远程访问及控制要点课件

,单击此处编辑母版标题样式,B,e,n,e,t,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,BENET 4.0,B,e,n,e,t,BENET 4.0,*,/35,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,B,e,n,e,t,BENET 4.0,*,/35,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,B,e,n,e,t,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,BENET 4.0,B,e,n,e,t,BENET 4.0,*,/35,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,B,e,n,e,t,BENET 4.0,*,/35,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,第五章 远程访问及控制,理论部分,远程访问及控制,第五章 远程访问及控制 理论部分远程访问及控制,使用su、sudo的用途是什么？,如何查询当前用户能通过sudo执行哪些命令？,如何防止通过单用户模式进入Linux系统？,课程回顾,使用su、sudo的用途是什么？课程回顾,学会构建SSH远程登录服务,学会使用SSH客户端工具,学会编写TCP Wrappers访问策略,技能展示,学会构建SSH远程登录服务技能展示,本章结构,远程访问及控制,TCP Wrappers,概述,TCP Wrappers,访问策略,使用,SSH,客户端程序,密钥对验证的,SSH,体系,SSH,远程管理,TCP Wrappers,控制,配置,OpenSSH,服务端,本章结构远程访问及控制TCP Wrappers概述TCP W,SSH,协议,为客户机提供安全的,Shell环境，用于远程管理,默认端口：TCP,22,OpenSSH,服务名称：,sshd,服务端主程序：/usr/sbin/sshd,客户端主程序：/usr/bin/ssh,服务端配置文件：/etc/ssh/,sshd_config,客户端配置文件：/etc/ssh/ssh_config,OpenSSH服务器4-1,SSH协议OpenSSH服务器4-1,服务监听选项,端口号、协议版本、监听IP地址,禁用反向解析,OpenSSH服务器4-2,rootlocalhost#,vi/etc/ssh/sshd_config,Port 22,Protocol 2,ListenAddress 192.168.4.254,UseDNS no,服务监听选项OpenSSH服务器4-2rootlocal,用户登录控制,禁止root用户、空密码用户,登录时间、重试次数,AllowUsers、DenyUsers,OpenSSH服务器4-3,rootlocalhost#,vi/etc/ssh/sshd_config,PermitRootLogin no,PermitEmptyPasswords no,LoginGraceTime 2m,MaxAuthTries 6,AllowUsers jerry admin61.23.24.25,不要与,DenyUsers,同时用,用户登录控制OpenSSH服务器4-3rootlocal,登录验证对象,服务器中的本地用户账号,登录验证方式,密码验证：核对用户名、密码是否匹配,密钥对验证：核对客户的私钥、服务端公钥是否匹配,OpenSSH服务器4-4,rootlocalhost#,vi/etc/ssh/sshd_config,PasswordAuthentication yes,PubkeyAuthentication yes,AuthorizedKeysFile .ssh/authorized_keys,启用密码验证、密钥对验证、指定公钥库位置,登录验证对象OpenSSH服务器4-4rootlocal,ssh命令 远程安全登录,格式：,ssh userhost,scp命令 远程安全复制,格式1：,scp userhost:file1 file2,格式2：,scp file1 userhost:file2,sftp命令 安全FTP上下载,格式：,sftp userhost,使用SSH客户端程序3-1,端口选项：,-p 22,端口选项：,-P 22,端口选项：,-oPort=22,ssh命令 远程安全登录使用SSH客户端程序3-1端口,PuttyCN,一款跨平台的Telnet/SSH图形客户端软件,使用SSH客户端程序3-2,PuttyCN使用SSH客户端程序3-2,WinSCP,一款Windows平台的SCP、SFTP图形客户端软件,使用SSH客户端程序3-3,WinSCP使用SSH客户端程序3-3,整体实现过程,构建密钥对验证的SSH体系5-1,第一步,：创建密钥对 私钥文件：,id_rsa,公钥文件：,id_rsa.pub,SSH,客户机,SSH,服务器,第二步,：上传公钥文件,id_rsa.pub,第三步,：导入公钥信息 公钥库文件：,/.ssh/authorized_keys,第四步,：使用密钥对验证方式,由客户端的用户,zhangsan,在本地创建密钥对,导入到服务端用户,lisi,的公钥数据库,以服务端的用户,lisi,的身份进行登录,整体实现过程构建密钥对验证的SSH体系5-1第一步：创建密钥,1.在客户机中创建密钥对,ssh-keygen命令,可用的加密算法：RSA或DSA,构建密钥对验证的SSH体系5-2,zhangsanlocalhost$,ssh-keygen-t rsa,Generating public/private rsa key pair.,Enter file in which to save the key(/home/zhangsan/.ssh/id_rsa):,Created directory/home/zhangsan/.ssh.,Enter passphrase(empty for no passphrase):,Enter same passphrase again:,Your identification has been saved in/home/zhangsan/.ssh/,id_rsa,.,Your public key has been saved in/home/zhangsan/.ssh/,id_rsa.pub,.,公钥文件位置,设置密钥短语,私钥文件位置,1.在客户机中创建密钥对构建密钥对验证的SSH体系5-2,2.将公钥文件上传至服务器,任何方式均可（共享、FTP、Email、SCP、）,构建密钥对验证的SSH体系5-3,zhangsanlocalhost$,scp/.ssh/id_rsa.pub rootserver:/tmp/,root192.168.4.254s password:,id_rsa.pub 100%412 0.4KB/s 00:00,2.将公钥文件上传至服务器构建密钥对验证的SSH体系5-3,3.在服务器中导入公钥文本,将公钥文本添加至目标用户的公钥库,默认公钥库位置：,/.ssh/authorized_keys,构建密钥对验证的SSH体系5-4,rootlocalhost#,su-lisi,lisilocalhost$,cat/tmp/id_rsa.pub /.ssh/authorized_keys,lisilocalhost$,tail-1/.ssh/authorized_keys,ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAm8uUlE5TNRTiVLGBsy4Ozf,cXTqNLF4pAUyrFqEOA/HDnQxX1af5M6B9s0UqcUc5fVRB51H3z2VMU9ivP,YzmFMAck1ual12+Jjn8TeRoEO2vVl9wd83xRbNOjbH7zuWf+LOzS2yO0XE,NxU5KirzALrRh/YFA42/8+c7RH/TZb9xjKb37vx/HJ5OsFZ1AU+SrlG/MpZaR,3kSLBDSx/LbkBJaAhy1nOk4S8F42Ksh9wVheJcqOVuFdXNJxCckviAsFJDH,f9t8sjsctDPBo/fTyiH9O/ZNNt4093LsiwT7Yos0NuT+Ej6/aWiNUgp7wJghgG60,c4BAbNbBJs90uZLsI4Q=zhangsanlocalhost.localdomain,3.在服务器中导入公钥文本构建密钥对验证的SSH体系5-4,4.客户端使用密钥对验证登陆,验证用户：服务端的用户lisi,验证密码：客户端的用户zhangsan的私钥短语,构建密钥对验证的SSH体系5-5,zhangsanlocalhost$,ssh lisi192.168.4.254,Enter passphrase for key/home/zhangsan/.ssh/id_rsa:,lisilocalhost$,以,zhangsan,的私钥短语进行验证,4.客户端使用密钥对验证登陆构建密钥对验证的SSH体系5-,请思考：,如何禁止,root用户登录ssh服务器？,SSH的密码验证、密钥对验证有什么区别？,构建密钥对验证SSH体系的基本过程是什么？,小结,请思考：小结,“包袱”保护原理,TCP Wrappers概述2-1,TCP Wrappers,机制,代为监听端口,21,代为监听端口,23,代为监听端口,110,代为监听端口,143,客户机的网络访问请求,对访问请求进行过滤控制,vsftpd,telnet,ipop3,imap,调用相应的网络程序,“包袱”保护原理TCP Wrappers概述2-1TCP W,保护机制的实现方式,方式1：通过tcpd主程序对其他服务程序进行包装,方式2：由其他服务程序调用libwrap.so.*链接库,访问控制策略的配置文件,/etc/hosts.allow,/etc/hosts.deny,TCP Wrappers概述2-2,保护机制的实现方式TCP Wrappers概述2-2,设置访问控制策略,策略格式：,服务列表:客户机地址列表,服务列表,多个服务以逗号分隔，ALL 表示所有服务,客户机地址列表,多个地址以逗号分隔，ALL表示所有地址,允许使用通配符?和*,网段地址，如 192.168.4.或者 192.168.4.0/255.255.255.0,区域地址，如,TCP Wrappers策略应用3-1,设置访问控制策略TCP Wrappers策略应用3-1,策略的应用顺序,先检查hosts.allow，找到匹配则允许访问,否则再检查hosts.deny，找到则拒绝访问,若两个文件中均无匹配策略，则默认允许访问,TCP Wrappers策略应用3-2,策略的应用顺序TCP Wrappers策略应用3-2,策略应用示例,仅允许从以下地址访问sshd服务,主机61.63.65.67,网段192.168.2.0/24,禁止其他所有地址访问受保护的服务,TCP Wrappers策略应用3-3,rootlocalhost#,vi/etc/hosts.allow,sshd:61.63.65.67,192.168.2.*,rootlocalhost#,vi/etc/hosts.deny,sshd:ALL,策略应用示例TCP Wrappers策略应用3-3root,本章总结,远程访问及控制,TCP Wrappers,概述,TCP Wrappers,访问策略,使用,SSH,客户端程序,密钥对验证的,SSH,体系,SSH,远程管理,TCP Wrappers,控制,配置,OpenSSH,服务端,本章总结远程访问及控制TCP Wrappers概述TCP W,第五章 远程访问及控制,上机部分,第五章 远程访问及控制,第五章 远程访问及控制 上机部分第五章 远程访问及控制,实验环境,为Web服务器配置OpenSSH服务,实验案例：构建安全的SSH服务体系4-1,局域网段,192.168.3.0/24,网站服务器（,SSH,）,192.168.3.7,Internet,网关服务器,eth0:218.29.30.31eth1:192.168.3.1,网管工作站,192.168.3.110,Internet,测试用机,218.29.30.218,实验环境实验案例：构建安全的SSH服务体系4-1局域网段网站,需求描述,允许用户wzadm从任意地址登陆，采用密钥对验证,允许用户jacky从主机192.168.3.110登陆,禁止其他所有用户远程登录,实现思路,同时启用密码验证、密钥对验证,锁定wzadm用户，改以密钥对方式进行验证,使用AllowUser配置，仅允许wzadm、jacky用户登录,实验案例：构建安全的SSH服务体系4-2,需求描述实验案例：构建安全的SSH服务体系4-2,学员练习1,在Web服务器中创建测试用户jacky、wzadm,在客户机中创建密钥对，上传并部署公钥文本,在Web服务器中配置、启动sshd服务,实验案例：构建安全的SSH服务体系4-3,35,分钟完成,学员练习1实验案例：构建安全的SSH服务体系4-335分钟完,学员练习2,测试密钥对验证登录（wzadm）,测试IP地址及用户限制（jacky、root）,根据需求修正服务器配置，再重新进行测试,实验案例：构建安全的SSH服务体系4-4,45,分钟完成,学员练习2实验案例：构建安全的SSH服务体系4-445分钟完,远程访问及控制要点课件,