SSH
·ssh:secure shell, protocol, 22/tcp, 安全的远程登录
·OpenSSH:ssh协议的开源实现
·dropbear:另一个开源实现
·SSH协议版本:
v1:基于CRC-32做MAC,不安全;man-in-middle
v2:双方主机协议选择安全的MAC方式
基于DH算法做密钥交换,基于RSA或DSA实现身份认证
·两种方式的用户登录认证:
基于password
基于key
·OpenSSH:
C/S
S: sshd
C: ssh, scp, sftp
Windows 客户端:
xshell, putty, securecrt, sshsecureshellclient
·ssh服务器端:
配置文件: /etc/ssh/sshd_config
常用参数:
Port
ListenAddress ip :监听的IP地址
PermitRootLogin yes
ClientAliveInterval 0
UseDNS yes :屏蔽DNS解析,提升SSH链接速度
限制可登录用户的办法:
AllowUsers user1 user2 user3 :在列表里的用户才可以访问,root也没特殊权限
DenyUsers :在列表里的用户不能访问,优先级高于AllowUsers,即2个表里都存在的用户,不能访问<有情提示:改变2个语句的相对位置,此时是否有先提取的优先级在里面>
AllowGroups
DenyGroups
·ssh客户端
客户端组件:
ssh配置文件:/etc/ssh/ssh_config
Host PATTERN
StrictHostKeyChecking no 首次登录不显示检查提示
格式:ssh [user@]host [COMMAND]
ssh [-l user] host [COMMAND]
-p port :远程服务器监听的端口
-b: 指定连接的源IP
-v: 调试模式
-C:压缩方式
-X:支持x11转发
-Y:支持信任x11转发
ForwardX11Trusted yes
-t:强制伪tty分配
ssh -t remoteserver1 ssh remoteserver2
允许实现对远程系统经验证地加密安全访问
当用户远程连接ssh服务器时,会复制ssh 服务器/etc/ssh/ssh_host*key.pub (centos7.0 默认是ssh_host_ecdsa_key.pub)文件中的公钥到客户机的~./ssh/know_hosts 中。下次连接时,会比较两处是否有不同。
注意:如果某个IP的主机你ssh链接过一次后,该IP被其他主机所使用了,则再次ssh到该主机上,若想要ssh到该IP地址,可以删除~./ssh/know_hosts文件
ssh -t IP1 ssh IP2
以IP1的主机为跳板,登录到IP2的主机,跳过防火墙
家目录下.ssh/目录
known_hosts中存放的是远程主机的公钥
authorized_keys中存放的是远程主机用户的公钥
·基于key认证
基于密钥的认证:
(1)在客户端生成密钥对
ssh-keygen -t rsa [-P ''] [-f “/root/.ssh/id_rsa"]
#ssh-keygen –t
(2)把公钥文件传输至远程服务器对应用户的家目录
ssh-copy-id [-i [identity_file]] [user@]host
(3)测试
基于密钥的认证的所有密钥的口令:
(1)重设私钥口令:#ssh-keygen –p
(2)验证代理 ( authentication agent ) 保密解密后的密钥
这样口令就只需要输入一次
运行ssh-agent bash
在GNOME中,代理被自动提供
# ps aux | grep "ssh-agent bash"
(3)钥匙通过命令添加给代理
ssh-add
·SSH端口转发
什么是SSH端口转发?
SSH会自动加密和解密所有SSH客户端与服务端之间的网络数据。但是,SSH还能够将其他 TCP端口的网络数据通过SSH链接来转发,并且自动提供了相应的加密及解密服务。这一 过程也被叫做“隧道”(tunneling),这是因为SSH为其他TCP链接提供了一个安全的通道来进行传输而得名。例如,Telnet,SMTP,LDAP这些TCP应用均能够从中得益,避免了用户名,密码以及隐私信息的明文传输。而与此同时,如果工作环境中的防火墙限制了一些网络端口的使用,但是允许SSH的连接,也能够将通过将TCP端口转发来使用SSH进行通讯
SSH端口转发能够提供两大功能:
加密SSH Client端至SSH Server端之间的通讯数据
突破防火墙的限制完成一些之前无法建立的TCP连接
本地转发:
ssh -L localport:host:hostport sshserver
ssh –L 9527:telnetsrv:23 -N sshsrv
telnet 127.0.0.1 9527
当访问本机的9527的端口时,被加密后转发到sshsrv的ssh服务,再解密被转发到telnetsrv:23
data –> localhost:9527 –> localhost:XXXXX –> sshsrv:22 –> sshsrv:YYYYY –> telnetsrv:23
选项:
-f:后台启用
-N:不开远程shell
-g:启用网关功能
远程转发:
ssh -R sshserverport:host:hostport sshserver
ssh –R 9527:telnetsrv:23 –N sshsrv
让sshsrv侦听9527端口的,如有访问,就加密后通过ssh服务转发请求到本机ssh客户端, 再由本机解密后转发到telnetsrv:23
Data –> sshsrv:9527 –> sshsrv:22 –> localhost:XXXXX –> localhost:YYYYY –> telnetsrv:23
动态端口转发:
当用firefox访问internet时,本机的1080端口做为代理服务器,firefox的访问请求被转发到sshserver上,由sshserver替之访问internet
在本机firefox设置代理socket proxy:127.0.0.1:1080
#ssh -D 1080 root@sshserve
·scp命令:
scp [options] SRC… DEST/
两种方式:
scp [options] [user@]host:/sourcefile /destpath
把远程主机的文件拷贝到本机
scp [options] /sourcefile [user@]host:/destpath
把本机的文件拷贝到远程主机
常用选项:
-C:压缩数据流
-r:递归复制
-p:保持原文件的属性信息
-q:静默模式
-P PORT:指明remote host的监听的端口
·rsync命令:
基于ssh和rsh服务实现高效率的远程系统之间复制文件
使用安全的shell连接做为传输方式
rsync –av /etc server1:/tmp 复制目录和目录下文件
rsync –av /etc/ server1:/tmp 只复制目录下文件
比scp更快,只复制不同的文件
选项:
-n:模拟复制过程
-v:显示详细过程
-r:递归复制目录树
-p:保留权限
-t:保留时间戳
-g:保留组信息
-o:保留所有者信息
-l:把符号链接文件做为符号文件进行复制(默认)
-L:将软链接文件指向文件复制
-a:存档模式,相当于 –rlptgoD,但不保留ACL(-A)和SELinux属性(-X)
·sftp命令:
交互式文件传输工具
用法能和传统的ftp 工具相似
利用ssh服务实现安全的文件上传和下载
使用ls cd mkdir rmdir pwd get put 等指令,可用?获取帮助信息。
sftp [user@]host
sftp> help
·X协议转发:
所有图形化应用程序都是X客户程序
能够通过tcp/ip 连接远程X 服务器
数据没有加密机,但是它通过ssh连接隧道安全进行
ssh -X user@remotehost gedit
remotehost主机上的gedit工具,将会显示在本机的X服务器上
传输的数据将通过ssh 连接加密
·编译安装dropbea
ssh协议的另一个实现:dropbear
安装准备:
1、安装开发包组:
2、ftp://172.16.0.1/pub/Sources/sources/dropbear /dropbear-2013.58.tar.bz2
安装:
1、tar xf dropbear-2013.58.tar.bz2
2、less INSTALL
3、./configure
4、make PROGRAMS="dropbear dbclient dropbearkey dropbearconvert scp"
5、make PROGRAMS="dropbear dbclient dropbearkey dropbearconvert scp" install
启动ssh服务:
1、ls /usr/local/sbin/ /usr/local/bin/
2、/usr/local/sbin/dropbear -h
3、mkdir /etc/dropbear
4、dropbearkey -t rsa -f /etc/dropbear/dropbear_rsa_host_key -s 2048
5、dropbearkey -t dss -f /etc/dropbear/dropbear_dsa_host_key
6、dropbear -p :2222 -F –E # 前台运行
dropbear -p :2222 # 后台运行
客户端访问:
1、ssh -p 2222 root@127.0.0.1
2、dbclient -p 2222 root@127.0.0.1
·AIDE
当一个入侵者进入了你的系统并且种植了木马,通常会想办法来隐蔽这个木马(除了木马自身的一些隐蔽特性外,他会尽量给你检查系统的过程设置障碍),通常入侵者会修改一些文件,比如管理员通常用ps -aux 来查看系统进程,那么入侵者很可能用自己经过修改的ps程序来替换掉你系统上的ps程序,以使用ps命令查不到正在运行的木马程序。如果入侵者发现管理员正在运行crontab作业,也有可能替换掉crontab程序等等。所以由此可以看出对于系统文件或是关键文件的检查是很必要的。目前就系统完整性检查的工具用的比较多的有两款:Tripwire和AIDE,前者是一款商业软件,后者是一款免费的但功能也很强大的工具。
AIDE(Adevanced Intrusion Detection Environment)
高级入侵检测环境:是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的那些文件被更改过了
AIDE 能够构造一个指定文件的数据库,它使用aide.conf作为其配置文件。AIDE 数据库能够保存文件的各种属性,包括:权限(permission)、索引节点序号(inode number) 、所属用户(user)、所属用户组(group) 、文件大小、最后修改时间(mtime) 、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还能够使用下列算法:sha1 、md5 、rmd160 、tiger ,以密文形式建立每个文件的校验码或散列号
这个数据库不应该保存那些经常变动的文件信息,例如:日志文件、邮件、/proc文件系统、用户起始目录以及临时目录
安装
yum install aide
修改配置文件
vim /etc/aide.conf ( 指定对哪些文件进行检测)
/test/chameleon R
/bin/ps R+a
/usr/bin/crontab R+a
/etc PERMS
!/etc/mtab # “!” 表示忽略这个文件的检查
R=p+i+n+u+g+s+m+c+md5权限+索引节点+链接数+用户+组+大小+最后一次修改时间+ 创建时间+md5校验值
NORMAL = R+rmd60+sha256
初始化默认的AIDE的库:
/usr/local/bin/aide –init
生成检查数据库(建议初始数据库存放到安全的地方)
cd /var/lib/aide
mv aide.db.new.gz aide.db.gz
检测:
/usr/local/bin/aide –check
更新数据库
aide –update
anp
原创文章,作者:megedugao,如若转载,请注明出处:http://www.178linux.com/48906
