大多數企業伺服器是通過遠端登入的方式來進行管理的,如何更加安全、高效的遠端管理網絡中的各種伺服器是作為網絡管理人員的必修課。這裡将針對Linux環境使用安全的SSH遠端管理途徑,以及通過TCP Wrappers機制為應用提供通路控制
SSH(secure shell)是一種安全的通道協定,主要用來實作字元界面的遠端登入、遠端複制等功能。SSH協定對通信雙方的資料傳輸進行了加密處理,其中包括使用者登入時輸入的使用者密碼,與早期的TELNET、RSH、RCP等應用相比,SSH協定提供了更好的安全性
配置OpenSSH服務端
在RHEL系統中,OpenSSH伺服器的openssh等軟體包預設已經安裝,并已添加為系統服務,隻需配置并啟動sshd服務,大部分使用者(擁有合法的登入shell)都可以遠端登入系統。sshd的配置檔案位于/etc/ssh/sshd_config目錄下,正确調整相關配置項,有助于提高sshd遠端登入的安全性
使用SSH用戶端程式
在Linux系統中,SSH用戶端預設已安裝,其中包括ssh、scp、sftp等指令。實際上,任何支援SSH協定的用戶端程式都可以與OpenSSH伺服器進行通信,如Windows平台中的Xshell、SecureCRT、Putty等圖形工具。
(1)ssh遠端登入
通過ssh指令,可以遠端登入sshd服務,為使用者提供一個安全的shell環境,以便對伺服器進行管理和維護
使用密鑰對驗證SSH的方式
密鑰對驗證方式可以為遠端登入提供更好的安全性,下面将介紹在Linux伺服器、客戶機中建構密鑰對驗證SSH體系的基本過程
- 将公鑰上傳至伺服器
- 在伺服器中導入公鑰文本
上面兩個步驟有兩種方式完成導入
方式一:指令格式如下
ssh-copy-id -i 公鑰檔案 目标主機使用者@目标主機
方式二:使用FTP、scp等方式上傳到伺服器,在将檔案導入到目标使用者的公鑰資料庫
TCP Wrappers通路控制
TCP Wrappers将其他TCP服務程式包裹起來,增加了一個安全檢測過程,外來的連接配接請求必須先通過這層安全檢測,獲得許可後才能通路真正的服務程式。對于大多數Linux發行版,TCP Wrappers是預設提供的功能。
1. 政策的配置格式
TCP Wrappers機制的保護對象為各種網絡服務程式,針對通路服務程式的客戶機位址進行通路控制。對應的政策檔案為/etc/hosts.allow和/etc/hosts.deny,分别提供允許和拒絕的要求 配置格式如下:
服務程式清單:客戶機位址清單
其中,
(1)服務程式清單分為以下幾類:
ALL:代表所有服務
單個服務程式:如“sshd”
多個服務程式組成的清單:如“httpd,sshd”,以逗号分隔
(2)客戶機位址清單分為以下幾類:
ALL:代表任何客戶機服務
LOCAL:代表本機位址
單個IP位址:如“192.168.1.1”
網絡段位址:如“192.168.1.0/255.255.255.0”或者“192.168.1.”
域名:如“.ysf.com”比對ysf.com域中的所有主機
通配符*、?:前者代表任意長度字元,後者僅代表一個字元
多個客戶機位址組成的清單:如“192.168.1.1,172.16.10.,.ysf.com”
-
通路控制的基本原則
(1)先檢查hosts.allow,找到比對則允許通路
(2)否則再檢查hosts.deny,找到則拒絕通路
(3)*若兩個檔案中均無比對政策,則預設允許通路