ssh的使用、配置全程实操(sftp、密钥对验证、TCP Wrappers策略应用),可跟做

一、ssh基本配置

开两台centos系统7-1(服务端)、7-2(客户端)
用xshell连接,证明sshd的22端口开放出来了

配置文件所在位置

进入服务端配置文件,进行一系列配置:端口22功能打开等等


为区分两个系统用户,我们分别将其用户名设为test01、test02,接着进行远程登陆。

输入访问命令,即可连接并进行一系列操作

可在对方的opt下创建abc文本,进行远程操作

回到7-1的服务端,进ssh配置文件,更改不允许对方用root身份登陆,保存退出。即在客户端用root身份不可登陆,即使有密码也无法登陆。

但随之而来的问题,我们先用普通用户lisi登陆服务端,接着可切换到服务器的root用户,可实现跳板登陆

解决:进行pam模块验证,开启功能,即不在wheel组内成员不可用su命令切换用户。

在客户端用lisi登陆,并用su切换root,被拒绝。并且切换同级别权限的zhangsan,也不能切换。(pam验证开启非常重要,加大系统安全)

结论:不在wheel组内平级用户也切换不了,zhangsan在wheel组内,可切换为lisi用户,也可切换root用户。

开启最大验证次数功能,却发现默认验证3次。

要想验证次数变为6,那么我们就要更改验证次数为8,即验证最大次数从默认的3变为了6。

回到服务器7-1,配置文件中插入白名单,即皆可登陆服务器的zhangsan和wangwu用户

此时我们还需在开一台centos7-3,IP为129.168.195.130,登陆服务器wangwu(配置文件中没设置wangwu允许登陆的ip,可从任意终端登陆)

结论:白名单上为仅允许,名单上有的条目可以去执行,没有的一概不能执行;反之黑名单则为仅拒绝,即名单上的条目皆不可执行。(在企业环境中建议使用白名单)

二、密钥对进行身份验证

在配置文件中开启密钥对验证功能

用7-2客户端进行密钥生成,用户caiwu来验证。

在家目录下有公钥和私钥,推送公钥给服务端,指定服务端用户zhangsan,输入对方登陆密码,家目录下生成一个known_hosts(内有推送的服务端ip、加密方式ecdsa等)。

再次回到服务端,家目录中已有公钥导入文件。


查看当前用户方法

只有用caiwu用户ssh远程访问服务器zhangsan用户要用密钥对验证(每次验证都要密钥对验证)。

防止每次都要进行密钥验证,我们来设置只需一次验证,之后可直接进入。

三、ssh客户端

若服务器的端口改为123,那么在客户端远程访问就要输入以下命令,先开启客户端可用root用户登陆的权限(复制操作要用到),删除之前建立的白名单。

Scp远程复制文件到服务器端。


Scp远程复制文件夹到服务器端。


将之前opt下文件全部删除,进行ssh安全下载文件。进行远程连接后,会回到对方服务器的家目录下

首先给文件改名server,进行ssh安全上传文件server文件


可以直接切换用户目录,进行任意更改文件。为限制只可访问对方服务器的家目录,我们研究出了一套方法。
在配置文件中找到这一行注释,并打开此功能。

并输入一系列命令。

且权限必须为755,文件属主、属组必须是root。

四、TCP Wrappers

在配置之前,需要将黑白名单在ssh配置文件中删除,否则配置策略应用时会重复。在/etc/hosts.allow中进行配置

在/etc/hosts.deny中进行配置

测试129客户端能否访问服务器,发现可以

测试130客户端能否访问服务器,发现被直接拒绝(黑白名单是允许输入密码,不一样)

现在在两个中配置两个一样的内容:均为129,发现允许访问。

结论:先检查allow中,找到匹配则允许访问。否则再检查hosts.deny,找到则拒绝访问;若两个文件中都没有内容,则默认所有文件允许访问。

原文地址:https://blog.51cto.com/14475593/2436530

时间: 2024-10-01 02:34:21

ssh的使用、配置全程实操(sftp、密钥对验证、TCP Wrappers策略应用),可跟做的相关文章

F5负载均衡配置手册-实操后的

这是可以使用的F5 配置手册对于小白十分好用

网络设置及其修改配置文件全程实操,可跟做

一.查看网络设置 二.测试网络连接 三.使用网络配置命令 四.修改网络配置文件 1.用ifconfig命令查看所有活动网络接口的信息2.hostname查看主机名修改当前主机名:3.查看路由表条目查看条目信息:route [-n]4.查看网络连接情况netstat格式:netstat [选项] (1)查看TCP协议(2)查看UDP协议(3)查看路由表条目netstat -r5.测试网络连接ping(1)在windows中默认发四个包测试(2)在Linux系统中默认一直发送数据包测试,需要按 Ct

DNS分离解析全程实操,可跟做

在分离解析中将Linux作为网关解析范围划分:1.外部广域网区域解析2.内部局域网区域解析定义:根据不同区域来访者,解析同一个域名得到不同的地址 开启一台linux.两台windows(1和2)系统.在linux系统在线联网时下载bind软件包,完成后给系统添加新网卡,并选择仅主机模式(三台系统皆为仅主机模式)在第一块网卡ens33中编辑静态ip和子网掩码,将此网卡作为内部网关.复制ens33作为ens36的配置文件,进入ens36第二块网卡中进行编辑.在第二块网卡ens36中编辑静态ip和子网

3星|《永远的零售》:百货业定位第一人,实操经验是20年前的,对新零售做了少许点评

永远的零售:厉玲的零售经营哲学(吴晓波推荐,百货传奇人物解读新零售,剖析行业本质) 作者是零售业老江湖,“百货业定位第一人”,书中讲的是作者的零售业运营.管理经验,对行业的感悟与洞察,对新零售的点评. 作者的零售业运营经验大致集中在20年以前.对新零售的点评篇幅比较少. 全书信息浓度比同样是零售老江湖的黄若的书要差一颗星,作者的洞察力我认为也比黄若差一颗星. 总体评价3星,有一定参考价值. 以下是书中一些内容的摘抄,#号后面是kindle电子版中的页码,[]中是我根据上下文补充的信息: 1:零售

Docker 学习笔记【3】 Docker 仓库、数据卷、数据卷容器,网络基础实操。高级网络配置学习

Docker 学习笔记[4] 高级网络配置实操,实战案例实验 =========================================================================== Docker 学习笔记[2] Docker 仓库实操,创建私有仓库,实操数据卷.数据卷容器,记录开始 =========================================================================== 被格式化的脚本内容: #开头代表

Mysql MHA(GTID)配置(实操)

实现环境 centos6.7 MYSQL5.6.36 主:192.168.1.191 从1:192.168.1.145 从2:192.168.1.146 监测:放在从2上 192.168.1.146 虚拟IP:192.168.1.222 准备软件包:下载链接: https://pan.baidu.com/s/1jHYafcU 密码: irbv epel-release-6-8.noarch.rpm   (所有服务器上都要) mha4mysql-node-0.56-0.el6.noarch.rpm

(二)Linux实操之——网络配置、进程管理、服务管理、组管理

接上段   (一)Linux实操之——权限.任务调度.磁盘分区 4.网络配置 4.1 NAT模式的网络配置 目前我们采用的网络配置是NAT模式. windows下cmd通过 ipconfig 命令可以得到本机的网络配置. linux下通过 ifconfig 可得到虚拟机的网络配置 在windows系统中运行着虚拟机中的linux系统,那么两个系统是怎么通信的呢? 实际上windows系统与本机的linux的通信是通过 VMnet8的虚拟网卡来进行的,两者形成网络,192.168.177.128

OSPF高级配置实操——大型公司环境部署

一.路由重分发概念 定义:即将一种路由协议中的路由条目转换为另一种路由协议的路由条目,达到多路由环境下的网络互通理解路由重分发1.一个单一IP路由协议是管理网络中IP路由的首选方案 2.Cisco ISO能执行多个路由协议,每一个路由协议和该路由协议所服务的网络属于同一个自治系统 3.Cisco ISO使用路由重分发特性以交换不同协议创建的路由信息路由重分发的考虑1.度量值 2.管理距离重分发到OSPF域中路由的路径类型1.类型1的外部路径(type1 external path,E1) 2.类

OSPF多区域配置实操

OSPF理论 OSPF(Open Shortest Path First开放式最短路径优先)是一个内部网关协议(Interior Gateway Protocol,简称IGP),用于在单一自治系统(autonomous system,AS)内决策路由.是对链路状态路由协议的一种实现,隶属内部网关协议(IGP),故运作于自治系统内部.著名的迪克斯加算法(Dijkstra)被用来计算最短路径树.OSPF分为OSPFv2和OSPFv3两个版本,其中OSPFv2用在IPv4网络,OSPFv3用在IPv6