远程访问及控制（下）-阿里云开发者社区

构建秘钥对验证的SSH体系

正如前面所提及的，密钥对验证方式可以为远程登录提供更好的安全性。下面将介绍在linux服务器、客户端中构建秘钥对验证SSH体系的基本过程。整个过程包括四步，首先要在SSH客户端以zhangsan用户身份登录创建密钥对，并且要将创建的公钥文件上传至ssh服务器端，然后要将公钥信息导入服务器端的目标用户lisi的公钥数据库，最后以服务器端用户lisi的身份登录验证。图示如下。

在客户端创建密钥对

在Linux客户端中，通过ssh-keygen工具为当前用户创建密钥对文件。可用的加密算法为ECDSA或DSA(ssh-keygen命令的“-t”选项用于指定算法类型)。例如，以zhangsan用户登录客户端，并生成基于ECDSA算法的SSH密钥对（公钥、私钥）文件。

1.  [zhangsan@localhost ~]$ ssh-keygen -t ecdsa
2.  Generating public/private ecdsa key pair.
3.  Enter file in which to save the key (/home/zhangsan/.ssh/id_ecdsa):             //指定私钥位置
4.  Created directory '/home/zhangsan/.ssh'.
5.  Enter passphrase (empty for no passphrase):                                     //设置私钥短语
6.  Enter same passphrase again:                                                    //确认所设置的短语
7.  Your identification has been saved in /home/zhangsan/.ssh/id_ecdsa.
8.  Your public key has been saved in /home/zhangsan/.ssh/id_ecdsa.pub.
9.  The key fingerprint is:
10.  4d:e5:c6:54:e4:b1:db:21:a9:9d:86:17:38:af:d6:03 zhangsan@localhost.localdomain
11.  The key's randomart image is:
12.  +--[ECDSA  256]---+
13.  |            oo+  |
14.  |           =...o |
15.  |          .o++o. |
16.  |         o .* +o.|
17.  |        S .E *. .|
18.  |            *    |
19.  |           o o   |
20.  |          .   .  |
21.  |                 |
22.  +-----------------+

上述操作过程中，提示指定私钥文件的存放位置时，一般直接按Enter键即可，最后生成的私钥，公钥文件默认存放在宿主目录中的隐藏文件夹.ssh下。私钥短语用来对私钥文件进行保护，当使用该私钥登录时必须正确提供此处所设置的短语。尽管不设置私钥短语也是可行的。（实现无口令登录），但在生产环境中不建议这样子。

1.  [zhangsan@localhost ~]$ ls -lh ~/.ssh/id_ecdsa*
2.  -rw------- 1 zhangsan zhangsan 314 Jun  7 17:06 /home/zhangsan/.ssh/id_ecdsa
3.  -rw-r--r-- 1 zhangsan zhangsan 192 Jun  7 17:06 /home/zhangsan/.ssh/id_ecdsa.pub

新生成的密钥对文件中，id_ecdsa是私钥文件，权限默认是600，对于私钥文件必须妥善保管，不能透漏给他人；id_ecdsa.pub是公钥文件，用来提供给SSH服务器。

将公钥文件上传至服务器

将上一步生成的公钥文件上传至服务器，并部署到服务器端用户的公钥数据库中。上传公钥文件是可以选择SCP,FTP,Samba,HTTP甚至可以发送E-mail等任何方式。例如，可以通过scp方式将文件上传至服务器的/tmp目录下。

1.  [zhangsan@localhost ~]$ scp ~/.ssh/id_ecdsa.pub zhangsan@192.168.1.10:/tmp
2.  zhangsan@192.168.1.10's password: 
3.  id_ecdsa.pub                                    100%  192     0.2KB/s   00:00

在服务器中导入公钥文本

在服务器中，目标用户（指用来远程登录的账号lisi）的公钥数据库位于~/.ssh目录。默认的文件名是"authorized_keys"。如果目录不存在，需要手动创建。当获得客户端发送过来的公钥文件以后，可以通过重定向将公钥文本内容追加到目标用户的公钥数据库。

1.  [root@localhost ~]# mkdir /home/lisi/.ssh
2.  [root@localhost ~]# cat /tmp/id_ecdsa.pub >> /home/lisi/.ssh/authorized_keys
3.  [root@localhost ~]# tail -1 /home/lisi/.ssh/authorized_keys 
4.  ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBBDXyjipAU16fQfUtAjCvqSs8oCfAeIrW9vi36zUBdftmbgwA87dK1JJUaYqRXDo7tpKs6JUGDivmD83ZsPK96w= zhangsan@localhost.localdomain

在公钥库authorized_keys文件中，最关键的内容是"ecdsa-sha2-nistp256加密字串"部分，当导入非ssh-keygen工具创建的公钥文本时，应确保此部分信息完整，最后的"zhangsan@localhost"是注释信息。由于sshd服务默认采用严格的权限检测模式（StrictModes yes），因此还需要注意公钥库文件authorized_keys的权限——要求除了登录的目标用户或root用户，同组或其他与用户对该文件不能有写入权限，否则可能无法成功使用密钥对验证。

1.  [root@localhost ~]# ls -l /home/lisi/.ssh/authorized_keys 
2.  -rw-r--r-- 1 root root 192 Jun  8 10:13 /home/lisi/.ssh/authorized_keys

除此之外，应确认sshd服务是否支持密钥对验证方式。

在客户端使用密钥对验证

当私钥文件（客户端），公钥文件（服务器）均部署到位后，就可以在客户端中进行测试了。首先确认客户端中当前的用户为zhangsan，然后ssh命令以服务器端用户lisi的身份进行远程登录。如果密钥对验证方式配置成功，则在客户端将会要求输入私钥短语，以便调用私钥文件进行匹配（若未设置私钥短语，则直接登入目标服务器）。

1.  [zhangsan@localhost ~]$ ssh lisi@192.168.1.10
2.  Enter passphrase for key '/home/zhangsan/.ssh/id_ecdsa': 
3.  Last login: Fri May 11 01:15:34 2018
4.  [lisi@localhost ~]$ whoami
5.  lisi                                                                                //成功登录服务器

经过“客户端创建密钥对”、“将公钥上传至服务器”、“在服务器中导入公钥文本”与“在客户端使用密钥对验证”四个步骤，ssh密钥对验证体系已经构建完成。

而上所述步骤中，第二步和第三步其实可以采用另外一种方法实现，即使用"ssh-copy-id -i 公钥文件 user@host"格式“-i”选项指定公钥文件，“user”是指目标主机的用户。验证密码后，会将公钥自动添加到目标主机user宿主目录下的.ssh/authorized_keys文件结尾。

1.  [root@localhost ~]# ssh-copy-id -i ~/.ssh/id_ecdsa.pub lisi@192.168.1.10
2.  The authenticity of host '192.168.1.10 (192.168.1.10)' can't be established.
3.  ECDSA key fingerprint is 68:df:0f:ac:c7:75:df:02:88:7d:36:6a:1a:ae:27:23.
4.  Are you sure you want to continue connecting (yes/no)? yes
5.  /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
6.  /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
7.  lisi@192.168.1.10's password:                                   //输入lisi密码
8.  
9.  Number of key(s) added: 1
10.  
11.  Now try logging into the machine, with:   "ssh 'lisi@192.168.1.10'"
12.  and check to make sure that only the key(s) you wanted were added.

查看服务器中目标用户lisi的公钥数据库如下。

1.  [root@localhost ~]# ls -l /home/lisi/.ssh/authorized_keys 
2.  -rw------- 1 lisi lisi 188 Jun  8 10:53 /home/lisi/.ssh/authorized_keys
3.  [root@localhost ~]# tail -l /home/lisi/.ssh/authorized_keys 
4.  ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBJe/THiMONgPK5VlqjM/ZSKgaHzRrxPyCld1EFMLRcPwXN74r7K4/GUaEKV33TrVRg/fh7T0ETdZ9tnbnKm+BAo= root@localhost.localdomain

使用密钥对验证的方式登录时，不需要知道目标用户的密码，而是验证客户端用户的私钥短语并检查私钥、公钥是否配对，这样安全性更好。

TCP Wrappers访问控制

在Linux系统中，很多网络服务针对客户端提供了访问控制机制，如Samba,BIND,HTTPD,OpenSSH等，本节将介绍另一种防护机制—TCP Wrappers(TCP封套)，以作为应用服务与网络之间的一道特殊防线，提供额外的安全保障。

TCP Wrappers概述

TCP Wrappers将TCP服务程序“包裹”起来，代为监听TCP服务程序的端口，增加了一个安全检测过程，外来的连接请求必须通过这层安全检测，获得许可后才能访问真正服务程序，TCP Wrappers还可以记录所有企图访问被保护服务的行为，为管理员提供丰富的安全分析资料。TCP Wrappers保护机制的两种实现方式，直接使用tcpd程序对其他服务程序进行保护，需要运行tcpd；由其他网络服务程序调用libwrap.so.*链接库，不需要运行tcpd程序。

通常，链接库方式的应用要更加广泛，也更加有效率。例如，vsftpd，sshd及超级服务器xinetd等，都调用了libwrap共享库（使用ldd命令可以查看程序的共享库）。

1.  [root@localhost ~]# ldd /usr/sbin/sshd | grep "libwrap"
2.      libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f72f37ef000)

xinetd是一个特殊的服务管理程序，通常被称为超级服务器。xinetd通过在/etc/xinetd.d目录下为每个被保护的程序建立一个配置文件，调用TCP Wrappers机制来提供额外的访问控制保护。

TCP Wrappers的访问策略

TCP Wrappers机制的保护对象为各种网络服务程序，针对访问服务的客户端地址进行访问控制。对应的两个策略文件为/etc/hosts.allow和/etc/hosts.deny，分别用来设置允许和拒绝的策略。

策略的配置格式

两个策略文件的作用相反，但配置记录的格式相同

<服务程序列表>: <客户端地址列表>

服务程序列表，客户端地址列表之间以冒号分隔，两个列表内的多个项之间以逗号分隔。

1. 服务程序列表

服务程序列表分为以下几类。

ALL：代表所有的服务。

单个服务程序：如“vsftpd”。

多个服务程序组成的列表，如"vsftrpd,sshd"

2. 客户端地址列表

ALL：代表任何客户端地址。

LOCAL:代表本机地址。

单个IP地址：如“192.168.1.1”

网络段地址：如“192.168.1.0/255.255.255.0”。

以"."开始的域名：如“.123.com”匹配123.com域中的所有主机。

以"."结束的网络地址：如“192.168.1.”匹配整个192.168.1.0/24网段。

嵌入通配符"*","?"：前者代表任意长度字符，后者仅代表一个字符，如“10.0.8.2 *”匹配以10.0.8.2开头的所有IP地址，不可与以"."开始或结束的模式混用。

多个客户端地址组成的列表：如"192.168.1. ，172.16.16. ，.123.com "。

访问控制的基本原则

关于TCP Wrappers机制的访问策略，应用时遵循以下顺序和原则：首先检查/etc/hosts.allow文件，如果找到相匹配的策略，则允许访问；否则继续检查/etc/hosts.deny文件，如果找到相匹配的策略，则拒绝访问；如果检查上述两个文件都找不到相匹配的策略，则允许访问。

TCP Wrappers配置实例

实际使用TCP Wrappers机制时，较宽松的策略可以是”允许所有，拒绝个别“，较严格的策略时“允许个别，拒绝所有”。前者只需要在hosts.deny文件中添加相应的拒绝策略就可以了；后者则除了在hosts.allow中添加允许策略之外，还需要在hosts.deny文件中设置“ALL:ALL”的拒绝策略。

例如，只希望从IP地址为61.63.65.67的主机或位于192.168.1.0/24网段的主机访问sshd服务，其他地址被拒绝，可以执行以下操作。

1.  [root@localhost ~]# vim /etc/hosts.allow 
2.  sshd:61.63.65.67,192.168.1.*
3.  [root@localhost ~]# vim /etc/hosts.deny
4.  sshd:ALL

远程访问及控制（下）