Linux安全检测及防护-PPT05-V1.0PPT.pptVIP

第五章 远程访问及控制;使用su、sudo的用途是什么？ 如何查询当前用户能通过sudo执行哪些命令？ 如何防止通过单用户模式进入Linux系统？;学会构建SSH远程登录服务 学会使用SSH客户端工具 学会编写TCP Wrappers访问策略 ;本章结构;SSH协议 为客户机提供安全的Shell环境，用于远程管理 默认端口：TCP 22 OpenSSH 服务名称：sshd 服务端主程序：/usr/sbin/sshd 客户端主程序：/usr/bin/ssh 服务端配置文件：/etc/ssh/sshd_config 客户端配置文件：/etc/ssh/ssh_config ;用户登录控制 禁止root用户、空密码用户 登录时间、重试次数 AllowUsers、DenyUsers;登录验证对象 服务器中的本地用户账号 登录验证方式 密码验证：核对用户名、密码是否匹配 密钥对验证：核对客户的私钥、服务端公钥是否匹配 ;ssh命令 —— 远程安全登录 格式：ssh user@host scp命令 —— 远程安全复制 格式1：scp user@host:file1 file2 格式2：scp file1 user@host:file2 sftp命令 —— 安全FTP上下载 格式：sftp user@host ;PuttyCN 一款跨平台的Telnet/SSH图形客户端软件;WinSCP 一款Windows平台的SCP、SFTP图形客户端软件;整体实现过程;1. 在客户机中创建密钥对 ssh-keygen命令 可用的加密算法：RSA或DSA;2. 将公钥文件上传至服务器 任何方式均可（共享、FTP、Email、SCP、……）;3. 在服务器中导入公钥文本 将公钥文本添加至目标用户的公钥库 默认公钥库位置：~/.ssh/authorized_keys;4. 客户端使用密钥对验证登陆 验证用户：服务端的用户lisi 验证密码：客户端的用户zhangsan的私钥短语;请思考： 如何禁止root用户登录ssh服务器？ SSH的密码验证、密钥对验证有什么区别？ 构建密钥对验证SSH体系的基本过程是什么？ ;“包袱”保护原理 ;保护机制的实现方式 方式1：通过tcpd主程序对其他服务程序进行包装 方式2：由其他服务程序调用libwrap.so.*链接库 访问控制策略的配置文件 /etc/hosts.allow /etc/hosts.deny;设置访问控制策略 策略格式：服务列表:客户机地址列表 服务列表 —— 多个服务以逗号分隔，ALL 表示所有服务 客户机地址列表 多个地址以逗号分隔，ALL表示所有地址 允许使用通配符 ? 和 * 网段地址，如 192.168.4. 或者 / 区域地址，如 .;策略的???用顺序 先检查hosts.allow，找到匹配则允许访问 否则再检查hosts.deny，找到则拒绝访问 若两个文件中均无匹配策略，则默认允许访问;策略应用示例 仅允许从以下地址访问sshd服务 主机7 网段/24 禁止其他所有地址访问受保护的服务;本章总结;第五章 远程访问及控制;实验环境 为Web服务器配置OpenSSH服务;需求描述 允许用户wzadm从任意地址登陆，采用密钥对验证 允许用户jacky从主机10登陆 禁止其他所有用户远程登录 实现思路 同时启用密码验证、密钥对验证 锁定wzadm用户，改以密钥对方式进行验证 使用AllowUser配置，仅允许wzadm、jacky用户登录;学员练习1 在Web服务器中创建测试用户jacky、wzadm 在客户机中创建密钥对，上传并部署公钥文本 在Web服务器中配置、启动sshd服务 ;学员练习2 测试密钥对验证登录（wzadm） 测试IP地址及用户限制（jacky、root） 根据需求修正服务器配置，再重新进行测试