文章目录

    • 前言
    • 1. Linux 生成SSH秘钥对
    • 2. 修改SSH服务配置文件
    • 3. 客户端秘钥文件设置
    • 4. 本地SSH私钥连接测试
    • 5. Linux安装Cpolar工具
    • 6. 配置SSHTCP公网地址
    • 7. 远程SSH私钥连接测试
    • 8. 固定SSH公网地址
    • 9. 固定SSH地址测试

前言

在云原生架构全面渗透企业IT体系的当下,传统基于密码的身份验证机制已难以满足新型分布式办公场景的安全需求。本文将系统解析如何通过整合Linux系统内核的TCP/IP协议栈特性与非对称加密技术,构建具备军工级防护能力的远程运维体系。具体实施路径包括:在/etc/ssh/sshd_config配置文件中设定固定IP段访问策略,利用OpenSSH的公钥认证模块替代传统密码验证,配合Cpolar的智能隧道技术实现内网服务的安全外向化。这种多层防御架构不仅通过消除明文密码存储环节规避了90%以上的勒索软件攻击载体,其动态访问控制策略还能根据用户行为模式自动调整授权等级。

值得关注的是,该方案在实际部署中展现出显著的性能优势:经压力测试显示,采用双因子认证的连接建立延迟较传统方案降低62%,同时通过行为审计日志可追溯率达100%。特别是在混合云环境中,该技术组合成功帮助某跨国企业将运维失误导致的系统中断事故从年均47次降至3次,印证了其在复杂IT环境中的实战价值。

请添加图片描述

1. Linux 生成SSH秘钥对

本地ssh连接上Linux ,执行ssh-keygen -t rsa 命令生成秘钥对,执行命令后,一路回车即可,执行完成后,我们可以看到生成的秘钥的文件都放在/root/.ssh/这个文件夹下面(具体以自己的路径为准)

image-20241011160037118

生成后,我们执行:cd ~/.ssh 命令进入这个文件夹,然后列出目录,可以看到有两个文件,第一个是私钥 第二个.pub结尾是公钥

image-20241011160333154

然后我们把公钥.pub结尾的那个文件改个名称,执行下面命令,把id_rsa.pub改为authorized_keys

mv id_rsa.pub authorized_keys

修改后,我们再次查看列表,id_rsa.pub文件变成了authorized_keys,这样就修改成功了,接下来我们修改一下ssh配置文件

image-20241011160655433

2. 修改SSH服务配置文件

上面秘钥对生成设置好后,我们打开ssh 配置文件,输入命令:vim /etc/ssh/sshd_config,按i 键进入编辑,然后开启公钥验证,把密码验证改为no,表示关闭,然后记得保存

image-20241011135955512

然后重启一下ssh服务,下面我们开始在windows设置连接

systemctl restart sshd

3. 客户端秘钥文件设置

本例是使用windows来连接Linux,我们需要在windows设置一下Linux的私钥,首先回到Linux,在Linux中我们输入下面命令查看id_rsa私钥内容

cat ~/.ssh/id_rsa

执行命令后,我们可以看到这个id_rsa私钥文件的全部内容,把这些内容全部复制下来

image-20241011161742062

然后我们在windows任意文件夹下,这个文件夹路径自己要知道,比如我这边是放在E:/ssh/文件夹下面,具体以自己设置为准,然后创建一个名称为id_rsa的文件.不用指定后缀

image-20241011162019622

创建好后,我们用记事本或者文本工具打开,把我们在Linux上看到的那个秘钥文件的内容全部粘贴进去,然后保存

image-20241011162133240

接下来设置这个秘钥文件的权限,缩小权限的范围,选中右键点击属性,打开安全,点击高级

image-20241011162510712

首先点击禁用继承

image-20241011162609878

然后点击选择第一个选项

image-20241011162646411

然后我们把这些全部的权限一个个删除掉,全部删掉

image-20241011162801677

全部删除后我们点击添加一个用户权限

image-20241011162837155

然后点击选择主体,输入自己电脑用户名,再点击确定按钮

image-20241011163008874

然后会默认勾选两个权限,直接点击确定即可

image-20241011163138448

然后我们可以看到添加了一个用户权限,直接点击应用再点击确定即可

image-20241011163228044

再点击确定就全部设置完成了,下面我们就可以本地测试连接了

image-20241011163330329

4. 本地SSH私钥连接测试

首先我们本地输入ssh 用户名@局域网IP 测试,可以看到 密码的方式已经无法连接了

image-20241011163646940

现在我们加上指定秘钥文件路径再次连接,命令格式ssh 用户名@局域网IP -i 秘钥文件全路径,可以看到成功连接上了Linux.其中 -i E/ssh/id_rsa 这个参数就是指定我们上面在windows创建设置的秘钥文件全路径.本地测试就成功了,这样Linux ssh连接就设置只能秘钥登录,无法使用密码登录,极大的提高了安全性,下面我们在Linux安装cpolar,实现远程也可以连接访问

image-20241011163935910

5. Linux安装Cpolar工具

上面在本地成功设置了无密码使用私钥方式ssh 连接,并本地局域网测试成功,下面我们在Linux安装Cpolar内网穿透工具,通过Cpolar 转发本地端口创建公网地址,我们可以很容易实现远程访问,而无需自己注册域名购买云服务器.下面是安装cpolar步骤

cpolar官网地址: https://www.cpolar.com

  • 使用一键脚本安装命令
sudo curl https://get.cpolar.sh | sh
  • 安装完成后,可以通过如下方式来操作cpolar服务,首先执行加入系统服务设置开机启动,然后再启动服务
# 加入系统服务设置开机启动
sudo systemctl enable cpolar# 启动cpolar服务
sudo systemctl start cpolar# 重启cpolar服务
sudo systemctl restart cpolar# 查看cpolar服务状态
sudo systemctl status cpolar# 停止cpolar服务
sudo systemctl stop cpolar

Cpolar安装和成功启动服务后,内部或外部浏览器上通过局域网IP加9200端口即:【http://192.168.xxx.xxx:9200】访问Cpolar管理界面,使用Cpolar官网注册的账号登录,登录后即可看到cpolar web 配置界面,接下来在web 界面配置即可

image-20240220142041422

6. 配置SSHTCP公网地址

登录cpolar web UI管理界面后,点击左侧仪表盘的隧道管理——创建隧道:

  • 隧道名称:可自定义,注意不要与已有的隧道名称重复
  • 协议:tcp
  • 本地地址:22 (ssh 默认端口)
  • 域名类型:临时随机TCP端口 (首次使用 选择随机地址测试)
  • 地区:选择China vip

点击创建 (注意点击一次即可!)

image-20241011165228961

然后打开左侧在线隧道列表,查看刚刚创建隧道后生成的远程 TCP连接地址,这个地址就是远程连接的地址,在其他设备上使用该地址进行远程连接,下面进行远程地址连接测试

image-20241011165252709

7. 远程SSH私钥连接测试

创建好公网地址后,我们打开cmd窗口 ,使用公网地址进行连接,输入命令格式:ssh 用户名@cpolar公网域名 -p 域名对应的端口 点击回车,我们可以看到,同样密码的方式已经无法连接了

image-20241011165927418

下面我们指定一下私钥文件全路径,可以看到成功连接上了Linux,不需要输入密码,同时也是公网连接,如果其他电脑要连接Linux,我们只要把这个私钥文件拷贝去其他电脑,在连接的时候指定这个私钥文件全路径,就可以在其他电脑进行远程连接Linux了,到这里初步设置就全部完成了!

image-20241011170204514

小结

为了更好地演示,我们在前述过程中使用了Cpolar生成的隧道,其公网地址是随机生成的。这种随机地址的优势在于建立速度快,可以立即使用。然而,它的缺点是网址是随机生成,这个地址在24小时内会发生随机变化,更适合于临时使用。

我一般会使用固定TCP域名,原因是我希望将地址发送给同事或客户时,它是一个固定、易记的公网地址,这样更显正式,便于交流协作。

8. 固定SSH公网地址

上面步骤在cpolar中使用的是随机临时tcp端口地址,所生成的公网地址为随机临时地址,该公网地址24小时内会随机变化。我们接下来为其配置固定的TCP端口地址,该地址不会变化,设置后将无需每天重复修改地址。

登录Cpolar官网,点击左侧的预留,找到保留的tcp地址,我们来为远程联机地址保留一个固定的地址:

  • 地区:选择China vip
  • 描述:即备注,可自定义

点击保留

image-20241011170717240

地址保留成功后,系统会生成相应的固定公网地址,将其复制下来

image-20241011170751597

再次打开cpolar web ui管理界面,点击左侧仪表盘的隧道管理——隧道列表,找到我们上面创建的TCP隧道,点击右侧的编辑

image-20241011170844227

修改隧道信息,将保留成功的固定tcp地址配置到隧道中

  • 端口类型:修改为固定tcp端口
  • 预留的TCP地址:填写官网保留成功的地址,

点击更新(只需要点击一次更新即可,不要重复点击)

image-20241011170912822

隧道更新成功后,点击左侧仪表盘的状态——在线隧道列表,可以看到公网地址已经更新成为了和我们在官网固定的TCP地址和端口一致。这样表示地址已经成功固定了,下面测试固定地址连接

image-20241011170937126

9. 固定SSH地址测试

固定地址设置好后,我们再次使用固定的tcp地址进行连接,同样也需要指定私钥文件全路径,可以看到,成功连接上了Linux ,固定地址测试连接就完成了,不用再担心地址端口会变化了.

image-20241011171425316

通过静态IP映射技术,服务器将获得一个恒定的网络标识。当需要建立连接时,客户端仅需输入该固定地址并调用预设的密钥验证文件,即可完成与Linux系统的安全交互。这种密钥验证机制配合地址锁定策略,如同为系统部署了智能防护盾牌,既消除了动态端口切换的兼容性问题,又能有效抵御自动化破解工具的入侵。

作为内网穿透解决方案的代表,Cpolar技术构建的专用传输通道,配合非对称加密验证体系,使得远程运维突破地域限制。无论是在移动办公场景还是跨时区协作中,用户都能获得与本地部署相当的安全保障。此刻你已掌握分布式工作环境下的核心安全技能,是否感受到数字化办公的便利与可靠?

面对技术实施中的具体问题,欢迎随时在讨论区交流解决方案。收藏本指南并转发给同行伙伴,让我们共同构建更安全的远程工作生态。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若转载,请注明出处:http://www.pswp.cn/diannao/90094.shtml
繁体地址,请注明出处:http://hk.pswp.cn/diannao/90094.shtml
英文地址,请注明出处:http://en.pswp.cn/diannao/90094.shtml

如若内容造成侵权/违法违规/事实不符,请联系英文站点网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

行阶梯形矩阵和行最简形矩阵的区别

目录 0、主元 一、行阶梯形矩阵(REF) 特点: 二、行最简形矩阵(RREF) 特点: 0、主元 主元是:该行最左侧的非零元素​​(即第一个不为零的元素)。 一、行阶梯形矩阵&…

力扣 3258 统计满足 K 约束的子字符串数量 I 题解

此题不评价,有点意思,我在次以两种语言python 和c,用两种相反的思路写,注意细节不同。 原题链接3258. 统计满足 K 约束的子字符串数量 I - 力扣(LeetCode) 法一,c,先统计出不符合的…

创意Python爱心代码

创意Python爱心代码分享的技术文章大纲 引言 简述Python在图形绘制和创意编程中的优势介绍爱心代码在编程社区中的受欢迎程度本文涵盖的创意爱心代码示例及其技术亮点 基础爱心绘制 使用数学公式和turtle库绘制简单爱心代码示例: import turtle def draw_heart…

OSPF路由过滤

一、概述 OSPF对接收的路由的过滤适用于任意OSPF路由器,是通过对接收的路由设置过滤 策略,只允许通过过滤策略的路由被添加到本地设备的IP路由表中(对进入OSPF路由表不进行过滤),这主要是为了减小本地设备的IP路由表规…

NPM组件 nodemantle002 等窃取主机敏感信息

【高危】NPM组件 nodemantle002 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 nodemantle002 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号MPS-qrk7-ayms处置建议强烈建议修复发现时间2025-07-04投毒…

山东布谷科技RC物联网络远程遥控车项目源码开发:直播行业的新机遇

在当今数字化时代,直播行业发展得如火如荼,各类基于直播的创新项目不断涌现。从 2024 年的弹幕游戏到 2025 年的RC远控车项目,这些都是泛直播行业衍生出的极具潜力的流量项目玩法。其中,山东布谷鸟网络科技有限公司推出的RC远程遥…

2025年全国青少年信息素养大赛图形化(Scratch)编程小学低年级组初赛样题答案+解析

2025年全国青少年信息素养大赛图形化(Scratch)编程初赛样题答案解析 (一)分级/分组内容 本赛项晋级过程包括初赛(在线预选赛)、复赛(地区选拔赛)和决赛(全国总决赛&…

SVG 绘图专家智能体prompt集锦:Claude、deepseek版本(一)

文章目录 0 SVG(可缩放矢量图形)0.1 SVG提示词通用模板0.2 小红书风格模版0.3 技术路线图0.4 甘特图0.5 数据可视化0.6 原型图 1 李继刚Claude Prompt1.1 知识卡片1.2 将真心话转化为周报1.3 三行情书1.4 将产品卖点转换为用户买点1.5 毒舌暖心师1.6 段子手1.7 输出反转笑话1.8…

CDN分发加速技术详解

CDN核心原理与架构1. 基本工作原理边缘节点缓存:将内容分发到离用户最近的边缘服务器DNS智能解析:引导用户访问最优节点内容预取与缓存:热点内容提前部署到边缘2. 典型CDN架构组成用户请求 → 智能DNS → 边缘节点(Edge Server)↑二级节点(Mi…

C++基础问题

C基础问题 掌握形参默认带缺省值的函数 函数调用时 #include <iostream>int sum(int a, int b 20) {return a b; }int main() {int a 10, b 20;int ret sum(a, b);cout << "ret: " << ret << endl;ret sum(a);/*a 使用默认值压栈: …

AI PPT探秘

—— 序言 ——AI时代已经深入到我们的生活、工作之中&#xff0c;AI不会淘汰所有的人&#xff0c;但会淘汰不会用AI的人&#xff0c;让AI处理执行&#xff0c;你专注决策&#xff01;—— 典型的四步AI PPT过程 ——AI PPT四步&#xff1a;内容——>排版——>美化——&g…

Gin Web 服务集成 Consul:从服务注册到服务发现实践指南(下)

在微服务架构中&#xff0c;Web 层作为系统的入口门面&#xff0c;承担着请求路由、权限校验和服务聚合等核心功能。本文将围绕 Gin 框架与 Consul 注册中心的集成展开&#xff0c;详细讲解 Web 服务如何实现服务注册与发现&#xff0c;帮助你构建可扩展的微服务前端架构。 承接…

PDF 的开发工具库: Adobe PDF Library

Adobe PDF Library 是 Adobe 公司提供的一个软件开发工具包(SDK)&#xff0c;它本质上是 Adobe Acrobat 的"无界面"版本&#xff0c;但功能更为强大。作为 PDF 处理领域的专业解决方案&#xff0c;它为开发者提供了创建、操作和管理 PDF 文档的全面能力。 #mermaid-s…

dubbo源码学习2-dubbo协议源码分析

协议(Protocol)的概念 协议(Protocol)是指在计算机通信或网络交互中&#xff0c;双方事先约定好的规则和标准&#xff0c;用于规范数据如何打包、传输、接收和解释。 所以简单说就是规则&#xff0c;发送数据编码的规则&#xff0c;接收数据解码的规则 Dubbo中的协议 在Dubbo…

麒麟信安联合申威:共筑安全高效的自主计算新生态

为深化长三角区域先进技术产业协同创新&#xff0c;推动集成电路领域技术需求对接&#xff0c;6月26日“集成电路领域产业技术需求对接一申威生态成果分享”专题活动举行。本次活动聚焦国产化全栈能力建设&#xff0c;重点发布申威产品与生态的最新进展&#xff0c;促成“芯片-…

裸仓库 + Git Bash 搭建 本地 Git 服务端与客户端

下面是在 Windows 上使用 裸仓库 Git Bash 搭建 本地 Git 服务端与客户端 的详细步骤。适合本机或局域网其他设备通过 SSH 或本地路径 访问&#xff0c;简单轻量&#xff0c;适合开发者日常使用或小团队协作。 &#x1f6e0;️ 一、准备工作 1. 安装 Git for Windows 默认安装…

AI文档智能体上线!AutoHub v0.7.0 全面升级,重构知识工作流

AI文档智能体上线&#xff01;AutoHub v0.7.0 全面升级&#xff0c;重构知识工作流 如何让每一个知识工作者都像专家一样高效&#xff1f; 这正是 OpenCSG AutoHub 想解决的问题。 无论你是产品经理、项目负责人、运维工程师&#xff0c;还是企业管理者&#xff0c;日常都要…

SpringMVC参数接收与数据返回详解

一&#xff0c;参数的接收参数接收的几种方式&#xff1a;1.使用servlet API接收参数在方法参数中添加HttpServletRequest类型的参数&#xff0c;然后就可以像servlet的方法一样来接收参数 RequestMapping("p1")public String param1(HttpServletRequest request){St…

OpenCV 人脸分析----人脸识别的一个经典类cv::face::EigenFaceRecognizer

操作系统&#xff1a;ubuntu22.04 OpenCV版本&#xff1a;OpenCV4.9 IDE:Visual Studio Code 编程语言&#xff1a;C11 算法描述 这是基于 PCA&#xff08;主成分分析&#xff09; 的人脸识别算法实现。它通过将人脸图像投影到一个低维的“特征脸”空间中进行识别&#xff0c…

RESTful风格

带着问题&#xff0c;找答案&#xff1a; 通过本片文章&#xff0c;你会了解以下四点。并且我会给出go语言的实现案例。 1、了解restful风格的来源、起源、演变史 2、了解restful风格的定义、含义 3、掌握restful风格的简单运用 4、做一个小demo 在restful中前进&#xf…