一 SSH服务配置文件
射手服务的配置文件默认位于/etc/ssh/sshd_config目录下,正确调整配置项可以提高SSH远程登录安全性。
1.服务监听选项
vi /etc/ssh/sshd_config
Port 22 //监听端口为22
ListenAddress 20.0.0.11 //监听地址为20.0.0.11(提高在网络中的隐蔽性)
Protocol 2 //使用SSH V2协议(安全性更高)
UseDNS no //禁用DNS反向解析(可以提高服务器的响应速度)
systemctl restart sshd
2.用户登录控制
vi /etc/ssh/sshd_config
LoginGraceTime 2m //登录验证时间为2分钟
PermitRootLogin no //禁止root用户远程登陆
MaxAuthTries 3 //密码重试次数不超过3次
PermitEmptyPasswords no //禁止空密码用户登录
……
AllowUsers cen jay [email protected] //只允许cen、jay、young用户登录,其中young用户仅能从IP地址为20.0.0.1的主机远程登录
systemctl restart sshd
3.登录验证方式
sshd服务支持两种验证方式——密码验证、密钥对验证,可以设置只使用其中一种方式,也可以两种方式都启用。
vi /etc/ssh/sshd_config
PasswordAuthentication yes //启用密码验证
PubkeyAuthentication yes //启用密钥对验证
ssh [email protected] //远程登录指定主机
4.远程拷贝文件
pc2:cd /opt
touch 1.txt
scp 1.txt [email protected]:/opt //从pc2拷贝到pc1的/opt目录下(注意需要输入密码)
pc1:
vi /opt/2.txt
pc2:
scp [email protected]:/opt/2.txt /opt //从pc1拷贝到pc2
5.sftp安全FTP
通过sftp命令可以利用SSH安全连接与远程主机上传、下载文件,涉及到sftp登录、浏览、文件上传过程。
在pc2(20.0.0.12)中
sftp [email protected]
输入密码
sftp>ls //浏览
sftp>put /opt/1.txt //上传文件到pc1
sftp>get /opt/2.txt /opt/ //下载文件到pc2中的/opt目录下
sftp>bye //退出登录
6.构建密钥对访问主机
step1:创建密钥对,私钥文件:id_rsa 公钥文件:id_rsa.pub
step2:上传公钥文件id_rsa.pub
step3:导入公钥信息
step4:使用密钥对验证方式
1.在客户端创建密钥对
ssh-keygen -t rsa //-t表示type,类型
//指定私钥位置
//设置私钥短语
//确认所设置的短语
2.在pc1(20.0.0.11)上传公钥
ssh-copy-id [email protected]
yes
pc2查看
cd /root
ll -a
3.在pc1上远程登录
ssh 20.0.0.12
二 TCP Wrappers概述
策略的应用顺序
1.检查hosts.allow,找到匹配则允许访问
2.hosts.deny,找到则拒绝访问
3.若两个文件中均无匹配策略,则默认允许访问
vi /etc/hosts.allow
sshd:20.0.0.0/255.255.255.0
:wq
vi /etc/hosts.deny
sshd:ALL
:wq
意为:拒绝除20.0.0.0网段的其他所有IP地址访问sshd服务