CN111049817A - 一种提高弹性云主机远程登录安全性的自动部署方法 - Google Patents
一种提高弹性云主机远程登录安全性的自动部署方法 Download PDFInfo
- Publication number
- CN111049817A CN111049817A CN201911235325.7A CN201911235325A CN111049817A CN 111049817 A CN111049817 A CN 111049817A CN 201911235325 A CN201911235325 A CN 201911235325A CN 111049817 A CN111049817 A CN 111049817A
- Authority
- CN
- China
- Prior art keywords
- processing module
- cloud host
- access processing
- login
- remote
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/08—Protocols specially adapted for terminal emulation, e.g. Telnet
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的一种提高弹性云主机远程登录安全性的自动部署方法,包括以下步骤:S1:PC端向系统发起登录请求,远程访问处理模块检查端口是否开放,是则进入下一步,否则丢弃数据包,结束请求;S2:远程访问处理模块检查PC端的IP是否在白名单中,是则进入下一步,否则丢弃数据包,结束请求;S3:远程访问处理模块告知PC端可用的认证协议仅为密钥;S4:PC端发送用户名和密钥,远程访问处理模块检查私钥和公钥是否配对,进行判断;S501:私钥与公钥配对,PC端与云主机建立连接;S502:私钥与公钥不配对,远程访问处理模块告知PC端登录失败,并返回步骤S4。该方法每次新建云主机成功都会触发安全加固,应用广泛,扩展性强。
Description
技术领域
本发明涉及一种提高弹性云主机远程登录安全性的自动部署方法,属于云主机技术领域。
背景技术
弹性云主机是一种可按需获取、可灵活配置的云端计算服务,能够帮助用户打造稳定高可靠,高效低成本的应用部署环境。这些环境大部分是通过不同的Linux系统镜像生成,如Centos,Ubuntu等,在安装这些镜像时都会使用最轻量的minimal模式,减少不必要的开销,最后用户通过Xshell,SecureCRT等远程工具来访问这些云主机。
如果不提高这些云主机自身的安全性,一旦开放到公网环境后,极其容易被攻击。另外当内网中有云主机被入侵后,其他云主机的安全性也无法保障。为了给用户一个安全可靠的远程登录环境,云主机管理员或云主机使用者需要对每台新建的云主机都分别进行安全加固,使云主机之间的相互登录进行隔离,进行了大量的重复劳动,费时费力。
发明内容
为克服现有技术的不足,本发明提出一种提高弹性云主机远程登录安全性的自动部署方法,其采取自动部署的策略,每次新建云主机成功都会触发该安全加固方案,并且应用广泛,扩展性强。
为实现上述目的,本发明的一种提高弹性云主机远程登录安全性的自动部署方法,包括以下步骤:
S1:远程自动部署开始,PC端向系统发起登录请求,系统中的远程访问处理模块检查请求的端口是否开放,进行判断,是则进入下一步,否则丢弃数据包,结束请求;
S2:远程访问处理模块检查PC端的IP是否在白名单中,进行判断,是则进入下一步,否则丢弃数据包,结束请求;
S3:远程访问处理模块告知PC端可用的认证协议仅为密钥;
S4:PC端向远程访问处理模块发送用户名和密钥,远程访问处理模块检查私钥和公钥是否配对,进行判断;
S501:若私钥与公钥配对,PC端与云主机建立安全可靠的连接;
S502:若私钥与公钥不配对,远程访问处理模块告知PC端登录失败,并返回步骤S4。
进一步地,远程访问处理模块修改ssh协议的配制,包括修改默认ssh端口号,启用密钥登录方式,禁止root用户登录,禁止密码方式登录,开启闲置超时。
进一步地,远程访问处理模块开启firewalld防火墙,包括仅开放新的ssh端口,配置远程登录IP白名单,丢弃Icmp包,禁止ping。
进一步地,远程访问处理模块监控root用户登录,并通过邮件的方式通知管理员。
进一步地,在远程部署开始前,首先清除无用的默认系统账户或组,锁定关键系统文件,使其不能删除修改重命名,关闭不需要的系统服务,精简开机自动服务,仅允许非root用户远程登录云主机。
进一步地,PC端与云主机建立安全可靠的连接后,用户在登录云主机后,执行的所有命令记录在log文件夹中,log文件夹读取权限为root权限。
本发明的一种提高弹性云主机远程登录安全性的自动部署方法采取自动部署的策略,每次新建云主机成功都会触发该安全加固方案,并且应用广泛,扩展性强。
附图说明
下面结合附图对本发明作进一步描写和阐述。
图1是本发明首选实施方式的一种提高弹性云主机远程登录安全性的自动部署方法的流程图。
图2是本发明首选实施方式的一种提高弹性云主机远程登录安全性的自动部署方法的系统结构示意图。
具体实施方式
下面将结合附图、通过对本发明的优选实施方式的描述,更加清楚、完整地阐述本发明的技术方案。
如图1所示,本发明首选实施方式的一种提高弹性云主机远程登录安全性的自动部署方法,包括以下步骤:
S1:远程自动部署开始,PC端向系统发起登录请求,系统中的远程访问处理模块检查请求的端口是否开放,进行判断,是则进入下一步,否则丢弃数据包,结束请求;
S2:远程访问处理模块检查PC端的IP是否在白名单中,进行判断,是则进入下一步,否则丢弃数据包,结束请求;
S3:远程访问处理模块告知PC端可用的认证协议仅为密钥;
S4:PC端向远程访问处理模块发送用户名和密钥,远程访问处理模块检查私钥和公钥是否配对,进行判断;
S501:若私钥与公钥配对,PC端与云主机建立安全可靠的连接;
S502:若私钥与公钥不配对,远程访问处理模块告知PC端登录失败,并返回步骤S4。
具体地,系统包括用户处理模块、远程访问处理模块和日志记录模块。
其中,用户处理模块具有如下功能:
只允许指定普通用户(非root用户)远程登录云主机;
清除无用的默认系统账户或组;
锁定关键系统文件,使其不能删除修改重命名;
关闭不需要的系统服务,并精简开机自启动服务。
远程访问处理模块具有如下功能:
修改ssh协议的配置,包括修改默认ssh端口号,启用秘钥登录方式,禁止root用户登录,禁止密码方式登录,开启闲置超时;
开启firewalld防火墙,包括仅开放新的ssh端口,配置远程登录IP白名单,丢弃Icmp包(禁ping);
监控root用户登录,通过邮件的方式通知管理员。
日志记录模块具有如下功能:
用户在登录云主机后,执行的所有命令,都会被记录在指定的文件夹中,且该文件夹只有root有读取权限。
该方法具有以下优点:
应用广泛:本发明使用的脚本是用shell语言编写的,任何l inux为内核的操作系统,如Centos,Ubuntu,Redhat,Debian,openSUSE等都可以运行;修改方便。用户想要修改脚本的内容,不需要安装任何编辑器,用电脑自带的文本文档就可以打开编辑;自动部署:管理员新建云主机成功后会自动远程到目标云主机进行安全加固。
上述具体实施方式仅仅对本发明的优选实施方式进行描述,而并非对本发明的保护范围进行限定。在不脱离本发明设计构思和精神范畴的前提下,本领域的普通技术人员根据本发明所提供的文字描述、附图对本发明的技术方案所作出的各种变形、替代和改进,均应属于本发明的保护范畴。本发明的保护范围由权利要求确定。
Claims (6)
1.一种提高弹性云主机远程登录安全性的自动部署方法,其特征在于,包括以下步骤:
S1:远程自动部署开始,PC端向系统发起登录请求,系统中的远程访问处理模块检查请求的端口是否开放,进行判断,是则进入下一步,否则丢弃数据包,结束请求;
S2:远程访问处理模块检查PC端的IP是否在白名单中,进行判断,是则进入下一步,否则丢弃数据包,结束请求;
S3:远程访问处理模块告知PC端可用的认证协议仅为密钥;
S4:PC端向远程访问处理模块发送用户名和密钥,远程访问处理模块检查私钥和公钥是否配对,进行判断;
S501:若私钥与公钥配对,PC端与云主机建立安全可靠的连接;
S502:若私钥与公钥不配对,远程访问处理模块告知PC端登录失败,并返回步骤S4。
2.如权利要求1所述的一种提高弹性云主机远程登录安全性的自动部署方法,其特征在于,所述远程访问处理模块修改ssh协议的配制,包括修改默认ssh端口号,启用密钥登录方式,禁止root用户登录,禁止密码方式登录,开启闲置超时。
3.如权利要求1所述的一种提高弹性云主机远程登录安全性的自动部署方法,其特征在于,所述远程访问处理模块开启firewalld防火墙,包括仅开放新的ssh端口,配置远程登录IP白名单,丢弃Icmp包,禁止ping。
4.如权利要求1所述的一种提高弹性云主机远程登录安全性的自动部署方法,其特征在于,所述远程访问处理模块监控root用户登录,并通过邮件的方式通知管理员。
5.如权利要求1所述的一种提高弹性云主机远程登录安全性的自动部署方法,其特征在于,在远程部署开始前,首先清除无用的默认系统账户或组,锁定关键系统文件,使其不能删除修改重命名,关闭不需要的系统服务,精简开机自动服务,仅允许非root用户远程登录云主机。
6.如权利要求1所述的一种提高弹性云主机远程登录安全性的自动部署方法,其特征在于,PC端与云主机建立安全可靠的连接后,用户在登录云主机后,执行的所有命令记录在log文件夹中,log文件夹读取权限为root权限。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911235325.7A CN111049817A (zh) | 2019-12-05 | 2019-12-05 | 一种提高弹性云主机远程登录安全性的自动部署方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911235325.7A CN111049817A (zh) | 2019-12-05 | 2019-12-05 | 一种提高弹性云主机远程登录安全性的自动部署方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111049817A true CN111049817A (zh) | 2020-04-21 |
Family
ID=70234694
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911235325.7A Pending CN111049817A (zh) | 2019-12-05 | 2019-12-05 | 一种提高弹性云主机远程登录安全性的自动部署方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111049817A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111859376A (zh) * | 2020-07-21 | 2020-10-30 | 广州锦行网络科技有限公司 | 一种基于windows登陆信息发现内网攻击者的方法 |
CN111931162A (zh) * | 2020-07-31 | 2020-11-13 | 南方科技大学 | 超级计算机系统登陆方法、装置、系统及存储介质 |
CN112272089A (zh) * | 2020-10-26 | 2021-01-26 | 中国联合网络通信集团有限公司 | 云主机登录方法、装置、设备及计算机可读存储介质 |
CN114124496A (zh) * | 2021-11-12 | 2022-03-01 | 福州汇思博信息技术有限公司 | 一种基于服务器下发密钥的ssh远程登录方法及服务器 |
CN114338072A (zh) * | 2021-11-08 | 2022-04-12 | 国网浙江省电力有限公司宁波供电公司 | 一种配电自动化终端Root账户远程登录权限检测方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107231346A (zh) * | 2017-05-03 | 2017-10-03 | 北京海顿中科技术有限公司 | 一种云平台身份识别的方法 |
-
2019
- 2019-12-05 CN CN201911235325.7A patent/CN111049817A/zh active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107231346A (zh) * | 2017-05-03 | 2017-10-03 | 北京海顿中科技术有限公司 | 一种云平台身份识别的方法 |
Non-Patent Citations (1)
Title |
---|
一只废饺: "Linux实验 ssh配置详解", 《博客园》 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111859376A (zh) * | 2020-07-21 | 2020-10-30 | 广州锦行网络科技有限公司 | 一种基于windows登陆信息发现内网攻击者的方法 |
CN111931162A (zh) * | 2020-07-31 | 2020-11-13 | 南方科技大学 | 超级计算机系统登陆方法、装置、系统及存储介质 |
CN112272089A (zh) * | 2020-10-26 | 2021-01-26 | 中国联合网络通信集团有限公司 | 云主机登录方法、装置、设备及计算机可读存储介质 |
CN114338072A (zh) * | 2021-11-08 | 2022-04-12 | 国网浙江省电力有限公司宁波供电公司 | 一种配电自动化终端Root账户远程登录权限检测方法 |
CN114338072B (zh) * | 2021-11-08 | 2023-09-22 | 国网浙江省电力有限公司宁波供电公司 | 一种配电自动化终端Root账户远程登录权限检测方法 |
CN114124496A (zh) * | 2021-11-12 | 2022-03-01 | 福州汇思博信息技术有限公司 | 一种基于服务器下发密钥的ssh远程登录方法及服务器 |
CN114124496B (zh) * | 2021-11-12 | 2023-11-24 | 福建汇思博数字科技有限公司 | 一种基于服务器下发密钥的ssh远程登录方法及服务器 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111049817A (zh) | 一种提高弹性云主机远程登录安全性的自动部署方法 | |
US11652829B2 (en) | System and method for providing data and device security between external and host devices | |
US11757941B2 (en) | System and method for providing network and computer firewall protection with dynamic address isolation to a device | |
US11036836B2 (en) | Systems and methods for providing real time security and access monitoring of a removable media device | |
US11449613B2 (en) | Systems and methods for providing security services during power management mode | |
US20180034829A1 (en) | Content filtering of remote file-system access protocols | |
US20090158302A1 (en) | Api translation for network access control (nac) agent | |
US20060203815A1 (en) | Compliance verification and OSI layer 2 connection of device using said compliance verification | |
AU2008325044A1 (en) | System and method for providing data and device security between external and host devices | |
CN111131310A (zh) | 访问控制方法、装置、系统、计算机设备和存储介质 | |
US8813197B2 (en) | Techniques for network process identity enablement | |
Haeni | Firewall penetration testing | |
Barrett et al. | Linux security cookbook | |
CN113194088B (zh) | 访问拦截方法、装置、日志服务器和计算机可读存储介质 | |
JP2006099590A (ja) | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム | |
Berger-Sabbatel et al. | Classification of malware network activity | |
KR102024148B1 (ko) | 파일 전송 시의 파일 데이터를 모니터링 하는 접근통제 시스템 | |
US20080104239A1 (en) | Method and system of managing accounts by a network server | |
KR102269885B1 (ko) | 사용자별 맞춤형 서버 작업 환경의 생성 기능을 구비한 접근통제 시스템 | |
CN115811417A (zh) | 一种基于vpn的远程安全访问方法与系统 | |
CA2500511A1 (en) | Compliance verification and osi layer 2 connection of device using said compliance verification |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200421 |
|
RJ01 | Rejection of invention patent application after publication |