当前位置：首页 > news >正文

【Linux网络服务】SSH远程访问及控制

news 2025/7/15 12:50:49

一、openssh服务器

1.1ssh协议

SSH（Secure Shell）是一种安全通道协议，主要用来实现字符界面的远程登录、远程复制等功能；
SSH 协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的用户口令；
SSH 为建立在应用层和传输层基础上的安全协议。对数据进行压缩，加快传输速度。
SSH客户端<--------------网络---------------->SSH服务端
数据传输是加密的，可以防止信息泄漏
数据传输是压缩的，可以提高传输速度

1.2openssh

openssH 是实现 SSH 协议的开源软件项目，适用于各种 UNIX、Linux 操作系统。
Centos 7系统默认已安装openssh相关软件包，并已将 sshd 服务添加为开机自启动。
执行”systemctl start sshd”命令即可启动 sshd 服务
sshd 服务默认使用的是TCP的 22端口
sshd 服务的默认配置文件是/etc/ssh/sshd_config
ssh_config和sshd_config都是ssh服务器的配置文件，二者区别在于前者是针对客户瑞的配置文件，后者则是针对服务端的配置文件。

客户端常用的ssh连接软件

Linux Client: ssh, scp, sftp，slogin ，
Windows Client：xshell, MobaXterm,putty, securecrt ，telnet
服务名称 : sshd
服务端主程序： /usr/sbin/sshd
服务端配置文件： /etc/ssh/sshd_config
客户端配置文件： /etc/ssh/ssh_config

二、配置openssh服务端

2.1sshd_config配置文件的常用选项

vim /etc/ssh/sshd config
Port 22 #监听端口为 22
ListenAddress 0.0.0.0  #监听地址为任意网段，也可以指定openSSH服务器的具体IP
LoqinGraceTime 2m  #登录验证时间为 2 分钟
PermitRootLoqin no   #禁止: root 用户欲录
MaxAuthTries 6    #最大重试次数为 6
PexmitEmptyPasswords no  #禁止空密码用户录
UseDNs no   #禁用 DNS 反向解析，以提高服务器的响应速度
PubkeyAuthentication yes #开启密钥对验证

在这里插入图片描述

二、设置白名单与黑名单的两种方法

2.1方法一：修改sshd_config文件

Allowusers 添加白名单
DenyUsers添加黑名单
白名单与黑名单不可以同时使用
白名单

黑名单

2.2方法二：设置TCP Wrappers访问策略

2.2.1TCP Wrappers保护机制的方式

由其他网络服务程序调用 libwrap.so.*链接库，不需要运行 tpd 程序。此方式的应用更加泛，也更有效率。
使用 ldd 命令可以查看程序的 ibwrap.so.*链接库Idd $(which ssh)

2.2.2访问策略

TCP Wrappers 机制的保护对象为各种网络服务程序，针对访问服务的客户端地址进行访问控制。
对应的两个策略文件为/etc/hosts.allow 和/etc/hosts.deny，分别用来设置允许和拒绝的策略

2.2.3格式

<服务程序列表>:<客户端地址列表>
(1) 服务程序列表
ALL:代表所有的服务。
单个服务程序:如”vsftpd”
多个服务程序组成的列表: 如rvsftpd,sshd"。

(2)客户端地址列表

ALL:代表任何客户端地址。
LOCAL:代表本机地址。
多个地址以逗号分隔
允许使用通配符 “*”和“?”，前者代表任意长度字符，后者仅代表一个字符
网段地址，如“192.168.80.” 或者 192.168.80.0/255.255.255.0

2.24设置白名单与黑名单

查看哪些tcp服务可以被wrappers保护

Idd $(which ssh)

在这里插入图片描述
白名单

在这里插入图片描述

黑名单相反即可，TCP Wrappers会先读取allow文件，如果有则直接允许通过，然后在读取deny文件，如果有则拒绝访问，如果都没有则允许通过

三、scp、sftp服务

3.1scp远程复制

下行复制：将远程主机中的文件复制到本机

在这里插入图片描述
上行复制

注：复制目录要加-r，加端口号要加-P ，如果有同名文件会直接覆盖不提醒

3.2sftp 远程文件传输协议

由于使用了加密/解密技术，所以传输效率比普通的FTP要低，但安全性更高。操作语法sftp与ftp几乎一样。

sftp> ls
sftp> get 文件名  #下载文件到ftp目录
sftp> put 文件名  #上传文件到ftp目录
sftp> quit		 #退出

在这里插入图片描述

四、配置密钥对验证

(1)在客户端创建密钥对
ssh-keygen -t rsa
-t指定算法类型

在这里插入图片描述

(2)把公钥文件发送给服务端主机，即可完成密钥验证登录

ssh-copy-id -i id_rsa.pub dn@192.168.243.99# ssh-copy-id 可以指定在指定用户的家目录中生成公钥文件的目录和文件，并且目录权限700，文件权限600，只有这样密钥验证才能使用# -i 指定公钥文件

在这里插入图片描述

(3)客户端主机即可通过密钥验证登录，无需输出密码，密钥验证时一对一的，安全性比密码登录更高

在这里插入图片描述

4.2无交互式密钥登录的种方法

方法一：

在生成密钥文件时设置私钥密码为空即可完成免交互登录
方法二：
通过创建ssh会话代理（只在当前会话有效）

ssh-agent bash
ssh-add

【Linux网络服务】SSH远程访问及控制

一、openssh服务器 1.1ssh协议 SSH（Secure Shell）是一种安全通道协议，主要用来实现字符界面的远程登录、远程复制等功能； SSH 协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的用户口令&#xff1…...

编程日记 2023/4/25 23:54:43

AutoGPT的出现，会让程序员失业吗？

最近，一个叫AutoGPT的模型火了，在GitHub上线数周Star数就直线飙升。截至目前，AutoGPT的Star数已经达到87k，马上接近90k，超过了PyTorch的65k。根据AutoGPT的命名，就可以发现其神奇之处在于“auto”&#x…...

编程日记 2023/4/25 23:49:42

微信小程序php+vue 校园租房指南房屋租赁系统

本着诚信的原则，平台必须要掌握出租方必要的真实可信的信息，这样就可以防止欺诈事件的发生，事后也可以联系找到出租方。并且租金等各方面规范标准化，在这易租房诚信可信的平台让承租方与出租方充分有效对接，既方便了承…...

编程日记 2023/4/25 23:44:40

水果FL Studio21最新中文完整版下载更新及内容介绍

简单总结一下，本次小版本更新最重要的内容，我个人认为是对于M1芯片的适配。其余的比如EQ2，3x这些我们很熟悉的插件虽说也有更新，但是估计并没有特别大的改动。我个人的话会先放一段时间，等下次有其他更让我感兴趣的内容…...

编程日记 2023/4/25 23:39:39

springboot+vue小区物业管理系统（源码+文档）

风定落花生，歌声逐流水，大家好我是风歌，混迹在java圈的辛苦码农。今天要和大家聊的是一款基于springboot的小区物业管理系统。项目源码以及部署相关请联系风歌，文末附上联系信息。 💕💕作者：风…...

编程日记 2023/4/25 23:34:36

GEEer成长日记二十三：chatGPT可以帮我们提取水体边缘吗？

欢迎关注公众号：GEEer成长日记目录 01 首先，chatGPT是什么？ 02 进入正题，如何进行边缘检测？ chatGPT推出之后，引发了激烈的讨论，今天带各位看看它在GEE方面能为我们做什么。原本想着它可以…...

编程日记 2023/4/25 23:29:35

程序员阿里三面无理由挂了，被HR一句话噎死，网友：这可是阿里啊

进入互联网大厂一般都是“过五关斩六将”，难度堪比西天取经，但当你真正面对这些大厂的面试时，有时候又会被其中的神操作弄的很是蒙圈。近日，某位程序员发帖称，自己去阿里面试，三面都过了，却被…...

编程日记 2023/5/31 4:08:48

js面试题

在全局作用域下声明了一个变量 arr, 它的初始值是一个空数组第二段代码，循环计数器变量i的初始值为0，循环条件是i的值小于2， 也就是说当i的值为0或者1时， 循环条件才能成立才能够进入到循环体当i的值为2时循环条件不成立&…...

编程日记 2023/4/25 23:19:31

SpringCloud --- Gateway服务网关

一、简介 Spring Cloud Gateway 是 Spring Cloud 的一个全新项目，该项目是基于 Spring 5.0，Spring Boot 2.0 和 Project Reactor 等响应式编程和事件流技术开发的网关，它旨在为微服务架构提供一种简单有效的统一的 API 路由管理方式。二、为…...

编程日记 2023/4/25 23:14:30

【java】CGLIB动态代理原理

文章目录 1. 简介2. 示例3. 原理4. JDK动态代理与CGLIB动态代理区别（面试常问） 1. 简介 CGLIB的全称是：Code Generation Library。 CGLIB是一个强大的、高性能、高质量的代码生成类库，它可以在运行期扩展Java类与实现Java接口&a…...

编程日记 2023/4/25 23:09:29

ArcGIS Pro、Python、USLE、INVEST模型等多技术融合的生态系统服务构建生态安全格局

第一章、生态安全评价理论及方法介绍一、生态安全评价简介二、生态服务能力简介三、生态安全格局构建研究方法简介第二章、平台基础一、ArcGIS Pro介绍1. ArcGIS Pro简介2. ArcGIS Pro基础3. ArcGIS Pro数据编辑4. ArcGIS Pro空间分析5. 模型构建器6. ArcGIS Pro…...

编程日记 2023/5/30 19:03:00