网络安全管理



安全管理:使用SSH和TCP Wrappers服务对linux系统实施更进一步的网络安全管理。SSH是UNIX系统中标准的远程登录协议,是telnet服务的安全替代品,通过SSH的任何数据都是加密后进行传输的,因此能够保证对linux系统进行远程登录管理中数据传输的安全性。



TCP Wrappers 可以实现对linux系统中网络服务的访问控制管理,与iptables网络防火墙不同的是,TCP Wrappers只对指定的网络服务程序进行基于主机地址的访问控制,因此配置过简且效果明显。



任务目标



目标1:配置TCP Wrappers访问控制



目标2:SSH服务管理



目标 3 在windows下使用ssh客户端软件



环境描述



开启两台RHEL4虚拟机,和真机要能通信。



本文档IP配置如下:



虚机A:192.168.0.1



虚机B:192.168.0.125



真机: 192.168.0.2



操作过程及配置说明



任务1:配置TCP Wrappers访问控制(tcp wrappers是大多数linux发行版本中都默认提供的功能,在RHEL4中程序的软件包名称是tcp_wrappers)



步骤1:在虚机A启动vsftpd服务



网络安全配置管理 精品课 网络安全技术管理_操作系统



步骤2:在真机和虚机B分别用ftp命令测试并记录结果。(可以登录)



网络安全配置管理 精品课 网络安全技术管理_网络_02



步骤3:虚机A修改/etc/hosts.deny文件,并在虚机B及真机用ftp命令连接测试。



(在linux系统的/etc目录下,有名为hosts.allow和hosts.deny的两个文件,这两个文件是tcp wrappers的策略文件,hosts.allow保存允许访问的策略,host.deny保存拒绝的策略。格式如下:



<服务程序列表>:<客户机地址列表>[:动作])



添加如下行:(ALL表示所有服务程序和所有客户机)



ALL : ALL



网络安全配置管理 精品课 网络安全技术管理_运维_03



网络安全配置管理 精品课 网络安全技术管理_运维_04



网络安全配置管理 精品课 网络安全技术管理_操作系统_05



虚机B及真机测试连接并记录结果。(不能登录了,提示421表示就不可以登录了)



网络安全配置管理 精品课 网络安全技术管理_服务器_06



步骤4:虚机A修改/etc/hosts.allow文件并在虚机B及真机用ftp命令连接测试。



添加如下行:



vsftpd: 192.168.1.2



网络安全配置管理 精品课 网络安全技术管理_运维_07



网络安全配置管理 精品课 网络安全技术管理_服务器_08



在虚机B及真机测试FTP。(可以访问了,上面的配置只能192.168.0.125可以访问)



网络安全配置管理 精品课 网络安全技术管理_服务器_09



任务2:SSH服务管理



步骤1:启动sshd服务,sshd服务默认启动。(更多信息可以访问SSH官网www.ssh.com)



步骤2:用虚机A做SSH服务器,虚机B做SSH客户端。在虚机B用ssh命令登录虚机A。



ssh root@192.168.0.1(第一次登录要输入yes进行确认)



网络安全配置管理 精品课 网络安全技术管理_运维_10



登录后



网络安全配置管理 精品课 网络安全技术管理_运维_11



步骤3:在虚机B上生成公钥私钥对。(输完命令后直接回车……再回车)



[root@sjd~]#ssh-keygen -t rsa



网络安全配置管理 精品课 网络安全技术管理_网络安全配置管理 精品课_12



步骤4:将生成的公钥用ftp或别的方式传到服务器,然后将公钥的内容添加到服务器的认证文件中



先在服务器上创建.ssh目录



网络安全配置管理 精品课 网络安全技术管理_网络_13



在虚机B上用scp命令将生成的公钥传到服务器(当前在.ssh目录中)



网络安全配置管理 精品课 网络安全技术管理_网络_14

在服务器上将公钥的内容添加到服务器的认证文件中



[root@server~]#cat id_rsa.pub &gt;&gt; ~/.ssh/authorized_keys



网络安全配置管理 精品课 网络安全技术管理_网络安全配置管理 精品课_15



步骤5:再次从虚机B登录虚机A,比较与步骤2的区别。(不再要密码了)



网络安全配置管理 精品课 网络安全技术管理_操作系统_16



步骤6:在虚机A中修改/etc/ssh/sshd_config文件,禁止root用户登录。



添加如下配置行:



PermitRootLogin no



网络安全配置管理 精品课 网络安全技术管理_操作系统_17



网络安全配置管理 精品课 网络安全技术管理_服务器_18



重启sshd服务,验证从虚机B还能不能用root用户登录。



网络安全配置管理 精品课 网络安全技术管理_网络_19



不能再登录了,输入正确密码一样不能登录



网络安全配置管理 精品课 网络安全技术管理_网络_20



步骤7:scp命令的使用



scp命令是作为rcp命令的安全替代品出现的。由于UNIX系统中的rcp程序有相当的安全隐患,因此已经不被采用了



scp命令可以通过命令行的方式在本地和远程主机之间复制文件



以下就是刚才复制文件到服务器用过的



网络安全配置管理 精品课 网络安全技术管理_网络安全配置管理 精品课_21



步骤8:sftp命令的使用



类似于ssh与telnet的关系,sftp是ftp的安全替代品,sftp命令连接到ssh服务器后所传输的任何内容都是密文的,这大大提高了文件传输的安全性。



确认ssh服务器中的sftp支持



sftp文件传输是作为ssh服务器的子系统存在的,因此在使用sftp命令连接ssh服务器之前需要先确认sshd_config文件中包括sftp子系统的配置。如果没有下面显示的就自己手动添加。



网络安全配置管理 精品课 网络安全技术管理_操作系统_22



使用sftp传输文件(在sftp命令的交互环境中可以支持ftp环境中的常用命令,操作比较简单)



#sfpt root@192.168.0.1



网络安全配置管理 精品课 网络安全技术管理_网络安全配置管理 精品课_23



6. 在windows下使用ssh客户端软件:



在linux系统中可以使用ssh等客户端命令连接ssh服务器进行远程登录,但是在很多场合系统管理员需要工作在windows环境中,并且需要对远程的linux服务器进行管理,这样就需要将windown环境作为ssh客户端使用。



在windows中需要安装第三方软件来实现ssh客户端的功能。



PuTTY是windown下最流行的ssh客户端软件,并且能够免费使用。用户可以从PuTTY的官网下载 http://www.chiark.greenend.org.uk/~sgtatham/putty/



它有以下特点:



PuTTY是自由软件,用户可以免费使用。它是绿色软件,无需安装,只有300kb左右。其它特点我就不多说了打字太多太累。



软件界面:



网络安全配置管理 精品课 网络安全技术管理_运维_24


转载于:https://blog.51cto.com/sjdwm/156259