1、Telnet
telnet是一种C/S架构协议,监听于TCP的23号端口,在CentOS 6上,telnet的服务器端程序叫telnet-server,客户端程序叫telnet。
服务进程有两种类型:
独立守护进程:自我管理;
超级守护进程:xinetd,服务器托管者,用于托管其它瞬时守护进程,xinetd自己是独立守护进程;
瞬时守护进程:非自我管理,而是由“超级守护进程”代为管理。
xinetd的配置文件位于:/etc/xinetd.conf, /etc/xinetd.d/*
2、SSH
SSH(Secure SHell)是一种C/S架构协议,监听于TCP的22号端口,用于安全地远程登录。
SSH的Server端实现叫OpenSSH(sshd),Client端实现叫做OpenSSH(ssh, scp),Windows上的SSH工具有xshell,securecrt,sshsecureshellclient,putty;
ssh协议版本:V1版不安全,现在普遍用的是V2版。
主机认证:需要用到主机认证密钥;由服务器端维护和提供;
用户登录:用户认证分为:基于口令的认证和基于密钥的认证;
用户提供一对儿密钥,私钥保留在客户端,公钥保留于远程服务器端的用户家目录下。
sshd的配置文件位于/etc/ssh/sshd_config;
ssh的配置文件位于/etc/ssh/ssh_config。
客户端程序:
ssh [options] [user@]host [COMMAND]
ssh [-l user] [options] host [COMMAND]
省略用户名意为使用本地用户名作为远程登录的用户名。
常用选项:
-l user:以指定的用户登录远程主机;
-p port:用于指明远程服务器的端口;
-X:支持X11转发;
-Y:支持信任的X11转发;
X:协议; x-window,C/S架构;
X11转发的作用:在本地显示远程主机上的图形窗口。前提:本地是X图形界面,或者提供了x service;
-o StrictHostKeyChecking=no;
接收的所有认可的服务器列表:~/.ssh/known_hosts
ssh远程连接服务器时的配置选项,定义在/etc/ssh/ssh_config配置文件中;
ssh支持的用户认证方式有基于口令的认证和基于密钥的认证;
(a) 在本地主机生成一对儿密钥:
ssh-keygen [-q] [-b bits] [-t type] [-f output_keyfile] [-P passphrase]
-t {rsa|ecdsa|dsa}:公钥加密算法类型;
-b bits:指明密钥长度;
-P passphrase:私钥加密密码;
-f output_keyfile:生成密钥的保存位置;
(b) 在本地主机上,将公钥复制到要登录的远程主机的某用户的家目录下的特定文件中(~/.ssh/authorized_keys)
ssh-copy-id [-i [identity_file]] [-p port] [-o ssh_option] [user@]hostname
© 测试:ssh user@host
(1)scp命令: 基于ssh连接完成复制
scp [options] SRC... DEST/
scp [options] SRC DEST
存在两种使用情形:
PULL:scp [options] [user@]host:/PATH/TO/SOMEFILE /PATH/TO/SOMEFILE
PUSH:scp [options] /PATH/TO/SOMEFILE [user@]host:/PATH/TO/SOMEFILE
常用选项:
-r:递归复制;
-p:保持原文件的权限信息;
-q:静默模式;
-P PORT:指明远程主机ssh协议监听的端口;
(2)sftp命令
ftp:file transfer protocol,明文;
安全的文件传输机制:
ftps: ftp over ssl
sftp: ftp over ssh
sftp:C/S架构
S:由sshd服务进程管理,是sshd的一个子系统,在centos系统上的openssh上,默认为启动状态,/usr/libexec/openssh/sftp-server;
C:即sftp。
连接至远程主机: sftp user@host
(3)sshd(服务器端)
配置文件:/etc/ssh/sshd_config
格式:配置指令 值
常用指令:
Port 22
ListenAddress 0.0.0.0
Protocol 2
PermitRootLogin yes
UseDNS no
手册页:
man sshd_config
man sshd
man ssh_config
man ssh
限制可登录的用户(配置文件):
AllowUsers user1 user2 user3 ...
AllowGroups grp1 grp2 ...
DenyUsers user1 user2 ...
DenyGroups grp1 grp2 ...
CentOS 6中的服务脚本:/etc/rc.d/init.d/sshd;
CentOS 7中的Systemd Unit File:/usr/lib/systemd/system/sshd.service;
ssh服务的最佳实践:
- 不要使用默认端口;
- 禁止使用protocol version 1;
- 限制可登录的用户;
- 设定空闲会话超时时长;
- 利用防火墙设置ssh访问策略;
- 仅监听特定的IP地址;
- 基于口令认证时,使用强密码策略(生成随机密码:# tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30 | xargs);
- 使用基于密钥的认证;
- 禁止使用空密码;
- 禁止root用户直接登录;
- 限制ssh的访问频度和并发在线数;
- 做好日志,经常分析(日志位于/var/log/secure);
3、dropbear
dropbear是ssh协议的另一个实现,是一种轻量化的实现方案,多用于嵌入式环境中。
常用工具:
dbclient:ssh协议客户端程序;
dbclient [options] [user@]host[/port][,[user@]host/port],...] [command]
dropbearkey:主机密钥生成工具;
dropbearkey -t <type> -f <filename> [-s bits]
文件位置可以位于:/etc/dropbear/;
服务端程序:
dropbear
-p [IP:]PORT;
-F: 前台;
-E:将日志发往错误输出。