《Linux基礎(chǔ)及應(yīng)用教程》課件第8章 遠(yuǎn)程管理系統(tǒng)

8.1使用Telnet8.1.1Telnet簡(jiǎn)介

Telnet是傳輸控制協(xié)議／因特網(wǎng)協(xié)議（TCP／IP）網(wǎng)絡(luò)（例如Internet）的登錄和仿真程序。Telnet遠(yuǎn)程登錄服務(wù)分為以下4個(gè)過(guò)程：（1）本地與遠(yuǎn)程主機(jī)建立連接。該過(guò)程實(shí)際上是建立一個(gè)TCP連接，用戶必須知道遠(yuǎn)程主機(jī)的IP地址或域名。（2）將本地終端上輸入的用戶名和口令及以后輸入的任何命令或字符以NVT（NetVirtualTerminal）格式傳送到遠(yuǎn)程主機(jī)。該過(guò)程實(shí)際上是從本地主機(jī)向遠(yuǎn)程主機(jī)發(fā)送一個(gè)IP數(shù)據(jù)報(bào)。（3）將遠(yuǎn)程主機(jī)輸出的NVT格式的數(shù)據(jù)轉(zhuǎn)化為本地所接受的格式送回本地終端，包括輸入命令回顯和命令執(zhí)行結(jié)果。（4）本地終端對(duì)遠(yuǎn)程主機(jī)進(jìn)行撤消連接，該過(guò)程是撤銷一個(gè)TCP連接。

8.1.2Telnet協(xié)議1．基本內(nèi)容Telnet協(xié)議是TCP/IP協(xié)議族中的一員，是Internet遠(yuǎn)程登錄服務(wù)的標(biāo)準(zhǔn)協(xié)議。應(yīng)用Telnet協(xié)議能夠把本地用戶所使用的計(jì)算機(jī)變成遠(yuǎn)程主機(jī)系統(tǒng)的一個(gè)終端。它提供了三種基本服務(wù)：（1）Telnet定義一個(gè)網(wǎng)絡(luò)虛擬終端為遠(yuǎn)程系統(tǒng)提供一個(gè)標(biāo)準(zhǔn)接口?？蛻魴C(jī)程序不必詳細(xì)了解遠(yuǎn)程系統(tǒng)，它們只需構(gòu)造使用標(biāo)準(zhǔn)接口的程序。（2）Telnet包括一個(gè)允許客戶機(jī)和服務(wù)器協(xié)商選項(xiàng)的機(jī)制，而且它還提供一組標(biāo)準(zhǔn)選項(xiàng)。（3）Telnet對(duì)稱處理連接的兩端，即Telnet不強(qiáng)迫客戶機(jī)從鍵盤輸入，也不強(qiáng)迫客戶機(jī)在屏幕上顯示輸出。

2．適應(yīng)異構(gòu)為了適應(yīng)異構(gòu)環(huán)境，Telnet協(xié)議定義了數(shù)據(jù)和命令在Internet上的傳輸方式，此定義被稱作網(wǎng)絡(luò)虛擬終端NVT（NetVirtualTerminal）。它的應(yīng)用過(guò)程如下：對(duì)于發(fā)送的數(shù)據(jù)：客戶機(jī)軟件把來(lái)自用戶終端的按鍵和命令序列轉(zhuǎn)換為NVT格式，并發(fā)送到服務(wù)器，服務(wù)器軟件將收到的數(shù)據(jù)和命令，從NVT格式轉(zhuǎn)換為遠(yuǎn)地系統(tǒng)需要的格式。對(duì)于返回的數(shù)據(jù)：遠(yuǎn)地服務(wù)器將數(shù)據(jù)從遠(yuǎn)地機(jī)器的格式轉(zhuǎn)換為NVT格式，而本地客戶機(jī)將將接收到的NVT格式數(shù)據(jù)再轉(zhuǎn)換為本地的格式。

3．傳送遠(yuǎn)程命令

Telnet同樣使用NVT來(lái)定義如何從客戶機(jī)將控制功能傳送到服務(wù)器。ASCII字符集包括95個(gè)可打印字符和33個(gè)控制碼。當(dāng)用戶從本地鍵入普通字符時(shí)，NVT將按照其原始含義傳送；當(dāng)用戶鍵入快捷鍵（組合鍵）時(shí)，NVT將把它轉(zhuǎn)化為特殊的ASCII字符在網(wǎng)絡(luò)上傳送，并在其到達(dá)遠(yuǎn)地機(jī)器后轉(zhuǎn)化為相應(yīng)的控制命令。

4．?dāng)?shù)據(jù)流向數(shù)據(jù)信息被用戶從本地鍵盤鍵入并通過(guò)操作系統(tǒng)傳到客戶機(jī)程序，客戶機(jī)程序?qū)⑵涮幚砗蠓祷夭僮飨到y(tǒng)，并由操作系統(tǒng)經(jīng)過(guò)網(wǎng)絡(luò)傳送到遠(yuǎn)程機(jī)器，遠(yuǎn)程操作系統(tǒng)將所接收數(shù)據(jù)傳給服務(wù)器程序，并經(jīng)服務(wù)器程序再次處理后返回到操作系統(tǒng)上的偽終端入口點(diǎn)，最后，遠(yuǎn)程操作系統(tǒng)將數(shù)據(jù)傳送到用戶正在運(yùn)行的應(yīng)用程序，這便是一次完整的輸入過(guò)程。

5．強(qiáng)制命令

TCP用緊急數(shù)據(jù)機(jī)制實(shí)現(xiàn)外帶數(shù)據(jù)信令，Telnet只要再附加一個(gè)被稱為數(shù)據(jù)標(biāo)記的保留八位組，并通過(guò)讓TCP發(fā)送已設(shè)置緊急數(shù)據(jù)比特的報(bào)文段通知服務(wù)器便可以了，攜帶緊急數(shù)據(jù)的報(bào)文段將繞過(guò)流量控制直接到達(dá)服務(wù)器。

6．選項(xiàng)協(xié)商由于Telnet兩端的機(jī)器和操作系統(tǒng)的異構(gòu)性，使得Telnet不可能也不應(yīng)該嚴(yán)格規(guī)定每一個(gè)telnet連接的詳細(xì)配置，否則將大大影響Telnet的適應(yīng)異構(gòu)性。因此，Telnet采用選項(xiàng)協(xié)商機(jī)制來(lái)解決這一問(wèn)題。

Telnet選項(xiàng)的協(xié)商方式對(duì)于每個(gè)選項(xiàng)的處理都是對(duì)稱的，即任何一端都可以發(fā)出協(xié)商申請(qǐng)；任何一端都可以接受或拒絕這個(gè)申請(qǐng)。另外，如果一端試圖協(xié)商另一端不了解的選項(xiàng)，接受請(qǐng)求的一端可簡(jiǎn)單的拒絕協(xié)商。

8.1.3Telnet的配置1．安裝telnet軟件包（1）telnet-client（或telnet），這個(gè)軟件包提供的是telnet客戶端程序；（2）telnet-server軟件包，這個(gè)才是真正的telnetserver軟件包。

2．啟動(dòng)telnet服務(wù)編輯/etc/xinetd.d/telnet：[root@localhostroot]#vi/etc/xinetd.d/telnettelnet服務(wù)預(yù)設(shè)是關(guān)閉的，找到disable=yes，將yes改成no，即將telnet服務(wù)預(yù)設(shè)為啟動(dòng)。

3．測(cè)試telnet服務(wù)[root@qiaoyuroot]#telnetip（或者h(yuǎn)ostname）如果配置正確，系統(tǒng)提示輸入遠(yuǎn)程機(jī)器的用戶名和密碼

4．設(shè)置telnet端口[root@localhostroot]#vi/etc/services進(jìn)入編輯模式后查找telnet（在vi的命令行模式輸入“?telnet”），會(huì)找到如下內(nèi)容：telnet23/tcptelnet23/udp將23修改成未使用的端口號(hào)（如：3400），退出vi，重啟telnet服務(wù)，telnet默認(rèn)端口號(hào)就被修改了。

5．telnet服務(wù)限制[root@localhostroot]#vi/etc/xinetd.d/telnet#根據(jù)對(duì)內(nèi)的較為松散的限制來(lái)設(shè)定：servicetelnet{#預(yù)設(shè)就是激活telnet服務(wù)disable=no

#只允許經(jīng)由這個(gè)適配卡的封包進(jìn)來(lái)bind=2

#只允許/24這個(gè)網(wǎng)段的主機(jī)聯(lián)機(jī)進(jìn)來(lái)使用telnet的服務(wù)only_from=/24

}

6．telnetroot用戶登錄[root@localhostroot]#vi/etc/pam.d/login將authrequiredpam_securetty.so這一行加上注釋為：#authrequiredpam_securetty.so或者執(zhí)行：[root@localhostroot]#mv/etc/securetty/etc/securetty.bak重啟telnet服務(wù)：[root@localhostroot]#servicexinetdrestart這樣一來(lái)，root將可以直接登錄到Linux主機(jī)。

8.2安全的SSH8.2.1SSH簡(jiǎn)介

SSH是英文SecureShell的簡(jiǎn)寫形式。通過(guò)使用SSH，所要傳輸?shù)臄?shù)據(jù)可以進(jìn)行加密，這樣“中間人”這種攻擊方式就不可能實(shí)現(xiàn)了，而且也能夠防止DNS欺騙和IP欺騙。使用SSH，還有一個(gè)額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過(guò)壓縮的，所以可以加快傳輸?shù)乃俣取?/p>

8.2.2SSH協(xié)議

SSH協(xié)議是建立在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議，它主要由以下三部分組成：傳輸層協(xié)議用戶認(rèn)證協(xié)議層連接協(xié)議層

8.2.3SSH的安全驗(yàn)證從客戶端來(lái)看，SSH提供兩種級(jí)別的安全驗(yàn)證。第一種級(jí)別（基于口令的安全驗(yàn)證），只要用戶知道賬號(hào)和口令，就可以登錄到遠(yuǎn)程主機(jī)，并且所有傳輸?shù)臄?shù)據(jù)都會(huì)被加密。第二種級(jí)別（基于密匙的安全驗(yàn)證），需要依靠密匙，也就是用戶必須為自己創(chuàng)建一對(duì)密匙，并把公有密匙放在需要訪問(wèn)的服務(wù)器上。

8.2.4OpenSSH的配置1．安裝OpenSSH服務(wù)器可以輸入以下命令查看：[root@localhostroot]#rpm–qa

openssh如果已經(jīng)安裝，則顯示OpenSSH的版本信息，默認(rèn)安裝下為openssh-3.5p1-6。如果確定沒(méi)有安裝，請(qǐng)?jiān)趫D形界面下依次選擇單擊“主菜單→系統(tǒng)設(shè)置→添加/刪除應(yīng)用程序”，然后在打開(kāi)的“軟件包管理”窗口里選中“網(wǎng)絡(luò)服務(wù)器”選項(xiàng)，單擊“更新”后按照提示安裝即可。

2．配置OpenSSH服務(wù)器（1）ssh的配置文件是/etc/ssh/ssh_config，一般不要修改。（2）啟動(dòng)OpenSSH服務(wù)器方法一：在圖形界面下依次選擇單擊“主菜單→系統(tǒng)設(shè)置→服務(wù)器設(shè)置→服務(wù)”；方法二：使用命令控制OpenSSH服務(wù)器的運(yùn)行：[root@localhostroot]#servicesshdstart或重啟sshd服務(wù)：[root@localhostroot]#servicesshdrestart

此外，要檢測(cè)OpenSSH服務(wù)器是否正常運(yùn)行，可以使用命令行：[root@localhostroot]#servicesshdstatus如果運(yùn)行正常，則提示sshd服務(wù)正在運(yùn)行。（3）停止OpenSSH服務(wù)器[root@localhostroot]#servicesshdstop

3．使用OpenSSH客戶端客戶端和服務(wù)器連接時(shí)，可以使用兩種驗(yàn)證方式：基于口令的驗(yàn)證方式和基于密鑰的驗(yàn)證方式。（1）基于口令的驗(yàn)證方式這種驗(yàn)證方式要求用戶輸入用戶名稱和密碼。若沒(méi)有指定用戶名稱和密碼，則默認(rèn)使用當(dāng)前在客戶機(jī)上的用戶名。

（2）基于密鑰的驗(yàn)證方式使用密鑰的驗(yàn)證方式，用戶先需要為自己創(chuàng)建一對(duì)密鑰：公鑰和私鑰（公鑰用在要登錄的服務(wù)器上），OpenSSH公鑰的密碼體制有RSA、DSA。

4．OpenSSH上常用的命令（1）scp命令scp就是securecopy，是用來(lái)進(jìn)行遠(yuǎn)程文件拷貝的。數(shù)據(jù)傳輸使用ssh1，并且和ssh1使用相同的認(rèn)證方式，提供相同的安全保證。最簡(jiǎn)單的應(yīng)用如下：scp[本地用戶名@IP地址:]文件名1遠(yuǎn)程用戶名@IP地址:文件名2

（2）sftp命令sftp是一個(gè)交互式文件傳輸程序，它類似于ftp,但它進(jìn)行加密傳輸，比f(wàn)tp有更高的安全性。sftp使用和ftp相似的命令:①登錄[root@localhostroot]#sftproot@8按提示輸入密碼則可進(jìn)入sftp命令行。②ftp會(huì)話的打開(kāi)與關(guān)閉打開(kāi)：open8關(guān)閉：close③文件的傳輸從sftp服務(wù)器上得到文件：Geta.txt向sftp上放文件：Puta.txt

④退出ftpbye或者exit或者quit都可以。⑤其他cd,ls,pwd等一些常見(jiàn)命令也可以在vftp服務(wù)器目錄中使用。

8.3使用圖形化的VNC8.3.1VNC概述

VNC（VirtualNetworkComputing）是一套由AT&T實(shí)驗(yàn)室所開(kāi)發(fā)的可操控遠(yuǎn)程計(jì)算機(jī)的軟件，其采用了GPL授權(quán)條款，任何人都可免費(fèi)取得該軟件。VNC軟件主要由兩個(gè)部分組成：VNCserver及VNCviewer。

8.3.2

使用VNCServer1．下載并安裝VNCServer在Linux使用如下命令安裝vncserver:[root@localhostroot]#rpm–ivhvnc-4_1_2-x86_linux.rpm