Lns: 安全管理
TCP_wrappers和SSH
一、tcp_wrappers
   1、功能:TCP Wrappers的主要执行文件是“tcpd”
tcpd程序可以将其他的网络服务程序包裹起来,从而进行集中的访问控制设置
2、软件
    tcp_wrappers
   3、设置文件
    “hosts.allow”“hosts.deny”两个文件的用于保存TCP Wrappers基于主机地址的访问控制策略
 
·        “hosts.allow”文件用于保存允许访问的策略
·        “hosts.deny”文件用于保存拒绝访问的策略
·        “hosts.allow”“hosts.deny”文件中保存的设置是即时生效的
 
4、设置文件的格式
<服务程序列表><客户机地址列表>[:动作]
   服务程序列表字段的表示
·                  ALL代表所有的服务程序
·             单个服务的名称,例如in.telnetd代表telnet服务器程序,      vsftpd代表vsftpd服务器程序
 多个服务程序名称可以组成列表,中间用逗号分隔,例如 in.telnetd,vsftpd” 
 
客户机地址列表字段的表示
·         ALL代表所有的客户机地址
·         LOCAL代表本机地址
·         KNOW代表可解析的域名
·         UNKNOW代表不可解析的域名
·         以句点“.”开始的域名代表该域下的所有主机,例如“.ltest.com”代表“ltest.com”域中的所有主机
·         对某个子网中的所有主机使用子网/掩码的形式表示
·        对于网络中的某个主机可直接使用IP地址表示
 
动作字段使用“allow”表示允许,使用“deny”表示拒绝
 
建议:采取先全部禁止逐个开放的策略设置方法,可以较好的实现只允许……”的访问
 
 
二、SSH Secure SHell
1、功能:
   实现了与Telnet服务类似的远程登录功能,SSH协议在网络中使用密文传输数据。在服务器中还支持使用scpsftp等客户端程序进行远程主机的文件复制
 
2、认证方式
     基于口令的安全认证
        telnet类似,提供正确的用户口令后可以登录远程服务器    基于密钥的安全认证
         使用公钥和私钥对的方式对用户进行认证
 
3、软件
    openSSH
    openssh软件包是实现ssh功能的公共软件包
    openssh-server软件包实现了SSH服务器的功能
    openssh-clients软件包中包含了SSH服务的客户端程序
       openssh-askpassopenssh-askpass-gnome只有在Linux的图形界面下使用SSH服务时才需要
 
4、服务程序
    sshd
 
5、配置文件
服务器配置文件
·        SSH服务器的配置文件是sshd_config
/etc/ssh/sshd_config
客户机配置文件
·        SSH客户程序的配置文件是ssh_config
/etc/ssh/ssh_config
 
 
6、SSH的用户目录
·           .ssh”目录
·        SSH客户主机的用户宿主目录中,使用名为“.ssh”的目录保存用户的SSH客户端信息
~/.ssh/
·        “.ssh”目录在用户首次进行SSH登录后自动建立
·          “known_hosts”文件
·        “known_hosts”文件位于“.ssh”目录中
“known_hosts”文件用于保存当前用户所有登录过的SSH服务器的RSA密钥