溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
開兩臺centos系統7-1(服務端)、7-2(客戶端)
用xshell連接,證明sshd的22端口開放出來了
配置文件所在位置
進入服務端配置文件,進行一系列配置:端口22功能打開等等
為區分兩個系統用戶,我們分別將其用戶名設為test01、test02,接著進行遠程登陸。
輸入訪問命令,即可連接并進行一系列操作
可在對方的opt下創建abc文本,進行遠程操作
回到7-1的服務端,進ssh配置文件,更改不允許對方用root身份登陸,保存退出。即在客戶端用root身份不可登陸,即使有密碼也無法登陸。
但隨之而來的問題,我們先用普通用戶lisi登陸服務端,接著可切換到服務器的root用戶,可實現跳板登陸
解決:進行pam模塊驗證,開啟功能,即不在wheel組內成員不可用su命令切換用戶。
在客戶端用lisi登陸,并用su切換root,被拒絕。并且切換同級別權限的zhangsan,也不能切換。(pam驗證開啟非常重要,加大系統安全)
結論:不在wheel組內平級用戶也切換不了,zhangsan在wheel組內,可切換為lisi用戶,也可切換root用戶。
開啟最大驗證次數功能,卻發現默認驗證3次。
要想驗證次數變為6,那么我們就要更改驗證次數為8,即驗證最大次數從默認的3變為了6。
回到服務器7-1,配置文件中插入白名單,即皆可登陸服務器的zhangsan和wangwu用戶
此時我們還需在開一臺centos7-3,IP為129.168.195.130,登陸服務器wangwu(配置文件中沒設置wangwu允許登陸的ip,可從任意終端登陸)
結論:白名單上為僅允許,名單上有的條目可以去執行,沒有的一概不能執行;反之黑名單則為僅拒絕,即名單上的條目皆不可執行。(在企業環境中建議使用白名單)
在配置文件中開啟密鑰對驗證功能
用7-2客戶端進行密鑰生成,用戶caiwu來驗證。
在家目錄下有公鑰和私鑰,推送公鑰給服務端,指定服務端用戶zhangsan,輸入對方登陸密碼,家目錄下生成一個known_hosts(內有推送的服務端ip、加密方式ecdsa等)。
再次回到服務端,家目錄中已有公鑰導入文件。
查看當前用戶方法
只有用caiwu用戶ssh遠程訪問服務器zhangsan用戶要用密鑰對驗證(每次驗證都要密鑰對驗證)。
防止每次都要進行密鑰驗證,我們來設置只需一次驗證,之后可直接進入。
若服務器的端口改為123,那么在客戶端遠程訪問就要輸入以下命令,先開啟客戶端可用root用戶登陸的權限(復制操作要用到),刪除之前建立的白名單。
Scp遠程復制文件到服務器端。
Scp遠程復制文件夾到服務器端。
將之前opt下文件全部刪除,進行ssh安全下載文件。進行遠程連接后,會回到對方服務器的家目錄下
首先給文件改名server,進行ssh安全上傳文件server文件
可以直接切換用戶目錄,進行任意更改文件。為限制只可訪問對方服務器的家目錄,我們研究出了一套方法。
在配置文件中找到這一行注釋,并打開此功能。
并輸入一系列命令。
且權限必須為755,文件屬主、屬組必須是root。
在配置之前,需要將黑白名單在ssh配置文件中刪除,否則配置策略應用時會重復。在/etc/hosts.allow中進行配置
在/etc/hosts.deny中進行配置
測試129客戶端能否訪問服務器,發現可以
測試130客戶端能否訪問服務器,發現被直接拒絕(黑白名單是允許輸入密碼,不一樣)
現在在兩個中配置兩個一樣的內容:均為129,發現允許訪問。
結論:先檢查allow中,找到匹配則允許訪問。否則再檢查hosts.deny,找到則拒絕訪問;若兩個文件中都沒有內容,則默認所有文件允許訪問。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
