Linux服務(wù)器配置與管（第二版）課件 項(xiàng)目4-任務(wù)三 配置與管理VPN服務(wù)器

任務(wù)三配置與管理VPN服務(wù)器任務(wù)提出一任務(wù)分析二任務(wù)實(shí)施三任務(wù)總結(jié)四目錄Contents同步訓(xùn)練五項(xiàng)目4遠(yuǎn)程訪問(wèn)服務(wù)器配置與管理【項(xiàng)目描述】公司的Linux服務(wù)器放在IDC機(jī)房，由于機(jī)房環(huán)境復(fù)雜，不方便運(yùn)維人員經(jīng)常出入。因此，我們需要配置可以遠(yuǎn)程訪問(wèn)的服務(wù)器，使得運(yùn)維人員在自己的辦公室里通過(guò)網(wǎng)絡(luò)即可訪問(wèn)和管理服務(wù)器。常見(jiàn)的遠(yuǎn)程訪問(wèn)服務(wù)器有Telnet和SSH兩種。本項(xiàng)目中我們就來(lái)完成這三種服務(wù)器的配置與管理?！緦W(xué)習(xí)目標(biāo)】(1)了解遠(yuǎn)程訪問(wèn)的概念。(2)掌握Telnet服務(wù)器的配置與使用。(3)掌握SSH服務(wù)器的配置與使用。(4)掌握VPN服務(wù)器的配置與使用。(5)提高網(wǎng)絡(luò)安全意識(shí)，保障用戶通信安全。外網(wǎng)用戶如果想訪問(wèn)局域網(wǎng)中的資源，需要通過(guò)一道安全屏障，這就是VPN服務(wù)器。01任務(wù)提出任務(wù)提出1.安裝VPN軟件安裝RHEL9支持的VPN軟件包。2.配置VPN服務(wù)配置VPN服務(wù)實(shí)現(xiàn)主機(jī)到主機(jī)的VPN隧道通信。3.驗(yàn)證VPN服務(wù)驗(yàn)證VPN隧道通信是否有效，并查看通過(guò)VPN隧道的流量。本次任務(wù)是在Linux服務(wù)器上架設(shè)VPN服務(wù)器，主要內(nèi)容包括：02任務(wù)分析1.IPSec協(xié)議在RHEL9中，使用IPsec協(xié)議配置虛擬私有網(wǎng)絡(luò)(VirtualPrivageNetwork,VPN)?；ヂ?lián)網(wǎng)安全協(xié)議（InternetProtocolSecurity，IPSec）是國(guó)際互聯(lián)網(wǎng)工程技術(shù)小組（InternetEngineeringTaskForce，IETF）提出的使用密碼學(xué)保護(hù)IP層通信的安全保密架構(gòu)，通過(guò)對(duì)IP協(xié)議的分組進(jìn)行加密和認(rèn)證來(lái)保護(hù)IP協(xié)議的網(wǎng)絡(luò)傳輸協(xié)議簇（一些相互關(guān)聯(lián)的協(xié)議的集合）。1.IPSec協(xié)議IPSec可以實(shí)現(xiàn)以下4項(xiàng)功能：(1)數(shù)據(jù)機(jī)密性：IPSec發(fā)送方將數(shù)據(jù)包加密后再通過(guò)網(wǎng)絡(luò)發(fā)送。(2)數(shù)據(jù)完整性：IPSec可以驗(yàn)證數(shù)據(jù)發(fā)送方發(fā)送的數(shù)據(jù)包，以確保數(shù)據(jù)傳輸時(shí)沒(méi)有被改變。(3)數(shù)據(jù)認(rèn)證：數(shù)據(jù)接收方能夠鑒別IPsec數(shù)據(jù)包的發(fā)送起源。此服務(wù)依賴數(shù)據(jù)的完整性。(4)反重放：數(shù)據(jù)接收方能檢查并拒絕重放數(shù)據(jù)包(重復(fù)發(fā)送的數(shù)據(jù)包)。1.IPSec協(xié)議IPSec主要由以下協(xié)議組成：(1)認(rèn)證頭(AH)：為IP數(shù)據(jù)報(bào)提供無(wú)連接數(shù)據(jù)完整性、消息認(rèn)證以及防重放攻擊保護(hù)。(2)封裝安全載荷(ESP)：提供機(jī)密性、數(shù)據(jù)源認(rèn)證、無(wú)連接完整性、防重放和有限的傳輸流（traffic-flow）機(jī)密性。(3)安全關(guān)聯(lián)(SA)：提供算法和數(shù)據(jù)包，提供AH、ESP操作所需的參數(shù)。(4)密鑰協(xié)議(IKE)：提供對(duì)稱密碼加密體制中密鑰的生存和交換。2.Libreswan簡(jiǎn)介在RHEL9中，IPsec協(xié)議簇由Libreswan應(yīng)用程序支持。Libreswan是一個(gè)開(kāi)源的、用戶空間的IKE協(xié)議的實(shí)現(xiàn)，它的前身是Openswan。IKEv1和v2作為用戶級(jí)別的守護(hù)進(jìn)程來(lái)實(shí)現(xiàn)，IPsec協(xié)議簇的其他協(xié)議由Linux內(nèi)核實(shí)現(xiàn)，Libreswan配置內(nèi)核以添加和刪除VPN隧道配置。IKE協(xié)議使用UDP500和4500端口。由Libreswan和Linux內(nèi)核實(shí)現(xiàn)的IPSecVPN是RHEL9中推薦的唯一VPN技術(shù)。Libreswan沒(méi)有使用術(shù)語(yǔ)“源（source）”和“目的地（destination）”或“服務(wù)器（server）”和“客戶機(jī)（client）”，因?yàn)镮KE/IPsec使用對(duì)等（peertopeer）協(xié)議。相反，它使用術(shù)語(yǔ)“左（left）”和“右（right）”來(lái)指代端點(diǎn)（主機(jī)）。在大多數(shù)情況下在兩個(gè)端點(diǎn)使用相同的配置。但是，管理員通常選擇始終對(duì)本地主機(jī)使用“左”，對(duì)遠(yuǎn)程主機(jī)使用“右”。2.Libreswan簡(jiǎn)介L(zhǎng)ibreswan支持多種身份驗(yàn)證方法，每種方法適合不同的場(chǎng)景。預(yù)共享密鑰預(yù)共享密鑰(PreshareKey,PSK)是最簡(jiǎn)單的身份驗(yàn)證方法。在指聯(lián)邦信息處理標(biāo)準(zhǔn)（FederalInformationProcessingStandards,FIPS）模式中，PSK必須符合最低強(qiáng)度要求，具體取決于所使用的完整性算法。NULL身份驗(yàn)證用來(lái)在沒(méi)有身份驗(yàn)證的情況下獲得網(wǎng)狀加密。它可防止被動(dòng)攻擊，但不能防止主動(dòng)攻擊。在此模型中，客戶端對(duì)服務(wù)器進(jìn)行身份驗(yàn)證，但服務(wù)器不對(duì)客戶端進(jìn)行身份驗(yàn)證。原始RSA密鑰通常用于靜態(tài)主機(jī)到主機(jī)或子網(wǎng)到子網(wǎng)IPsec配置。每個(gè)主機(jī)都使用所有其他主機(jī)的公共RSA密鑰手動(dòng)配置，Libreswan在每對(duì)主機(jī)之間建立IPsec隧道。對(duì)于大量主機(jī)，這個(gè)方法不能很好地?cái)U(kuò)展。X.509證書通常用于大規(guī)模部署連接到通用IPsec網(wǎng)關(guān)的主機(jī)。證書頒發(fā)機(jī)構(gòu)(CertificateAuthority,CA)為主機(jī)或用戶簽署RSA證書。此CA也負(fù)責(zé)中繼信任，包括單個(gè)主機(jī)或用戶的撤銷。保護(hù)量子計(jì)算機(jī)除了上述身份驗(yàn)證方法外，還可以使用Post-quantumPre-sharedKey(PPK)方法來(lái)防止量子計(jì)算機(jī)可能的攻擊。單個(gè)客戶端或客戶端組可以通過(guò)指定與帶外配置的預(yù)共享密鑰對(duì)應(yīng)的PPKID來(lái)使用它們自己的PPK。3.使用Libreswan配置VPN服務(wù)器1)修改配置文件Libreswan的配置文件為/etc/ipsec.d/ipsec.conf，其內(nèi)容由不同的“節(jié)(section)”來(lái)構(gòu)成，每節(jié)的格式均為：typenameparameter=valuetype指定了該節(jié)的類型，主要有兩種：config用來(lái)指定IPsec的一般配置信息conn用來(lái)指定IPsec的連接信息，包含一個(gè)連接規(guī)范，定義使用IPsec建立的網(wǎng)絡(luò)連接。name是該節(jié)的名稱。parameter是該節(jié)中的配置參數(shù)，value是該參數(shù)的值。特別需要注意的是，type前不能有空格，而parameter前必須有空格，說(shuō)明是該節(jié)的參數(shù)。3.使用Libreswan配置VPN服務(wù)器1)修改配置文件conn常用的參數(shù)包括：left：左邊主機(jī)的公網(wǎng)接口IP地址或DNS主機(jī)名，目前支持IPv4和IPv6地址。leftsubnet：左邊主機(jī)連接的私有子網(wǎng)，其值表示為“網(wǎng)絡(luò)地址/子網(wǎng)掩碼”的形式，目前支持IPv4和IPv6。leftid：左邊主機(jī)如何進(jìn)行身驗(yàn)證，默認(rèn)值為left，可以是一個(gè)IP地址或?qū)⒈唤馕龅娜薅ㄓ蛎?。如果前面有@，則該值將作為字符串使用，不會(huì)被解析。leftrsasigkey：用于驗(yàn)證左邊主機(jī)RSA數(shù)字簽名的公鑰。auto：在IPsec啟動(dòng)時(shí)自動(dòng)執(zhí)行的操作，其值包括：add：相當(dāng)于執(zhí)行命令“ipsecauto--add”ondemand：相當(dāng)于執(zhí)行命令“ipsecauto--add”和“ipsecauto--ondemand”start：相當(dāng)于執(zhí)行命令“ipsecauto--add”和“ipsecauto--up”ignore：表示沒(méi)有自動(dòng)啟動(dòng)，也是默認(rèn)值。keep：表示add加上遠(yuǎn)程端啟動(dòng)連接后嘗試保持連接。authby：兩個(gè)安全網(wǎng)關(guān)使用什么加密算法進(jìn)行相互的身份認(rèn)證，默認(rèn)值為rsasig，ecdsa。Never表示永遠(yuǎn)不會(huì)嘗試或接受協(xié)商(對(duì)只進(jìn)行分流的conn有用)，null表示null身份驗(yàn)證。如果請(qǐng)求非對(duì)稱認(rèn)證，則必須啟用IKEv2，并且使用選項(xiàng)“l(fā)eftauth”和“rightauth”來(lái)代替authby。also：它的值是一個(gè)節(jié)名，表示該節(jié)的參數(shù)被附加到本節(jié)中作為本節(jié)的一部分。指定的節(jié)必須存在，必須在當(dāng)前節(jié)之后，并且必須具有相同的節(jié)類型。3.使用Libreswan配置VPN服務(wù)器2）進(jìn)行IPSec配置操作(1)系統(tǒng)啟動(dòng)時(shí)ipsec服務(wù)執(zhí)行的操作【命令】ipsecsetup<選項(xiàng)>【選項(xiàng)】start：系統(tǒng)啟動(dòng)時(shí)ipsec服務(wù)啟動(dòng)stop：系統(tǒng)啟動(dòng)時(shí)ipsec服務(wù)停止restart：系統(tǒng)啟動(dòng)時(shí)ipsec服務(wù)重啟(2)添加、刪除連接【命令】ipsecauto<選項(xiàng)>【選項(xiàng)】--add<連接名>：將連接添加到內(nèi)部數(shù)據(jù)庫(kù)

--delete<連接名>：從內(nèi)部數(shù)據(jù)庫(kù)中刪除連接

--up<連接名>：基于內(nèi)部數(shù)據(jù)庫(kù)的條目啟動(dòng)一個(gè)連接

--down<連接名>：從內(nèi)部數(shù)據(jù)庫(kù)中斷開(kāi)連接

--status<連接名>：查詢連接的狀態(tài)(3)生成密鑰對(duì)【命令】ipsecnewhostkey[選項(xiàng)]【選項(xiàng)】--quiet：屏蔽過(guò)程信息和警告信息

--nssdir<數(shù)據(jù)庫(kù)名>：指定NSS數(shù)據(jù)庫(kù)名稱（默認(rèn)是/var/lib/ipsec/nss）

--bits<位數(shù)>：指定RSA密鑰的位數(shù)，默認(rèn)值是一個(gè)介于3072~4096之間的隨機(jī)值(16的倍數(shù))，最小值為2192。

--keytype<rsa|ecdsa>：指明密鑰的類型，可以是RSA或ECDSA，默認(rèn)為RSA。(4)顯示密鑰信息【命令】ipsecshowhostkey[選項(xiàng)]【選項(xiàng)】--list：查看keyID和chaid等私鑰信息。

--dump：列出私鑰的詳細(xì)信息

--ckaid<ckaid>：顯示使用NSSckaid的公鑰。

--rsaid<rsaid>：顯示使用RSA密鑰ID的公鑰。

--left：顯示左側(cè)主機(jī)RSA簽名信息。--right：顯示右側(cè)主機(jī)RSA簽名信息。03任務(wù)實(shí)施1.安裝軟件包[root@rhel9-host~]#yuminstall-ylibreswan2.啟動(dòng)IPsec服務(wù)并查看服務(wù)運(yùn)行狀態(tài)[root@rhel9-host~]#systemctlstartipsec[root@rhel9-host~]#systemctlstatusipsec3.創(chuàng)建主機(jī)到主機(jī)的VPN隧道(1)在兩個(gè)主機(jī)上分別創(chuàng)建新的RSA密鑰對(duì)。[root@rhel9-host~]#ipsecnewhostkey其中一個(gè)主機(jī)的命令執(zhí)行結(jié)果如圖所示，另一臺(tái)主機(jī)類似。3.創(chuàng)建主機(jī)到主機(jī)的VPN隧道(2)查看主機(jī)的私鑰。[root@rhel9-host~]#ipsecshowhostkey--list3.創(chuàng)建主機(jī)到主機(jī)的VPN隧道(3)在左邊主機(jī)查看公鑰信息。在執(zhí)行創(chuàng)建密鑰對(duì)命令時(shí)，會(huì)提示“Thepublickeycanbedisplayedusing:…”，其中“using”后的命令即為可看公鑰的命令，直接將該命令復(fù)制后在命令行粘貼即可執(zhí)行，執(zhí)行結(jié)果如圖所示。3.創(chuàng)建主機(jī)到主機(jī)的VPN隧道(4)在右邊主機(jī)查看公鑰信息。在右邊主機(jī)上可以將“ipsecshowhostkey”命令后的選項(xiàng)改為“--right”。事實(shí)上，不論是用“--left”還是“--right”，公鑰的內(nèi)容都是一樣的，只是在公鑰前的“l(fā)eftrsasigkey=”和“rightrsasigkey=”不同，如圖所示，而這個(gè)不同在下面的配置文件里面非常有用。3.創(chuàng)建主機(jī)到主機(jī)的VPN隧道(5)修改左邊主機(jī)配置文件。進(jìn)入/etc/ipsec.d目錄，創(chuàng)建一個(gè)新的配置文件my_host-to-host.conf。[root@rhel9-host~]#cd/etc/ipsec.d[root@rhel9-host~]#vimmy_host-to-host.conf如圖所示，其中l(wèi)eftrsasigkey和rightrsasigkey就是使用“ipsecshowhostkey--left--ckaid”和“ipsecshowhostkey--right--ckaid”命令時(shí)所看到的值。3.創(chuàng)建主機(jī)到主機(jī)的VPN隧道(6)將左邊主機(jī)的配置文件復(fù)制到右邊主機(jī)。左邊主機(jī)和右邊主機(jī)可以使用相同的配置文件，Libreswan會(huì)根據(jù)IP地址或主機(jī)名自動(dòng)檢測(cè)它是“左側(cè)”還是“右側(cè)”。因此，右邊主機(jī)可以使用左邊主機(jī)的配置文件?？梢允褂胹cp命令將左邊主機(jī)的配置文件傳輸?shù)接疫呏鳈C(jī)。[root@rhel9-hostipsec.d]#scpmy_host-to-host.confuser1@66:/home/user1由于scp命令不允許root用戶登錄，因此，只能以普通用戶user1登錄到右邊主機(jī)并把配置文件復(fù)制到user1的家目錄中。在右邊主機(jī)上還需要該配置文件復(fù)制到/etc/ipsec.d目錄中，并確保該文件的文件主和所屬組為root。3.創(chuàng)建主機(jī)到主機(jī)的VPN隧道(7)在兩個(gè)主機(jī)分別重啟服務(wù)，并將加載和啟動(dòng)新建的連接。[root@rhel9-host~]#systemctlrestartipsec[root@rhel9-host~]#ipsecauto--addmytunnul[root@rhel9-host~]#ipsecauto--upmytunnul在左邊主機(jī)啟動(dòng)IPsec服務(wù)在右邊主機(jī)啟動(dòng)IPsec服務(wù)3.創(chuàng)建主機(jī)到主