第19章远程系统管理(2013年东北大学秦皇岛分校数学与统计学院崔向南版)

1、第19章 远程系统管理 本章学习目标本章学习目标 了解了解Linux系统的远程管理，系统的远程管理， 学习使用学习使用Telnet等进行远程管理。等进行远程管理。 主要内容 使用Telnet远程管理 更安全的SSH 图形化的远程管理工具 19.1使用Telnet Telnet是经典的远程管理服务，它起源于1969年 的ARPANET，全称是“电信网络协 议”(Telecommunication Network Protocol)。这 个迄今已使用了近四十多年的应用，虽然由于使 用明文传送信息造成安全隐患而颇遭人非议，但 不可否认，它仍然是当今使用得最多的远程管理 方式之一。 用户Telnet登

2、录进行远程管理计算机时，需要启 动两个程序，一个是您面前的计算机中运行的客 户端程序；另一个是您要登录进行操作的远程的 计算机上的服务器端程序。在Internet中，很多 应用都采取这样一种客户机/服务器结构。 19.1使用Telnet 1、建立telnet服务器 2、使用Telnet客户端 守护进程 l在linux系统中，服务器程序也被称为守护进 程。 l客户机发出的各种网络通信请求，在服务器端 是由各种守护进程来处理的。 l例如：named、httpd、xinetd等等 l配置系统自动运行服务 1、ntsysv 2、服务配置窗口 超级网络服务xinetd Xinetd的主要任务是为inte

3、rnet服务监听网络 请求。Xinetd监听配置文件所列出的tcp、udp 端口，一旦有客户请求这些端口，xinetd首先 会检查客户的请求是否满足配置文件的访问控 制规则。如果检查通过就会启动相应的服务器 进程。 Xinetd的配置文件 /etc/xinetd.conf 修改信息后，需要重新启动xinetd。 service xinetd restart Ntsysv与服务配置窗口 telnet 服务配置 1、查询软件包 telnet-client (或 telnet)，这个软件包提 供的是 telnet 客户端程序； telnet-server 软件包，这个才是真正的 Telnet ser

4、ver 软件包！安装之前先检测是否 这些软件包已安装 。 rootlocalhost#rpm q telnet-server telnet 服务配置 2、安装软件包 #rpm ivh telnet-server*.i386.rpm telnet 服务配置 启动启动telnettelnet服务服务 方法一：使用ntsysv,在出现的窗口之中，将 telnet 勾选起来，然后按下 OK 即可 ！ 方法二：编辑 /etc/xinetd.d/telnet rootlocalhost# vi /etc/xinetd.d/telnet 找到 disable = yes 将 yes 改成 no 即可！ 服务

5、预设是关闭的 telnet 服务配置 telnet 服务配置 激活服务 telnet 是挂在 xinetd 底下的，所以自然只 要重新激活 xinetd 就能够将 xinetd 里头的 设定重新读进来，所以刚刚设定的 telnet 自 然也就可以被激活。 rootlocalhost# service xinetd restart telnet 服务配置 测试服务测试服务 rootlocalhost#telnet ip(或者 hostname） 如果配置正确，系统提示输入远程机器的用户 名和密码。 注：默认只允许普通用户 telnet 服务配置 设置设置telnettelnet端口端口 #vi

6、/etc/services 进入编辑模式后查找telnet 会找到如下内容： telnet 23/tcp telnet 23/udp 将23修改成未使用的端口号(如：2000)，退出vi， 重启telnet服务，telnet默认端口号就被修改了。 telnet 服务配置 TelnetTelnet服务限制服务限制 如果原本的默认值你并不满意，那么你可 以修改成比较安全一点的机制。假设你这个 Linux 是一部主机，而且他有两块网络接口， 分别是对内的 与对外的 7 这两个，如果你想要让对内的 接口限制较松，而对外的限制较严格，你可以 这样的来设定：

7、 telnet 服务配置 #vi /etc/xinetd.d/telnet # 先针对对内的较为松散的限制来设定： service telnet disable = no =激活 telnet 服务 bind = =只允许经由这个适配卡的 封包进来 only_from = /16 =只允许 /16 这个网段的主机联机进来使用 telnet 的 服务 . telnet 服务配置 # 再针对外部的联机来进行限制 service telnet disable = no =激活 telnet 服务 bind = 210.45.16

8、0.17 =只允许经由这个适配 卡的封包进来 only_from = /24=只允许 55 这个网段联机进来使用 telnet 的服务 only_from = =重复设定，只有教育网才能联 机！ no_access = 0,26=不许这些 PC 登 入 access_times= 1:00-9:00 20:00-23:59 =每天只有这 两个时段开放服务 . telnet 服务配置 Telnet rootTelnet root用户的登入用户的登入 root 不能直接以 telnet 连接上主机。

9、 telnet 不是 很安全，默认的情况之下就是无法允许 root 以 telnet 登入 Linux 主机的 。若要允许root用户登入， 可用下列方法： root test /root# vi /etc/pam.d/login #auth required pam_securetty.so #将这一行加上注 释！ 或# mv /etc/securetty /etc/securetty.bak 这样一来， root 将可以直接进入 Linux 主机。不过， 建议不要这样做。还可以在普通用户进入后，切换到 root用户,拥有root的权限！ telnet 服务配置 telnet 客户端配置 t

10、elnet 客户端配置 telnet 客户端配置 telnet 客户端配置 telnet 客户端配置 19.2 安全的SSH 因为Telnet出现时间很早，那时候的互联 网远没有现在这样的复杂，几乎所有的的 应用仅以实现功能为主，没有过多考虑网 络安全。 现在看来Telnet远程登录传输的是明文， 以及没有加密等等缺点，都可能会带来很 大的管理风险，因此需要Telnet的替代工 具，SSH(Security SHell)安全Shell，就 是一种新的、比较好的远程管理方式。 19.2 安全的SSH SSH简介 传统的远程登录程序，在网络上用明文传送口 令和数据，这些口令和数据非常容易就可以被

11、截获，从而造成信息的泄漏 需要有更安全的管理方法。 19.2 安全的SSH 配置OpenSSH服务器 OpenSSH 服务器在系统默认安装时设置已经安 装在系统中了，并设置为随系统一起启动。 启动服务 停止服务 重启服务 19.2 安全的SSH 使用OpenSSH客户端 Red Hat Linux 9上直接带有OpenSSH客户端，使用该客 户端连接服务器时，可以使用两种用户验证方式： 1. 基于口令的验证方式 2. 基于密钥的验证方式 19.3 使用图形化的VNC VNC概述 对于并不太熟悉Linux命令，又用惯了Windows 的新手来说，要记住大量的Linux命令，使用交 互能力较差的命

12、令行模式还是十分困难的。 类似Windows下的“终端服务”Terminal Server、 PCAnywhere等，现在Linux下也有了这类的图形 化的远程管理方式，最著名的是VNC。 19.3 使用图形化的VNC 在Red Hat Linux9中，默 认安装了VNC的服务器端 Vncserver和客户端 Vncviewer。在Linux系统 中，VNC的工作原理如图 所示。 19.4 更加安全的使用VNC 工作原理 VNC使用Random Challenge-Response System的 (随机挑战响应系统)方案，提供基本的身份验 证，用来验证到VNC服务器的连接。这是比较安 全的验

13、证机制，因为这种机制在认证过程中并 不需要传输口令。 但是，当与服务器建立了连接之后，VNC浏览器 和VNC服务器之间的数据传输就完全是以未加密 的明文方式传送，这样传输的数据就可能被网 络中的窃听者窃听，造成关键数据和秘密的泄 漏。 19.4 更加安全的使用VNC 实现 还记得前面讲的OpenSSH吗？它可不仅仅只是一 种安全的远程管理工具，它同时也可以为其他 各种网络应用提供一个安全保密的“隧道”。这 就是OpenSSH的端口转发功能(Port Forwarding)。 端口转发的工作原理就是把本地客户端的一个 端口映射为远端的服务器的服务端口。SSH允许 用户映射服务器的任一服务端口到本地客户机 的任何没有使用的端口上