二 遠(yuǎn)程管理Linux服務(wù)器

遠(yuǎn)程管理Linux

——TELNET、SSH1實(shí)訓(xùn)任務(wù)（一）配置telnet服務(wù)器實(shí)現(xiàn)功能：1、實(shí)現(xiàn)本地用戶登陸2、允許root用戶直接登陸系統(tǒng)。（二）配置openssh服務(wù)器實(shí)現(xiàn)功能：1、實(shí)現(xiàn)本地用戶登陸2、使用rsa認(rèn)證。3、禁止root用戶直接登陸系統(tǒng)。4、更改ssh監(jiān)聽(tīng)端口為222

2TELNET簡(jiǎn)介T(mén)elnet協(xié)議是TCP/IP協(xié)議族中的一員，是Internet遠(yuǎn)程登陸服務(wù)的標(biāo)準(zhǔn)協(xié)議。應(yīng)用Telnet協(xié)議能夠把本地用戶所使用的計(jì)算機(jī)變成遠(yuǎn)程主機(jī)系統(tǒng)的一個(gè)終端。3TELNET的簡(jiǎn)介T(mén)elnet遠(yuǎn)程登錄過(guò)程

1）本地與遠(yuǎn)程主機(jī)建立連接。該過(guò)程實(shí)際上是建立一個(gè)TCP連接，用戶必須知道遠(yuǎn)程主機(jī)的Ip地址或域名；

2）將本地終端上輸入的用戶名和口令及以后輸入的任何命令或字符以NVT（NetVirtualTerminal）格式傳送到遠(yuǎn)程主機(jī)。該過(guò)程實(shí)際上是從本地主機(jī)向遠(yuǎn)程主機(jī)發(fā)送一個(gè)IP數(shù)據(jù)報(bào)；

3）將遠(yuǎn)程主機(jī)輸出的NVT格式的數(shù)據(jù)轉(zhuǎn)化為本地所接受的格式送回本地終端，包括輸入命令回顯和命令執(zhí)行結(jié)果；

4）最后，本地終端對(duì)遠(yuǎn)程主機(jī)進(jìn)行撤消連接。該過(guò)程是撤銷一個(gè)TCP連接。4TELNET的安裝TELNET的安裝（REDHATAS4.4）#rpm-ivhtelnet-0.17-31.i386.rpm#rpm-ivhtelnet-server-0.17-31.i386.rpmTELNET安裝信息#rpm-qiptelnet-0.17-31.i386.rpm#rpm-qiptelnet-server-0.17-31.i386.rpm（REDHATEL5.6）telnet-server-0.17-39.el5.i3865TELNET的配置TELNET的重要文件/etc/xinetd.d/telnetTELNET服務(wù)配置文件/usr/sbin/in.telnetdTELNET服務(wù)守候程序/usr/bin/telnetTELNET終端工具6TELNET的配置編輯/etc/xinetd.d/telnet#default:on#description:Thetelnetserverservestelnetsessions;ituses#unencryptedusername/passwordpairsforauthentication.servicetelnet{disable=yes；如果需要啟動(dòng)telnet服務(wù)需要把yes改為noflags=REUSEsocket_type=streamwait=nouser=rootserver=/usr/sbin/in.telnetdlog_on_failure+=USERID}7TELNET的啟動(dòng)啟動(dòng)telnet服務(wù)#servicexinetdstart查看服務(wù)是否啟動(dòng)#netstat-an|grepLISTEN|grep:23tcp00:23:*LISTEN（Telnet服務(wù)監(jiān)聽(tīng)tcp23號(hào)端口）8TELNET的使用使用telnet服務(wù)登陸#telnet02Trying02...Connectedto02(02).Escapecharacteris'^]'.RedHatEnterpriseLinuxASrelease3(TaroonUpdate2)Kernel2.4.21-15.ELonani686login:adminPassword:$9TELNET的使用允許root直接登錄默認(rèn)情況下系統(tǒng)不允許root直接登陸，如果要允許root直接登錄，編輯/etc/securetty，增添如下行到文件尾部，多加幾個(gè)。pts/0pts/1pts/2…10TELNET的缺點(diǎn)明文傳輸，容易捕獲漏洞較多，易導(dǎo)致緩存溢出效率不高11OPENSSH的簡(jiǎn)介OPENSSH的簡(jiǎn)介OpenSSH是SSH（SecureSHell）協(xié)議的免費(fèi)開(kāi)源實(shí)現(xiàn)。它用安全、加密的網(wǎng)絡(luò)連接工具代替了telnet、、rsh和rcp工具。該協(xié)議默認(rèn)使用RSA鑰匙OpenSSH支持SSH協(xié)議的版本是3.912OPENSSH的簡(jiǎn)介OPENSSH優(yōu)點(diǎn)加密方式傳輸傳輸數(shù)據(jù)經(jīng)過(guò)壓縮,可加快傳輸速可實(shí)現(xiàn)遠(yuǎn)程控制、數(shù)據(jù)傳輸（拷貝及FTP方式）13OPENSSH的安裝安裝OPENSSH（redhatas4.4）#rpm–ivhopenssh*[root@localhost~]#rpm-qa|grepopensshopenssh-clients-3.9p1-8.RHEL4.15openssh-askpass-gnome-3.9p1-8.RHEL4.15openssh-server-3.9p1-8.RHEL4.15openssh-askpass-3.9p1-8.RHEL4.15openssh-3.9p1-8.RHEL4.15redhatel5.6系統(tǒng)默認(rèn)已經(jīng)自帶14OPENSSH配置OPENSSH主要配置文件和程序/etc/pam.d/sshdpam認(rèn)證配置文件/etc/rc.d/init.d/sshd啟動(dòng)腳本/etc/ssh/sshd_config主配置文件/usr/sbin/sshd服務(wù)守候程序/usr/bin/sftp安全ftp工具/usr/bin/scp安全拷貝工具/usr/bin/ssh安全登陸工具15OPENSSH配置配置文件/etc/ssh/sshd_config#moresshd_config#Port22#Protocol2,1#ListenAddress#ListenAddress::…#Logging#SyslogFacilityAUTHSyslogFacilityAUTHPRIV#LogLevelINFO…#Authentication:#LoginGraceTime120#PermitRootLoginyes#StrictModesyes#RSAAuthenticationyes#PubkeyAuthenticationyes#AuthorizedKeysFile.ssh/authorized_keys…16OPENSSH配置一些OPENSSH的缺省配置監(jiān)聽(tīng)所有網(wǎng)絡(luò)接口；使用TCP22號(hào)端口；#Port22#ListenAddress記錄有關(guān)認(rèn)證信息#SyslogFacilityAUTHSyslogFacilityAUTHPRIV#LogLevelINFO允許root直接登陸#PermitRootLoginyes17OPENSSH配置RSA和DSA認(rèn)證協(xié)議

RSA和DSA認(rèn)證協(xié)議的基礎(chǔ)是一對(duì)專門(mén)生成的密鑰，分別叫做專用密鑰和公用密鑰。在許多情況下，有可能不必手工輸入密碼就能建立起安全的連接。SSH協(xié)議第一版支持基于RSA的認(rèn)證。SSH協(xié)議第二版支持使用RAS或DSA算法。18OPENSSH配置RSA認(rèn)證協(xié)議，RSA密鑰對(duì)的生成#ssh-keygen-trsaGeneratingpublic/privatersakeypair.Enterwhichtosavethekey(/root/.ssh/id_rsa):Enterpassphrase(emptyfornopassphrase):Entersamepassphraseagain:Youridentificationhasbeensavedin/root/.ssh/id_rsa.Yourpublickeyhasbeensavedin/root/.ssh/id_rsa.pub.Thekeyfingerprintis:64:c8:a8:fc:a8:ca:60:a3:cf:90:7a:61:9b:2e:f0:e7root@gdlc-gongguan#19OPENSSH配置RSA認(rèn)證協(xié)議，RSA密鑰的安裝私鑰的安裝私鑰存放在用戶根目錄下的$HOME/.ssh/id_rsa中。公鑰的安裝公鑰存放在$HOME/.ssh/id_rsa.pub中.用戶應(yīng)該把id_rsa.pub復(fù)制到遠(yuǎn)程服務(wù)器中,改名$HOME/.ssh/authorized_keys存放到用戶根目錄下。例如：

$scp~/.ssh/id_rsa.pub

user@remote:

$catid_rsa.pub>>~/.ssh/authorized_keys20OPENSSH配置DSA認(rèn)證協(xié)議，DSA密鑰對(duì)的生成#ssh-keygen-tdsaGeneratingpublic/privatedsakeypair.Enterwhichtosavethekey(/root/.ssh/id_dsa):Enterpassphrase(emptyfornopassphrase):Entersamepassphraseagain:Youridentificationhasbeensavedin/root/.ssh/id_dsa.Yourpublickeyhasbeensavedin/root/.ssh/id_dsa.pub.Thekeyfingerprintis:1b:31:87:ee:a8:ba:67:0c:04:24:02:bb:1a:0f:00:8droot@gdlc-gongguan#21OPENSSH配置DSA密鑰對(duì)的安裝私鑰的安裝私鑰存放在用戶根目錄下的$HOME/.ssh/id_dsa中。公鑰的安裝DSA公用密鑰的安裝幾乎和RSA安裝完全一樣。公鑰存放在$HOME/.ssh/id_dsa.pub中.用戶應(yīng)該把id_dsa.pub復(fù)制到遠(yuǎn)程服務(wù)器中,改名$HOME/.ssh/authorized_keys存放到用戶根目錄下。例如：

$scp~/.ssh/id_dsa.pub

user@remote:$catid_dsa.pub>>~/.ssh/authorized_keys22OPENSSH使用Openssh的使用$sshEnterpassphraseforkey'/home/admin/.ssh/id_dsa':輸入你的DSA認(rèn)證密碼$登陸成功$sshEnterpassphraseforkey'/home/admin/.ssh/id_rsa':$輸入你的RSA認(rèn)證密碼$登陸成功23OPENSSH使用Openssh的使用#sshTheauthenticityofhost'02(02)'can'tbeestablished.RSAkeyfingerprintis00:eb:d3:41:f0:92:14:8b:30:20:2a:5d:32:71:c8:32.Areyousureyouwanttocontinueconnecting(yes/no)?yesWarning:Permanentlyadded'02'(RSA)tothelistofknownhosts.'s