一、SSH協(xié)議及配置文件

SSH服務配置文件：
?服務名稱：sshd
?服務端主程序：/usr/sbin/sshd
?服務端配置文件：/etc/ssh/sshd_config

成都創(chuàng)新互聯(lián)長期為近千家客戶提供的網站建設服務，團隊從業(yè)經驗10年，關注不同地域、不同群體，并針對不同對象提供差異化的產品和服務；打造開放共贏平臺，與合作伙伴共同營造健康的互聯(lián)網生態(tài)環(huán)境。為福貢企業(yè)提供專業(yè)的成都網站建設、網站建設，福貢網站改版等技術服務。擁有十載豐富建站經驗和眾多成功案例,為您定制開發(fā)。

二、服務監(jiān)聽選項：

?端口號，協(xié)議版本，監(jiān)聽IP地址
?禁用反向解析

三、用戶登錄控制

?禁止root用戶，空密碼用戶
?登錄時間，重試次數(shù)
?AllowUsers,DenyUsers（配置文件中手工添加）

四、SSH服務實驗解析：

1、默認其他終端可以使用SSH以root身份登錄到服務器進行維護。

2、禁止其他終端可以使用SSH以root身份登錄到服務器。
（1）執(zhí)行“vim etc/ssh/sshd_config”命令進入到ssf服務端的配置文件。

（2）刪除“PermitRootLogin”開頭的“#”符號，并將“yes”改成“no”即可。

（3）執(zhí)行“systemctl restart sshd”命令重啟ssh服務。

（4）終端將無法使用root身份登錄。

（5）然而終端可以通過其他用戶作為跳板，并使用su命令切換root用戶。

（6）我們可以啟用PAM認證模塊，執(zhí)行“vim /etc/pam.d/su”命令進入到pam認證模塊配置文件。

（7）在配置文件中將第六行開頭的“#”符號刪除，以開啟pam認證。

（8）我們使用id命令開頭看到czt用戶屬于pam認證的wheel組，而lisi用戶不屬于wheel組。

（9）不隸屬于wheel組的lisi用戶無法切換root用戶，而隸屬于wheel組的czt用戶方能切換root用戶。

3、我們可以設定登錄驗證的次數(shù)來防止密碼破解。
（1）執(zhí)行“vim etc/ssh/sshd_config”命令進入到ssf服務端的配置文件。

（2）刪除“MaxAuthTries 6”開頭處的“#”符號一開啟登錄驗證功能。

（3）執(zhí)行“systemctl restart sshd”命令重啟ssh服務。

（4）默認情況下我們只輸入三次就被指定登出了。

（5）我們可以在登錄時即加入一個參數(shù)，“ssh -o NumberOfPasswordPrompts=8 lisi@192.168.174.151
”即可按照默認的嘗試次數(shù)去反復輸入密碼，輸錯六次后自動登出。

4、線網上建議設定白名單——AllowUsers
（1）執(zhí)行“vim etc/ssh/sshd_config”命令進入到ssf服務端的配置文件。

（2）手工在空行處輸入“AllowUsers zhaoliu”僅zhaoliu用戶可以登錄。

（3）執(zhí)行“systemctl restart sshd”命令重啟ssh服務。

（4）其他用戶便無法登錄到服務器，僅zhaoliu用戶可以登錄。

五、SSH密鑰對登錄驗證

1、執(zhí)行“vim etc/ssh/sshd_config”命令進入到ssf服務端的配置文件。

2、將“PubkeyAuthentication yes”前的“#”符號刪除以開啟密鑰對驗證功能。

3、在服務端執(zhí)行“systemctl restart sshd”命令重啟ssh服務。

4、在客戶端執(zhí)行“ssh-keygen -t ecdsa
”命令來創(chuàng)建密鑰對；按回車鍵保持默認路徑不變；輸入密鑰對的密碼即可獲取到加密的密鑰。

5、我們在客戶端執(zhí)行“cd .ssh/”命令進入到隱藏文件夾可見“id_ecdsa”私鑰文件，以及“id_ecdsa.pub”公鑰文件。

6、執(zhí)行“ ssh-copy-id -i id_ecdsa.pub czt@192.168.174.151
”命令將公鑰文件推送給服務器。

7、在服務端執(zhí)行“cd .ssh/”命令進入隱藏目錄查看是否收到來自ccc用戶的公鑰文件。

8、客戶端下次登錄時就需要進行密鑰驗證，輸入密鑰密碼即可成功登錄。

9、然而登錄需要進行密碼驗證交互步驟，我們可以使用代理功能來實現(xiàn)免交互登錄（建議不要在公共設備上使用）。

六、sftp服務
1、我們可以執(zhí)行“sftp root@192.168.174.151”命令來登錄到服務端的家目錄中。

2、在服務端我們可以執(zhí)行thouch命令創(chuàng)建文件。

3、客戶端便可以通過使用“get”命令安全下載到服務端的文件。

4、客戶端亦可以使用“put” 命令安全上傳文件給服務器。

七、TCP Wrappers 控制

1、訪問控制策略的配置文件：
?/etc/hosts.allow
?/etc/hosts.deny
2、設置訪問控制策略：
?策略格式：服務列表：客戶機地址列表
?服務列表：多個服務一逗號分隔，ALL表示所有服務
3、策略的應用順序：
?先檢查hosts.allow，找到匹配則允許訪問
?否則再檢查hosts.deny，找到則拒絕訪問
?若兩個文件中均無匹配策略，則默認允許訪問

4、實驗解析：

（1）在服務端執(zhí)行“vim /etc/hosts.allow
”命令進入到白名單配置文件。

（3）在白名單配置文件中寫入“ssh：192.168.174.110”僅允許此IP地址的主機登錄。

（4）執(zhí)行“vim /etc/hosts.deny
”命令進入到黑名單配置文件。

（5）在還沒到配置文件中寫入“sshd:ALL”拒絕所有ip登錄。

（6）除了終端IP地址為“192.168.174.110”能登錄，其他無法登錄。

（7）在服務端執(zhí)行“vim /etc/hosts.allow
”命令進入到白名單配置文件。

（8）只在黑名單配置文件中寫入“ssh：192.168.174.110”僅拒絕此IP地址的主機登錄，其他IP地址的主機可用登錄。

（9）除了終端IP地址為“192.168.174.110”無法登錄，其他IP的主機都能登錄。