Linux中遠(yuǎn)程訪問及控制-創(chuàng)新互聯(lián)

SSH遠(yuǎn)程管理

SSH遠(yuǎn)程控制介紹

SSH是一種安全通道協(xié)議，主要用來(lái)實(shí)現(xiàn)字符界面的遠(yuǎn)程登錄、遠(yuǎn)程復(fù)制等功能。SSH協(xié)議對(duì)通信雙方的數(shù)據(jù)傳輸進(jìn)行了加密處理，其中包括用戶登錄時(shí)輸入的用戶口令。與早期的telnet、rsh、rcp等應(yīng)用相比，SSH協(xié)議提供了更好的安全性。

10年積累的成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè)經(jīng)驗(yàn)，可以快速應(yīng)對(duì)客戶對(duì)網(wǎng)站的新想法和需求。提供各種問題對(duì)應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識(shí)你，你也不認(rèn)識(shí)我。但先網(wǎng)站制作后付款的網(wǎng)站建設(shè)流程，更有石獅免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

OpenSSH服務(wù)器

SSH協(xié)議

為客戶機(jī)提供安全的shell環(huán)境，用于與遠(yuǎn)程管理
默認(rèn)端口：TCP 22

OpenSSH

服務(wù)名稱：sshd
服務(wù)端主程序：/usr/sbin/sshd
服務(wù)端配置文件：/etc/ssh/sshd_config
客戶端配置文件:ssh_config

服務(wù)監(jiān)聽選項(xiàng)

端口號(hào)、協(xié)議版本、監(jiān)聽I(yíng)P地址
禁用反向解析

#Port 22              //端口號(hào)
#AddressFamily any    
#ListenAddress 0.0.0.0   //ipv4監(jiān)聽地址
#ListenAddress ::        //ipv6監(jiān)聽地址

用戶登錄控制

禁止root用戶、空密碼用戶
登錄時(shí)間、重試次數(shù)
AllowUsers、DenyUsers（黑白名單，允許和拒絕）

#LoginGraceTime 2m      //會(huì)話時(shí)間
#PermitRootLogin yes    //是否進(jìn)制root登錄
#StrictModes yes        //是否驗(yàn)證訪問權(quán)限
#MaxAuthTries 6         //驗(yàn)證次數(shù)6次
#MaxSessions 10         //訪問的大鏈接數(shù)

#PubkeyAuthentication yes  //是否驗(yàn)證公鑰

登錄驗(yàn)證對(duì)象

服務(wù)器中的本地用戶賬戶

登錄驗(yàn)證方式

密碼驗(yàn)證：核對(duì)用戶名、密碼是否匹配
密鑰對(duì)驗(yàn)證：核對(duì)客戶的私鑰、服務(wù)端公鑰是否匹配

使用SSH客戶端程序

ssh命令——遠(yuǎn)程安全登錄
scp命令——遠(yuǎn)程安全復(fù)制
sftp命令——安全FTP上下載
- get 下載
- put 上傳
- bye 退出

Demo

在VMware 15中打開兩天Linux系統(tǒng)，一臺(tái)用作主服務(wù)器（tast01IP地址：192.168.144.133），一臺(tái)用作遠(yuǎn)程終端（tast02IP地址：192.168.144.135），使用SSH協(xié)議登錄主服務(wù)器

使用SSH服務(wù)

1、在tast01中進(jìn)入SSH主服務(wù)器配置文件，更改配置文件條目，開啟SSH服務(wù)。

[root@tast01 ~]# vim /etc/ssh/sshd_config    //進(jìn)入編輯服務(wù)器配置文件信息
Port 22                                      //開啟端口
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::
:wq                                           //保存退出
[root@tast01 ~]# systemctl restart sshd       //重啟SSH服務(wù)

2、在tast02中使用SSH服務(wù)登錄tast01。

[root@tast02 ~]# ssh root@192.168.144.133          //使用SSH服務(wù)登錄tast01服務(wù)器
The authenticity of host '192.168.144.133 (192.168.144.133)' can't be established.
ECDSA key fingerprint is SHA256:B8IsZOFG7FbtVkIK+dMILmo0iA4OEIeVGY0GnnCbXhk.
ECDSA key fingerprint is MD5:c2:d8:09:17:de:6e:ec:07:06:1b:ac:b6:1e:bd:62:09.
Are you sure you want to continue connecting (yes/no)? yes          //詢問是否建立會(huì)話
Warning: Permanently added '192.168.144.133' (ECDSA) to the list of known hosts.
root@192.168.144.133's password:             //輸入密碼
Last login: Mon Sep  9 13:59:09 2019
[root@tast01 ~]#                           //成功登錄tast01
[root@tast01 ~]# exit                //退出
登出
Connection to 192.168.144.133 closed.
[root@tast02 ~]#                        //回到tast02端口

3、回到tast01服務(wù)器，更改SSH服務(wù)器配置文件，禁止root用戶登錄。然后再創(chuàng)建siti用戶

[root@tast01 ~]# vim /etc/ssh/sshd_config       //進(jìn)入編輯主配置文件
#LoginGraceTime 2m
PermitRootLogin no                              //開啟是否啟用禁用root登錄，更改yes為no，禁止root用戶登錄
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
:wq                                            //保存退出
[root@tast01 ~]# systemctl restart sshd        //重啟服務(wù)
[root@tast01 ~]# useradd siti                   //創(chuàng)建siti普通用戶
[root@tast01 ~]# passwd siti                    //設(shè)置用戶密碼
更改用戶 siti 的密碼 。
新的 密碼：
無(wú)效的密碼： 密碼少于 8 個(gè)字符
重新輸入新的 密碼：
passwd：所有的身份驗(yàn)證令牌已經(jīng)成功更新。
[root@tast01 ~]# id siti                        //查看新建用戶siti信息
uid=1001(siti) gid=1001(siti) 組=1001(siti)
[root@tast01 ~]# id sun                          //查看用戶sun信息
uid=1000(sun) gid=1000(sun) 組=1000(sun),10(wheel)

4、使用tast02登錄tast01的root用戶，看更改的服務(wù)是否生效

[root@tast02 ~]# ssh root@192.168.144.133      //使用SSH服務(wù)登錄tast01服務(wù)器root用戶
root@192.168.144.133's password:               //輸入密碼登錄
Permission denied, please try again.           //拒絕登錄root
root@192.168.144.133's password:          
Permission denied, please try again.
root@192.168.144.133's password: 
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password). //嘗試輸入密碼三次后彈出，拒絕登錄
[root@tast02 ~]# ssh siti@192.168.144.133      //使用SSH服務(wù)登錄siti用戶
siti@192.168.144.133's password: 
[siti@tast01 ~]$                               //成功登錄tast01服務(wù)器siti用戶
[siti@tast01 ~]$ su - root                     //再siti用戶下使用su切換root用戶
]密碼：                                         //輸入密碼
上一次登錄：一 9月  9 15:16:00 CST 2019從 192.168.144.135pts/1 上
最后一次失敗的登錄：一 9月  9 15:33:03 CST 2019從 192.168.144.135ssh:notty 上
最有一次成功登錄后有 3 次失敗的登錄嘗試。
[root@tast01 ~]#                              //成功登錄root用戶。
[root@tast01 ~]# exit                         //退出
登出 
[siti@tast01 ~]$ exit                         //退出
登出
Connection to 192.168.144.133 closed. 
[root@tast02 ~]#                             //回到tast02用戶

5、通過上面的操作我們禁止了遠(yuǎn)程登錄root但是可以通過普通用戶切換登錄，這個(gè)時(shí)候我們就可以開啟tast01系統(tǒng)中的pam認(rèn)證，來(lái)提高系統(tǒng)的安全性。

[root@tast01 ~]# vim /etc/pam.d/su                   //進(jìn)入編輯pam配置文件
#%PAM-1.0
auth            sufficient      pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth           sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth            required        pam_wheel.so use_uid              //開啟pam認(rèn)證
auth            substack        system-auth
auth            include         postlogin
account         sufficient      pam_succeed_if.so uid = 0 use_uid quiet
account         include         system-auth
password        include         system-auth
session         include         system-auth
session         include         postlogin
session         optional        pam_xauth.so
~                                                                                      
~                                                                                      
~                                                                                      
:wq                                                           //保存退出

6、查看是否還能夠通過siti用戶切換到root用戶

[root@tast02 ~]# ssh siti@192.168.144.133               //登錄siti用戶
siti@192.168.144.133's password:                        //輸入密碼
Last failed login: Mon Sep  9 16:09:32 CST 2019 from 192.168.144.135 on ssh:notty
There was 1 failed login attempt since the last successful login.
Last login: Mon Sep  9 15:47:20 2019 from 192.168.144.135
[siti@tast01 ~]$ su - root                  //登錄siti用戶，并切換root用戶
密碼：                                       //輸入密碼
su: 拒絕權(quán)限                                 //權(quán)限拒絕，無(wú)法切換
[siti@tast01 ~]$

7、因?yàn)樵O(shè)定了權(quán)限，siti用戶不在wheel組，所以無(wú)法用siti用戶切換root用戶，我們可不可以通過siti用戶切換wheel組中sun用戶，再用sun用戶切換root，看是否可以。

[siti@tast01 ~]$ su - sun            //切換sun用戶
密碼：                                //輸入密碼
su: 拒絕權(quán)限                          //權(quán)限拒絕，無(wú)法切換
[siti@tast01 ~]$

9、回到tast01中開啟SSH服務(wù)配置密碼驗(yàn)證次數(shù)服務(wù)

[root@tast01 ~]# vim /etc/ssh/sshd_config       //進(jìn)入服務(wù)器配置文件
#LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes
MaxAuthTries 6                          //開啟密碼驗(yàn)證次數(shù)
#MaxSessions 10
:wq                                      //保存退出

10、進(jìn)入tast02驗(yàn)證密碼次數(shù)是否成功開啟

[root@tast02 ~]# ssh sun@192.168.144.133          //登錄sun用戶
sun@192.168.144.133's password:                   //輸入錯(cuò)誤密碼
Permission denied, please try again.              //1次輸錯(cuò)，拒絕登錄
sun@192.168.144.133's password:                   //輸入錯(cuò)誤密碼
Permission denied, please try again.              //2次輸錯(cuò)，拒絕登錄
sun@192.168.144.133's password:                   //輸入錯(cuò)誤密碼
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).   //3次輸入錯(cuò)誤直接登出

11、通過上面的實(shí)驗(yàn)發(fā)現(xiàn)并沒有實(shí)現(xiàn)6次密碼后再?gòu)棾?，而是默認(rèn)的三次，這個(gè)時(shí)候我們就用通過命令來(lái)提高默認(rèn)密碼次數(shù)來(lái)實(shí)現(xiàn)密碼次數(shù)的設(shè)置。

[root@tast02 ~]# ssh -o NumberofPasswordPrompts=8 sun@192.168.144.133  //使用命令提高密碼輸入次數(shù)
sun@192.168.144.133's password: 
Permission denied, please try again.
sun@192.168.144.133's password: 
Permission denied, please try again.
sun@192.168.144.133's password: 
Permission denied, please try again.
sun@192.168.144.133's password: 
Permission denied, please try again.
sun@192.168.144.133's password: 
Permission denied, please try again.
sun@192.168.144.133's password: 
Received disconnect from 192.168.144.133 port 22:2: Too many authentication failures
Authentication failed.            //輸入密碼6次后彈出，設(shè)設(shè)置生效

黑白名單設(shè)置（`AllowUsers、DenyUsers`）

在VMware 15中再增加一臺(tái)Linux客戶端（tast03IP地址：192.168.144.132），用于遠(yuǎn)程連接服務(wù)器。

1、再tast01中配置ssh服務(wù)端配置文件，添加AllowUsers條目，添加僅允許登錄的客戶端

[root@tast01 ~]# vim /etc/ssh/sshd_config       //進(jìn)入編輯ssh服務(wù)端配置文件
#LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes
MaxAuthTries 6
#MaxSessions 10
AllowUsers sun@192.168.144.135 stii   //在此處添加條目，僅允許IP地址為192.168.144.135客戶機(jī)登錄sun用戶
                                         僅允許客戶端登錄stii用戶
#PubkeyAuthentication yes

:wq                                  //保存退出
[root@tast01 ~]# useradd stii        //添加stii用戶
[root@tast01 ~]# passwd stii         //設(shè)置stii用戶密碼
更改用戶 stii 的密碼 。
新的 密碼：
無(wú)效的密碼： 密碼少于 8 個(gè)字符
重新輸入新的 密碼：
passwd：所有的身份驗(yàn)證令牌已經(jīng)成功更新。
[root@tast01 ~]# systemctl restart sshd    //重啟ssh服務(wù)

2、分別在tast02、tast03客戶機(jī)使用ssh服務(wù)遠(yuǎn)程登錄tast01服務(wù)器

[root@tast02 ~]# ssh sun@192.168.144.133       //在tast02客戶端中登錄服務(wù)器sun用戶
sun@192.168.144.133's password:                //輸入密碼
Last failed login: Mon Sep  9 17:24:32 CST 2019 from 192.168.144.135 on ssh:notty
There were 6 failed login attempts since the last successful login.
Last login: Mon Sep  9 17:21:47 2019 from 192.168.144.133
[sun@tast01 ~]$                     //成功登錄
[sun@tast01 ~]$ exit                //退出用戶
登出
Connection to 192.168.144.133 closed.
[root@tast02 ~]# ssh siti@192.168.144.133         //使用ssh登錄服務(wù)器siti用戶
siti@192.168.144.133's password:                  //輸入密碼
Permission denied, please try again.              //拒絕登錄
[root@tast02 ~]# ssh stii@192.168.144.133         //登錄stii用戶
stii@192.168.144.133's password:                  //輸入密碼
[stii@tast01 ~]$                                  //成功登錄

[root@tast03 ~]# ssh sun@192.168.144.133          //tast03客戶機(jī)使用ssh服務(wù)登錄服務(wù)器sun用戶
The authenticity of host '192.168.144.133 (192.168.144.133)' can't be established.
ECDSA key fingerprint is SHA256:B8IsZOFG7FbtVkIK+dMILmo0iA4OEIeVGY0GnnCbXhk.
ECDSA key fingerprint is MD5:c2:d8:09:17:de:6e:ec:07:06:1b:ac:b6:1e:bd:62:09.
Are you sure you want to continue connecting (yes/no)? yes       //詢問是否建立會(huì)話，輸入yes確定建立會(huì)話
Warning: Permanently added '192.168.144.133' (ECDSA) to the list of known hosts.
sun@192.168.144.133's password:                     //輸入密碼
Permission denied, please try again.                //拒絕登錄
[root@tast03 ~]# ssh siti@192.168.144.133           //tast03客戶機(jī)使用ssh服務(wù)登錄服務(wù)器siti用戶
siti@192.168.144.133's password:                    //輸入密碼
Permission denied, please try again.                //拒絕登錄
[root@tast03 ~]# ssh stii@192.168.144.133           //tast03客戶機(jī)使用ssh服務(wù)登錄服務(wù)器stii用戶
stii@192.168.144.133's password:                    //輸入密碼
Last login: Mon Sep  9 21:55:49 2019 from 192.168.144.135
[stii@tast01 ~]$                                     //成功登錄

3、回到tast01服務(wù)器，編輯ssh服務(wù)器配置文件

[root@tast01 ~]# vim /etc/ssh/sshd_config        //編輯ssh服務(wù)器配置文件
#LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes
MaxAuthTries 6
#MaxSessions 10
DenyUsers sun@192.168.144.135 stii             //刪除僅允許條目，添加拒絕條目

#PubkeyAuthentication yes
:wq                                            //保存退出
[root@tast01 ~]# systemctl restart sshd        //重啟ssh服務(wù)

4、分別在tast02、tast03客戶機(jī)使用ssh服務(wù)遠(yuǎn)程登錄tast01服務(wù)器

[root@tast02 ~]# ssh sun@192.168.144.133          //在tast02客戶端中登錄服務(wù)器sun用戶
sun@192.168.144.133's password:                   //輸入密碼
Permission denied, please try again.              //拒絕登錄
[root@tast02 ~]# ssh stii@192.168.144.133         //在tast02客戶端中登錄服務(wù)器stii用戶
stii@192.168.144.133's password:                  //輸入密碼
Permission denied, please try again.              //拒絕登錄
[root@tast02 ~]# ssh siti@192.168.144.133         //在tast02客戶端中登錄服務(wù)器siti用戶
siti@192.168.144.133's password:                  //輸入密碼
Last failed login: Mon Sep  9 22:02:00 CST 2019 from 192.168.144.132 on ssh:notty
There were 2 failed login attempts since the last successful login.
Last login: Mon Sep  9 21:53:53 2019 from 192.168.144.135
[siti@tast01 ~]$                                  //成功登錄

[root@tast03 ~]# ssh stii@192.168.144.133           //tast03客戶機(jī)使用ssh服務(wù)登錄服務(wù)器stii用戶
stii@192.168.144.133's password:                    //輸入密碼
Permission denied, please try again.                //拒絕登錄
[root@tast03 ~]# ssh sun@192.168.144.133            //tast03客戶機(jī)使用ssh服務(wù)登錄服務(wù)器sun用戶
sun@192.168.144.133's password:                     //輸入密碼
Last failed login: Mon Sep  9 22:30:55 CST 2019 from 192.168.144.135 on ssh:notty
There was 1 failed login attempt since the last successful login.
Last login: Mon Sep  9 22:24:51 2019 from 192.168.144.133
[sun@tast01 ~]$                                     //成功登錄
[root@tast03 ~]# ssh siti@192.168.144.133           //tast03客戶機(jī)使用ssh服務(wù)登錄服務(wù)器siti用戶
siti@192.168.144.133's password:                    //輸入密碼
Last login: Mon Sep  9 22:32:16 2019 from 192.168.144.135
[siti@tast01 ~]$                                     //成功登錄

使用密鑰對(duì)驗(yàn)證登錄

1、首先在tast01服務(wù)器中進(jìn)入編輯ssh配置文件，開啟密鑰驗(yàn)證條目

[root@tast01 ~]# vim /etc/ssh/sshd_config    //編輯ssh配置文件
#LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes
MaxAuthTries 6
#MaxSessions 10
DenyUsers sun@192.168.144.135 stii

PubkeyAuthentication yes                      //開啟密鑰對(duì)驗(yàn)證功能

# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
# but this is overridden so installations will only check .ssh/authorized_keys
AuthorizedKeysFile      .ssh/authorized_keys    //密鑰存放位置

:wq                                      //保存退出

2、進(jìn)入客戶端tast02客戶機(jī)中，配置密鑰

[root@tast02 ~]# useradd siaa          //在tast02客戶機(jī)中創(chuàng)建用戶
[root@tast02 ~]# passwd siaa           //設(shè)置用戶目錄
更改用戶 siaa 的密碼 。
新的 密碼：
無(wú)效的密碼： 密碼少于 8 個(gè)字符
重新輸入新的 密碼：
passwd：所有的身份驗(yàn)證令牌已經(jīng)成功更新。
[root@tast02 ~]# su - siaa                //切換至用戶siaa
[siaa@tast02 ~]$ ssh-keygen -t ecdsa      //制作ecdsa類型密鑰
Generating public/private ecdsa key pair.
Enter file in which to save the key (/home/siaa/.ssh/id_ecdsa):     //密鑰存放位置，保持不變，直接回車     
Created directory '/home/siaa/.ssh'.
Enter passphrase (empty for no passphrase):            //輸入要設(shè)置的密碼
Enter same passphrase again:                           //再次輸入密碼
Your identification has been saved in /home/siaa/.ssh/id_ecdsa.
Your public key has been saved in /home/siaa/.ssh/id_ecdsa.pub.
The key fingerprint is:
SHA256:5mTvLU19q7uUUXECnEmNldB3S4gUiNZdvm1zupFUf0Y siaa@tast02
The key's randomart image is:
+---[ECDSA 256]---+
|        o +=B@+o.|
|       o o o*.+o=|
|      .      ..oE|
|              ++.|                           //生成ecdsa密鑰
|        S    +.+=|
|       = .  ..=+=|
|        . .o o+..|
|         ...o  + |
|          ...+=  |
+----[SHA256]-----+
[siaa@tast02 ~]$ ls -a            //查看用戶家目錄隱藏文件
.  ..  .bash_logout  .bash_profile  .bashrc  .cache  .config  .mozilla  .ssh
[siaa@tast02 ~]$ cd .ssh           //進(jìn)入生成的.ssh目錄
[siaa@tast02 .ssh]$ ls              //查看目錄內(nèi)容
id_ecdsa  id_ecdsa.pub              //生成的私鑰與公鑰文件
[siaa@tast02 .ssh]$ ssh-copy-id -i id_ecdsa.pub siti@192.168.144.133  //指定生成的公鑰文件推送到服務(wù)器siti用戶
/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "id_ecdsa.pub"
The authenticity of host '192.168.144.133 (192.168.144.133)' can't be established.
ECDSA key fingerprint is SHA256:B8IsZOFG7FbtVkIK+dMILmo0iA4OEIeVGY0GnnCbXhk.
ECDSA key fingerprint is MD5:c2:d8:09:17:de:6e:ec:07:06:1b:ac:b6:1e:bd:62:09.
Are you sure you want to continue connecting (yes/no)? yes         //詢問是推送，輸入yes
/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
siti@192.168.144.133's password:      //輸入服務(wù)器siti用戶密碼

Number of key(s) added: 1         //成功添加文件

Now try logging into the machine, with:   "ssh 'siti@192.168.144.133'"
and check to make sure that only the key(s) you wanted were added.
[siaa@tast02 .ssh]$ ls           //查看目錄信息
id_ecdsa  id_ecdsa.pub  known_hosts       //創(chuàng)建文件Known_hosts
[siaa@tast02 .ssh]$ vim known_hosts        //查看文件信息
192.168.144.133 ecdsa-sha2-nistp256      AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBC6sBj5BEqQkEIXTdcRDCzDlQRfhaoaY7OvyWzxcNxt+n6ZjbA1PSYK2SeTW3MAhUZOry7T6gNDFL7YyfMfXOGo=        //成功將ecdsa生成的密鑰推送給服務(wù)器

3、回到tast01服務(wù)器中查看siti家目錄中是否有推送的文件

[root@tast01 ~]# cd /home/siti        //進(jìn)入siti家目錄
[root@tast01 siti]# ls -a             //查看隱藏文件
.   .bash_history  .bash_profile  .cache   .mozilla
..  .bash_logout   .bashrc        .config  .ssh
[root@tast01 siti]# cd .ssh           //進(jìn)入添加的.ssh目錄
[root@tast01 .ssh]# ls               //查看信息
authorized_keys
[root@tast01 .ssh]# cat authorized_keys    //查看信息內(nèi)容
ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBD6B4elJHibp7lYDfogSfd7krTUPyKzvLHZNk75GTm1oibrA0aMirgtwxxfUEOi+9+ZGU2V0C3+zH6vQpjvvPoo= siaa@tast02      //siaa@tast02的ecdsa加密文件

4、在tast02客戶端中使用siaa用戶進(jìn)行驗(yàn)證登錄服務(wù)器tast01中siti用戶

[siaa@tast02 .ssh]$ whoami    //使用命令查看當(dāng)前登錄用戶
siaa                          //確定當(dāng)前登錄用戶為siaa
[siaa@tast02 .ssh]$ ssh siti@192.168.144.133     //使用ssh服務(wù)登錄服務(wù)器siti用戶
Enter passphrase for key '/home/siaa/.ssh/id_ecdsa':       //輸入設(shè)置的ecdsa密碼
Last login: Mon Sep  9 22:37:19 2019 from 192.168.144.132
[siti@tast01 ~]$                                           //成功登錄服務(wù)器siti用戶

5、設(shè)置客戶機(jī)信任用戶免驗(yàn)證登錄服務(wù)器

[siti@tast01 ~]$ exit           //退出當(dāng)前用戶
登出
Connection to 192.168.144.133 closed.
[siaa@tast02 .ssh]$ ssh-agent bash   //回到tast02中siaa用戶，使用命令代理bash環(huán)境
[siaa@tast02 .ssh]$ ssh-add           //使用命令添加驗(yàn)證密碼
Enter passphrase for /home/siaa/.ssh/id_ecdsa:  //輸入驗(yàn)證密碼
Identity added: /home/siaa/.ssh/id_ecdsa (/home/siaa/.ssh/id_ecdsa)  //成功添加密碼
[siaa@tast02 .ssh]$ ssh siti@192.168.144.133          //登錄服務(wù)器siti用戶
Last login: Mon Sep  9 23:31:28 2019 from 192.168.144.135      
[siti@tast01 ~]$                            //成功登錄，免密碼驗(yàn)證

SSH客戶端程序

1、進(jìn)入tast01服務(wù)器，編輯SSH配置文件，打開root登錄，因?yàn)樵贚inux系統(tǒng)中有些路徑?jīng)]有root權(quán)限，無(wú)法實(shí)現(xiàn)復(fù)制功能，

[root@tast01 ~]# vim /etc/ssh/sshd_config
...//省略部分內(nèi)容...
# Authentication:

#LoginGraceTime 2m
PermitRootLogin yes       //開啟登錄root用戶權(quán)限
#StrictModes yes
MaxAuthTries 6
#MaxSessions 10

PubkeyAuthentication yes

# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
:wq                         //保存退出    
[root@tast01 ~]# systemctl restart sshd  //重啟SSH服務(wù)

2、在tast02中驗(yàn)證root用戶登錄權(quán)限是否成功開啟。

[root@tast02 ~]# ssh root@192.168.144.133        //使用ssh服務(wù)登錄服務(wù)器root用戶
root@192.168.144.133's password:                 //輸入用戶密碼
Last login: Wed Sep 11 22:56:28 2019 from 192.168.144.135
[root@tast01 ~]#                                 //成功登錄

3、在tast02中退出服務(wù)器root用戶登錄，在opt目錄下創(chuàng)建文件，使用scp命令推送給tast01用戶

[root@tast01 ~]# exit             //退出
登出
Connection to 192.168.144.133 closed.
[root@tast02 ~]# cd /opt/              //進(jìn)入opt目錄
[root@tast02 opt]# ls                  //查看
rh
[root@tast02 opt]# echo "this is ssh-client" > ssh_client.txt     //創(chuàng)建.txt文件
[root@tast02 opt]# mkdir -p tast/si11                             //遞歸創(chuàng)建tast目錄并在tast目錄下創(chuàng)建si11目錄
[root@tast02 opt]# ls                                             //查看
rh  ssh_client.txt  tast                                          //成功創(chuàng)建文件與目錄
[root@tast02 opt]# scp ssh_client.txt root@192.168.144.133:/home/  //將創(chuàng)建的.txt文件推送到服務(wù)器root用戶home目錄下
root@192.168.144.133's password:           //輸入密碼
ssh_client.txt                                                100%   19     6.0KB/s   00:00    //成功推送

4、回到tast01服務(wù)器中，查看home目錄下是否有推送過去的文件。

[root@tast01 ~]# ls /home/          //查看home目錄下文件
ssh_client.txt  sun                 //成功添加文件
[root@tast01 ~]# cat /home/ssh_client.txt    //查看文件內(nèi)容
this is ssh-client                           //顯示文件內(nèi)容

5、在tast02中把剛創(chuàng)建的文件夾推送給tast01服務(wù)器,并在tast01服務(wù)器中查看是否成功推送

[root@tast02 opt]# scp -r tast/ root@192.168.144.133:/home/     //推送文件夾
root@192.168.144.133's password:                                //輸入密碼
[root@tast02 opt]#                                             //推送成功

[root@tast01 ~]# ls /home/                          //查看home目錄
ssh_client.txt  sun  tast                           //顯示推送的文件夾
[root@tast01 ~]# ls /home/tast/                     //查看文件夾內(nèi)容
si11                                                //顯示創(chuàng)建的si11目錄

使用sftp命令實(shí)現(xiàn)遠(yuǎn)程上傳和下載

1、在tast02中刪除創(chuàng)建的文件與文件夾

[root@tast02 opt]# ls                     //查看信息
rh  ssh_client.txt  tast                  //顯示內(nèi)容
[root@tast02 opt]# rm -rf ssh_client.txt  //刪除txt文件
[root@tast02 opt]# rm -rf tast/           //刪除文件夾
[root@tast02 opt]# ls                     //查看
rh                                        //成功刪除

2、使用sftp命令從tast01服務(wù)器中下載文件

[root@tast02 opt]# sftp root@192.168.144.133      //使用sftp命令登錄tast01服務(wù)器root用戶
root@192.168.144.133's password:                   //輸入密碼
Connected to 192.168.144.133.                      
sftp> ls                                      //成功登錄并查看目錄信息
anaconda-ks.cfg         initial-setup-ks.cfg    下載                  公共                  
圖片                  文檔                  桌面                  模板         //此時(shí)在root用戶家目錄下             
視頻                  音樂                  
sftp> cd /home/                      //進(jìn)入home目錄
sftp> ls                             //查看
ssh_client.txt  sun             tast       //顯示內(nèi)容         
sftp> get ssh_client.txt                    //使用get命令下載txt文件
Fetching /home/ssh_client.txt to ssh_client.txt      
/home/ssh_client.txt                                          100%   19    19.3KB/s   00:00    
sftp> bye                        //退出
[root@tast02 opt]# ls             //查看目錄下是否有內(nèi)容
rh  ssh_client.txt                //成功下載

3、將下載的文件更改名字，在使用sftp命令將文件上傳至tast01服務(wù)器home目錄，并回到tast01服務(wù)器中查看信息

[root@tast02 opt]# mv ssh_client.txt ssh_server.txt    //更改文件名稱
[root@tast02 opt]# ls                                  //查看
rh  ssh_server.txt                                     //已更改
[root@tast02 opt]# sftp root@192.168.144.133            //使用sftp命令登錄tast01root用戶
root@192.168.144.133's password:                       //輸入密碼
Connected to 192.168.144.133.
sftp> cd /home/                                          //進(jìn)入home目錄
sftp> ls                                               //查看內(nèi)容
ssh_client.txt  sun             tast            
sftp> put ssh_server.txt                               //將文件上傳至tast01服務(wù)器home目錄中
Uploading ssh_server.txt to /home/ssh_server.txt
ssh_server.txt                                                100%   19    15.6KB/s   00:00    
sftp> bye                //退出
[root@tast02 opt]#

[root@tast01 ~]# ls /home/                   //查看home目錄內(nèi)容
ssh_client.txt  ssh_server.txt  sun  tast    //成功上傳文件

TCP wrappers訪問控制

TCP wrappers概述

保護(hù)原理

TCP wrappers將其他的TCP服務(wù)程序“包裹”起來(lái)，增加了一個(gè)安全的檢測(cè)過程，外來(lái)的連接請(qǐng)求必須先通過這層安全檢測(cè)，獲得許可后才能訪問真正的服務(wù)程序。TCP wrappers還可以記錄所有企圖訪問被保護(hù)服務(wù)的行為，為管理員提供豐富的安全分析資料。TCP wrappers的訪問是基于TCP協(xié)議的應(yīng)用服務(wù)。

保護(hù)機(jī)制的實(shí)現(xiàn)方式

方式1：通過tcpd主程序?qū)ζ渌?wù)程序進(jìn)行包裝
方式2：有其他服務(wù)程序調(diào)用libwrap.os.*連接庫(kù)

訪問控制策略的配置文件

/etc/hosts.allow
/etc/hosts.deny

TCP Wrappers策略應(yīng)用

設(shè)置訪問控制策略

策略格式：服務(wù)列表：客戶機(jī)地址列表
服務(wù)列表
- 多個(gè)服務(wù)以逗號(hào)分隔，ALL表示所有服務(wù)
客戶機(jī)地址列表
- 多個(gè)地址以逗號(hào)分隔，ALL表示所有地址
- 允許使用通配符？和*
- 網(wǎng)段地址，如：192.168.4.0或者192.168.4.0/255.255.255.0
- 區(qū)域地址，如：.benet.com

策略的應(yīng)用順序

先檢查hosts.allow，找到匹配則允許訪問
否則再檢查hosts.deny，找到則拒絕訪問
若兩個(gè)文件中均無(wú)匹配策略，則默認(rèn)允許訪問

Demo

實(shí)驗(yàn)環(huán)境：

在VMware 15中開啟三臺(tái)CentOS 7系統(tǒng)計(jì)算機(jī)，主機(jī)名分別為tast01、tast02、tast03，tast01作為服務(wù)器系統(tǒng)，tast02、tast03分別為兩臺(tái)客戶機(jī)，tast01IP地址：192.168.144.133、tast02IP地址：192.168.144.135、tast03IP地址：192.168.144.132

搭建實(shí)驗(yàn)

使用TCP Wrappers之前我們先要查看etc目錄下是否存在hosts.allow配置文件，有此配置文件才可以正常使用TCP Wrappers功能。（一般系統(tǒng)默認(rèn)配置此文件）

[root@tast01 ~]# cd /etc          //進(jìn)入etc目錄
[root@tast01 etc]# ls ./ | grep *.allow         //查看當(dāng)前目錄內(nèi)容，并過濾所有后綴為.allow的文件
hosts.allow                         //顯示文件

進(jìn)入 hosts.allow配置文件，設(shè)置僅允許192.168.144.132客戶機(jī)可以通過ssh服務(wù)訪問服務(wù)器，在hosts.deny配置文件中添加拒絕所有客戶機(jī)使用SSH服務(wù)訪問服務(wù)器。

[root@tast01 etc]# vim hosts.allow               //進(jìn)入編輯配置文件
## hosts.allow   This file contains access rules which are used to
#               allow or deny connections to network services that
#               either use the tcp_wrappers library or that have been
#               started through a tcp_wrappers-enabled xinetd.
#
#               See 'man 5 hosts_options' and 'man 5 hosts_access'
#               for information on rule syntax.
#               See 'man tcpd' for information on tcp_wrappers
#
#
sshd:192.168.144.132                           //添加條目，僅允許192.168.144.132客戶機(jī)訪問服務(wù)器
~                                                                                               
~                                                                                                            
~                                                                                               
:wq                                          //保存退出 
[root@tast01 etc]# vim hosts.deny
#
# hosts.deny    This file contains access rules which are used to
#               deny connections to network services that either use
#               the tcp_wrappers library or that have been
#               started through a tcp_wrappers-enabled xinetd.
#
#               The rules in this file can also be set up in
#               /etc/hosts.allow with a 'deny' option instead.
#
#               See 'man 5 hosts_options' and 'man 5 hosts_access'
#               for information on rule syntax.
#               See 'man tcpd' for information on tcp_wrappers
#
sshd:ALL                                         //編輯條目拒絕所有客戶機(jī)訪問（注意，此處使用大寫）
~                                                                                               
~                                                                                               
~                                                                                               
:wq                                             //保存退出

[root@tast03 ~]# ssh root@192.168.144.133        //使用tast03客戶機(jī)訪問服務(wù)器
root@192.168.144.133's password:                 //輸入密碼
Last login: Mon Sep 16 13:43:33 2019    
[root@tast01 ~]#                                 //成功登錄

[root@tast02 ~]# ssh root@192.168.144.133         //使用tast02客戶機(jī)訪問服務(wù)器
ssh_exchange_identification: read: Connection reset by peer     //拒絕訪問
[root@tast02 ~]#

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

分享名稱：Linux中遠(yuǎn)程訪問及控制-創(chuàng)新互聯(lián)
瀏覽地址：http://weahome.cn/article/ecddp.html

真实的国产乱ⅩXXX66竹夫人,五月香六月婷婷激情综合,亚洲日本VA一区二区三区,亚洲精品一区二区三区麻豆

Linux中遠(yuǎn)程訪問及控制-創(chuàng)新互聯(lián)

SSH遠(yuǎn)程管理

SSH遠(yuǎn)程控制介紹

OpenSSH服務(wù)器

SSH協(xié)議

OpenSSH

服務(wù)監(jiān)聽選項(xiàng)

用戶登錄控制

登錄驗(yàn)證對(duì)象

登錄驗(yàn)證方式

使用SSH客戶端程序

Demo

使用SSH服務(wù)

黑白名單設(shè)置（`AllowUsers、DenyUsers`）

使用密鑰對(duì)驗(yàn)證登錄

SSH客戶端程序

使用sftp命令實(shí)現(xiàn)遠(yuǎn)程上傳和下載

TCP wrappers訪問控制

TCP wrappers概述

保護(hù)原理

保護(hù)機(jī)制的實(shí)現(xiàn)方式

訪問控制策略的配置文件

TCP Wrappers策略應(yīng)用

設(shè)置訪問控制策略

策略的應(yīng)用順序

Demo

實(shí)驗(yàn)環(huán)境：

搭建實(shí)驗(yàn)

其他資訊

網(wǎng)站制作

企業(yè)服務(wù)

網(wǎng)站建設(shè)

服務(wù)器托管

真实的国产乱ⅩXXX66竹夫人,五月香六月婷婷激情综合,亚洲日本VA一区二区三区,亚洲精品一区二区三区麻豆

Linux中遠(yuǎn)程訪問及控制-創(chuàng)新互聯(lián)

SSH遠(yuǎn)程管理

SSH遠(yuǎn)程控制介紹

OpenSSH服務(wù)器

SSH協(xié)議

OpenSSH

服務(wù)監(jiān)聽選項(xiàng)

用戶登錄控制

登錄驗(yàn)證對(duì)象

登錄驗(yàn)證方式

使用SSH客戶端程序

Demo

使用SSH服務(wù)

黑白名單設(shè)置（AllowUsers、DenyUsers）

使用密鑰對(duì)驗(yàn)證登錄

SSH客戶端程序

使用sftp命令實(shí)現(xiàn)遠(yuǎn)程上傳和下載

TCP wrappers訪問控制

TCP wrappers概述

保護(hù)原理

保護(hù)機(jī)制的實(shí)現(xiàn)方式

訪問控制策略的配置文件

TCP Wrappers策略應(yīng)用

設(shè)置訪問控制策略

策略的應(yīng)用順序

Demo

實(shí)驗(yàn)環(huán)境：

搭建實(shí)驗(yàn)

其他資訊

網(wǎng)站制作

企業(yè)服務(wù)

網(wǎng)站建設(shè)

服務(wù)器托管

黑白名單設(shè)置（`AllowUsers、DenyUsers`）