项目9Linux的远程管理.docx

项目9Linux的远程管理.docx

《项目9Linux的远程管理.docx》由会员分享，可在线阅读，更多相关《项目9Linux的远程管理.docx（17页珍藏版）》请在冰豆网上搜索。

项目9Linux的远程管理

项目9－Linux的远程管理

项目情景

笔者早年在UNIX上执行数学程序设计，必须要使用远程联机，这时最常用的就是telnet服务。

在windows上可以使用DOS、Netterm或是Putty之类的软件联机，并进行远程操作。

直到RedHat6.2、7.0发布之前，系统都提供了telnet服务，让用户远程联机。

但telnet是一个没有加密的通信协议，并且每次联机都必须输入账号密码，因此容易被黑客监听，进而造成使用上的安全问题，因此这项服务在2002年之后已经渐渐消失，被加密的联机软件SSH所取代。

SSH或是telnet这类的远程控制软件虽然方便，但纯文字的输入界面却让人望之怯步，这时可以使用网页界面的管理软件Webmin，或是远程桌面VNC来管理主机

项目说明

远程管理服务最大的特点就是不受地理位置限制，实现对远程主机的控制。

输入正确的用户名和密码后，就可以像在本地一样对服务器进行操作。

以公司的多台服务器为例，这些服务器都不在同一个地方，分布在各处，当服务器需要更新时，管理员是否一定要到现场？

答案是否定的，通过网络远程登录到主机，就可以进行任何的操作，这就是远程管理的功能。

本章简单介绍远程登录中常见的几种服务：

Telnet、SSH和webmin。

能力目标

1学会架设Telnet服务

2学会架设SSH服务

3学会使用Webmin远程管理Linux服务器

任务1架设Telnet服务

【任务目标】

通过完成本任务，学会Telnet远程登录操作，例如某公司管理员电脑的操作系统有Windows与Linux，要实现管理员办公室与机房之间的远程登录操作进行问题的处理。

学习后，有能力处理远程登录问题。

【任务说明】

如图12.1所示网络模型。

图12.1远程登录Telnet服务器

A．一台Telnet服务器，其中IP地址为192.168.100.10，安装RedHatEnterpriseLinux5系统，作Telnet服务器用。

B．一台客户端，安装Windows系统，可以登录Telnet服务器。

C．一台客户端，安装RedHatEnterpriseLinux5系统，可以登录Telnet服务器。

分析如下：

（1）在服务器端，安装Telnet服务

（2）使用xinetd管理配置Telnet服务

（3）使用Linux客户端登录Telnet服务器

（4）使用Windows客户端登录Telnet服务器

【相关知识】

Telnet协议是TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议和主要方式。

它为用户提供了在本地计算机上完成远程主机工作的能力。

在终端使用者的电脑上使用telnet程序，用它连接到服务器。

终端使用者可以在telnet程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。

可以在本地就能控制服务器。

要开始一个telnet会话，必须输入用户名和密码来登录服务器。

Telnet是常用的远程控制Web服务器的方法。

【实现步骤】

步骤1．安装所需的软件包

Telnet服务共有两个软件包：

一个是服务器端软件包，一个是客户端软件包。

它们分别是：

telnet-server-0.17-39.i386.rpmtelnet-0.17-39-el5.i386.rpm

可以使用rpm或yum命令安装所需软件包，在安装Telnet服务器软件包之前，要安装xinetd服务。

步骤2．安装Telnet服务器

可通过光盘或上网下载mount后安装，如图12.2所示。

#rpm–ivhxinetd-2.3.14-10.el5.i386.rpm

图12.2安装超级守护进程xinetd

#rpm–ivhtelnet-server-0.17-39.i386.rpm，如图12.3所示。

图12.3安装telnet服务端

步骤3．Telnet是挂在superdaemon下的一个服务，就是有名的xinetd，需要启动xinetd超级守护进程来管理telnet服务。

1）、修改xinetd参数

#vi/etc/xinetd.d/telnet

找到disable=yes将yes改成no，如图12.4所示。

图12.4修改xinetd参数

小贴士：

在/etc/xinetd.d/Telnet文件里{}里添加一行，设置Telnet服务最大连接数的方法：

“instances=需要限制的数字”。

如：

instances=10。

2）、启动telnet服务，如图12.5所示。

#chkconfigxinetdon

#servicexinetdstart

图12.5启动telnet服务

3）、允许root用户登入

#cd/etc

#mvsecurettysecuretty.bak

小贴士：

如不设置此步骤，可使用su或sudo来切换身份，达到root的登录的目的。

步骤4．测试telnet服务

1）Linux客户端

Linux客户端使用非常简单，首先要先确保客户端的软件包已经被安装，然后要了解Telnet命令的格式：

Telnet主机名/IP[端口号]就可以登录了，如图12.6所示。

图12.6Linux端的Telnet登录

小贴士：

通过修改/etc/services,可更改Telnet服务默认监听的端口号，更改后须重新启动xinetd服务，登录时须加上端口号。

如2323端口：

Telnet192.168.1.1032323。

2）Windows客户端

Windows客户端的使用是在命令行中，输入Telnet命令，如图12.7所示。

图12.7Windows端的Telnet登录

图12.8Windows端的Telnet登录

这样就验证了Telnet服务是正常登录了！

【任务小结】

本任务使用Telnet服务实现了远程登录服务，解决了管理员因为地域关系不能亲到现场处理事故的问题。

涉及到Telnet软件包的获取及安装，一般系统自带，但默认不启动。

一般使用xinetd超级守护进程来启动Telnet服务，增加安全性与灵活性。

涉及到防火墙允许Telnet服务及端口知识。

【扩展提高】

允许root用户使用Telnet服务。

改变Telnet默认端口，重新设置一个端口增加安全性。

了解selinux知识。

任务2架设SSH服务

【任务目标】

本任务要完成对SSH服务的安装与配置，例如某公司内部有多台服务器，管理员因为工作需要经常要远程管理这些服务器，为了保证服务器安全，设置专用的系统账号szadmin，并选择使用OpenSSH进行远程管理，如何保证网络的安全性？

通过本次任务的学习，解决此类问题。

【任务分析】

Linux系统中，SSH是默认安装的，要保证网络安全性，我们可以通过禁用口令认证，只能通过密钥认证的登录方式来登录。

密钥认证首先要在客户端生成密钥，再通过客户端发布公匙给服务器端，最终使用Linux客户端和Windows客户端进行登录测试。

【相关知识】

1．口令认证

默认情况下，SSH使用传统的口令验证，传输数据会被加密，在使用这种认证方式时，不需要进行任务配置，用户就可以使用SSH服务。

但是，口令验证是不能保证连接的服务器就是真正的目的服务器。

如果有其他服务器在冒充，客户端很有可能受到“中间人”攻击。

SSH的命令格式：

ssh–l[远程主机账号][远程服务器主机/IP]

例：

远程服务器IP地址为192.168.100.3，账号为：

szroot,

ssh–lszroot192.168.100.3

2．密匙认证

图12.9公钥与私钥进行数据传输

密匙认证需要依靠密匙，首先创建一对密匙，并把公匙保存在远程服务器中，当登录远程主机时，客户端软件就会向服务器发出请求，请求用自己的密匙进行认证。

服务器收到请求之后，首先在该服务器的用户主目录下寻找公匙，然后检查此公匙是否合法，如果合法就用公匙加密生成随机数，并返回给客户端。

客户端软件收到服务器的响应后，使用私匙将数据解密并发送给服务器。

因为用公匙加密的数据只能用私匙解密，服务器经过比较就可以知道该客户连接的合法性。

【任务步骤】

步骤1．安装OpenSSH服务

1）OpenSSH服务需要的软件包，它们分别如下。

图12.10OpenSSH服务需要的软件包

2）使用YUM安装

图12.11使用YUM安装openssh

步骤2．SSH的启动与停止

图12.12SSH的启动与停止

小贴士：

在RedHatEnterpriseLinux5系统中，默认是安装并启动了SSH的服务，不须手动安装。

通常使用netstat–tl来查看能否看到SSH服务在监听。

步骤3．OpenSSH常用的配置文件为/etc/ssh/ssh_config和/etc/ssh/sshd_config，其中ssh_config为客户端配置文件，sshd_config为OpenSSH服务器配置文件。

基本上，RedHatEnterpriseLinux5系统不需要更改/etc/ssh/sshd_config文件的字段值，默认情况下已是最严密的SSH保护。

小贴士：

在RedHatEnterpriseLinux5系统中，如果你不愿意开放SFTP，可以将最后一行注释掉。

例：

#subsystemsftp/usr/lib/ssh/sftp-sserver并重新启动sshd服务。

步骤4．按任务描述，具体步骤如表12.1所示。

表12.1

主机

IP

账号

服务器

192.168.100.3

szroot

客户端

192.168.100.20

szadmin

步骤5．在客户端生成密匙。

客户端端上执行ssh-keygen生成密钥，使用szadmin登录管理工作站，然后执行，如图12.12所示。

图12.13客户端使用ssh-keygen命令生成密钥

提示输入密匙文件的保存路径，按回车键使用默认路径：

/home/szadmin/.ssh/id_dsa。

这里的passphrase密码是对生成的私匙文件的保护口令，如果不设置，则按回车键跳过。

小贴士：

私匙文件/home/master/.ssh/id_dsa；公匙文件/home/master/.ssh/id_dsa.pub

步骤6．发布公匙。

1）scp命令发布公钥如图12.13所示。

图12.14将客户端生成的公钥发布到服务器

2）服务器端将公钥转存到authorized_key文件中，如图12.14所示。

图12.15将公钥转存到authorized_key文件中

步骤7．配置远程服务器，禁止口令认证

通过编辑.etc/ssh/sshd_conf文件，修改PasswordAuthentication字段的值来提高安全性，设PasswordAuthentication=no，禁止口令认证，只允许使用密钥认证。

步骤8．连接远程服务器。

更改之后，使用其它用户登录时，会被拒绝登录，而使用szroot这个用户则可以安全登录，如图12.15所示。

图12.16测试远程登录

步骤9．OpenSSH客户端配置

1．Linux客户端

命令格式：

ssh账号@主机名/IP

例：

sshszroot@192.168.100.3

2．Windows客户端

默认情况下，SSH不需要进行任何配置，用户就可以使用SSH服务器存在的账号和口令登录到远程主机。

此处，我们用Windows客户端使用PUTTY来测试，如图12.16、12.1