携手创作，共同成长！这是我参与「掘金日新计划 · 8 月更文挑战」的第8天点击查看活动详情

SSH简介

• SSH（Secure Shell）是一种安全通道协议，主要用来实现字符界面的远程登录、远程复制等功能。

• SSH协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的用户口令。因此SSH协议具有很好的安全性

- SSH客户端: Putty、 Xshell、 CRT

-  SSH服务端: OpenSSH

• OpenSSH 是实现SSH 协议的开源软件项目，适用于各种UNIX、Linux 操作系统

• Centos 7系统默认已安装openssh相关软件包，并已将sshd 服务添加为开机自启动

• 执行“systemctl start sshd" 命令即可启动sshd 服务

• sshd服务默认使用的是TCP的22端口

• sshd服务的默认配置文件是/etc/ssh/sshd_config

• ssh_config和sshd_config都是ssh服务器的配置文件，二者区别在于前者是针对客户端的配置文件，后者则是针对服务端的配置文件

sshd_config常用配置参数

SSH优点

• 数据传输是加密的，可以防止信息泄漏（安全）

• 数据传输是压缩的，可以提高传输速度（快速）

SSH远程登录

• ssh [远程主机用户名]@[远程服务器主机名或IP地址] [-p port]

查看ip

• 若端口号被修改，需要添加-p 端口号登录

• 用主机三远程登录主机四

SCP远程复制

推送（从本主机复制文件到目标主机）

• scp 文件（目录加-r） 用户@ip：保存地址

在主机四的opt目录下查看abc.txt

拉取（从目标主机复制文件到本主机）

• scp 用户@ip文件或目录 保存路径

在主机三的/opt 目录下查看

设置免密码登录

• 客户端使用命令生成密钥文件

家目录 ~/.ssh/ 下会生成两个密钥文件，一个公钥一个私钥，.pub结尾的是公钥

• 去家目录下查看密钥文件

• 将客户端的公钥文件拷贝到服务端。
• ssh-copy-id -i /root/.ssh/id_ecdsa.pub root@ip

• 测试远程连接服务端时，是否免密码

TCP Wrappers 访问控制

• 将TCP服务程序“包裹”起来，代为监听TCp服务程序的端口，增加了一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得许可后才能访问真正的服务程序

• 大多数Linux 发行版，TCP Wrappers 是默认提供的功能。rpm -q tcp_wrappers

TCP Wrappers 保护机制

两种实现方式：

• 直接使用tepd程序对其他服务程序进行保护，需要运行tcpd程序
• 由其他网络服务程序调用libwrap.so. *链接库，不需要运行tcpd 程序。此方式的应用更加广泛，也更有效率

使用ldd命令可以查看程序的libwrap.so. *链接库
ldd $ (which ssh)

TCPWrappers机制的基本原则

1. 首先检查/etc/hosts.allow文件， 如果找到相匹配的策略，则允许访问
2. 否则继续检查/etc/hosts.deny文件，如果找到相匹配的策略，则拒绝访问
3. 如果检查上述两个文件都找不到相匹配的策略，则允许访问

• 允许所有，拒绝个别——黑名单

只需在/etc/hosts.deny文件中添加相应的拒绝策略（系统默认的就是允许所有）

• 允许个别，拒绝所有——白名单

除了在/etc/hosts .allow中添加允许策略之外，还需要在/etc/ hosts .deny文件中设置"ALL:ALL"的拒绝策略