密钥对验证及TCP Wrappers访问控制

一、秘钥对验证

加密认证算法：RSA 、DSA两个都可使用

1、在客户机上生成密钥对

在客户机上执行”ssh-keygen -t rsa” 生成非对称加密秘钥对

2、将公钥文件上传到服务器

在客户机家目录的.ssh/目录下，将id_rsa.pub公钥文件上传给服务机

3、在服务器上创建秘钥目录并修改上传的秘钥文件名

上传完成后，要在服务机端的家目录下创建一个 .ssh/ 的目录，把id_rsa.pub改名为authorized_keys并剪切到家目录下的.ssh/目录里面。

4、编辑服务机端的/etc/ssh/sshd_config文件，取消注释

5、远程传输工具的使用

（1） scp 进行文件的上传和下载

上传格式：scp 本机文件用户名@IP地址:目录

下载格式：scp 用户名@IP地址:文件名本地保存位置

指定端口：-P(大)

（2）sftp 安全的ftp传输协议

登录方法：sftp 用户名@IP地址

指定端口：-oPort=端口

用sftp登录到服务端以后，操作服务端的命令和操作本机相同，如果想在登录服务端的同时操作本机，需要在命令前面加上l

如果想让Windows也可以免密码连接到Linux，需要用x-shell工具-新建用户秘钥生成向导生成一个秘钥，然后将秘钥复制到Linux服务端的authorized_keys 文件里面即可

6、仅允许秘钥对登录，禁止密码登录

*确保启用ssh公钥认证功能，查看/etc/ssh/sshd_config文件，确保以下两条yes ：

*禁止密码安全验证，编辑/etc/ssh/sshd_config文件，确保以下文件出现在文件中：

编辑这个文件完成之后，需要重启sshd服务：service sshd restart即可禁止密码登录，只能用秘钥对登录。

想让其他用户通过秘钥登录，可以直接把可以登录的私钥文件传给某个用户即可。

注意：一定要保护好私钥的安全性。

7、密钥对的快速生成及上传

上面所有的步骤介绍的是秘钥的详细生成过程，下面介绍秘钥对的快速生成及上传生效：

（1） 在客户机上输入命令：ssh-keygen -t rsa

（2） 上传公钥到服务端：ssh-copy-id 服务端用户名@IP地址

这样即可快速生成并上传，而且不用改名和提前创建.ssh目录

二、TCP Wrappers管理及访问控制

1、TCP Wrappers管理命令的条件

如果某个命令调用库文件libwarp.so ，那么这个命令就可以被TCP Wrappers管理。

which 命令名称 查询某服务命令所在位置

ldd 命令名称 查询某命令调用的库文件

2、访问控制策略的配置文件

白名单（允许访问）：/etc/hosts.allow

黑名单（拒绝访问）：/etc/hosts.deny

注意：白名单比黑名单优先级高

3、设置访问控制策略

策略格式：服务列表:客户机地址列表

服务列表：多个服务以逗号分隔，ALL 表示所有服务

客户机地址列表：多个地址以逗号分隔，ALL表示所有地址

例如：

允许使用通配符 ? 和 *

网段地址，如 192.168.4. 或者 192.168.4.0/255.255.255.0

4、策略的应用顺序

先检查hosts.allow，匹配即停止（即允许）

否则再检查hosts.deny，匹配即停止（即拒绝）

若两个文件中均无匹配策略，则默认允许访问

时间： 2024-08-28 14:35:31

密钥对验证及TCP Wrappers访问控制的相关文章

ssh的使用、配置全程实操（sftp、密钥对验证、TCP Wrappers策略应用），可跟做

一.ssh基本配置开两台centos系统7-1(服务端).7-2(客户端)用xshell连接,证明sshd的22端口开放出来了配置文件所在位置进入服务端配置文件,进行一系列配置:端口22功能打开等等为区分两个系统用户,我们分别将其用户名设为test01.test02,接着进行远程登陆. 输入访问命令,即可连接并进行一系列操作可在对方的opt下创建abc文本,进行远程操作回到7-1的服务端,进ssh配置文件,更改不允许对方用root身份登陆,保存退出.即在客户端用root身份不可登陆,即使有

Linux 中 TCP Wrappers 访问控制

TCP Wrappers机制的保护对象为各种网络服务程序,针对访问服务的客户端地址进行访问控制.对应的两个策略文件为/etc/hosts.allow和/etc/hosts.deny,分别用来设置允许和拒绝的策略. 两个策略文件的作用相反,但配置记录的格式一样: <服务程序列表>:<客户端地址列表>服务程序列表和客户端地址列表之间以冒号分隔,在每个列表内的多个项之间以逗号分隔. 1.服务程序列表: ALL:代表所有服务. 单个服务程序:如"dhcpd" 多个服务程

另一种访问控制机制TCP Wrappers

TCP Wrappers 在之前的文章中我们介绍过iptables,iptables也是一种访问控制机制.由于iptables中的参数过多,对于初学者要想完全掌握iptables有一定的难度.因此,在这里我们介绍另一种简单的访问控制机制,就是TCP Wrappers. TCP Wrappers的工作原理主要是分析TCP的报头信息,并与/etc/hosts.allow和/etc/hosts.deny中的规则进行匹配,从而决定哪些主机可以访问系统服务或资源. TCP Wrappers虽然能对TCP

SSH远程管理与TCP Wrappers控制

一.SSH协议及配置文件 SSH服务配置文件:?服务名称:sshd?服务端主程序:/usr/sbin/sshd?服务端配置文件:/etc/ssh/sshd_config 二.服务监听选项: ?端口号,协议版本,监听IP地址?禁用反向解析三.用户登录控制 ?禁止root用户,空密码用户?登录时间,重试次数?AllowUsers,DenyUsers(配置文件中手工添加) 四.SSH服务实验解析: 1.默认其他终端可以使用SSH以root身份登录到服务器进行维护.2.禁止其他终端可以使用SSH以ro

TCP WRAPPERS、denyhosts软件的安装和配置、PAM身份认证模块应用

一.TCP WRAPPERS 1.TCP WRAPPERS的作用是什么? 保护服务器的一些服务,可以限制客户端访问这些服务. TCP WRAPPERS支持那些服务?判断一个服务是否支持TCP WRAPPERS的保护有那些方法? 查看该服务是否加载libwrap,查看该服务是不是基于xinetd服务. ssh ,vsftpd,telnet,http(不支持wrap模块)ipop3 2.检查服务是否支持被TCP WRAPPERS保护 3.防护规则存放在 /etc/hosts.allow /etc/h

TCP Wrappers

Tcp_Wrappers是一个用来分析TCP/IP封包的软件,类似的IP封包软件还有iptables,linux默认都安装了此软件,作为一个安全的系统,Linux本身有两层安全防火墙,通过IP过滤机制的iptables实现第一层防护,iptables防火墙通过直观地监视系统的运行状况,阻挡网络中的一些恶意攻击,保护整个系统正常运行,免遭攻击和破坏.如果通过了第一层防护,那么下一层防护就是tcp_wrappers了,通过Tcp_Wrappers可以实现对系统中提供的某些服务的开放与关闭.允许和禁止

SSH服务与tcp wrappers实验

实验环境: 一台linux(ssh client) 一台linux(ssh server) 实验步骤: 1.配置IP,测试连通性 2.在客户端创建用户yuzly1,登录创建的用户,用公钥生成工具生成公钥,#注意记得输入私钥密语,不设置默认为空 3.查看生成的公钥 4.在服务端创建一个账户,然后登录创建的账户yuzly2,然后在该账户宿主目录下创建.ssh目录(如果是在root账户下创建/home/yuzly2/,ssh目录,需要修改目录所有者以及所属组为yuzly2),并把.ssh所属组的权限中

TCP Wrappers(简单防火墙)---限制IP登录ssh

1.TCP Wrappers 简介 TCP_ Wrappers是- 一个工作在第四层(传输层)的的安全工具,对有状态连接(TCP)的特定服务进行安全检测并实现访问控制,界定方式是凡是调用libwrap. so库文件的的程序就可以受TCP_ Wrappers的安全控制.它的主要功能就是控制谁可以访问,常见的程序有rpcbindl vsftpd.sshd, telnet. 判断方式:. 1. 查看对应服务命令所在位置. which sshd . 2.查看指定命令执行时是否调用libwrap. so

TCP Wrappers的访问策略

一.TCP Wrappers机制的保护对象为各种网络服务程序,针对访问服务的客户机地址进行访问控制.对应的两个策略文件为 /etc/hosts.allow和/etc/hosts.deny,分别用来设置允许和拒绝策略.1.策略的配置格式两个策略文件的作用相反,但是配置记录格式相同,如下所示 <服务程序列表>:<客户机地址列表>服务程序列表.客户机地址列表之间以冒号分隔,在每个列表内的多个项之间以逗号分隔.(1)服务程序列表服务程序列表可分为以下几类.●ALL:代表所有的服务.●单个服