Linux教程課件：網(wǎng)絡(luò)文件共享-ssh

網(wǎng)絡(luò)文件系統(tǒng)-SSH本章目標(biāo)1.tcpwrappers的配置2.tcpwrappers的測試3.ssh的配置方法4.scp的使用5.sftp的使用6.rsync的使用TCPWrappers的基本概念TCPWrappers的功能tcpd程序可以將其他的網(wǎng)絡(luò)服務(wù)程序“包裹”起來，從而進(jìn)行集中的訪問控制設(shè)置系統(tǒng)中缺省安裝了TCPWrappers#rpm-qtcp_wrapperstcp_wrappers-7.6-37.2

TCPWrappers的設(shè)置文件TCPWrappers使用兩個設(shè)置文件“hosts.allow”和“hosts.deny”兩個文件的用于保存TCPWrappers基于主機地址的訪問控制策略#ls/etc/hosts.*/etc/hosts.allow/etc/hosts.deny“hosts.allow”文件用于保存允許訪問的策略“hosts.deny”文件用于保存拒絕訪問的策略“hosts.allow”和“hosts.deny”文件中保存的設(shè)置是即時生效的TCPWrappers設(shè)置文件的格式設(shè)置文件的格式“hosts.allow”和“hosts.deny”文件中具有相同格式的配置記錄<服務(wù)程序列表>：<客戶機地址列表>[：動作]文件中每行為一個設(shè)置記錄服務(wù)程序列表1.ALL代表所有的服務(wù)程序2.單個服務(wù)的名稱，例如in.telnetd代表telnet服務(wù)器程序，vsftpd代表vsftpd服務(wù)器程序3.多個服務(wù)程序名稱可以組成列表，中間用逗號分隔，例如“in.telnetd,vsftpd”客戶機地址列表1.ALL代表所有的客戶機地址2.LOCAL代表本機地址3.KNOW代表可解析的域名4.UNKNOW代表不可解析的域名5.以句點“.”開始的域名代表該域下的所有主機，例如“.”代表“”域中的所有主機6.對某個子網(wǎng)中的所有主機使用“子網(wǎng)/掩碼”的形式表示7.對于網(wǎng)絡(luò)中的某個主機可直接使用IP地址表示“動作”字段使用“allow”表示允許，使用“deny”表示拒絕telnet服務(wù)器安裝和配置telnet服務(wù)器的安裝RHEL4系統(tǒng)中默認(rèn)不安裝telnet服務(wù)器telnet-server軟件包在第4張安裝光盤，需要手工進(jìn)行安裝rpm-ivh/media/cdrom/RedHat/RPMS/telnet-server-0.17-30.i386.rpm

telnet服務(wù)由xinetd調(diào)度啟動telnet在xinetd服務(wù)中的啟動配置文件/etc/xinetd.d/telnet

telnet服務(wù)默認(rèn)不啟動，需手工設(shè)置#chkconfigtelneton#servicexinetdrestarttelnet的使用和安全性使用telnet命令登錄telnet服務(wù)器telnet命令是telnet服務(wù)的客戶端程序#telnet

用戶telnet登錄的過程中會提示輸入用戶名和用戶口令telnet服務(wù)的安全性telnet服務(wù)使用明文傳輸所有的內(nèi)容，因此存在安全隱患應(yīng)盡量使用SSH服務(wù)替代telnet服務(wù)TCPWrappers配置實例TCPWrappers策略配置hosts.deny文件in.telnetd,vsftpd:ALL

hosts.allow文件in.telnetd:22vsftpd:??采取先“全部禁止”再“逐個開放”的策略設(shè)置方法，可以較好的實現(xiàn)“只允許……”的訪問策略SSH的原理SSH，實現(xiàn)了與Telnet服務(wù)類似的遠(yuǎn)程登錄功能SSH協(xié)議在網(wǎng)絡(luò)中使用密文傳輸數(shù)據(jù)SSH服務(wù)器中還支持使用scp和sftp等客戶端程序進(jìn)行遠(yuǎn)程主機的文件復(fù)制SSH讓rsync遠(yuǎn)程復(fù)制和備份更安全SSH的認(rèn)證方式SSH協(xié)議提供兩種用戶認(rèn)證方式基于口令的安全認(rèn)證與telnet類似，提供正確的用戶口令后可以登錄遠(yuǎn)程服務(wù)器基于密鑰的安全認(rèn)證使用公鑰和私鑰對的方式對用戶進(jìn)行認(rèn)證SSH密鑰認(rèn)證的原理SSH服務(wù)中使用密鑰進(jìn)行用戶認(rèn)證每個用戶都需要生成自己的公鑰和私鑰對文件用戶的公鑰文件需要保存在SSH服務(wù)器主機中用戶私鑰文件保存在SSH客戶端主機中OpenSSH的軟件安裝系統(tǒng)中OpenSSH服務(wù)器和客戶端軟件是默認(rèn)安裝的openssh軟件包是實現(xiàn)ssh功能的公共軟件包openssh-server軟件包實現(xiàn)了SSH服務(wù)器的功能openssh-clients軟件包中包含了SSH服務(wù)的客戶端程序OpenSSH服務(wù)的啟動與停止OpenSSH的服務(wù)程序名稱是sshdsshd服務(wù)程序的啟動腳本/etc/init.d/sshdsshd服務(wù)程序缺省狀態(tài)為自動啟動sshd服務(wù)的啟動與停止啟動服務(wù)程序servicesshdstart停止服務(wù)程序servicesshdstopOpenSSH服務(wù)的配置文件配置目錄OpenSSH服務(wù)器和客戶機的所有配置文件都保存在同一目錄中/etc/ssh/服務(wù)器配置文件SSH服務(wù)器的配置文件是sshd_config/etc/ssh/sshd_config客戶機配置文件SSH客戶程序的配置文件是ssh_config/etc/ssh/ssh_configOpenSSH的典型用戶登錄使用ssh命令登錄SSH服務(wù)器#sshroot@

首次登錄SSH服務(wù)器為了建立加密的SSH連接需要用戶在客戶端確認(rèn)服務(wù)器發(fā)來的RSA密鑰（輸入yes）用戶認(rèn)證每次登錄SSH服務(wù)器都需要輸入正確的用戶口令SSH登錄使用的是SSH服務(wù)器主機中的用戶帳號SSH的用戶目錄“.ssh”目錄在SSH客戶主機的用戶宿主目錄中，使用名為“.ssh”的目錄保存用戶的SSH客戶端信息~/.ssh/“.ssh”目錄在用戶首次進(jìn)行SSH登錄后自動建立“known_hosts”文件“known_hosts”文件位于“.ssh”目錄中“known_hosts”文件用于保存當(dāng)前用戶所有登錄過的SSH服務(wù)器的RSA密鑰基于密鑰的SSH認(rèn)證過程設(shè)置密鑰認(rèn)證的一般步驟1.在SSH客戶端生成用戶的公鑰和私鑰對文件2.將SSH客戶的公鑰添加到SSH服務(wù)器中用戶的認(rèn)證文件中3.驗證密鑰的認(rèn)證SSH密鑰的生成在SSH客戶端生成用戶的公鑰和私鑰對使用ssh-keygen命令生成密鑰對$ssh-keygen-trsa

公鑰和私鑰文件ssh-keygen命令將在“.ssh”目錄中生成公鑰和私鑰文件id_rsa是私鑰文件，內(nèi)容需要嚴(yán)格保密id_rsa.pub是公鑰文件，可發(fā)布到SSH服務(wù)器中把公鑰傳遞到服務(wù)器復(fù)制公鑰文件將客戶端中的用戶公鑰文件復(fù)制到SSH服務(wù)器中公鑰文件的復(fù)制可使用軟盤、U盤或網(wǎng)絡(luò)ssh-copy-id-iid_rsa.pub最后在服務(wù)器的.ssh下把id_rsa.pub改名為authorized_keys

SSH密鑰認(rèn)證過程基于密鑰的用戶認(rèn)證過程用戶使用ssh命令登錄SSH服務(wù)器時，將使用客戶機中的私鑰與服務(wù)器中的公鑰進(jìn)行認(rèn)證，認(rèn)證成功后將允許用戶登錄密鑰的認(rèn)證過程是ssh命令與SSH服務(wù)器自動完成的用戶登錄過程中將不再提示輸入用戶口令禁止root用戶的SSH登錄為了提高Linux服務(wù)器的安全性，可以禁止root用戶進(jìn)行SSH登錄設(shè)置sshd_config文件#vi/etc/ssh/sshd_config

PermitRootLoginno

重新啟動sshd服務(wù)程序#servicesshdrestart再次登錄SSH服務(wù)器時將不能使用root帳號進(jìn)行登錄ssh命令的基本使用ssh命令的兩種格式格式1：sshusername@sshserver格式2：ssh-lusernamesshserver不指定用戶名的ssh命令ssh命令中如果不指定用戶名，將使用SSH客戶機中當(dāng)前用戶的名字登錄SSH服務(wù)器#ssh通過SSH打開服務(wù)器的X圖形程序運行服務(wù)器中的圖形程序是SSH的重要應(yīng)用ssh命令需要在圖形界面虛擬終端下運行命令格式：ssh-Xusername@sshserver

xlock是運行在SSH服務(wù)器中，而顯示在SSH客戶機中的窗口程序sftp的使用sftp命令的使用sftp登錄命令的格式與ssh命令類似：sftpusername@sshserversftp命令實現(xiàn)了類似ftp命令的功能和命令交互界面scp命令的使用scp命令可以實現(xiàn)SSH服務(wù)器與客戶機之間的文件復(fù)制scp命令的格式類似于cp命令SSH服務(wù)器可以作為scp命令中的源文件或目標(biāo)文件命令實例將SSH服務(wù)器中的文件復(fù)制到客戶機#scproot@:/etc/passwd.

將客戶機中的文件復(fù)制到SSH服務(wù)器#scptestmike@:~rsync命令的使用1.rsync-essh-arv/mntroot@:/mnt-v,--verbose詳細(xì)模式輸出

-q,--quiet精簡輸出模式

-c,--checksum強制對文件傳輸進(jìn)行校驗

-a,--archive歸檔模式，并保持所有文件屬性

-r,--recursive對子目錄以遞歸模式處理2.用rsync進(jìn)行遠(yuǎn)程備份時，最好使用公鑰認(rèn)證的ssh方式和crontab來一起完成Windows下使用SSH客戶端軟件PuTTYPuTTY是Windows環(huán)境中可以免費使用的ssh客戶端軟件WinSCPWinSCP是知名的開源軟件項