引言:
云计算时代的操作系统核心
Linux远程访问的现实意义
1.Linux操作系统的基本概念:
开源精神的典范
Linux的特性和优势
Linux操作系统的发展历史
Linux在现代技术中的地位
2.Linux远程访问和控制的重要性:
对开发者和IT专业人员的重要性
对系统管理员的重要性
对于普通用户和企业的重要性
3.Linux远程访问控制的实现方式:
SSH 远程管理
SSH(Secure Shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。SSH 协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用户口令。与早期的 Telent(远程登录)、RSH(Remote Shell,远程执行命令)、RCP(Remote File Copy,远程文件复制)等应用相比,SSH 协议提供了更好的安全性。
在 CentOS 7.3 系统中,OpenSSH 服务器由 openssh、openssh-server 等软件包提供(默认已安装),并已将 sshd 添加为标准的系统服务。执行“systemctl start sshd”命令即可启动 sshd 服务,包括 root 在内的大部分用户(只要拥有合法的登录 Shell)都可以远程登录系统。
sshd 服务的默认配置文件是/etc/ssh/sshd_config,正确调整相关配置项,可以进一步提高 sshd 远程登录的安全性。
(1)服务监听选项
sshd 服务使用的默认端口号为 22,必要时建议修改此端口号,并指定监听服务的具体IP 地址,以提高在网络中的隐蔽性。除此之外,SSH 协议的版本选用 V2 比 V1 的安全性要更好,禁用 DNS 反向解析可以提高服务器的响应速度。
[root@localhost ~]# vim /etc/ssh/sshd_config
Port 22 //监听端口为 22
ListenAddress 172.16.16.22 //监听地址为 172.16.16.22
Protocol 2 //使用 SSH V2 协议
……
UseDNS no //禁用 DNS 反向解析
设置完成以后需要重置sshd服务
[root@localhost ~]# systemctl restart sshd
(2)用户登录控制
sshd 服务默认允许 root 用户登录,但在 Internet 中使用时是非常不安全的。普遍的做法如下:先以普通用户远程登入,进入安全 Shell 环境后,根据实际需要使用 su 命令切换为 root 用户。
关于 sshd 服务的用户登录控制,通常应禁止 root 用户或密码为空的用户登录。另外,可以限制登录验证的时间(默认为 2 分钟)及最大重试次数,若超过限制后仍未能登录则断开连接。
[root@localhost ~]# vim /etc/ssh/sshd_config
LoginGraceTime 2m //登录验证时间为 2 分钟
PermitRootLogin no //禁止 root 用户登录
MaxAuthTries 6 //最大重试次数为 6
PermitEmptyPasswords no //禁止空密码用户登录
……
当希望只允许或禁止某些用户登录时,可以使用 AllowUsers 或 DenyUsers 配置,两者用法类似(注意不要同时使用)。
(3)登录验证方式
对于服务器的远程管理,除了用户账号的安全控制以外,登录验证的方式也非常重要。
sshd 服务支持两种验证方式——密码验证、密钥对验证,可以设置只使用其中一种方式,也可以两种方式都启用。
密码验证:对服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便,但从客户端角度来看,正在连接的服务器有可能被假冒;从服务器角度来看,当遭遇密码穷举(暴力解密)袭击时防御能力比较弱。
密钥对验证:要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件(公钥、私钥),然后将公钥文件放到服务器中的指定位置。远程登录时,系统将使用公钥、私钥进行加密/解密关联验证,大大增强了远程管理的安全性。该方式不易被假冒,且可以免交互登录,在 Shell 中被广泛使用。
当密码验证、密钥对验证都启用时,服务器将优先使用密钥对验证。对于安全性要求较高的服务器,建议将密码验证方式禁用,只允许启用密钥对验证方式;若没有特殊要求,则两种方式都可启用。
[root@localhost ~]# vim /etc/ssh/sshd_config
PasswordAuthentication yes //启用密码验证
PubkeyAuthentication yes //启用密钥对验证
AuthorizedKeysFile .ssh/authorized_keys //指定公钥库文件
……
其中,公钥库文件用来保存多个客户端上传的公钥文本,以便与客户端本地的私钥文件进行匹配。
使用SSH客户端程序
在 CentOS 7.3 系统中,OpenSSH 客户端由 openssh-clients 软件包提供(默认已安装),其中包括 ssh 远程登录命令,以及 scp、sftp 远程复制和文件传输命令等。实际上,任何支持 SSH 协议的客户端程序都可以与 OpenSSH 服务器进行通信,如 Windows 平台 中的 Xshell、SecureCRT、Putty 等图形工具。
(1)ssh 远程登录
通过 ssh 命令可以远程登录 sshd 服务,为用户提供一个安全的 Shell 环境,以便对服务器进行管理和维护。使用时应指定登录用户、目标主机地址作为参数。
当用户第一次登录 SSH 服务器时,必须接受服务器发来的 ECDSA 密钥(根据提示输入“yes”)后才能继续验证。接收的密钥信息将保存到~/.ssh/known_hosts 文件中。密码验证成功以后,即可登录目标服务器的命令行环境中了,就好像把客户端的显示器、键盘连接到服务器一样。
如果 sshd 服务器使用了非默认的端口号(如 2345),则在登录时必须通过“-p”选项指定端口号。
(2)scp 远程复制
通过 scp 命令可以利用 SSH 安全连接与远程主机相互复制文件。使用 scp 命令时,除了必须指定复制源、目标之外,还应指定目标主机地址、登录用户,执行后根据提示输入验证口令即可。
[root@localhost ~]# scp root@172.16.16.22:/etc/passwd /root/pwd254.txt
(3)sftp 安全 FTP
通过 sftp 命令可以利用 SSH 安全连接与远程主机上传、下载文件,采用了与 FTP 类似的登录过程和交互式环境,便于目录资源管理。
[root@localhost ~]# sftp tsengyia@172.16.16.22
Connecting to 172.16.16.22...
tsengyia@172.16.16.22's password: //输入密码
sftp> ls
sftp> put /boot/config-3.10.0-514.el7.x86_64 //上传文件
Uploading /boot/config-3.10.0-514.el7.x86_64 to
/home/tsengyia/config-3.10.0-514.el7.x86_64
/boot/config-3.10.0-514.el7.x86_64 100% 103KB 68.0KB/s 00:00
sftp> ls
config-3.10.0-514.el7.x86_64
sftp> bye //退出登录
4.构建密钥对验证的 SSH 体系
在 CentOS 7.3 服务器、客户端中构建密钥对验证 SSH 体系的基本过程。如图所示,以 RSA 加密算法为例,整个过程包括四步,首先要在 SSH 客户端以 zhangsan 用户身份创建密钥对,并且要将创建的公钥文件上传至 SSH 服务器端,然后要将公钥信息导入服务器端的目标用户 lisi 的公钥数据库,最后以服务器端用户 lisi 的身份登录验证。
(1)在客户端创建密钥对
在 CentOS 7.3 客户端中,通过 ssh-keygen 工具为当前用户创建密钥对文件。可用的加密算法为 RSA、ECDSA 或 DSA 等(ssh-keygen 命令的“-t”选项用于指定算法类型)。例如,以 zhangsan 用户登录客户端,并生成基于 ECDSA 算法的 SSH 密钥对(公钥、私钥)文件
[zhangsan@localhost ~]$ ssh-keygen -t ecdsa
Generating public/private ecdsa key pair.
Enter file in which to save the key (/home/zhangsan/.ssh/id_ecdsa): //指定私钥位置
Created directory '/home/zhangsan/.ssh'.
Enter passphrase (empty for no passphrase): //设置私钥短语
Enter same passphrase again: //确认所设置的短语
Your identification has been saved in /home/zhangsan/.ssh/id_ecdsa.
Your public key has been saved in /home/zhangsan/.ssh/id_ecdsa.pub.
The key fingerprint is:
……
上述操作过程中,提示指定私钥文件的存放位置时,一般直接按 Enter 键即可,最后生成的私钥、公钥文件默认存放在宿主目录中的隐藏文件夹.ssh 下。私钥短语用来对私钥文件进行保护,当使用该私钥验证登录时必须正确提供此处所设置的短语。尽管不设置私钥短语也是可行的(实现无口令登录),但在生产环境中不建议这样做。
[zhangsan@localhost ~]$ ls -lh ~/.ssh/id_ecdsa* //确认生成的密钥文件
-rw------- 1 zhangsan zhangsan 227 5 月 16 19:45 /home/zhangsan/.ssh/id_ecdsa
-rw-r--r-- 1 zhangsan zhangsan 192 5 月 16 19:45 /home/zhangsan/.ssh/id_ecdsa.pub
新生成的密钥对文件中,id_ecdsa 是私钥文件,权限默认为 600,对于私钥文件必须妥善保管,不能泄露给他人;id_ecdsa.pub 是公钥文件,用来提供给 SSH 服务器。
(2)将公钥文件上传到服务器
将上一步生成的公钥文件上传至服务器,并部署到服务器端用户的公钥数据库中。上传公钥文件时可以选择 SCP、FTP、Samba、HTTP 甚至发送 E-mail 等任何方式。例如,可以通过 SCP 方式将文件上传至服务器的/tmp 目录下。
[zhangsan@localhost ~]$ scp ~/.ssh/id_ecdsa.pub
(3)在服务器中导入公钥本文
在服务器中,目标用户(指用来远程登录的账号 lisi)的公钥数据库位于~/.ssh 目录,默认的文件名是“authorized_keys”。如果目录不存在,需要手动创建。当获得客户端发送过来的公钥文件以后,可以通过重定向将公钥文本内容追加到目标用户的公钥数据库。
[root@localhost ~]# mkdir /home/lisi/.ssh/
[root@localhost ~]# cat /tmp/id_ecdsa.pub >> /home/lisi/.ssh/authorized_keys
[root@localhost ~]# tail -1 /home/lisi/.ssh/authorized_keys
ecdsa-sha2-nistp256
AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBLJSnBhscYBfnnHxSY
AJEBD4sNkTLMF7itcFGM33RdeXU89QNQkMnCrCJHzAlZURrzpXG6Mp62mz9gRXUnARk8s =
zhangsan@localhost
在公钥库 authorized_keys 文件中,最关键的内容是“ecdsa-sha2-nistp256 加密字串” 部分,当导入非 ssh-keygen 工具创建的公钥文本时,应确保此部分信息完整,最后的“zhangsan@localhost”是注释信息。
由于 sshd 服务默认采用严格的权限检测模式(StrictModes yes),因此还需注意公钥库文件 authorized_keys 的权限——要求除了登录的目标用户或 root 用户,同组或其他用户对该文件不能有写入权限,否则可能无法成功使用密钥对验证。
[root@localhost ~]# ls -l /home/lisi/.ssh/authorized_keys
-rw-r--r-- 1 root root 192 5 月 15 19:49 /home/lisi/.ssh/authorized_keys