Linu_-TELNET、SSH和VNC服务的配置与实现.ppt

2020年3月4日 TELNET SSH和VNC服务的配置与实现 内容提要 对服务器的管理和维护是Linux管理员的一项重要工作 管理员常常通过远程管理的方式对服务器进行操作 在WindowsServer2003平台下 一般采用终端服务或远程桌面的方式实现远程控制 而在Linux平台下 最常用的是采用文本界面的SSH TELNET或图形界面下的VNC服务实现远程控制 本章将介绍这三种远程管理服务的配置和使用 TELNET服务的实现 传统 SSH服务的实现 安全连接 VNC服务的实现 图形界面 1 架设Telnet服务器 Telnet是TCP IP协议族中应用最广泛的应用层协议之一 提供一个以联机方式访问网上资源的通用工具 它允许用户与一个远程机器上的服务器进行通信 通过一个协商过程来支持不同的物理终端 从而提供了极大的灵活性 Telnet协议可以在任何主机 任何操作系统 或任何终端之间工作 各种操作系统都内置了Telnet协议的客户端软件 不需要安装 使用方便 1 1远程管理 远程管理是指通过网络由一台终端或电脑去控制另一台电脑的技术 只要网络是相通的 这两台电脑的距离可以很远 远程管理可以支持多种网络连接方式 包括LAN WAN 拨号方式 互联网等 1 远程办公2 远程技术支持3 远程教学4 远程维护和管理 1 2Telnet简介 TELNET是一个简单的远程终端协议 是进行远程登录的标准协议 它是当今Internet上应用最广泛的协议之一 用户用TELNET就可以在其所在地通过TCP连接注册 即登录 到远地的另一台主机上 使用主机名或IP地址 TELNET能将用户的键盘输入传到远程主机 同时也能将远程主机的输出通过TCP连接返回到用户屏幕 这种服务是透明的 因为用户感觉到好像键盘和显示器是直接连接在远地主机上 TELNET使用客户 服务器方式运行 在本地系统上运行TELNET客户进程 而在远程主机上则运行TELNET服务器进程 和FTP等服务类似 服务器中的主进程等待新的请求 并产生从属进程来处理每一个连接 1 2Telnet简介 续 TELNET能够适应许多计算机和操作系统的差异 例如 对于文本中一行的结束 有的系统使用ASCII码的回车 CR 有的系统使用换行 LF 还有的系统使用两个字符 回车 换行 CR LF 为了适应这种差异 TELNET定义了数据和命令应怎样通过互联网 这些定义就是所谓的网络虚拟终端NVT NetworkVirtualTerminal 也就是客户端软件把用户的键盘输入和命令转换成NVT格式 并送交服务器 服务器软件把收到的数据和命令 从NVT格式转换成远程系统所需要的格式 向用户返回数据时 服务器把远程系统的格式转换为NVT格式 本地客户再从NVT格式转换到本地系统所需的格式 TELNET已经成为网络管理员最常用的工具之一 几乎所有的网络设备 如路由器 交换机和防火墙等都可以通过TELNET方式进行管理 而且操作系统都内置了TELNET的客户端软件 不需要再进行安装 使用起来非常方便 1 3安装Telnet服务 查询系统是否安装了TELNET服务器 rpm qatelnet server安装Samba软件包 mount tiso9660 dev sr0 mnt rpm vih mnt Packages telnet server 需要注意的是 telnet服务器服务需要xinetd的支持 如果没有安装xinetd 在安装TELNET服务器之前应该先安装xinetd服务 该服务的软件包xinetd 2 3 14 14 fc8 i386 rpm也可以在以上网站搜索并下载 1 4Telnet服务的启动 TELNET服务不能象其它网络服务 如DNS HTTP等 一样作为独立的守护进程运行 它使用xinetd eXtendedInterNETservicesDaemon 扩展Internet守护进程 程序管理 这样不但能提高安全性 而且还能使用xinted对TELNET服务器进行配置管理 1 4Telnet服务的启动 续 TELNET服务安装后默认情况下不会被xinetd启动 而还需要修改配置文件 etc xinetd d telnet将其启用 etc xinetd d telnet是xinetd程序配置文件的一部分 可以通过它来配置TELNET服务器的运行参数 通过编辑该 etc xinetd d telnet文件 找到语句 disable yes 并将其改为 disable no 如下所示 vim etc xinetd d telnetservicetelnet flags REUSEsocket type streamwait nouser rootserver usr sbin in telnetdlog on failure USERIDdisables no 1 4Telnet服务的启动 续 修改后需要重新启动xinetd服务 使用如下命令重新启动该服务 etc init d xinetdrestart 1 5Telnet服务的配置 一般来说 TELNET服务做如上设置就可以使用了 但若希望TELNET服务工作得更好 还应该对TELNET服务器做进一步的配置 设置最大连接数 通过编辑文件 etc xinetd d telnet 并在文件中添加语句 instances 10 这里的 10 表示允许客户端同时最多10个连接 如下所示 vi etc xinetd d telnetservicetelnet flags REUSEsocket type streamwait nouser rootserver usr sbin in telnetdlog on failure USERIDdisables noinstances 10 1 5Telnet服务的配置 续 TELNET服务端口TELNET服务器默认使用TCP的23号端口提供客户端的连接 这样的默认配置很不安全 入侵者可以很轻松地监听主机上的23号端口 出于安全考虑 可以更改服务器的监听端口 修改方法是找到 etc services文件 将TELNET服务相关的端口改为其它端口 如 2323 如 greptelnet etc servicestelnet23 tcptelnet23 udp vi etc services telnet2323 tcptelnet2323 udp 1 6Telnet客户端的使用 Windows平台在Windows平台下连接到TELNET服务器非常简单 步骤如下 可以通过选择 开始 菜单里的 运行 选项 在出现的 运行 对话框中输入 telnet服务器的IP地址或主机名 在这里假设TELNET服务器的主机的地址为192 168 1 101 应该输入 telnet192 168 1 101 1 7Linux平台Telnet客户端的使用 Linux平台命令检查系统是否已经安装了TELNEt客户端程序 rpm qtelnet如果系统中未安装TELNET客户端程序 可以将安装光盘DVD放入光驱 加载光驱后在光盘Packages目录下找到TELNET客户端程序的RPM安装包文件telnet 0 17 41 fc8 i386 rpm 然后使用如下命令安装TELNET客户端程序 rpm ivh mnt Packages telnet 1 7Linux平台Telnet客户端的使用 续 安装好TELNET客户端程序后 可以直接使用telnet命令登录到TELNET服务器 如下图所示 Linux平台下TELNET的使用 2 1SSH服务概述 谈到网络安全访问 目前用得最多的就是安全Shell 也就是SecureShell 简称为SSH SSH是一个在应用程序中提供安全通信的协议 通过SSH可以安全地访问服务器 因为SSH基于成熟的公钥密码体系 把所有的传输的数据进行加密 保证数据在传输时不被恶意破坏 泄露和篡改 SSH还使用了多种加密和认证方式 解决了传输中数据加密和身份认证的问题 能有效防止网络嗅探和IP地址欺骗等攻击 使用SSH 还有一个额外的好处就是数据的传输是经过压缩的 所以可以加快传输的速度 SSH有很多功能 它既可以替代TELNET 又可以为FTP和PPP提供一个安全的 通道 目前SSH协议已经经历了SSH1和SSH2两个版本 它们使用了不同的协议来实现 二者互不兼容 SSH2不管在安全 功能上还是性能上都比SSH1有优势 所以目前被广泛使用的是SSH2 2 1SSH服务概述 SSH的运行不象其它的TCP IP应用 SSH被设计为工作在自己的基础之上 而不是利用Wrappers或通过扩展Internet守护进程 Xinetd SSH的应用比较广泛 首先 用它来取代传统的TELNET和FTP等网络应用程序 通过SSH登录到远方机器执行命令或做相关的工作 它提供了很强的身份验证机制 Authentication 与非常安全的通信环境 SSH的开发者的本意就是设计用来取代原UNIX系统上的rcp rlogin和rsh等命令的 但经过改进后 发现它功能上完全可以取代传统的TELNET和FTP等应用程序 2 2SSH的安装 OpenSSH软件包由两部分组成 一部分是服务器软件包openssh server 另一部分是客户端软件包openssh clients 它们分别在两个不同的RPM安装包中 OpenSSH的安装包在安装光盘DVD的 Packages目录下 如果不确定系统是否已经安装了openssh 可以使用如下命令查看 rpm qaopenssh server若没有输出 表明openssh尚未安装 那么从安装光盘或openssh网站上准备好RPM安装包 然后输入如下指令 系统即会自动完成安装openssh服务器和客户端程序的任务 rpm ivh mnt Pachages openssh server rpm ivh mnt Pachages openssh clients 2 3SSH的启动 安装好OpenSSH后 可以使用缺省配置启动SSH服务 启动SSH服务的命令为 servicesshdstart要停止SSH服务 执行的命令为 servicesshdstop要重新启动SSH服务 执行的命令如下 servicesshdrestart也可以使用 etc init d sshd start stop restart 命令完成以上操作 2 4SSH服务的配置 配置SSH服务的运行参数 是通过修改配置文件 etc ssh sshd config来实现的 etc ssh sshd config文件的配置选项非常多 但文中大部分的选项都使用了 符号注释掉了 这是因为SSH服务使用默认配置已经能比较好地工作 2 4SSH服务的常用选项 设置SSH服务器的监听端口Port选项定义了SSH服务的监听端口 SSH服务默认使用的端口是22 Port 22设置使用SSH协议的顺序Protocol选项定义了SSH服务器使用SSH协议的顺序 默认先使用SSH2协议 如果不成功则使用SSH1协议 为了安全起见 可以设置只使用SSH2协议 Protocol 2 1设置SSH服务绑定的IP地址ListenAddress选项定义了SSH服务器绑定的IP地址 默认绑定服务器所有可用的IP地址 ListenAddress0 0 0 0 2 4SSH服务的常用选项 续 设置是否允许root管理员登录PermitRootLogin选项定义了是否允许root管理员登录 默认允许管理员登录 PermitRootLoginyes设置是否允许空密码用户登录PermitEmptyPasswords选项定义了是否允许空密码的用户登录 为了保证系统的安全 应该禁止这些用户登录系统 默认是禁止空密码用户登录的 PermitEmptyPasswordsno设置是否使用口令认证方式PasswordAuthentication选项定义了是否使用口令认证方式 如果准备使用公钥认证方式 可以将其设置为no PasswordAuthenticationyes每次修改完配置文件 etc ssh sshd config后 都需要重新启动SSH服务才能使新的配置生效 2 5SSH客户端的使用 PuTTY简介PuTTY是一款免费而小巧的Win32平台下的SSH TELNET客户端软件 它可以连接到支持SSH或TELNET联机的系统 并且自动取得对方的系统指纹码 Fingerprint 建立连接以后 所有的通信内容都是以加密的方式传输 因此用户再也不用担心使用SSH在lnternet或公司的内部网络传输资料时被第三者获知内容 PuTTY的主程序只有几百KB 但功能丝毫不逊色于商业级的SecureCRT 使用PuTTY 运行下载的PuTTY exe文件 在PuTTY程序主界面的 主机名称 或IP地址 文本框中输入服务器的IP地址或主机名 在 端口 文本框中输入要连接的端口 这里使用默认的22号端口即可 在 连接类型 中选择 SSH 选项 如图14 7所示 图14 7PuTTY程序运行界面 2 6Linux下SSH客户端的使用 在Linux平台下可以使用OpenSSH的客户端程序openssh clients来连接SSH服务器 默认已经安装了SSH客户端程序 安装好openssh clients程序后 可以直接使用ssh命令登录到SSH服务器 命令的格式为 ssh l用户名服务器的IP地址或主机名例如 想要登录到IP地址为192 168 1 101的SSH服务器上 可以使用命令 ssh lstudent192 168 1 101 2 6Linux下SSH客户端的使用 使用scp在本地主机与远程主机之间复制文件 scp用户名 主机地址 文件全路径名目标文件 scproot 192 168 1 101 tmp aaa txt root使用sftp在本地主机与远程主机之间传输文件sftp用户名 服务器名称或地址 sftproot 192 168 1 101注意运行本地命令前加上l或L 例如 lpwd 2 7SSH公钥认证 公钥加密体系结构公钥认证的原理在服务器启用公钥认证在openssh clients程序使用公钥认证 2 7 1公钥加密体系结构 公钥加密体系结构理论基础是基于非对称性算法的 非对称性算法使用一对密钥 即公开密钥PublicKey和私有密钥PrivateKey 进行加密和解密 虽然加密密钥和解密密钥不相同 但这对密钥是互补的 也就是说使用公钥加密的信息只有私钥才能解密 使用私钥加密的信息只有公钥才能解密 公钥可以向外公开 任何人都可以得到公钥 私钥不能向外公开 由用户自己小心保管 2 7 1公钥加密体系结构 用户A要发送数据给用户B 主要经过以下步骤进行加密 用户B通过各种方式 如网络 向外界公开他的公钥PUB B 用户A得到用户B的公钥PUB B 并使用PUB B对信息加密并发送给用户B 用户B在收到密文后 使用其私钥PRI B就能完成解密 2 7 2公钥认证的原理 首先由用户生成一对密钥 然后将公钥保存在SSH服务器用户主目录下 ssh子目录中的authorized keys文件里 如 root ssh authorized keys 私钥保存在本地计算机中 当用户登录时 服务器检查authorized keys文件的公钥是否与用户的私钥对应 如果相符则允许用户登录 否则拒绝用户的登录请求 2 7 3在服务器启用公钥认证 编辑文件 etc ssh sshd config 找到语句 PasswordAuthenticationyes 并将语句改为 PasswordAuthenticationno 2 7 4在Linux客户端使用公钥认证 1 产生密钥可以使用openssh软件包自带的ssh keygen程序产生密钥 如执行以下命令 ssh keygen trsa2 传输公钥文件到SSH服务器为了让SSH服务器能读取公钥文件 还要将产生的公钥文件id rsa pub传输到SSH服务器的用户主目录下的 ssh子目录中 并改名为authorized keys ssh copy id I root ssh id rsa pubstudent 192 168 186 1353 连接SSH服务器 ssh lstudent192 168 186 135 ll exit scp etc hosts student 192 168 186 135 3 1VNC简介 VNC VirtualNetworkComputing 虚拟网络计算 是一种图形桌面共享系统 它使用RFB协议远程控制另外一台计算机 VNC通过网络把控制端的键盘和鼠标事件传输给被控端 并把被控端的屏幕显示回传给控制端 使在控制端的操作者感觉犹如坐在被控端电脑面前操作一样 VNC由客户端 服务器和通讯协议三部分组成 3 1VNC概述 VNC VirtualNetworkComputing 虚拟网络计算机 是由英国剑桥大学的At T实验室于2002年开发的 它是一种可操控远程计算机的软件 也就是说它能够将完整的窗口画面通过网络传输到另一台计算机的屏幕上 如同WindowsServer2003的终端服务 它在Mac平台上称为MacVNC 在Windows平台上称为WinVNC VNC远程管理软件包括服务器VNCServer和客户端VNCViewer 用户需要先将VNCServer安装在服务器端的计算机上 才能在主控端的计算机上用VNCViewer远程管理被控端 类似Windows的终端服务 它可以远程控制X Window桌面 VNC还可以实现基于Java的客户端访问远程的VNC服务器 换句话说 只要通过支持Java的浏览器即可进行远程控制 而无需安装任何软件 3 1VNC的特点 客户端活动如掉线等不会影响到服务端 再次连接就可正常使用 客户端无需安装专门软件 甚至用IE等浏览器就可控制服务端 最大的优点就是真正跨平台使用 它支持的平台有 Mac Windows Solaris FreeBSD HPUX SCOOpenServer SGIIrix6 2等 3 2VNC的安装与启动 检查系统是否已经安装了VNC服务或查看已经安装了何种版本 rpm q grepvnc安装命令如下所示 rpm ivh mnt Packages tigervnc server 启动停止VNC服务 可以使用vncserver命令来启动VNC服务 命令的格式为 vncserver 桌面号 其中 桌面号 用数字方式表示 每个用户连接需要占用1个桌面 例如 要启动编号为1的桌面可以执行命令 vncserver 1由于这是第一次运行该命令 因此系统提示用户输入访问口令 口令会被加密保存在用户主目录下 vnc子目录中的passwd文件中 如 root vnc passwd 同时系统还会在用户主目录下的 vnc子目录中为用户自动建立xstartup配置文件 以后每次启动VNC服务时 都会读取该文件中的配置选项 停止VNC服务 vncserver kill 1 3 3Linux平台VNC客户端的配置 检查系统是否已经安装了VNCViewer rpm qa grepvnc要使用VNCViewervncviewer服务器地址 桌面号 vncviewer192 168 186 135 1 3 4配置VNC服务 为了能使用功能强大的KDE或GNOME图形桌面环境 前提是Linux系统已经安装了GNOME或KDE桌面环境 还要编辑用户主目录下 vnc子目录下的xstartup文件 例如 root的x