linux安全配置,公鑰/私鑰方式
2010-02-09 18:04
大概有如下幾個方面:
1. 禁止root帳號ssh,使用自定義帳號ssh;
這樣一來,黑客要先猜到帳號,然後才能猜解密碼;
2. 禁止帳號登入,使用pubkey登入;
3. 作ip acl,只允許幾個特定的ip訪問;
4. ssh埠遷移,將預設22埠改為其他埠;
5. 啟動盡量少的服務;如無必要,不起服務。
但是測試pubkey的時候,發現了乙個問題:使用xshell產生的私鑰檔案,拿到securecrt使用的時候,不成功!
問題2:一台linux機器如何使用私鑰,ssh另外一台linux?
命令格式如下:#ssh -i identity_file username@server
經過實驗發現:xshell產生的私鑰檔案,在linux上面可以直接使用,沒有問題;使用方法:
# ssh -i identity_file username@server
identity_file為 xshell產生的私鑰檔案;
經過搜尋發現:securecrt產生的私鑰檔案,在linux上面也是可以使用的;
如果為「標準公鑰和vandyke私鑰格式」,那麼需要使用ssh-keygen轉換一下,然後使用即可;
如果為「openssh金鑰格式」,就無需轉換,可以直接使用。
也就是說:xshell可以與linux共享私鑰檔案(private key file), securecrt也可以於linux共享私鑰檔案(private key file), 為什麼xshell與securecrt不可以共享私鑰檔案呢?
我們將整個過程梳理一遍;
1. securecrt生成公鑰/私鑰對,「openssh金鑰格式」,
a. 公鑰上傳到伺服器,匯入到/root/.ssh/authorized_keys2檔案中;
# cat ./identify.pub >> /root/.ssh/authorized_keys2
b. 修改sshd的配置檔案;
$ sudo vim /etc/ssh/sshd_config
protocol 2 /僅允許使用ssh2
pubkeyauthentication yes /*啟用publickey認證
authorizedkeysfile .ssh/authorized_keys2 /*publickey檔案路徑
passwordauthentication no /*禁止密碼驗證登入
c. 重啟sshd服務;
#service sshd restart
d. 測試;
使用securecrt登入,ok,沒有問題;
將私鑰檔案identify給一台linux客戶端,
#ssh -i identify username@server
同樣ok,也沒有問題;
只需要#chmod 600 identify
2. securecrt生成公鑰/私鑰對,「標準公鑰和vandyke私鑰格式」,
a. 公鑰上傳到伺服器,格式轉換後,匯入到/root/.ssh/authorized_keys3檔案中;
# ssh-keygen -i -f /home/guoq/identity2.pub >> /root/.ssh/authorized_keys3
b. 修改sshd的配置檔案;
$ sudo vim /etc/ssh/sshd_config
protocol 2 /僅允許使用ssh2
pubkeyauthentication yes /*啟用publickey認證
authorizedkeysfile .ssh/authorized_keys3 /*publickey檔案路徑
passwordauthentication no /*禁止密碼驗證登入
c. 重啟sshd服務;
#service sshd restart
d. 測試;
在securecrt中建立另外乙個session,登入同樣的伺服器,只是私鑰檔案選用identify2;
退出,使用securecrt的session登入,失敗,因為公鑰/私鑰已經改變;
使用securecrt的session2登入,ok,沒有問題;
將私鑰檔案identify2給一台linux客戶端,
#ssh -i identify2 username@server
輸入三次passphrase後,失敗。
使用securecrt將identify2轉換成為openssh格式後,linux客戶端重試,ok,沒有問題;
3. xshell生成公鑰私鑰對,dsa, openssh格式,
a. 公鑰上傳到伺服器,匯入到/root/.ssh/authorized_keys4檔案中;
# cat /home/guoq/id_dsa_1024.pub >> /root/.ssh/authorized_keys4
b. 修改sshd的配置檔案;
# vim /etc/ssh/sshd_config
protocol 2 /僅允許使用ssh2
pubkeyauthentication yes /*啟用publickey認證
authorizedkeysfile .ssh/authorized_keys4 /*publickey檔案路徑
passwordauthentication no /*禁止密碼驗證登入
c. 重啟sshd服務;
#service sshd restart
d. 測試;
使用xshell登入,ok,沒有問題;
將私鑰檔案id_dsa_1024給一台linux客戶端,
#ssh -i id_dsa_1024 username@server
同樣ok,也沒有問題;
4. 將xshell的私鑰檔案id_dsa_1024給securecrt使用;
也同樣ok,沒有問題;
5. 剛才的步驟3中,匯出的私鑰格式,選擇為openssh,這樣步驟4就沒有問題了;
驗證是否匯出的私鑰格式,選擇為"user key files(*.pri)", 重複步驟4,果然不可以;
同樣的,私鑰格式,選擇為"*.*", 重複步驟4,也不可以;
so. 結論是,如果是openssh格式的私鑰檔案,那麼xshell, securecrt, linux客戶端均可以使用。
linux安全配置
vi etc login.defs 密碼更改pass max days 99999 最大更改密碼時間 pass min days 0 最小更改密碼時間 pass min len 5 最小密碼長度 pass warn age 7 密碼過期前告警 vi etc pam.d system auth 密碼複...
linux安全檢查配置
1.ga等客戶要求關閉匿名ftp服務 使用anonymous使用者,手工登入伺服器報錯 530 permission denied。即可。vsftpd.ftpusers 位於 etc vsftpd目錄下。它指定了哪些使用者賬戶不能訪問ftp伺服器,例如anonymous等。確保anonymous v...
Linux優化及安全配置
本文提及的系統,如沒有特別宣告,均採用redhat公司的redhat linux系統。關於優化 說起優化,其實最好的優化就是提公升硬體的配置,例如提高cpu的運算能力,提高記憶體的容量,個人認為如果你考慮公升級硬體的話,建議優先提高記憶體的容量,因為一般伺服器應用,對記憶體的消耗使用要求是最高的。當...