Detaillierte Erläuterung der Wissenspunkte zur Linux-Remoteverwaltung und SSHD-Dienstüberprüfung

1. SSH-Remoteverwaltung

SSH-Definition

• SSH (Secure Shell) ist ein sicheres Kanalprotokoll, das hauptsächlich zur Implementierung von Funktionen wie Remote-Login und Remote-Kopie in einer Zeichenschnittstelle verwendet wird.
• Das SSH-Protokoll verschlüsselt die zwischen den beiden Kommunikationspartnern übertragenen Daten, einschließlich des Benutzerkennworts, das der Benutzer bei der Anmeldung eingibt. Daher bietet das SSH-Protokoll eine gute Sicherheit.

Vorteile von SSH

• Die Datenübertragung wird verschlüsselt, um Informationsverlust zu verhindern
• Die Datenübertragung wird komprimiert, wodurch die Übertragungsgeschwindigkeit erhöht werden kann

SSH-Konfigurationsdatei

• Die Standardkonfigurationsdatei für den SSHD-Dienst ist /etc/ssh/sshd_config
• ssh_config und sshd_config sind beides Konfigurationsdateien für den SSH-Server

Der Unterschied zwischen beiden besteht darin, dass ssh_config eine Konfigurationsdatei für den Client ist, während sshd_config eine Konfigurationsdatei für den Server ist.

SSH-Client und -Server

• SSH-Client: Putty, Xshell, CRT
• SSH-Server: OpenSSH
• OpenSSH ist ein Open-Source-Softwareprojekt, das das SSH-Protokoll implementiert und auf verschiedenen UNIX- und Linux-Betriebssystemen anwendbar ist.

Standardmäßig hat das CentOS 7-System OpenSSH-bezogene Pakete installiert und den SSHD-Dienst als Startdienst hinzugefügt.

2. OpenSSH-Server konfigurieren

1. Allgemeine Optionseinstellungen für die Konfigurationsdatei shd_config

vim /etc/ssh/sshd_config
Port 22 #Der Abhörport ist 22
ListenAddress 0.0.0.0 #Die Abhöradresse kann ein beliebiges Netzwerksegment sein, oder Sie können die spezifische IP des OpenSSH-Servers angeben

LoginGraceTime 2m #Die Zeit für die Anmeldeüberprüfung beträgt 2 Minuten PermitRootLogin nein #Root-Benutzer daran hindern, sich anzumelden MaxAuthTries 6 #Die maximale Anzahl der Wiederholungsversuche beträgt 6

PermitEmptyPasswords nein #Deaktivieren Sie die Anmeldung von Benutzern mit leerem Passwort.UseDNS nein #Deaktivieren Sie die umgekehrte DNS-Auflösung, um die Antwortgeschwindigkeit des Servers zu verbessern.#Erlauben Sie nur den Benutzern zhangsan, lisi und wangwu, sich anzumelden, und der Benutzer wangwu kann sich nur remote vom Host mit der IP-Adresse 61.23.24.25 anmelden.AllowUsers zhangsan lisi [email protected] #Mehrere Benutzer sind durch Leerzeichen getrennt.#Deaktivieren Sie die Anmeldung bestimmter Benutzer. Die Verwendung ähnelt der von AllowUsers (achten Sie darauf, sie nicht gleichzeitig zu verwenden).
DenyUsers zhangsan

2. Allowusers und Denyusers

Allowusers...... #Erlaube nur bestimmten Benutzern, sich anzumelden. Denyusers...... #Verbiete bestimmten Benutzern, sich anzumelden. Die Verwendung ist ähnlich wie bei AllowUsers (achte darauf, sie nicht gleichzeitig zu verwenden).

3. Remote-Replikation

scp [email protected]:/etc/passwd /root/passwd10.txt

4. SFTP – sicheres FTP

Aufgrund der Verwendung von Verschlüsselungs-/Entschlüsselungstechnologie ist die Übertragungseffizienz geringer als bei gewöhnlichem FTP, die Sicherheit jedoch höher. Die Operationssyntax von SFTP ist fast dieselbe wie die von FTP.

sftp [email protected]
sftp> ls
sftp> get file name #Lade die Datei in das FTP-Verzeichnis herunter sftp> put file name #Lade die Datei in das FTP-Verzeichnis hoch sftp> quit #Beenden

3. Wie der SSHD-Dienst die Authentifizierung unterstützt

Kennwortauthentifizierung

Überprüfen Sie den Anmeldenamen und das Kennwort des lokalen Systembenutzers auf dem Server. Einfach, kann aber mit Brute-Force-Methoden geknackt werden. Informationen zum Knacken mit Brute-Force-Methoden finden Sie im vorherigen Blog für eine detaillierte Beschreibung der Erkennung schwacher Systemkennwörter

Schlüsselpaarüberprüfung

Zur Verifizierung sind passende Schlüsselangaben erforderlich. Normalerweise wird zuerst ein Schlüsseldateipaar (öffentlicher Schlüssel und privater Schlüssel) auf dem Client erstellt und dann die öffentliche Schlüsseldatei am angegebenen Speicherort auf dem Server abgelegt. Bei einer Remote-Anmeldung verwendet das System den öffentlichen und den privaten Schlüssel zur Überprüfung der Verschlüsselungs-/Entschlüsselungszuordnung. Dies kann die Sicherheit erhöhen und die Notwendigkeit einer interaktiven Anmeldung überflüssig machen.

Wenn sowohl die Kennwortauthentifizierung als auch die Schlüsselpaarauthentifizierung aktiviert sind, gibt der Server der Schlüsselpaarauthentifizierung Priorität. Die Überprüfungsmethode kann entsprechend der tatsächlichen Situation eingestellt werden.

vim /etc/ssh/sshd_config #Bearbeiten Sie die Hauptkonfigurationsdatei des Servers PasswordAuthentication yes #Aktivieren Sie die Kennwortauthentifizierung PubkeyAuthentication yes #Aktivieren Sie die Schlüsselpaarauthentifizierung AuthorizedKeysFile .ssh/authorized_keys #Geben Sie die öffentliche Schlüsselbibliotheksdatei an

Erstellen Sie ein Schlüsselpaar auf dem Client

Verwenden Sie das Tool „ssh-keygen“, um eine Schlüsselpaardatei für den aktuellen Benutzer zu erstellen. Die verfügbaren Verschlüsselungsalgorithmen sind RSA, ECDSA oder DSA. (Mit der Option „-t“ des Befehls ssh-keygen wird der Algorithmustyp angegeben.)

Benutzer hinzufügen Administrator
echo "123123" | passwd --stdin admin
so - Administrator
ssh-keygen -t ecdsa
Generieren eines öffentlichen/privaten ECDSA-Schlüsselpaars.
Geben Sie die Datei ein, in der der Schlüssel gespeichert werden soll (/home/admin/.ssh/id_ecdsa): #Geben Sie den Speicherort des privaten Schlüssels an. Drücken Sie die Eingabetaste, um den Standardspeicherort zu verwenden.Erstelltes Verzeichnis „/home/admin/.ssh“. #Die generierten privaten und öffentlichen Schlüsseldateien werden standardmäßig im versteckten Verzeichnis .ssh/ im Hostverzeichnis gespeichert.Geben Sie die Passphrase ein (leer, wenn keine Passphrase vorhanden ist): #Legen Sie das Passwort für den privaten Schlüssel fest.Geben Sie die gleiche Passphrase erneut ein: #Bestätigen Sie die Eingabe.ls -l .ssh/id_ecdsa*#id_ecdsa ist die private Schlüsseldatei mit der Standardberechtigung 600; id_ecdsa.pub ist die öffentliche Schlüsseldatei, die dem SSH-Server bereitgestellt wird

Importieren Sie den öffentlichen Schlüsseltext in das Verzeichnis /home/zhangsan/.ssh/ des Servers

cd ~/.ssh/
ssh-copy-id -i id_ecdsa.pub [email protected]

Verwenden der Schlüsselpaarauthentifizierung auf dem Client

ssh [email protected]
[email protected]'s Passwort: #Geben Sie das Passwort für den privaten Schlüssel ein

Richten Sie die SSH-Proxy-Funktion auf dem Client ein, um eine interaktive Anmeldung zu erreichen

SSH-Agent Bash
ssh-hinzufügen
Geben Sie die Passphrase für /home/admin/.ssh/id_ecdsa ein: #Geben Sie das private Schlüsselkennwort ssh [email protected] ein

*Auffüllen

scp ~/.ssh/id_ecdsa.pub [email protected]:/opt #Laden Sie den öffentlichen Schlüssel im lokalen Verzeichnis ~/.ssh in das Verzeichnis /opt des Servers hoch mkdir /home/zhangsan/.ssh/ #Erstellen Sie ein .ssh-Verzeichnis im Verzeichnis /home/zhangsan/ des Servers cat /opt/id_ecdsa.pub >> /home/zhangsan/.ssh/authorized_keys #Hängen Sie die öffentliche Schlüsseldatei im Verzeichnis /opt an die Datei authorzed_keys im Verzeichnis /home/zhangsan/.ssh/ auf dem Server an cat /home/zhangsan/.ssh/authorized_keys #Zeigen Sie die Datei /home/zhangsan/.ssh/authorized_keys auf dem Server an

Dies ist das Ende dieses Artikels über Wissenspunkte zur Linux-Fernverwaltung und SSHD-Dienstüberprüfung. Weitere relevante Inhalte zur Linux-Fernverwaltung und SSHD-Dienstüberprüfung finden Sie in den vorherigen Artikeln von 123WORDPRESS.COM oder in den folgenden verwandten Artikeln. Ich hoffe, dass jeder 123WORDPRESS.COM in Zukunft unterstützen wird!