Linux网络服务

zxpstart
183 阅读7分钟

一、SSH安全远程管理

1.ssh概念

ssh是Secure Shell 的缩写,是一个建立在应用层上的安全远程管理协议。ssh是目前较为可靠的传输协议,专为远程登录会话和其他网络服务提供安全性。 默认22端口,采用密文的形式在网络中传输数据。

2.ssh的登录验证模式

账户密码验证:

记住一句话:公钥私钥为互相加解密关系

1626527132613.png 密钥对验证:

注意:公钥私钥为互相加解密关系

1626528804846.png

3.windows下配置密钥对登录

在本机生成密钥对(用远程连接工具,crt、xshell、mobaxterm等等均可)

1626598363062.png

生成密钥对时可以配置加密私钥和不加密私钥,不加密私钥可以直接免密登录Linux。加密私钥需要在登录时输入密钥的密码,注意不是即将连接的用户的密码,而是加密密钥的密码,再免密登录进行。安全性更强。注意:Linux用Openssh密钥。

1626600274649.png

1626599111978.png

生成密钥对以将公钥复制出来,放入Linux用户家目录下.ssh文件夹里面。以root为例:/root/.ssh/authorized.keys (注意:一个公钥占一行,可以用set nu查看粘贴进去的是不是一行)。

以加密私钥为例进行一次root用户连接:

​ 1.首先将公钥放在/root/.ssh/authorized.keys文件里

​ 2.创建连接 使用公钥鉴权。crt为例

1626599705012.png ​ 3.输入加密密钥的密码进行连接

1626599830438.png

1626599896214.png

登录成功。

4./etc/ssh/sshd_config配置文件

生产环境下为了服务器安全可以作如下配置(常用项):

1.禁止使用密码登录 (可以配置密钥对登录)

2.禁止使用root远程登录 (可以用普通用户登录然后 su - root切换到root)

3.修改默认端口、限制ssh监听IP (自定义端口不容易被发现。可以限制某一个内网IP专门去连服务器)

5.Linux网络服务的相关命令

scp(secure copy)

scp <参数> [原路径] [目标路径]

举例:

在windows下复制服务器里的文件到本地、上传文件同理。

scp root@10.1.1.3:/root/test D:/

网络服务-DHCP

1.DHCP简介

DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个工作在应用层的局域网网络协议,数据传输时使用UDP不可靠传输协议工作,通常被应用在大型的局域网络环境中,主要作用是集中管理、分配网络资源,使用网络中的主机能动态获取IP地址、Gateway地址、DNS服务器地址等信息,并且能够提升地址的使用率

2.DHCP工作原理(租约四部曲+续租)

1626659352195.png

2.1 DHCP客户端进行IP请求

​ 当一个DHCP客户机启动时,会自动将自己的IP地址配置成0.0.0.0,由于使用0.0.0.0不能正常通信,客户机就必须通过DHCP服务器来获取一个合法的地址。由于客户机不知道DHCP服务器的IP地址,所以他使用0.0.0.0的地址作为源地址,使用255.255.255.255作为目标地址,使用UDP67端口作为目的端口来广播请求的IP地址信息。广播信息DHCP Discover中包含了DHCP客户机的MAC地址和计算机名,以便使DHCP服务器能够确定是哪个客户机发送的请求。

2.2 DHCP服务器响应请求

​ 当DHCP服务器接收到客户机请求IP地址的信息时,他就在自己的IP地址池中查找是否有合法的IP地址提供给客户机。如果有,DHCP就将此Ip地址做上标记,加入DHCP offer的消息中,然后DHCP服务器就广播一则包括下列信息的DHCP offer消息:

​ DHCP客户机的MAC地址:DHCP服务器提供的合法IP地址;子网掩码;默认网关(路由);租约的期限;DHCP服务器的IP地址-MAC地址。

​ 因为客户机还没有IP地址,所以DHCP服务器使用自己的IP地址作为源地址,使用255.255.255.255作为目标地址,使用UDP 68端口作为源端口来广播DHCP offer消息。

2.3 DHCP客户机选择IP

​ DHCP客户机从接收到的第一个DHCP offer消息中选择IP地址,发出IP地址的DHCP服务器将该地址保留,这样该地址就不会提供给另一个DHCP客户机。当客户机从第一个DHCP服务器接收DHCP offer并选择IP地址后,DHCP租约的第三过程发生。客户机将DHCP REQUEST消息广播到所有的DHCP服务器,表明它接受提供的内容。DHCP request消息包括为该客户机提供ip配置的服务标识(IP地址)。DHCP服务器查看服务器标识字段,以确定他自己是否被选择为指定的客户机提供IP地址,如果那些DHCP offer被拒绝,则DHCP服务器会取消提供并保留其Ip地址以用于下一个IP租约请求。

​ 在客户机选择IP的过程中,虽然客户机选择了IP地址,但是还没有配置IP地址,而在一个网络中可能有几个DHCP服务器,所以客户机仍然使用0.0.0.0的地址作为源地址,使用255.255.255.255作为目标地址,使用UDP67端口作为目的端口来广播DHCP request消息。

2.4 DHCP服务器确认租约

服务器确认租约:DHCP ACK

​ DHCP服务器接收到DHCP request消息后,以DHCP ack消息的形式向客户机广播成功的确认,该消息包含有IP地址的有效租约和其他可能配置的信息。虽然服务器确认了客户机的租约请求,但是客户及还没有收到服务器的DHCP ACK消息,所以服务器仍然使用自己的IP地址作为源地址,使用255.255.255.255作为目标地址,使用UDP68端口作为目的端口来广播DHCP ACK信息。当客户机收到DHCP ACK消息时,他就配置了IP地址,完成了TCP/IP的初始化。

服务器拒接租约: DHCP NACK

​ 如果DHCP request不成功,例如客户机试图租约先前的IP地址,但该IP不可再用,或者因为客户机移到其他子网,该Ip无效时,DHCP服务器将广播否定确认消息DHCP NACK。当客户机收到不成功的确认时,它将重新开始DHCP的租约过程。

注1:如果DHCP客户机无法找到DHCP服务器,他将从tcp/ip的B类网段169.254.0.0/16中挑选一个IP作为自己的IP地址,继续每隔5分钟尝试与DHCP服务器进行通讯,一旦与DHCP服务器取得联系,则客户机放弃自动配置的IP地址 ,而使用DHCP服务器分配的IP地址。

注2:DHCP客户机收到DHCP服务器回应的ACK报文后,通过地址冲突检测(ARP)发现服务器分配的地址冲突或者由于其他原因导致不能使用,则发送DECLINE报文,通知所分配的IP地址不可用。

2.5 DHCP客户机续租

​ DHCP客户机会在租期过去50%的时候,直接向为其提供IP地址DHCP服务器发送DHCP request消息包。如果客户机接收到该服务器回应的DHCP ack消息包,客户机就根据包中所提供的新的租期以及其他已经更新的tcp/ip参数,更新自己的配置,IP租用更新完成。如果没有收到DHCP服务器的回复,则客户机继续使用现有的IP地址,因为当前租期还有50%。

​ 如果租期过去50%的时候没有更新,则DHCP客户机将在租期过去87.5%的时候再次向为其提供IP地址的DHCP服务器联系。如果还不成功,在租约过去100%的时候,DHCP客户机必须放弃这个Ip地址,重新申请。如果此时无DHCP服务器可用,DHCP客户机会使用169.254.0.0/16中随机的一个地址,并且每隔5分钟再进行尝试。

3. DHCP服务器搭建

3.1 准备实验环境

两台机器,网络连接模式设为自定义vmnet*模式

防护的关闭:

​ 1.iptables -L

​ 2.getenforce

​ 3.关闭vmware虚拟网络编辑器的DHCP功能。

3.2DHCP相关信息

avatar
文章
阅读
粉丝