制策略的配置文件/etc/hosts.allow/etc/hosts.deny,TCP Wrappers概述2-2,设置访问控制策略策略格式:服务列表:客户机地址列表服务列表 多个服务以逗号分隔,ALL 表示所有服务客户机地址列表多个地址以逗号分隔,ALL表示所有地址允许使用通配符 ? 和 *网段地址,如 192.168.4. 或者 192.168.4.0/255.255.255.0区域地址,如 ,TCP Wrappers策略应用3-1,策略的应用顺序先检查hosts.allow,找到匹配则允许访问否则再检查hosts.deny,找到则拒绝访问若两个文件中均无匹配策略,则默认允许访问,TCP Wrappers策略应用3-2,策略应用示例仅允许从以下地址访问sshd服务主机61.63.65.67网段192.168.2.0/24禁止其他所有地址访问受保护的服务,TCP Wrappers策略应用3-3,rootlocalhost # vi /etc/hosts.allowsshd:61.63.65.67,192.168.2.*rootlocalhost # vi /etc/hosts.denysshd:ALL,本章总结,远程访问及控制,TCP Wrappers概述,TCP Wrappers访问策略,使用SSH客户端程序,密钥对验证的SSH体系,SSH远程管理,TCP Wrappers控制,配置OpenSSH服务端,第五章 远程访问及控制, 上机部分,第五章 远程访问及控制,实验环境为Web服务器配置OpenSSH服务,实验案例:构建安全的SSH服务体系4-1,局域网段192.168.3.0/24,网站服务器(SSH)192.168.3.7,Internet,网关服务器eth0: 218.29.30.31eth1: 192.168.3.1,网管工作站192.168.3.110,Internet测试用机218.29.30.218,需求描述允许用户wzadm从任意地址登陆,采用密钥对验证允许用户jacky从主机192.168.3.110登陆禁止其他所有用户远程登录实现思路同时启用密码验证、密钥对验证锁定wzadm用户,改以密钥对方式进行验证使用AllowUser配置,仅允许wzadm、jacky用户登录,实验案例:构建安全的SSH服务体系4-2,学员练习1在Web服务器中创建测试用户jacky、wzadm在客户机中创建密钥对,上传并部署公钥文本在Web服务器中配置、启动sshd服务,实验案例:构建安全的SSH服务体系4-3,35分钟完成,学员练习2测试密钥对验证登录(wzadm)测试IP地址及用户限制(jacky、root)根据需求修正服务器配置,再重新进行测试,实验案例:构建安全的SSH服务体系4-4,45分钟完成,

    注意事项

    本文(远程访问及控制要点课件.ppt)为本站会员(小飞机)主动上传,三一办公仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知三一办公(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    备案号:宁ICP备20000045号-2

    经营许可证:宁B2-20210002

    宁公网安备 64010402000987号

    三一办公
    收起
    展开