LINUX+服务器管理技术.ppt

LINUX服务器管理技术 田钧 2 2 第十五章TELNET OPENSSH TELNET的简介TELNET的安装TELNET的使用OPENSSH简介OPENSSH安装OPENSSH配置OPENSSH使用 3 3 TELNET简介 TELNET简介Telnet协议是TCP IP协议族中的一员 是Internet远程登陆服务的标准协议 应用Telnet协议能够把本地用户所使用的计算机变成远程主机系统的一个终端 4 4 TELNET的简介 Telnet远程登录过程1 本地与远程主机建立连接 该过程实际上是建立一个TCP连接 用户必须知道远程主机的Ip地址或域名 2 将本地终端上输入的用户名和口令及以后输入的任何命令或字符以NVT NetVirtualTerminal 格式传送到远程主机 该过程实际上是从本地主机向远程主机发送一个IP数据报 3 将远程主机输出的NVT格式的数据转化为本地所接受的格式送回本地终端 包括输入命令回显和命令执行结果 4 最后 本地终端对远程主机进行撤消连接 该过程是撤销一个TCP连接 5 5 TELNET的安装 TELNET的安装 REDHATAS3 0 rpm ivhtelnet 0 17 26 i386 rpm rpm ivhtelnet server 0 17 26 i386 rpmTELNET安装信息 rpm qiptelnet 0 17 26 i386 rpm rpm qiptelnet server 0 17 26 i386 rpm 6 6 TELNET的配置 TELNET的重要文件 etc xinetd d telnetTELNET服务配置文件 usr sbin in telnetdTELNET服务守候程序 usr bin telnetTELNET终端工具 7 7 TELNET的配置 编辑 etc xinetd d telnet default on description Thetelnetserverservestelnetsessions ituses unencryptedusername passwordpairsforauthentication servicetelnet disable yes 如果需要启动telnet服务需要把yes改为noflags REUSEsocket type streamwait nouser rootserver usr sbin in telnetdlog on failure USERID 8 8 TELNET的配置 Telnet服务限制telnet以明文传送口令和数据 如果对其默认的设置不满意 可以对其服务范围进行限制 假设主机的IP地址是210 45 160 17 可以按以下方式设置 vi etc xinetd d telnetservicetelnet Disable no 激活telnet服务 noonly from 210 45 0 0 16 只允许210 45 0 0 210 45 255 255这个网段进入only from 只有教育网才能进入 no access 210 45 160 115 116 这两个IP地址不可登陆access times 8 00 12 0020 00 23 59 每天只有这两个时间段开放服务 9 9 TELNET的启动 启动telnet服务 servicexinetdrestart查看服务是否启动 netstat an grepLISTEN grep 23tcp000 0 0 0 230 0 0 0 LISTEN Telnet服务监听tcp23号端口 10 10 TELNET的使用 使用telnet服务登陆 telnet192 168 2 202Trying192 168 2 202 Connectedto192 168 2 202 192 168 2 202 Escapecharacteris RedHatEnterpriseLinuxASrelease3 TaroonUpdate2 Kernel2 4 21 15 ELonani686login adminPassword 11 11 TELNET的使用 允许root直接登录默认情况下系统不允许root直接登陆 如果要允许root直接登录 编辑 etc securetty 增添如下行到文件尾部 pts 0pts 1pts 2 12 12 TELNET的缺点 明文传输 容易捕获漏洞较多 易导致缓存溢出效率不高 13 13 OPENSSH的简介 OPENSSH的简介OpenSSH是SSH SecureSHell 协议的免费开源实现 它用安全 加密的网络连接工具代替了telnet ftp rlogin rsh和rcp工具 该协议默认使用RSA钥匙OpenSSH支持SSH协议的版本1 3 1 5和2 自从OpenSSH的版本2 9以来 默认的协议是版本2 最新OpenSSH版本 3 9 14 14 OPENSSH的简介 OPENSSH优点加密方式传输传输数据经过压缩 可加快传输速可实现远程控制 数据传输 拷贝及FTP方式 15 15 OPENSSH的安装 安装OPENSSH redhatas3 0 rpm ivhopenssh 3 6 1p2 33 30 1 i386 rpm rpm ivhopenssh clients 3 6 1p2 33 30 1 i386 rpm rpm ivhopenssh server 3 6 1p2 33 30 1 i386 rpm 16 16 OPENSSH配置 OPENSSH主要配置文件和程序 etc pam d sshdpam认证配置文件 etc rc d init d sshd启动脚本 etc ssh sshd config主配置文件 usr sbin sshd服务守候程序 usr bin sftp安全ftp工具 usr bin scp安全拷贝工具 usr bin ssh安全登陆工具 17 17 OPENSSH配置 配置文件 etc ssh sshd config moresshd config Port22 Protocol2 1 ListenAddress0 0 0 0 ListenAddress Logging SyslogFacilityAUTHSyslogFacilityAUTHPRIV LogLevelINFO Authentication LoginGraceTime120 PermitRootLoginyes StrictModesyes RSAAuthenticationyes PubkeyAuthenticationyes AuthorizedKeysFile ssh authorized keys 18 18 OPENSSH配置 一些OPENSSH的缺省配置监听所有网络接口 使用TCP22号端口 Port22 ListenAddress0 0 0 0记录有关认证信息 SyslogFacilityAUTHSyslogFacilityAUTHPRIV LogLevelINFO允许root直接登陆 PermitRootLoginyes 19 19 OPENSSH配置 RSA和DSA认证协议RSA和DSA认证协议的基础是一对专门生成的密钥 分别叫做专用密钥和公用密钥 在许多情况下 有可能不必手工输入密码就能建立起安全的连接 SSH协议第一版支持基于RSA的认证 SSH协议第二版支持使用RAS或DSA算法 20 20 OPENSSH配置 RSA认证协议 RSA密钥对的生成 ssh keygen trsaGeneratingpublic privatersakeypair Enterfileinwhichtosavethekey root ssh id rsa Enterpassphrase emptyfornopassphrase Entersamepassphraseagain Youridentificationhasbeensavedin root ssh id rsa Yourpublickeyhasbeensavedin root ssh id rsa pub Thekeyfingerprintis 64 c8 a8 fc a8 ca 60 a3 cf 90 7a 61 9b 2e f0 e7root gdlc gongguan 21 21 OPENSSH配置 RSA认证协议 RSA密钥的安装私钥的安装私钥存放在用户根目录下的 HOME ssh id rsa中 公钥的安装公钥存放在 HOME ssh id rsa pub中 用户应该把id rsa pub复制到远程服务器中 改名 HOME ssh authorized keys存放到用户根目录下 例如 scp ssh id rsa pubuser remote catid rsa pub ssh authorized keys 22 22 OPENSSH配置 DSA认证协议 DSA密钥对的生成 ssh keygen tdsaGeneratingpublic privatedsakeypair Enterfileinwhichtosavethekey root ssh id dsa Enterpassphrase emptyfornopassphrase Entersamepassphraseagain Youridentificationhasbeensavedin root ssh id dsa Yourpublickeyhasbeensavedin root ssh id dsa pub Thekeyfingerprintis 1b 31 87 ee a8 ba 67 0c 04 24 02 bb 1a 0f 00 8droot gdlc gongguan 23 23 OPENSSH配置 DSA密钥对的安装私钥的安装私钥存放在用户根目录下的 HOME ssh id dsa中 公钥的安装DSA公用密钥的安装几乎和RSA安装完全一样 公钥存放在 HOME ssh id dsa pub中 用户应该把id dsa pub复制到远程服务器中 改名 HOME ssh authorized keys存放到用户根目录下 例如 scp ssh id dsa pubuser remote catid dsa pub ssh authorized keys 24 24 OPENSSH使用 Openssh的使用 sshadmin 192 168 2 202Enterpassphraseforkey home admin ssh id dsa 输入你的DSA认证密码 登陆成功 sshadmin 192 168 2 202Enterpassphraseforkey home admin ssh id rsa 输入你的RSA认证密码 登陆成功 25 25 OPENSSH使用 Openssh的使用 sshgongguan 192 168 2 202Theauthenticityofhost 192 168 2 202 192 168 2 202 can tbeestablished RSAkeyfingerprintis00 eb d3 41 f0 92 14 8b 30 20 2a 5d 32 71 c8 32 Areyousureyouwanttocontinueconnecting yes no yesWarning Permanentlyadded 192 168 2 202 RSA tothelistofknownhosts gongguan 192 168 2 202 spassword scp 安全 加密的连接在机器间传输文件 把本地文件传输给远程系统语法 scplocalfileusername desthostname newfilenamelocalfile指源文件 username