Linux远程访问控制

SSH是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。OpenSSH是实现SSH协议的开源软件项目,适用于各种Linux操作系统。

OpenSSH服务器由openssh、openssh-server等软件包提供,执行"service sshd start"命令即可按默认配置启动sshd服务,包括root在内的大部分用户都可以远程登录系统。

sshd服务使用的默认端口为22,必要时建议修改此端口号,并指定监听服务的具体IP地址,以提高在网络中的隐蔽性。除此之外,SSH协议的版本选用V2比V1的安全性要更好,禁用DNS反向解析可以提高服务器的响应速度。

1、服务监听相关选项

[[email protected] ~]# vim /etc/ssh/sshd_config

13 #Port 22                  //监听端口

14 Port 25532

15 #AddressFamily any

16 #ListenAddress 0.0.0.0         //监听地址

17 #ListenAddress 192.168.200.101

18 #ListenAddress ::

22 # activation of protocol 1

23 Protocol 2                  //使用SSH V2协议

124 #UseDNS yes

125 UseDNS no                  //禁用DNS反向解析[[email protected] ~]# service sshd reload

[[email protected] ~]# service sshd reload

2、用户登录控制

sshd服务默认允许root用户登录,这是非常不安全的。普遍的做法是:先以普通用户远程登录,进入安全Shell环境后,根据实际需要使用su命令切换为root用户。

关于sshd服务的用户登录控制,通常应禁止root用户或密码为空的用户登录。另外可以限制登录验证的时间以及最大重试次数,若超过限制后仍未能登录则断开连接。

[[email protected] ~]# vim /etc/ssh/sshd_config

43 #LoginGraceTime 2m        //登录验证时间

44 LoginGraceTime 2m

45 #PermitRootLogin yes

46 PermitRootLogin no

47 #StrictModes yes

48 #MaxAuthTries 6          //最大重试次数

49 MaxAuthTries 3

70 #PermitEmptyPasswords no    //禁止空密码用户登录

71 PermitEmptyPasswords no

[[email protected] ~]# service sshd reload

当希望只允许某些用户登录时,可以使用AllowUsers或DenyUsers配置,但是两者不要同时使用。例如,若只允许test和admin用户登录,并且admin用户仅能从IP地址为192.168.200.1的主机远程登录,可以配置如下:

[[email protected] ~]# vim /etc/ssh/sshd_config

146 AllowUsers test [email protected]

[[email protected] ~]# service sshd reload

3、登录验证方式

对于服务器的远程管理,登录验证方式也很重要。sshd服务支持两种验证方式:密码验证和密钥对验证,可以同时设置两种方式。

1>密码验证:以服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简单,但是从客户机的角度来看,正在连接的服务器有可能被假冒;从服务器的角度来看,当遭遇暴力破解攻击时防御能力比较弱。

2>密钥对验证:要求提供相匹配的秘钥信息才能通过验证。通常先在客户机中创建一对秘钥文件,然后将公钥文件放到服务器中的指定位置。远程登录时,系统将使用公钥、私钥进行加密/解密关联验证,大大增强了安全性。

当密码验证、密钥对验证都启用时,服务器将优先使用密钥对验证。对于安全性要求较高的服务器,建议将密码验证方式禁用。

[[email protected] ~]# vim /etc/ssh/sshd_config

72 #PasswordAuthentication yes

73 PasswordAuthentication no      //禁用密码验证

53 #PubkeyAuthentication yes

54 PubkeyAuthentication yes       //启用密钥对验证

55 #AuthorizedKeysFile     .ssh/authorized_keys

56 AuthorizedKeysFile     .ssh/authorized_keys   //指定公钥数据文件

[[email protected] ~]# service sshd reload

原文地址:http://blog.51cto.com/12730062/2072921

时间: 2024-10-17 01:52:07

Linux远程访问控制的相关文章

(转)详解Linux中SSH远程访问控制

详解Linux中SSH远程访问控制 原文:http://blog.51cto.com/dengqi/1260038 SSH:是一种安全通道协议,主要用来实现字符界面的远程登录,远程复制等功能(使用TCP的22号端口).SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令. 在RHEL 5系统中使用的是OpenSSH服务器由openssh,openssh-server等软件包提供的(默认已经安装),并以将sshd添加为标准的系统服务. SSH提供一下两种方式的登录验证:

Linux 远程登录——(九)

Normal 0 7.8 磅 0 2 false false false EN-US ZH-CN X-NONE /* Style Definitions */ table.MsoNormalTable {mso-style-name:普通表格; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; ms

Linux远程桌面(三)

上一篇中的vnc配置已经很方便了,这一篇介绍更为简单的xmanager的配置,xmanager画面好一丢丢. Xmanager服务器配置             Linux远程桌面(二):vnc之xinetd服务搭建配置 主要修改以下两个文件(在root权限下): (1)/usr/share/gdm/defaults.conf                 //GNOME管理默认的配置文件,也可编辑/etc/gdm/custom.conf, 启用xdmcp (2)/etc/inittab  

Vnc-server——linux远程桌面配置

环境:Centos6.4_x64 安装: yum -y install tigervnc* 配置: #执行vncserver命令,初始化vnc [[email protected] ~]# vncserver You will require a password to access your desktops. Password:                                          #输入密码 Verify:                            

linux-Navicat连接linux远程数据

linux-Navicat连接linux远程数据 (一)登陆数据库 (二)创建用户用于远程连接 GRANT ALL PRIVILEGES ON *.* TO '账号'@'%' IDENTIFIED BY '密码' WITH GRANT OPTION; 执行 flush privileges;命令立即生效 (三)远程连接

VNC轻松连接Linux远程桌面

VNC连接Linux桌面,要想连接Linux远程桌面,按照下面的步骤,非常简单.快速,Linux配置VNC(以RedHat.CentOS.Fedora系列为例). Linux平台安装VNCServer Windows平台使用VNC-Viewer 方法/步骤 1.在Linux平台安装VNCServer服务端软件包. #yum -y install vnc *vnc-server* 2.修改VNCServer主配置文件 #vim /etc/sysconfig/vncservers 复制最后两行并去掉

分析Linux 文件系统访问控制列表

1.What is FACL? FACL,文件系统访问控制列表,即Filesystem Access Control List.根据以前对LINUX权限模型的了解,大概如下: 假设有这么一个场景: 用户TOM创建的文件file,希望用户LUCY可以访问和编辑. 分析: 第一,可否TOM用户临时改变file的owner为LUCY,这样就可以达到目的. 显然,这并不可行.因为普通用户根本就没有chown的权限. 第二,可否设置LUCY在file的属组并属组权限有rw或者file的other权限有rw

window用Xmanager4.0的Xstart连接linux远程桌面

安装包: xorg-x11-xauth xterm.x86_64 0:253-1.el6 Execute command path:/usr/bin/xterm Xstart连接Linux远程桌面有一个好处,服务器端不用做什么设置,开启SSH即可. 服务器要有桌面环境,和X Window 用XDMCP连接,服务器端得做一些配置,麻烦. 菜单 Xmanager Enterprise 4 -- Xbrowser 新建一个Xstart会话 协议选ssh, 执行命令 点击后面的按钮选GNOME 建好后打

Linux远程登陆以及免密码登陆

最近学了一下linux 的东西,其中有一个是关于ssh(linux远程登陆的) 在这里总结一下: 首先关于ssh的安装 假设我们需要登陆的主机位B,在B主机的终端输入: ssh localhost 如果出现: 就说明还没有安装ssh,所以需要安装ssh 输入  sudo apt-get install openssh-server进行安装 ps:如果这里安装失败,可能是你的一个依附程序版本不对,按照它给的名字重新安装就行了 安装成功! 登陆就非常简单了 之后我们在我们远程进行操作的主机A输入: