Linux教程課件：網(wǎng)絡(luò)文件共享-ssh

網(wǎng)絡(luò)文件系統(tǒng)-SSH本章目標(biāo)1.tcpwrappers的配置2.tcpwrappers的測(cè)試3.ssh的配置方法4.scp的使用5.sftp的使用6.rsync的使用TCPWrappers的基本概念TCPWrappers的功能tcpd程序可以將其他的網(wǎng)絡(luò)服務(wù)程序“包裹”起來，從而進(jìn)行集中的訪問控制設(shè)置系統(tǒng)中缺省安裝了TCPWrappers#rpm-qtcp_wrapperstcp_wrappers-7.6-37.2

TCPWrappers的設(shè)置文件TCPWrappers使用兩個(gè)設(shè)置文件“hosts.allow”和“hosts.deny”兩個(gè)文件的用于保存TCPWrappers基于主機(jī)地址的訪問控制策略#ls/etc/hosts.*/etc/hosts.allow/etc/hosts.deny“hosts.allow”文件用于保存允許訪問的策略“hosts.deny”文件用于保存拒絕訪問的策略“hosts.allow”和“hosts.deny”文件中保存的設(shè)置是即時(shí)生效的TCPWrappers設(shè)置文件的格式設(shè)置文件的格式“hosts.allow”和“hosts.deny”文件中具有相同格式的配置記錄<服務(wù)程序列表>：<客戶機(jī)地址列表>[：動(dòng)作]文件中每行為一個(gè)設(shè)置記錄服務(wù)程序列表1.ALL代表所有的服務(wù)程序2.單個(gè)服務(wù)的名稱，例如in.telnetd代表telnet服務(wù)器程序，vsftpd代表vsftpd服務(wù)器程序3.多個(gè)服務(wù)程序名稱可以組成列表，中間用逗號(hào)分隔，例如“in.telnetd,vsftpd”客戶機(jī)地址列表1.ALL代表所有的客戶機(jī)地址2.LOCAL代表本機(jī)地址3.KNOW代表可解析的域名4.UNKNOW代表不可解析的域名5.以句點(diǎn)“.”開始的域名代表該域下的所有主機(jī)，例如“.”代表“”域中的所有主機(jī)6.對(duì)某個(gè)子網(wǎng)中的所有主機(jī)使用“子網(wǎng)/掩碼”的形式表示7.對(duì)于網(wǎng)絡(luò)中的某個(gè)主機(jī)可直接使用IP地址表示“動(dòng)作”字段使用“allow”表示允許，使用“deny”表示拒絕telnet服務(wù)器安裝和配置telnet服務(wù)器的安裝RHEL4系統(tǒng)中默認(rèn)不安裝telnet服務(wù)器telnet-server軟件包在第4張安裝光盤，需要手工進(jìn)行安裝rpm-ivh/media/cdrom/RedHat/RPMS/telnet-server-0.17-30.i386.rpm

telnet服務(wù)由xinetd調(diào)度啟動(dòng)telnet在xinetd服務(wù)中的啟動(dòng)配置文件/etc/xinetd.d/telnet

telnet服務(wù)默認(rèn)不啟動(dòng)，需手工設(shè)置#chkconfigtelneton#servicexinetdrestarttelnet的使用和安全性使用telnet命令登錄telnet服務(wù)器telnet命令是telnet服務(wù)的客戶端程序#telnet

用戶telnet登錄的過程中會(huì)提示輸入用戶名和用戶口令telnet服務(wù)的安全性telnet服務(wù)使用明文傳輸所有的內(nèi)容，因此存在安全隱患應(yīng)盡量使用SSH服務(wù)替代telnet服務(wù)TCPWrappers配置實(shí)例TCPWrappers策略配置hosts.deny文件in.telnetd,vsftpd:ALL

hosts.allow文件in.telnetd:22vsftpd:??采取先“全部禁止”再“逐個(gè)開放”的策略設(shè)置方法，可以較好的實(shí)現(xiàn)“只允許……”的訪問策略SSH的原理SSH，實(shí)現(xiàn)了與Telnet服務(wù)類似的遠(yuǎn)程登錄功能SSH協(xié)議在網(wǎng)絡(luò)中使用密文傳輸數(shù)據(jù)SSH服務(wù)器中還支持使用scp和sftp等客戶端程序進(jìn)行遠(yuǎn)程主機(jī)的文件復(fù)制SSH讓rsync遠(yuǎn)程復(fù)制和備份更安全SSH的認(rèn)證方式SSH協(xié)議提供兩種用戶認(rèn)證方式基于口令的安全認(rèn)證與telnet類似，提供正確的用戶口令后可以登錄遠(yuǎn)程服務(wù)器基于密鑰的安全認(rèn)證使用公鑰和私鑰對(duì)的方式對(duì)用戶進(jìn)行認(rèn)證SSH密鑰認(rèn)證的原理SSH服務(wù)中使用密鑰進(jìn)行用戶認(rèn)證每個(gè)用戶都需要生成自己的公鑰和私鑰對(duì)文件用戶的公鑰文件需要保存在SSH服務(wù)器主機(jī)中用戶私鑰文件保存在SSH客戶端主機(jī)中OpenSSH的軟件安裝系統(tǒng)中OpenSSH服務(wù)器和客戶端軟件是默認(rèn)安裝的openssh軟件包是實(shí)現(xiàn)ssh功能的公共軟件包openssh-server軟件包實(shí)現(xiàn)了SSH服務(wù)器的功能openssh-clients軟件包中包含了SSH服務(wù)的客戶端程序OpenSSH服務(wù)的啟動(dòng)與停止OpenSSH的服務(wù)程序名稱是sshdsshd服務(wù)程序的啟動(dòng)腳本/etc/init.d/sshdsshd服務(wù)程序缺省狀態(tài)為自動(dòng)啟動(dòng)sshd服務(wù)的啟動(dòng)與停止啟動(dòng)服務(wù)程序servicesshdstart停止服務(wù)程序servicesshdstopOpenSSH服務(wù)的配置文件配置目錄OpenSSH服務(wù)器和客戶機(jī)的所有配置文件都保存在同一目錄中/etc/ssh/服務(wù)器配置文件SSH服務(wù)器的配置文件是sshd_config/etc/ssh/sshd_config客戶機(jī)配置文件SSH客戶程序的配置文件是ssh_config/etc/ssh/ssh_configOpenSSH的典型用戶登錄使用ssh命令登錄SSH服務(wù)器#sshroot@

首次登錄SSH服務(wù)器為了建立加密的SSH連接需要用戶在客戶端確認(rèn)服務(wù)器發(fā)來的RSA密鑰（輸入yes）用戶認(rèn)證每次登錄SSH服務(wù)器都需要輸入正確的用戶口令SSH登錄使用的是SSH服務(wù)器主機(jī)中的用戶帳號(hào)SSH的用戶目錄“.ssh”目錄在SSH客戶主機(jī)的用戶宿主目錄中，使用名為“.ssh”的目錄保存用戶的SSH客戶端信息~/.ssh/“.ssh”目錄在用戶首次進(jìn)行SSH登錄后自動(dòng)建立“known_hosts”文件“known_hosts”文件位于“.ssh”目錄中“known_hosts”文件用于保存當(dāng)前用戶所有登錄過的SSH服務(wù)器的RSA密鑰基于密鑰的SSH認(rèn)證過程設(shè)置密鑰認(rèn)證的一般步驟1.在SSH客戶端生成用戶的公鑰和私鑰對(duì)文件2.將SSH客戶的公鑰添加到SSH服務(wù)器中用戶的認(rèn)證文件中3.驗(yàn)證密鑰的認(rèn)證SSH密鑰的生成在SSH客戶端生成用戶的公鑰和私鑰對(duì)使用ssh-keygen命令生成密鑰對(duì)$ssh-keygen-trsa

公鑰和私鑰文件ssh-keygen命令將在“.ssh”目錄中生成公鑰和私鑰文件id_rsa是私鑰文件，內(nèi)容需要嚴(yán)格保密id_rsa.pub是公鑰文件，可發(fā)布到SSH服務(wù)器中把公鑰傳遞到服務(wù)器復(fù)制公鑰文件將客戶端中的用戶公鑰文件復(fù)制到SSH服務(wù)器中公鑰文件的復(fù)制可使用軟盤、U盤或網(wǎng)絡(luò)ssh-copy-id-iid_rsa.pub最后在服務(wù)器的.ssh下把id_rsa.pub改名為authorized_keys

SSH密鑰認(rèn)證過程基于密鑰的用戶認(rèn)證過程用戶使用ssh命令登錄SSH服務(wù)器時(shí)，將使用客戶機(jī)中的私鑰與服務(wù)器中的公鑰進(jìn)行認(rèn)證，認(rèn)證成功后將允許用戶登錄密鑰的認(rèn)證過程是ssh命令與SSH服務(wù)器自動(dòng)完成的用戶登錄過程中將不再提示輸入用戶口令禁止root用戶的SSH登錄為了提高Linux服務(wù)器的安全性，可以禁止root用戶進(jìn)行SSH登錄設(shè)置sshd_config文件#vi/etc/ssh/sshd_config

PermitRootLoginno

重新啟動(dòng)sshd服務(wù)程序#servicesshdrestart再次登錄SSH服務(wù)器時(shí)將不能使用root帳號(hào)進(jìn)行登錄ssh命令的基本使用ssh命令的兩種格式格式1：sshusername@sshserver格式2：ssh-lusernamesshserver不指定用戶名的ssh命令ssh命令中如果不指定用戶名，將使用SSH客戶機(jī)中當(dāng)前用戶的名字登錄SSH服務(wù)器#ssh通過SSH打開服務(wù)器的X圖形程序運(yùn)行服務(wù)器中的圖形程序是SSH的重要應(yīng)用ssh命令需要在圖形界面虛擬終端下運(yùn)行命令格式：ssh-Xusername@sshserver

xlock是運(yùn)行在SSH服務(wù)器中，而顯示在SSH客戶機(jī)中的窗口程序sftp的使用sftp命令的使用sftp登錄命令的格式與ssh命令類似：sftpusername@sshserversftp命令實(shí)現(xiàn)了類似ftp命令的功能和命令交互界面scp命令的使用scp命令可以實(shí)現(xiàn)SSH服務(wù)器與客戶機(jī)之間的文件復(fù)制scp命令的格式類似于cp命令SSH服務(wù)器可以作為scp命令中的源文件或目標(biāo)文件命令實(shí)例將SSH服務(wù)器中的文件復(fù)制到客戶機(jī)#scproot@:/etc/passwd.

將客戶機(jī)中的文件復(fù)制到SSH服務(wù)器#scptestmike@:~rsync命令的使用1.rsync-essh-arv/mntroot@:/mnt-v,--verbose詳細(xì)模式輸出

-q,--quiet精簡(jiǎn)輸出模式

-c,--checksum強(qiáng)制對(duì)文件傳輸進(jìn)行校驗(yàn)

-a,--archive歸檔模式，并保持所有文件屬性

-r,--recursive對(duì)子目錄以遞歸模式處理2.用rsync進(jìn)行遠(yuǎn)程備份時(shí)，最好使用公鑰認(rèn)證的ssh方式和crontab來一起完成Windows下使用SSH客戶端軟件PuTTYPuTTY是Windows環(huán)境中可以免費(fèi)使用的ssh客戶端軟件WinSCPWinSCP是知名的開源軟件項(xiàng)