二 遠程管理Linux服務器

遠程管理Linux

——TELNET、SSH1實訓任務（一）配置telnet服務器實現(xiàn)功能：1、實現(xiàn)本地用戶登陸2、允許root用戶直接登陸系統(tǒng)。（二）配置openssh服務器實現(xiàn)功能：1、實現(xiàn)本地用戶登陸2、使用rsa認證。3、禁止root用戶直接登陸系統(tǒng)。4、更改ssh監(jiān)聽端口為222

2TELNET簡介Telnet協(xié)議是TCP/IP協(xié)議族中的一員，是Internet遠程登陸服務的標準協(xié)議。應用Telnet協(xié)議能夠把本地用戶所使用的計算機變成遠程主機系統(tǒng)的一個終端。3TELNET的簡介Telnet遠程登錄過程

1）本地與遠程主機建立連接。該過程實際上是建立一個TCP連接，用戶必須知道遠程主機的Ip地址或域名；

2）將本地終端上輸入的用戶名和口令及以后輸入的任何命令或字符以NVT（NetVirtualTerminal）格式傳送到遠程主機。該過程實際上是從本地主機向遠程主機發(fā)送一個IP數(shù)據(jù)報；

3）將遠程主機輸出的NVT格式的數(shù)據(jù)轉化為本地所接受的格式送回本地終端，包括輸入命令回顯和命令執(zhí)行結果；

4）最后，本地終端對遠程主機進行撤消連接。該過程是撤銷一個TCP連接。4TELNET的安裝TELNET的安裝（REDHATAS4.4）#rpm-ivhtelnet-0.17-31.i386.rpm#rpm-ivhtelnet-server-0.17-31.i386.rpmTELNET安裝信息#rpm-qiptelnet-0.17-31.i386.rpm#rpm-qiptelnet-server-0.17-31.i386.rpm（REDHATEL5.6）telnet-server-0.17-39.el5.i3865TELNET的配置TELNET的重要文件/etc/xinetd.d/telnetTELNET服務配置文件/usr/sbin/in.telnetdTELNET服務守候程序/usr/bin/telnetTELNET終端工具6TELNET的配置編輯/etc/xinetd.d/telnet#default:on#description:Thetelnetserverservestelnetsessions;ituses#unencryptedusername/passwordpairsforauthentication.servicetelnet{disable=yes；如果需要啟動telnet服務需要把yes改為noflags=REUSEsocket_type=streamwait=nouser=rootserver=/usr/sbin/in.telnetdlog_on_failure+=USERID}7TELNET的啟動啟動telnet服務#servicexinetdstart查看服務是否啟動#netstat-an|grepLISTEN|grep:23tcp00:23:*LISTEN（Telnet服務監(jiān)聽tcp23號端口）8TELNET的使用使用telnet服務登陸#telnet02Trying02...Connectedto02(02).Escapecharacteris'^]'.RedHatEnterpriseLinuxASrelease3(TaroonUpdate2)Kernel2.4.21-15.ELonani686login:adminPassword:$9TELNET的使用允許root直接登錄默認情況下系統(tǒng)不允許root直接登陸，如果要允許root直接登錄，編輯/etc/securetty，增添如下行到文件尾部，多加幾個。pts/0pts/1pts/2…10TELNET的缺點明文傳輸，容易捕獲漏洞較多，易導致緩存溢出效率不高11OPENSSH的簡介OPENSSH的簡介OpenSSH是SSH（SecureSHell）協(xié)議的免費開源實現(xiàn)。它用安全、加密的網(wǎng)絡連接工具代替了telnet、、rsh和rcp工具。該協(xié)議默認使用RSA鑰匙OpenSSH支持SSH協(xié)議的版本是3.912OPENSSH的簡介OPENSSH優(yōu)點加密方式傳輸傳輸數(shù)據(jù)經(jīng)過壓縮,可加快傳輸速可實現(xiàn)遠程控制、數(shù)據(jù)傳輸（拷貝及FTP方式）13OPENSSH的安裝安裝OPENSSH（redhatas4.4）#rpm–ivhopenssh*[root@localhost~]#rpm-qa|grepopensshopenssh-clients-3.9p1-8.RHEL4.15openssh-askpass-gnome-3.9p1-8.RHEL4.15openssh-server-3.9p1-8.RHEL4.15openssh-askpass-3.9p1-8.RHEL4.15openssh-3.9p1-8.RHEL4.15redhatel5.6系統(tǒng)默認已經(jīng)自帶14OPENSSH配置OPENSSH主要配置文件和程序/etc/pam.d/sshdpam認證配置文件/etc/rc.d/init.d/sshd啟動腳本/etc/ssh/sshd_config主配置文件/usr/sbin/sshd服務守候程序/usr/bin/sftp安全ftp工具/usr/bin/scp安全拷貝工具/usr/bin/ssh安全登陸工具15OPENSSH配置配置文件/etc/ssh/sshd_config#moresshd_config#Port22#Protocol2,1#ListenAddress#ListenAddress::…#Logging#SyslogFacilityAUTHSyslogFacilityAUTHPRIV#LogLevelINFO…#Authentication:#LoginGraceTime120#PermitRootLoginyes#StrictModesyes#RSAAuthenticationyes#PubkeyAuthenticationyes#AuthorizedKeysFile.ssh/authorized_keys…16OPENSSH配置一些OPENSSH的缺省配置監(jiān)聽所有網(wǎng)絡接口；使用TCP22號端口；#Port22#ListenAddress記錄有關認證信息#SyslogFacilityAUTHSyslogFacilityAUTHPRIV#LogLevelINFO允許root直接登陸#PermitRootLoginyes17OPENSSH配置RSA和DSA認證協(xié)議

RSA和DSA認證協(xié)議的基礎是一對專門生成的密鑰，分別叫做專用密鑰和公用密鑰。在許多情況下，有可能不必手工輸入密碼就能建立起安全的連接。SSH協(xié)議第一版支持基于RSA的認證。SSH協(xié)議第二版支持使用RAS或DSA算法。18OPENSSH配置RSA認證協(xié)議，RSA密鑰對的生成#ssh-keygen-trsaGeneratingpublic/privatersakeypair.Enterwhichtosavethekey(/root/.ssh/id_rsa):Enterpassphrase(emptyfornopassphrase):Entersamepassphraseagain:Youridentificationhasbeensavedin/root/.ssh/id_rsa.Yourpublickeyhasbeensavedin/root/.ssh/id_rsa.pub.Thekeyfingerprintis:64:c8:a8:fc:a8:ca:60:a3:cf:90:7a:61:9b:2e:f0:e7root@gdlc-gongguan#19OPENSSH配置RSA認證協(xié)議，RSA密鑰的安裝私鑰的安裝私鑰存放在用戶根目錄下的$HOME/.ssh/id_rsa中。公鑰的安裝公鑰存放在$HOME/.ssh/id_rsa.pub中.用戶應該把id_rsa.pub復制到遠程服務器中,改名$HOME/.ssh/authorized_keys存放到用戶根目錄下。例如：

$scp~/.ssh/id_rsa.pub

user@remote:

$catid_rsa.pub>>~/.ssh/authorized_keys20OPENSSH配置DSA認證協(xié)議，DSA密鑰對的生成#ssh-keygen-tdsaGeneratingpublic/privatedsakeypair.Enterwhichtosavethekey(/root/.ssh/id_dsa):Enterpassphrase(emptyfornopassphrase):Entersamepassphraseagain:Youridentificationhasbeensavedin/root/.ssh/id_dsa.Yourpublickeyhasbeensavedin/root/.ssh/id_dsa.pub.Thekeyfingerprintis:1b:31:87:ee:a8:ba:67:0c:04:24:02:bb:1a:0f:00:8droot@gdlc-gongguan#21OPENSSH配置DSA密鑰對的安裝私鑰的安裝私鑰存放在用戶根目錄下的$HOME/.ssh/id_dsa中。公鑰的安裝DSA公用密鑰的安裝幾乎和RSA安裝完全一樣。公鑰存放在$HOME/.ssh/id_dsa.pub中.用戶應該把id_dsa.pub復制到遠程服務器中,改名$HOME/.ssh/authorized_keys存放到用戶根目錄下。例如：

$scp~/.ssh/id_dsa.pub

user@remote:$catid_dsa.pub>>~/.ssh/authorized_keys22OPENSSH使用Openssh的使用$sshEnterpassphraseforkey'/home/admin/.ssh/id_dsa':輸入你的DSA認證密碼$登陸成功$sshEnterpassphraseforkey'/home/admin/.ssh/id_rsa':$輸入你的RSA認證密碼$登陸成功23OPENSSH使用Openssh的使用#sshTheauthenticityofhost'02(02)'can'tbeestablished.RSAkeyfingerprintis00:eb:d3:41:f0:92:14:8b:30:20:2a:5d:32:71:c8:32.Areyousureyouwanttocontinueconnecting(yes/no)?yesWarning:Permanentlyadded'02'(RSA)tothelistofknownhosts.'s