ssh訪問許可權
A. linux ssh 免密碼登錄 為什麼要給 .ssh 700 許可權
.ssh是目錄,所以要有執行許可權,authorized_keys只需要讀寫許可權即可,無需執行,雖然authorized_keys給了執行許可權也不會有什麼危險,但是從安全策略的許可權最小化原理來說,給600足夠了
B. SSH框架實現許可權登陸,不知如何下手
寫個login的action
1、在action中獲得用戶許可權 用整形int來表示
2、然後service層 DAO層 根據用戶名查詢Tb_User 表中的數據。
3、對比查出數據的用戶許可權一不一致 ,不一致返回Error 成功跳轉。
順便說一下Spring的確使用許可權驗證的 可以去了解一下
C. 如何限制用戶使用 SSH 登入系統
高級SSH技巧:
在這篇文章中我將為你展示一些簡單的技巧,幫助你提高你的SSH服務的安全。SSH伺服器配置文件是/etc/ssh/sshd_conf。在你對它進行每一次改動後都需要重新啟動SSH服務,以便讓改動生效。
1、修改SSH監聽埠
默認情況下,SSH監聽連接埠22,攻擊者使用埠掃描軟體就可以看到主機是否運行有SSH服務,將SSH埠修改為大於1024的埠是一個明智的選擇,因為大多數埠掃描軟體(包括nmap)默認情況都不掃描高位埠。
打開/etc/ssh/sshd_config文件並查找下面這樣的行:
Port 22
修改埠號並重新啟動SSH服務:
/etc/init.d/ssh restart
2、僅允許SSH協議版本2
有兩個SSH協議版本,僅使用SSH協議版本2會更安全,SSH協議版本1有安全問題,包括中間人攻擊(man-in-the-middle)和注入(insertion)攻擊。編輯/etc/ssh/sshd_config文件並查找下面這樣的行:
Protocol 2,1
修改為
Protocol 2
3、僅允許特定的用戶通過SSH登陸
你不一個允許root用戶通過SSH登陸,因為這是一個巨大的不必要的安全風險,如果一個攻擊者獲得root許可權登陸到你的系統,相對他獲得一個普通用戶許可權能造成更大的破壞,配置SSH伺服器不允許root用戶通過SSH登陸,查找下面這樣的行:
PermitRootLogin yes
將yes修改為no,然後重新啟動服務。現在,如果你想使用特權用戶,你可以先以其他用戶登陸,然後再轉換到root。
創建一個沒有實際許可權的虛擬用戶是一個明智的選擇,用這個用戶登陸SSH,即使這個用戶遭到破解也不會引起什麼破壞,當創建這個用戶時,確保它屬於wheel組,因為那樣你才能切換到特權用戶。
如果你想讓一列用戶都能通過SSH登陸,你可以在sshd_config文件中指定它們,例如:我想讓用戶anze、dasa、kimy能通過SSH登陸,在sshd_config文件的末尾我添加下面這樣一行:
AllowUsers anze dasa kimy
4、創建一個自定義SSH banner
如果你想讓任何連接到你SSH服務的用戶看到一條特殊的消息,你可以創建一個自定義SSH banner,只需要創建一個文本文件(我的是/etc/ssh-banner.txt),然後輸入你想的任何文本消息,如:
*This is a private SSH service. You are not supposed to be here.*
*Please leave immediately. *
編輯好後,保存這個文件,在sshd_config中查找下面這樣一行:
#Banner /etc/issue.net
取消掉注釋【將#去掉】,然後將路徑修改為你自定義的SSH banner文本文件。
5、使用DSA公鑰認證
代替使用用戶名和密碼對SSH進行認證,你可以使用DSA公鑰進行認證,注意你既可以使用登陸名,也可以使用DSA公鑰進行認證,使用DSA公鑰認證可以預防你的系統遭受字典攻擊,因為你不需要用登陸名和密碼登陸SSH服務,而是需要一對DSA密鑰,一個公鑰和一個私鑰,在你本地機器上保存私鑰,將公鑰放在伺服器上。當你發起一個SSH登陸會話時,伺服器檢查密鑰,如果它們匹配的話,你就可以直接進入shell,如果它們不匹配,你的連接將被自動斷開。
在本例中的私人計算機叫『工作站1』,伺服器叫『伺服器1』。在兩個機器上我有相同的home目錄,如果伺服器和客戶端上的home目錄不同將不能工作,實現,你需要在你的私人計算機上創建一對密鑰,命令:~$
ssh-keygen -t
dsa,它將要求你為私鑰輸入一個密語,但是你可以保留為空,因為這不是一個推薦的做法。密鑰對創建好了:你的私鑰在~/.ssh/id_dsa,你的公鑰在.ssh/id_dsa.pub。
接下來,拷貝~/.ssh/id_dsa.pub中的內容到『伺服器1』的~/.ssh/authorized_keys文件中,~/.ssh/id_dsa.pub的內容看起來象下面這樣:
~$ cat .ssh/id_dsa.pub
ssh-dss
JYDusNGAIC0oZkBWLnmDu+
LZVSFhCI/Fm4yROHGe0FO7FV4lGCUIlqa55+QP9Vvco7qyBdIpDuNV0LAAAAFQC/9ILjqII7n
M7aKxIBPDrQwKNyPQAAAIEAq+OJC8+
9/ta
NIhBbqri10RGL5gh4AAACAJj1/rV7iktOYuVyqV3BAz3JHoaf+H/dUDtX+wuTuJpl+tfDf61rb
WOqrARuHFRF0Tu/Rx4oOZzadLQovafqrDnU/No0Zge+WVXdd4ol1YmUlRkqp8vc20ws5mLVP
/NuzY= [email protected]
如果文件~/.ssh/authorized_keys已經存在,請將上面的內容附加在該文件的後面。剩下的只是給該文件設置正確的許可權了:
~$ chmod 600 ~/.ssh/authorized_keys
現在,配置sshd_config文件使用DSA密鑰認證,確保你將下面三行前的注釋去掉了:
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
重新啟動服務,如果你的配置沒有錯誤,現在你就可以SSH到你的伺服器,而且無需任何交互動作(如輸入用戶名和密碼)就直接進入你的home目錄了。
如果你只想使用DSA認證登陸,確保你在sshd_config中取消掉注釋並修改PasswordAuthentication這一行,將yes改為no:
PasswordAuthentication no
任何在伺服器上沒有公鑰的人試圖連接到你的SSH服務,它就被拒絕,給它顯示如下一個拒絕提示信息:
Permission denied (publickey).
6、使用TCP wrappers僅允許指定的主機連接
如果你想在你的網路上只允許特定的主機才能連接到你的SSH服務,但又不想使用或弄亂你的iptables配置,那這個方法非常有用,你可以使用 TCP
wrappers。在這個例子中對sshd進行TCP包裹,我將創建一條規則允許本地子網192.168.1.0/24和遠程
193.180.177.13的自己連接到我的SSH服務。
默認情況下,TCP wrappers首先在/etc/hosts.deny中查找看主機是否允許訪問該服務,接下來,TCP
wrappers查找/etc/hosts.allow看是否有規則允許該主機服務指定的服務,我將在/etc/hosts.deny中創建一個規則,如下:
sshd: ALL
這意味著默認情況下所有主機被拒絕訪問SSH服務,這是應該的,否則所有主機都能訪問SSH服務,因為TCP wrappers首先在hosts.deny中查找,如果這里沒有關於阻止SSH服務的規則,任何主機都可以連接。
接下來,在/etc/hosts.allow中創建一個規則允許指定的主機使用SSH服務:
sshd: 192.168.1 193.180.177.13
現在,只有來自192.168.1.0/24和193.180.177.13的主機能夠訪問SSH服務了,其他主機在連接時還沒有到登陸提示符時就被斷開了,並收到錯誤提示,如下:
ssh_exchange_identification: Connection closed by remote host
7、使用iptables允許特定的主機連接
作為TCP wrappers的一個代替品,你可以使用iptables來限制SSH訪問(但可以同時使用這個兩個的),這里有一個簡單的例子,指出了如何允許一個特定的主機連接到你的SSH服務:
~# iptables -A INPUT -p tcp -m state --state NEW --source 193.180.177.13 --dport 22 -j ACCEPT
並確保沒有其他的主機可以訪問SSH服務:
~# iptables -A INPUT -p tcp --dport 22 -j DROP
保存你的新規則,你的任務就完成了,規則是立即生效的
8、SSH時間鎖定技巧
你可以使用不同的iptables參數來限制到SSH服務的連接,讓其在一個特定的時間范圍內可以連接,其他時間不能連接。你可以在下面的任何例子中使用/second、/minute、/hour或/day開關。
第一個例子,如果一個用戶輸入了錯誤的密碼,鎖定一分鍾內不允許在訪問SSH服務,這樣每個用戶在一分鍾內只能嘗試一次登陸:
~# iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
~# iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP
第二個例子,設置iptables只允許主機193.180.177.13連接到SSH服務,在嘗試三次失敗登陸後,iptables允許該主機每分鍾嘗試一次登陸:
~# iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW
--dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
~# iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -j DROP
D. linux系統下怎麼只有root可以SSH, 其他用戶不可以SSH登錄不進去。我現在有使用VSftp
一般為了進行許可權管理,很多系統會設置只有加入 ssh 組的用戶才可以 ssh 遠程訪問。你把普通用戶加入對應的組就可以了。ssh 組這個並不絕對,具體看系統了。
不光是 ssh ,media 組、disk、storage、sound 等等的很多組都有這個設計功能。
具體你可以看你的 Linux 發行版手冊。
vsftp 也是一樣,不過 vsftp 不光可以使用系統用戶,vsftp 好像還有自己的用戶管理系統,這個用戶數據與系統用戶不是同一套數據。
不過,可以用 root 進行遠程 ssh 是很危險的。建議禁用 root 的遠程登錄功能,設置一個普通用戶可以遠程 ssh ,並且這個用戶可以 sudo 到 root 許可權,印象里 sudo 默認是 wheel 組的許可權。當然這個可以設置,包括精確到用戶。
E. 鐵威馬F2-221,我可以使用Telenet 或SSH訪問嗎
可以。Telenet 與SSH 訪問系統默認是關閉的,你需要自行開啟。
你可以通過Telnet/SSH 訪問TNAS。在使用root 或者 admin 賬號登錄時,登錄密碼與admin 用戶的密碼相同。
注意:在使用SSH訪問前,請確認你是否有SSH訪問的許可權。如果沒有,請你與TNAS 設備的管理員聯系。很高興您能一直採納我的回答,希望一直為您提供幫助
F. 如何限制SSH用戶訪問Linux中指定的目錄
ssh登錄的用戶和本地登錄的用戶是一樣的,如果是用root用戶登錄的,你就無法限制它訪問指定的目錄,因為linux系統中root用戶的許可權最大;如果是以普通用戶的身份登錄的,那對他的限制和限制本地登錄用戶的方法是一樣的,可以設置用戶組或者是修改目錄的許可權和所有者。
G. 安裝配置ssh服務
安裝SSH 僅允許client客戶端進行ssh訪
H. 怎麼可以無密碼ssh 訪問linux
1、用ssh-keygen創建公鑰
(1)在伺服器1上執行下面的命令:
[plain] view plain print?
[root@Server1 ~]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key(/root/.ssh/id_rsa):
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in/root/.ssh/id_rsa.
Your public key has been saved in/root/.ssh/id_rsa.pub.
The key fingerprint is:
7b:aa:08:a0:99:fc:d9:cc:d8:2e:4b:1a:c0:6b:da:e4root@Server1
The key's randomart image is:
+--[ RSA 2048]----+
| |
| |
| |
|. |
|o. S |
|++. . |
|+=o. . . |
|o+=oB. o |
|..E==*... |
+-----------------+
輸入後,會提示創建.ssh/id_rsa、id_rsa.pub的文件,其中第一個為密鑰,第二個為公鑰。過程中會要求輸入密碼,為了ssh訪問過程無須密碼,可以直接回車 。
(2)補充說明:
ssh-keygen:生成秘鑰
其中:
-t指定演算法
-f 指定生成秘鑰路徑
-N 指定密碼
2、查看鑰匙
[plain] view plain print?
[root@Server1 ~]# ls -l .ssh
總用量 8
-rw-------. 1 root root 1675 12月 10 22:20 id_rsa
-rw-r--r--. 1 root root 394 12月 10 22:20 id_rsa.pub
可以發現 ssh目錄下的兩枚鑰匙。
3.將公鑰復制到被管理機器Server2和Server3下的.ssh目錄下(先確保存在這個目錄)
[plain] view plain print?
[root@server1 .ssh]# scp [email protected]:~/.ssh/
The authenticity of host '192.168.1.3(192.168.1.3)' can't be established.
RSA key fingerprint is93:eb:f9:47:b1:f6:3f:b4:2e:21:c3:d5:ab:1d:ae:65.
Are you sure you want to continueconnecting (yes/no)? yes
Warning: Permanently added '192.168.1.3'(RSA) to the list of known hosts.
[email protected]'s password:
id_rsa.pub
[root@server1 .ssh]# scp [email protected]:~/.ssh/authorized_keys
The authenticity of host '192.168.1.4(192.168.1.4)' can't be established.
RSA key fingerprint is93:eb:f9:47:b1:f6:3f:b4:2e:21:c3:d5:ab:1d:ae:65.
Are you sure you want to continueconnecting (yes/no)? yes
Warning: Permanently added '192.168.1.4'(RSA) to the list of known hosts.
[email protected]'s password:
id_rsa.pub
到Server2和Server3目錄下執行下面的命令
[plain] view plain print?
#cat id_dsa.pub >> ~/.ssh/authorized_keys
4、設置文件和目錄許可權:
設置authorized_keys許可權
[plain] view plain print?
$ chmod 600 authorized_keys
設置.ssh目錄許可權
[plain] view plain print?
$ chmod 700 -R .ssh
5、驗證使用SSH IP地址的方式無密碼訪問
[plain] view plain print?
[root@server1 .ssh]# ssh 192.168.1.3
Last login: Tue Dec 10 22:34:02 2013
[root@Server2 ~]#
[root@Server2 ~]#
[root@Server2 ~]#
I. linux下ssh連接限制的問題
問題1:如果你開通的ssh許可權是針對用戶而不是針對組開通的,那默認就是一個賬號一個人登陸啦!問題2:據我所知,ssh目前好像還沒有限速的功能,只是用於給用戶遠程操控的,安全方面可以通過服務本身和系統內部的定義來控制。限速度方面,一般都是用ftp來做的。
J. 雲平台訪問一台主機需要開通哪些許可權
如果是通過命令行使用密鑰對訪問:使用Linux命令行的SSH訪問時,打開Linux終端,將下載的pem文件賦予許可權600(執行# chmod 600 Downloads/CIDC-U-xxxxx.pem),輸入# ssh -i Downloads/CIDC-U-xxxxx.pem IP地址,即可登錄雲主機。
對於已經綁定公網ip的Windows主機,用戶可以在Windows系統使用遠程桌面連接該主機。
1、開始菜單-遠程桌面連接,也可以使用快捷鍵Win+R來啟動運行窗口,輸入mstsc後回車啟動遠程桌面連接。
2、在彈出的遠程桌面連接對話框中,輸入該雲主機綁定的公網IP地址,點擊連接。
3、成功連接到雲主機後,輸入用戶名(默認為administrator)和密碼就可以進行操作了。
註:該主機關聯的安全組需添加打開TCP的3389埠。