要是远程直接登录服务器的话,可能存在一些安全问题,于是会采用某种方式来提高登录的安全性,如:
1、建立vpn连接通道,vpn的传输是管道加密的,很安全。推荐使用,后续推出相关文章,敬请关注~
2、利用公钥和密钥传输,现在很多ssh客户端都有生成密钥对的功能,密钥对也很方便管理。如果公司运维人员辞职 只需要删除该人员的公钥就可以了。
3、socks5代理,跳板登录。socks5很方便,正在使用中。下面会介绍下socks5的使用方法
4、其他待补充
一、测试环境:
socks5代理服务器:192.168.52.199
应用服务器:192.168.52.175
客户端:192.168.52.0/24
实验结果:客户端通过socks5服务器(192.168.52.199)登录192.168.52.175应用服务器。
二、Socks5代理服务器配置
请参考本博客的文章:http://www.centoscn.com/image-text/config/2013/0805/1054.html
三、应用服务器相关配置
做ssh登录限制,方法很多,使用host限制;使用iptables防火墙等,下面介绍一下host限制()
hosts.allow和hosts.deny是有配置顺序的,要先allow后deng切记。
[root@lx_jira_svn_s1 ~]# vi /etc/hosts.allow
sshd:192.168.52.0/24,192.168.52.175 #允许192.168.0.的网段访问本机
[root@lx_jira_svn_s1 ~]# vi /etc/hosts.deny
sshd:ALL 禁止所有人访问本机
设置完毕!
另:下面继续介绍一下,必须使用Secure CRT防火墙策略才能登录的配置
1、添加ss5_test.ini文件,内容如下:
S:"Firewall Type"=SOCKSv5_USERPASS
S:"Firewall Address"=192.168.52.199
D:"Firewall Port"=00002a88
S:"Proxy Prompt"=test
S:"Proxy Command"=123
S:"Firewall User"=test
S:"Firewall Password"=42e5552a73d766
2、设置应用服务器
[root@lx_jira_svn_s1 ~]# vi /etc/hosts.allow
sshd:192.168.52.199,192.168.52.175 #只允许通过192.168.0.199跳转才能访问本机
[root@lx_jira_svn_s1 ~]# vi /etc/hosts.deny
sshd:ALL 禁止所有人访问本机
效果查看:
如果防火墙None,就无法登录。
(责任编辑:IT) |
