RHCE学习<4>SSH、TCP_Wrappers、VNC和磁盘管理-阿里云开发者社区

开发者社区> 安全> 正文
登录阅读全文

RHCE学习<4>SSH、TCP_Wrappers、VNC和磁盘管理

简介:

一、SSH(Secure Shell,安全的命令解释器)

SSH服务为客户机提供安全的Shell环境,用于远程管理默认端口:TCP 22;SSH是目前应用最为广泛的服务器远程管理方式.

1、SSH用户登陆验证方式分为两种:

密码验证:输入用户名和密码

密钥对验证:在客户机中生成的公钥、私钥

2、服务器端主配置文件:/etc/ssh/sshd_config

1
2
3
4
5
6
7
8
9
10
11
12
13
Port 22 #监听的端口(默认22)
ListenAddress 192.168.1.10 #监听 的IP地址(默认监听所有IP)
PermitRootLogin no #禁止ROOT用户远程登录
LoginGraceTime 2m #限制用户登录验证过程的时间(默认为2分钟)
MaxAuthTries 6 #限制用户登录验证过程的最大重试次数
RSAAuthentication yes #开启rsa认证
PubkeyAuthentication yes #开启密钥对验证
AuthorizedKeysFile .ssh/authorized_keys #指定公钥位置,默认在用户宿主目录下
PermitEmptyPasswords no #禁止密码为空的用户远程登录
PasswordAuthentication yes #启用密码验证
DenyUsers test #拒绝test用户远程登录系统,其他均允许
AllowUsers test admin@10.0.0.10 #允许test在任何IP的主机上远程登录,允许admin只能在主机10.0.0.10登录,其他均拒绝(不要同时使用AllowUsers和DenyUsers配置)
UseDNS no #DNS查找,客户端连接服务器时,服务器会根据客户端的IP地址进行PTR反向查询,查询到客户端主机名,再进行DNS正向A记录查询,这样连接时就会等待一下,要关闭此选项会提高SSH连接速度。

3、ssh命令远程登陆

1
2
3
方式1:ssh 用户名@IP
方式2:ssh -l 用户名 IP
方式3:ssh -p 端口 用户名@IP #不加-p,默认使用22端口

4、使用scp命令远程复制文件或目录(需要安装openssh-clients)

1
2
3
方式1:scp 用户名@IP:源文件 目标路径
方式2:scp 本地文件 用户名@IP:目标路径
方式3:scp -r 本地目录 用户名@IP:目标路径 #-r复制目录下所有文件

5、使用客户端工具远程登陆

方式1:putty #字符页面

方式2:winscp #图形页面工具,一般用于下载

6、配置SSH密钥对认证登陆

1>.在客户机上创建密钥对

1
ssh-keygen -t rsa #一路回车

2>.登陆ssh服务器,创建.ssh目录及设置权限

1
2
mkdir /root/.ssh
chmod 700 /root/.ssh

3>.将公钥上传到服务器并重命名为authorized.keys

1
scp /root/.ssh/id_rsa.pub root@192.168.0.203:/root/.ssh/authorized_keys #id_rsa.pub可以追加多个客户端的公钥

4>.设置ssh服务器,开启密钥对验证,关闭密码验证

1
2
3
4
5
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
PasswordAuthentication no
service sshd restart

5>.验证登陆

1
ssh root@192.168.0.203 #不用输入密码直接登陆到ssh服务器

二、tcp_wrappers机制

1、tcp_wrappers原理图

124913824.png

2、安装tcp_wrappers

yum install tcp_wrappers.x86_64

主配置文件:/etc/hosts.allow,/etc/hosts.deny

3、安全机制实现方式

方式1:通过tcpd主程序对其他服务进行包装,需要运行tcpd

方式2:由网络服务程序调用libwrap.so.*链接库,不需要运行tcpd #更为常用

ldd命令查看程序的共享库:

1
2
ldd /usr/sbin/sshd |grep "libwrap"
 libwrap.so.0 => /lib64/libwrap.so.0 (0x00007fd9ee03e000)

4、配置访问控制策略

配置格式:服务器程序列表:客户机地址列表

服务器程序名有vsftpd,sshd,telnetd等以逗号分隔,ALL表示所有程序

客户机地址:单个IP,一个网段(192.168.1.0/255.255.255.0)以逗号分隔,ALL表示所有地址

5、tcp_wrappers访问控制原则

首先检查 hosts.allow 文件,若找到相匹配的策略,则允许访问

否则继续检查 hosts.deny 文件,若找到相匹配的策略,则拒绝访问

如果两个文件中都没有相匹配的策略,则允许访问

三、使用VNC Server远程桌面

VNC软件主要由两个部分组成:VNC Server及VNC Viewer。将VNC SERVER安装在被控制的主机上,才能在主控端执行VNC Viewer控制被控端。

VNC服务使用的TCP端口号从5900开始,例如:桌面号是1,则使用的端口号是5901,桌面号是2,则端口号为5902,VNC Server相关文件都保存在/home/user目录下

1、安装VNC Server

1
yum install -y tigervnc-server

2、修改配置VNC

1
2
3
4
vi /etc/sysconfig/vncservers
VNCSERVERS="1:root,2:user" #1为桌面号,客户端远程使用需要添加上
VNCSERVERARGS[1]="-geometry 800x600 -alwaysshared" #-alwaysshared代表允许多用户同时登陆
VNCSERVERARGS[2]="-geometry 800x600"

3、设置VNC登陆密码

1
2
vncserver :1  #root用户密码设置
su - user,vncserver :2 #普通用户设置

4、使用vnc viewer登陆

1
2
service vncserver start
chkconfig vncserver on

124936806.png

停止vnc server:

1
2
vncserver -kill :1
vncserver -kill :2

四、磁盘管理

1、查看系统中的磁盘设备:fdisk -l [磁盘设备]

Device Boot Start End Blocks Id System

Device:磁盘设备分区名

Boot:是不是引导分区,*则是

Start:该分区在磁盘中的起始位置(柱面数)

End:该分区在磁盘中的结束位置(柱面数)

Blocks:该分区大小,以blocks(块)为单位,默认块大小是1024字节

Id:分区类型的ID标记号,对于EXT3分区为83,LVM分区为8e。

System:分区类型

2、分区格式化新磁盘设备

1
fdisk -cu 磁盘设备(例如:/dev/sdb#考试时候要用-cu参数

-u:搭配"-l"参数列表,会用分区数目取代柱面数目,来表示每个分区的起始地址,即改变分区大小的显示方式

-c:标识一个分为DOS兼容的分区

3、交互模式中常用命令

m:查看操作指令的帮助信息

p:列表查看分区信息

n:新建分区

d:删除分区

t:变更分区类型

w:保存分区设置并退出

q:放弃分区设置并退出

变更磁盘(特别是正在使用的硬盘)的分区设置以后,新的分区在/dev下查看不到,partprobe命令也不能把新分区调出来。只有两种方法,一个是重启,另一个就是partx -a /dev/硬盘设备。

4、格式化并创建文件系统

1
2
3
4
5
6
7
8
9
10
11
mkfs.ext4 /dev/sdb1
mkdir /data
mount /dev/sdb1 /data  #将分区挂载到/data
-----------------------------------------------------
也可以使用tune2fs将ext3转换ext4
tune2fs -O extent,uninit_bg,dir_index /dev/sdb1
e2fsck /dev/sdb1
fsck -pf /dev/sdb1
df -h #查看是否成功
使用tune2fs将ext2转换ext3
tune2fs –j /dev/sdb1

5、增加交换分区

1>.添加交换分区文件为2G

1
dd if=/dev/zero of=/opt/swap bs=2048M count=1

2>.格式化为交换分区空间

1
mkswap /opt/swap

3>.启动交换区空间

1
swapon /opt/swap

4>.查看是否生效(确定已经添加成功)

1
2
3
free -m
-/+ buffers/cache: 38 452
Swap: 3039 5 3034

5>.设置开机自动加载新增加的swap分区(也可以使用UUID挂载)

1
2
vi /etc/fstab
/opt/swap   swap   swap   defults   0 0

五、磁盘配额

1、设置磁盘配额条件:需要linux内核支持,安装quota软件包

2、磁盘配额特点

作用范围:文件系统(分区)

限制对象:用户,组

限制类型:磁盘容量,文件数量

限制方法:软限制,硬限制

基本步骤:

1>.启用文件系统的配额支持:添加usrquota、grpquota挂载参数,修改/etc/fstab文件,重启系统

1
2
3
vi /etc/fstab
/dev/sdb1 /data ext4 defaults,usrquota,grpquota 1 2 #1是开机启动被fsck扫描,0为不检查
mount -o remount /data  #重新挂载

2>.quotacheck命令检测磁盘配额并创建配额文件

1
quotacheck -augcv #执行完后/data目录会生成aquota.group,aquota.user

-u、-g:检测用户、组配额

-c:创建配额数据文件

-v:显示执行过程信息

-a:检测所有可用的分区

3>.设置用户或组的限制

1
2
edquota -u 用户
edquota -g 组

在实际应用中,一般只对用户最磁盘使用的大小,不用设置用户对文件的多少,硬限制应大于软限制。

设置组限制,需要把用户的基本组加入需要设置的组里,组配额对附属组是没有效果的。

4>.启动或关闭磁盘配额功能

1
2
3
4
quotaon -ugv /data
quotaoff -ugv /data
quotaon -augv #启动所有可用分区磁盘配额功能
quotaoff -augv

5>.查看磁盘配额使用情况

1
2
3
4
quota -u 用户
quota -g 组
repquota /data
repquota -a

六、制作ISO文件

1、从光盘中制作ISO文件:

把光盘放入光驱中(不需要挂载光盘)

1
cp /dev/cdrom mycd.iso

2、使用目录文件制作ISO文件:

1
mkisofs -r -o my.iso /data

挂载ISO文件:

命令挂载:

1
mount -o loop -t iso9660 my.iso /mnt

自动挂载:

1
mount -o loop my.iso /mnt



本文转自 李振良OK 51CTO博客,原文链接:http://blog.51cto.com/lizhenliang/1304551,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章
最新文章
相关文章