LNS_PPT_CHAP8_V1.6

1、Page 1/39第第7章内容回顾章内容回顾v应用层代理和网络层防火墙具有不同的实现原理应用层代理和网络层防火墙具有不同的实现原理和应用场合和应用场合v在在Linux系统中内核提供包过滤防火墙功能，使系统中内核提供包过滤防火墙功能，使用用squid服务器可实现代理服务器功能服务器可实现代理服务器功能viptables命令是对命令是对Linux内核包过滤防火墙的主要内核包过滤防火墙的主要管理工具管理工具v通过防火墙策略的配置，通过防火墙策略的配置，Linux主机可实现包过主机可实现包过滤和滤和NAT功能功能vsquid服务器的主要功能是代理和缓存服务器的主要功能是代理和缓存网络安全管理网络安全管

2、理网络安全管理网络安全管理网络安全管理网络安全管理第第8章章Page 3/39本章目标本章目标v掌握掌握SSH服务器管理和客户端的使用服务器管理和客户端的使用v掌握掌握TCP Wrappers的配置管理的配置管理 Page 4/39本章结构本章结构网络安全管理网络安全管理SSH远程登录远程登录服务服务 SSH的起源与原理的起源与原理OpenSSH的基本配置管理的基本配置管理OpenSSH的基本应用的基本应用在在Windows下使用下使用SSH客客户端软件户端软件TCPD的概念的概念hosts.deny和和hosts.allow设置文件设置文件 TCP WrappersTCP Wrappers配

3、置实例配置实例Page 5/39TCP Wrappers的基本概念的基本概念 vTCP Wrappers的功能的功能 TCP Wrappers是大多数是大多数Linux发行版本中都默认提供发行版本中都默认提供的功能的功能 TCP Wrappers的主要执行文件是的主要执行文件是“tcpd” tcpd程序可以将其他的网络服务程序程序可以将其他的网络服务程序“包裹包裹”起来，起来，从而进行集中的访问控制设置从而进行集中的访问控制设置 vRHEL4系统中缺省安装了系统中缺省安装了TCP Wrappers# rpm -q tcp_wrapperstcp_wrappers-7.6-37.2 Page 6

4、/39TCP Wrappers的设置文件的设置文件 vTCP Wrappers使用两个设置文件使用两个设置文件 “hosts.allow”和和“hosts.deny”两个文件的用于保存两个文件的用于保存TCP Wrappers基于主机地址的访问控制策略基于主机地址的访问控制策略# ls /etc/hosts.*/etc/hosts.allow /etc/hosts.deny “hosts.allow”文件用于保存允许访问的策略文件用于保存允许访问的策略 “hosts.deny”文件用于保存拒绝访问的策略文件用于保存拒绝访问的策略 “hosts.allow”和和“hosts.deny”文件中保存

5、的设置是文件中保存的设置是即时生效的即时生效的Page 7/39TCP Wrappers设置文件的格式设置文件的格式2-1v设置文件的格式设置文件的格式 “hosts.allow”和和“hosts.deny”文件中具有相同格式文件中具有相同格式的配置记录的配置记录：动作 文件中每行为一个设置记录文件中每行为一个设置记录v“服务程序列表服务程序列表”字段的表示字段的表示 ALL代表所有的服务程序代表所有的服务程序 单个服务的名称，例如单个服务的名称，例如in.telnetd代表代表telnet服务器程服务器程序，序， vsftpd代表代表vsftpd服务器程序服务器程序 多个服务程序名称可以组成

6、列表，中间用逗号分隔，多个服务程序名称可以组成列表，中间用逗号分隔，例如例如“in.telnetd,vsftpd” Page 8/39TCP Wrappers设置文件的格式设置文件的格式2-2v“客户机地址列表客户机地址列表”字段的表示字段的表示 ALL代表所有的客户机地址代表所有的客户机地址 LOCAL代表本机地址代表本机地址 KNOW代表可解析的域名代表可解析的域名 UNKNOW代表不可解析的域名代表不可解析的域名 以句点以句点“.”开始的域名代表该域下的所有主机，例如开始的域名代表该域下的所有主机，例如“”代表代表“”域中的所有主机域中的所有主机 对某个子网中的所有主机使用对某个子网中的

7、所有主机使用“子网子网/掩码掩码”的形式表的形式表示示 对于网络中的某个主机可直接使用对于网络中的某个主机可直接使用IP地址表示地址表示v“动作动作”字段使用字段使用“allow”表示允许，使用表示允许，使用“deny”表示拒绝表示拒绝 Page 9/39TCP Wrappers配置实例配置实例4-1v配置要求配置要求 使用使用TCP Wrappers对对vsftpd服务和服务和telnet服务进行基服务进行基于主机的访问控制于主机的访问控制 vsftpd服务器和服务器和telnet服务器所在主机的地址为服务器所在主机的地址为“” 对于对于vsftpd服务只允许服务只允许

8、IP地址为地址为“00”至至“99”的主机进行访问的主机进行访问 由于由于telnet服务相对不是很安全，因此只允许服务相对不是很安全，因此只允许IP地址为地址为“22”的客户机访问的客户机访问Page 10/39TCP Wrappers配置实例配置实例4-2vtelnet服务器的安装服务器的安装 RHEL4系统中默认不安装系统中默认不安装telnet服务器服务器 telnet-server软件包在第软件包在第4张安装光盘，需要手工进行张安装光盘，需要手工进行安装安装rpm -ivh /media/cdrom/RedHat/RP

9、MS/telnet-server-0.17-30.i386.rpm vtelnet服务由服务由xinetd调度启动调度启动 telnet在在xinetd服务中的启动配置文件服务中的启动配置文件/etc/xinetd.d/telnet telnet服务默认不启动，需手工设置服务默认不启动，需手工设置# chkconfig telnet on# service xinetd restartPage 11/39TCP Wrappers配置实例配置实例4-3v使用使用telnet命令登录命令登录telnet服务器服务器 telnet命令是命令是telnet服务的客户端程序服务的客户端程序# telne

10、t 用户用户telnet登录的过程中会提示输入用户名和用户口令登录的过程中会提示输入用户名和用户口令vtelnet服务的安全性服务的安全性 telnet服务使用明文传输所有的内容（包括用户登录口服务使用明文传输所有的内容（包括用户登录口令），因此存在安全隐患令），因此存在安全隐患 应尽量使用应尽量使用SSH服务替代服务替代telnet服务服务Page 12/39TCP Wrappers配置实例配置实例4-4vTCP Wrappers策略配置策略配置 hosts.deny文件文件 in.telnetd, vsftpd: ALL hosts.allow文件文件 in.tel

11、netd: 22vsftpd: ? v采取先采取先“全部禁止全部禁止”再再“逐个开放逐个开放”的策略设置的策略设置方法，可以较好的实现方法，可以较好的实现“只允许只允许”的访问策略的访问策略 Page 13/39阶段总结阶段总结TCP Wrappers是各是各Linux发行版本中必备的功能发行版本中必备的功能通过通过tcpd服务程序可以对其他的网络服务程序实服务程序可以对其他的网络服务程序实现访问控制现访问控制通过在通过在hosts.allow和和hosts.deny两个文件中设两个文件中设置访问控制策略，可以实现对置访问控制策略，可以实现对TCP

12、Wrappers的的控制控制 在在hosts.allow和和hosts.deny文件中的设置是即文件中的设置是即时生效的时生效的Page 14/39阶段练习阶段练习J查看查看hosts.allow和和hosts.deny文件的缺省设置文件的缺省设置内容内容J在在hosts.deny文件中增加禁止指定的客户机进行文件中增加禁止指定的客户机进行telnet登录的访问控制记录登录的访问控制记录Page 15/39SSH的起源与原理的起源与原理 vSSH（Secure SHell），实现了与），实现了与Telnet服务类服务类似的远程登录功能似的远程登录功能vSSH协议在网络中使用密文传输数据协议在网

13、络中使用密文传输数据vSSH服务器中还支持使用服务器中还支持使用scp和和sftp等客户端程等客户端程序进行远程主机的文件复制序进行远程主机的文件复制Page 16/39SSH的认证方式的认证方式vSSH协议提供两种用户认证方式协议提供两种用户认证方式 基于口令的安全认证基于口令的安全认证 与与telnet类似，提供正确的用户口令后可以登录远程服类似，提供正确的用户口令后可以登录远程服务器务器 基于密钥的安全认证基于密钥的安全认证 使用公钥和私钥对的方式对用户进行认证使用公钥和私钥对的方式对用户进行认证Page 17/39SSH密钥认证的原理密钥认证的原理vSSH服务中使用密钥进行用户认证服务

14、中使用密钥进行用户认证每个用户都需要每个用户都需要生成自己的公钥生成自己的公钥和私钥对文件和私钥对文件用户的公钥文件用户的公钥文件需要保存在需要保存在SSH服务器主机中服务器主机中用户私钥文件保用户私钥文件保存在存在SSH客户端客户端主机中主机中Page 18/39OpenSSH服务器服务器vOpenSSH是著名的开源软件项目是著名的开源软件项目 vOpenSSH是是SSH协议的免费实现版本协议的免费实现版本 vOpenSSH可应用于大多数可应用于大多数UNIX系统系统v绝大多数绝大多数Linux发行版本都采用发行版本都采用OpenSSH作为作为SSH服务器服务器Page 19/39OpenS

15、SH的软件包组成的软件包组成vRHEL4系统中系统中OpenSSH服务器和客户端软件是服务器和客户端软件是默认安装的默认安装的 openssh软件包是实现软件包是实现ssh功能的公共软件包功能的公共软件包 openssh-server软件包实现了软件包实现了SSH服务器的功能服务器的功能 openssh-clients软件包中包含了软件包中包含了SSH服务的客户端程服务的客户端程序序 openssh-askpass和和openssh-askpass-gnome只有只有在在Linux的图形界面下使用的图形界面下使用SSH服务时才需要服务时才需要 Page 20/39OpenSSH服务的启动与停止

16、服务的启动与停止 vOpenSSH的服务程序名称是的服务程序名称是sshdvsshd服务程序的启动脚本服务程序的启动脚本/etc/init.d/sshdvsshd服务程序缺省状态为自动启动服务程序缺省状态为自动启动vsshd服务的启动与停止服务的启动与停止 启动服务程序启动服务程序service sshd start 停止服务程序停止服务程序service sshd stopPage 21/39OpenSSH服务的配置文件服务的配置文件 v配置目录配置目录 OpenSSH服务器和客户机的所有配置文件都保存在同服务器和客户机的所有配置文件都保存在同一目录中一目录中/etc/ssh/ v服务器配置

17、文件服务器配置文件 SSH服务器的配置文件是服务器的配置文件是sshd_config/etc/ssh/sshd_config v客户机配置文件客户机配置文件 SSH客户程序的配置文件是客户程序的配置文件是ssh_config/etc/ssh/ssh_config Page 22/39OpenSSH的典型用户登录的典型用户登录 v使用使用ssh命令登录命令登录SSH服务器服务器# ssh root v首次登录首次登录SSH服务器服务器 为了建立加密的为了建立加密的SSH连接需要用户在客户端确认服务连接需要用户在客户端确认服务器发来的器发来的RSA密钥密钥 （输入（输入yes

18、）v用户认证用户认证 每次登录每次登录SSH服务器都需要输入正确的用户口令服务器都需要输入正确的用户口令 SSH登录使用的是登录使用的是SSH服务器主机中的用户帐号服务器主机中的用户帐号Page 23/39SSH的用户目录的用户目录 v“.ssh”目录目录 在在SSH客户主机的用户宿主目录中，使用名为客户主机的用户宿主目录中，使用名为“.ssh”的目录保存用户的的目录保存用户的SSH客户端信息客户端信息/.ssh/ “.ssh”目录在用户首次进行目录在用户首次进行SSH登录后自动建立登录后自动建立v“known_hosts”文件文件 “known_hosts”文件位于文件位于“.ssh”目录中

19、目录中 “known_hosts”文件用于保存当前用户所有登录过的文件用于保存当前用户所有登录过的SSH服务器的服务器的RSA密钥密钥Page 24/39基于密钥的基于密钥的SSH用户认证用户认证4-1 v 设置密钥认证的一般步骤设置密钥认证的一般步骤1. 在在SSH客户端生成用户的公钥和私钥对文件客户端生成用户的公钥和私钥对文件2. 将将SSH客户的公钥添加到客户的公钥添加到SSH服务器中用户的认证文服务器中用户的认证文件中件中 3. 验证密钥的认证验证密钥的认证 Page 25/39基于密钥的基于密钥的SSH用户认证用户认证4-2v在在SSH客户端生成用户的公钥和私钥对客户端生成用户的公钥

20、和私钥对 使用使用ssh-keygen命令生成密钥对命令生成密钥对$ ssh-keygen -t rsa v公钥和私钥文件公钥和私钥文件 ssh-keygen命令将在命令将在“.ssh”目录中生成公钥和私钥目录中生成公钥和私钥文件文件 id_rsa是私钥文件，内容需要严格保密是私钥文件，内容需要严格保密 id_rsa.pub是公钥文件，可发布到是公钥文件，可发布到SSH服务器中服务器中Page 26/39基于密钥的基于密钥的SSH用户认证用户认证4-3v复制公钥文件复制公钥文件 将客户端中的用户公钥文件复制到将客户端中的用户公钥文件复制到SSH服务器中服务器中 公钥文件的复制可使用软盘、公钥文

21、件的复制可使用软盘、U盘或网络盘或网络v将公钥内容追加到将公钥内容追加到authorized_keys 文件文件 authorized_keys 文件保存在文件保存在SSH服务器中用户目录服务器中用户目录的的“.ssh”子目录中子目录中 authorized_keys用于保存所有允许以当前用户身份登用于保存所有允许以当前用户身份登录的录的SSH客户端用户的公钥内容客户端用户的公钥内容 使用使用“”重定向符将用户公钥追加到重定向符将用户公钥追加到authorized_keys文件中文件中cat id_rsa.pub /.ssh/authorized_keys Page 27/39基于密钥的基于密

22、钥的SSH用户认证用户认证4-4v基于密钥的用户认证过程基于密钥的用户认证过程 用户使用用户使用ssh命令登录命令登录SSH服务器时，将使用客户机中服务器时，将使用客户机中的私钥与服务器中的公钥进行认证，认证成功后将允的私钥与服务器中的公钥进行认证，认证成功后将允许用户登录许用户登录 密钥的认证过程是密钥的认证过程是ssh命令与命令与SSH服务器自动完成的服务器自动完成的 用户登录过程中将不再提示输入用户口令用户登录过程中将不再提示输入用户口令Page 28/39禁止禁止root用户的用户的SSH登录登录 v为了提高为了提高Linux服务器的安全性，可以禁止服务器的安全性，可以禁止root用户

23、进行用户进行SSH登录登录 设置设置sshd_config文件文件# vi /etc/ssh/sshd_config /添加设置行PermitRootLogin no 重新启动重新启动sshd服务程序服务程序# service sshd restart v再次登录再次登录SSH服务器时将不能使用服务器时将不能使用root帐号进行帐号进行登录登录Page 29/39ssh命令的基本使用命令的基本使用vssh命令的两种格式命令的两种格式 格式格式1：ssh usernamesshserver 格式格式2：ssh -l username sshserver 两种命令格式具有相同的功能两种命令格式具有

24、相同的功能 ssh命令中需指定登录的用户名和命令中需指定登录的用户名和SSH服务器地址服务器地址v不指定用户名的不指定用户名的ssh命令命令 ssh命令中如果不指定用户名，将使用命令中如果不指定用户名，将使用SSH客户机中当客户机中当前用户的名字登录前用户的名字登录SSH服务器服务器# ssh Page 30/39通过通过SSH运行服务器中的窗口程序运行服务器中的窗口程序 v运行服务器中的图形程序是运行服务器中的图形程序是SSH的重要应用的重要应用 ssh命令需要在图形界面虚拟终端下运行命令需要在图形界面虚拟终端下运行 命令格式：命令格式：ssh -X usernames

25、shserver xlock是运行在是运行在SSH服务器中，而显示服务器中，而显示在在SSH客户机中的客户机中的窗口程序窗口程序Page 31/39sftp的使用的使用 vSSH服务器对服务器对sftp的支持的支持 sftp是是SSH服务器中的子系统服务器中的子系统 在在SSH服务器中需要存在对服务器中需要存在对sftp的配置的配置# grep sftp /etc/ssh/sshd_configSubsystem sftp /usr/libexec/openssh/sftp-server vsftp命令的使用命令的使用 sftp登录命令的格式与登录命令的格式与ssh命令类似：命令类似：sftp

26、 usernamesshserver sftp命令实现了类似命令实现了类似ftp命令的功能和命令交互界面命令的功能和命令交互界面Page 32/39scp命令的使用命令的使用vscp命令可以实现命令可以实现SSH服务器与客户机之间的文服务器与客户机之间的文件复制件复制 scp命令的格式类似于命令的格式类似于cp命令命令 SSH服务器可以作为服务器可以作为scp命令中的源文件或目标文件命令中的源文件或目标文件v命令实例命令实例 将将SSH服务器中的文件复制到客户机服务器中的文件复制到客户机# scp root:/etc/passwd . 将客户机中的文件复制到将客户机中的文

27、件复制到SSH服务器服务器# scp test mike: Page 33/39Windows下使用下使用SSH客户端软件客户端软件vPuTTY PuTTY是是Windows环境中可以免费使用的环境中可以免费使用的ssh客户端软客户端软件件.uk/sgtatham/putty/ vWinSCP WinSCP是知名的开源软件项目是知名的开源软件项目 WinSCP在在Windows环境中提供了窗口形式的环境中提供了窗口形式的sftp和和scp客户端操作环境客户端操作环境Page 34/39阶段总结阶段总结SSH协议是协

28、议是telnet协议的安全替代品协议的安全替代品SSH服务可以采用帐号和密钥两种用户认证方式服务可以采用帐号和密钥两种用户认证方式在在RHEL4系统中系统中OpenSSH服务器和客户软件缺服务器和客户软件缺省安装省安装SSH的服务器配置文件的服务器配置文件sshd_config和客户机配和客户机配置文件置文件ssh_config都保存在都保存在“/etc/ssh”目录中目录中SSH客户软件中包括的客户软件中包括的ssh命令用于远程管理，命令用于远程管理，sftp和和scp命令用于远程文件复制命令用于远程文件复制Page 35/39阶段练习阶段练习J查看查看OpenSSH服务器的配置文件服务器的配置文件“/etc/ssh/sshd_config”中对服务器的缺省配置中对服务器的缺省配置内容内容J使用使用ssh命令登录命令登录SSH服务器主机服务器主机Page 36/39本章总结本章总结网络安全管理网络安全管理SSH远程登录远程登录服务服务 SSH的起源与原理的起源与原理Op