网站推广的正确方式,南平网站怎么做seo,wordpress替换图片,福州企业网站开发某公司的电子商务站点由专门的网站管理员进行配置和维护#xff0c;并需要随时从Internet进行远程管理#xff0c;考虑到易用性和灵活性#xff0c;在Web服务器上启用OpenSSH服务#xff0c;同时基于安全性考虑#xff0c;需要对 SSH登录进行严格的控制#xff0c;如图10… 某公司的电子商务站点由专门的网站管理员进行配置和维护并需要随时从Internet进行远程管理考虑到易用性和灵活性在Web服务器上启用OpenSSH服务同时基于安全性考虑需要对 SSH登录进行严格的控制如图10.4所示。 需求描述 允许网站管理员wzadm通过笔记本电脑远程登录Web服务器笔记本电脑的IP地址并不是固定的采用密钥对验证方式以提高安全性。 允许用户jacky远程登录Web服务器但仅限于从网管工作站192.168.3.110访问。 禁止其他用户通过SSH方式远程登录Web服务器。 创建用户
[rootnode01 ~]# useradd wzadm
[rootnode01 ~]# passwd wzadm[rootnode01 ~]# useradd jacky
[rootnode01 ~]# passwd jacky 1.在客户端创建密钥对一下操作为客户端操作非root用户也可操作 在Linux客户端中通过ssh-keygen工具为当前用户创建密钥对文件。可用的加密算法为ECDSA 或DSA ssh-keygen命令的“-t”选项用于指定算法类型。例如以 root 用户登录客户端并生成基于ECDSA算法的SSH密钥对公钥、私钥文件操作如下所示。
[rootnode02 ~]# ssh-keygen -t ecdsa 上述操作过程中提示指定私钥文件的存放位置时一般直接按Enter键即可最后生成的私钥、公钥文件默认存放在宿主目录中的隐藏文件夹.ssh下。
[rootnode02 ~]# ls -lh /root/.ssh/id_ecdsa* //确认生成的密钥对 新生成的密钥对文件中id_ecdsa是私钥文件权限默认为600。对于私钥文件必须妥善保管 不能泄露给他人id_ecdsa.pub是公钥文件用来提供给SSH服务器。 2. 将公钥文件上传至服务器 将上一步生成的公钥文件上传至服务器并部署到服务器端用户的公钥数据库中上传公钥文 件时可以选择SCP、FTP、Samba、HTTP甚至发送E-mail等任何方式。例如可以通过SCP方式将文件上传至服务器的/tmp目录下。
[rootnode02 ~]# scp /root/.ssh/id_ecdsa.pub root192.168.222.128:/tmp 3.在服务器中导入公钥文本以下操作为服务端root操作 在服务器中目标用户指用来远程登录的账号wzadm的公钥数据库位于~/.ssh目录默认的 文件名是‘authorized_keys。如果目录不存在需要手动创建。当获得客户端发送过来的公钥文件以 后可以通过重定向将公钥文本内容追加到目标用户的公钥数据库。
[rootnode01 ~]# mkdir /home/wzadm/.ssh/
[rootnode01 ~]# cat /tmp/id_ecdsa.pub /home/wzadm/.ssh/authorized_keys
[rootnode01 ~]# tail -l /home/wzadm/.ssh/authorized_keys 在公钥库authorized_keys文件中最关键的内容是“ecdsa-sha2-nistp256加密字串”部分当 导入非 ssh-keygen 工具创建的公钥文本时应确保此部分信息完整最后“rootnode02” 是注释信息。 由于 sshd 服务默认采用严格的权限检测模式StrictModes yes)因此还需注意公钥库文件 authorized_keys的权限——要求除了登录的目标用户或root用户同组或其他用户对该文件不能有写入权限否则可能无法成功使用密钥对验证。
[rootnode01 ~]# ls -l /home/wzadm/.ssh/authorized_keys 登录验证方式 对于服务器的远程管理除了用户账号的安全控制以外登录验证的方式也非常重要。sshd服 务支持两种验证方式——密码验证、密钥对验证可以设置只使用其中一种方式也可以两种方式 都启用。 密码验证对服务器中本地系统用户的登录名称密码进行验证这种方式使用最为简便 但从客户端角度来看正在连接的服务器有可能被假冒从服务器角度来看当遭遇密码 穷举暴力破解攻击时防御能力比较弱。 密钥对验证要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥 文件公钥、私钥然后将公钥文件放到服务器中的指定位置。远程登录时系统将使用 公钥私钥进行加密/解密关联验证大大增强了远程管理的安全性该方式不易被假冒且可以免交互登录在Shell 中被广泛使用。 当密码验证、密钥对验证都启用时服务器将优先使用密钥对验证。对于安全性要求较高的服 务器建议将密码验证方式禁用只允许启用密钥对验证方式若没有特殊要求则两种方式都可 启用。
[rootnode01 ~]# vim /etc/ssh/sshd_config
//启用密码认证 //43 启用密钥对认证
//45 将wzadm、jacky用户加入白名单jacky用户只能在IP为192.168.222.1的主机ssh远程到服务端node01
//49 指定公钥库文件 [rootnode01 ~]# systemctl restart sshd //重启sshd服务 4. 在客户端使用密钥对验证以下为客户端操作非root也可操作 当私钥文件客户端、公钥文件服务器均部署到位以后就可以在客户端中进行测试了。 首先确认客户端中当前的用户为root,然后通过ssh命令以服务器端用户wzadm的身份进行远程登录。如果密钥对验证方式配置成功则在客户端将会要求输入私钥短语以便调用私钥文件进行匹配若未设置私钥短语则直接登入目标服务器。 验证实验结果
1使用jacky的用户名/密码可以从主机192.168.222.1远程登录网站服务器。
2使用wzadm的用户名/密码在任何主机中均无法远程登录网站服务器。
3在生成密钥对的主机中使用wzadm的用户名、验证私钥短语后可以远程登录网站服务器。
4使用root 用户或其他用户如wangwu)无法远程登录网站服务器。 [rootnode02 ~]# ssh wzadm192.168.222.128
[wzadmnode01 ~]$ whoami 验证结果只有wzadm用户可以ssh到服务端弄node01root和其他人都没有权限ssh到服务端 jacky用户在IP为192.168.222.1的主机成功ssh远程到服务端node01
