教学材料《Linux教程》-项目七

模块1远程控制一、教学目标①掌握OpenSSH服务器的安装、使用和配置方法。②熟悉OpenSSH客户端的使用方法。二、工作任务用OpenSSH实现远程登录应用。下一页返回模块1远程控制

三、相关知识点1.OpenSSH的概念网络管理员对服务器的配置、维护与数据更新往往都是采用远程管理的方式进行的,其中较常用的工具与服务有Telnet、FTP、Rlogin、RSH或RCP等,但这些工具都是采用明文方式进行传输的,信息在传输的过程中被截获后易被破解。基于安全的考虑,芬兰一家公司开发出SSH(SecureShell)软件,它对网络中传输的数据进行了加密,保障了系统的安全性,但SSH现在已经成为商业软件,故在RHEL5中采用了由OpenBSD维护的OpenSSH来取代早期的SSH,它分为服务端和客户端。上一页下一页返回模块1远程控制

2.OpenSSH的安装与配置①OpenSSH的安装:首先查看RHEL5中是否安装了OpenSSH,如下所示:如果显示OpenSSH的版本号,则表明安装成功。如果系统内没有安装OpenSSH,那么需要将第3张安装光盘放入光驱,切换至/server目录,查找并安装以下软件包:上一页下一页返回模块1远程控制

②OpenSSH的配置:配置OpenSSH服务器,主要通过/etc/ssh/sshd_config来完成,部分代码如下:OpenSSH默认提供监听服务端口为22,如果用户希望将服务端口修改为另外的值,比如123,那么可以修改第13行,将#号删除,并将22修改为123即可。OpenSSH默认可以使用SSH1及SSH2版本的协议,在第15行指定了优先使用SSH2版本协议。上一页下一页返回模块1远程控制

③启动、关闭、重新启动OpenSSH服务器与查看OpenSSH当前状态,如下所示:3.使用OpenSSH远程管理Linux服务器(1)指定用户登录其中,sshserver为SSH服务器的IP地址或域名;username为SSH服务器中的合法用户。上一页下一页返回模块1远程控制

(2)使用scp命令安全地复制文件例1:将本地文件复制到远程主机上。将本地/etc/fstab文件复制到远程主机用户soft的家目录下。例2:将远程文件复制到本地机上。将远程主机soft用户家目录下的fstab文件复制到本地机的/var/ftp目录下。上一页下一页返回模块1远程控制

四、实现方法1.项目要求使用OpenSSH对Linux服务器进行远程登录应用。Linux服务器的IP地址为,子网掩码为;客户机也采用Linux系统,IP地址为1,子网掩码为。上一页下一页返回模块1远程控制

要求:①查看OpenSSH服务器软件是否已安装。②启动OpenSSH服务端程序,并验证是否开启了OpenSSH服务端。③在OpenSSH服务器上添加一个名为student1、密码为123456的账户。④在Linux客户机上利用OpenSSH的客户端登录OpenSSH服务器,修改student1的密码为1234567890。⑤在Linux客户机上将客户机文件/etc/named.conf复制到服务器指定用户的家目录。⑥在Linux客户机上将远程服务器/var/ftp/pub/index.html复制到客户机的/tmp目录下。上一页下一页返回模块1远程控制

2.配置步骤说明操作步骤如下:第一步:#rpm-qa|grepssh//出现版本号,表明安装成功第二步:#servicesshdstart//开启22端口#telnet22第三步:在服务器上进行如下设置:#useraddstudent1#passwdstudent1

//设置密码为123456第四步:在客户机上进行如下设置:上一页下一页返回模块1远程控制

接着输入student1账户和密码,登录成功后,用passwd命令就可以修改密码了。第五步:在客户机上进行如下设置:第六步:在客户机上进行如下设置:上一页返回模块2服务器安全一、教学目标①了解iptables工作原理。②掌握iptables的配置方法。③掌握iptables的测试方法。二、工作任务防火墙在一个安全的网络组成中是不可以缺少的,但是考虑到成本、对协议的支持等因素,通常采用iptables作为防火墙。主要意图是让它强制执行安全策略,使网络周围能够创建一个安全的边界。下一页返回模块2服务器安全三、相关知识点1.iptables的概念netfilter/iptables(其中包括netfilter和iptables两个组件)组成了Linux平台下的包过滤防火墙,它与大多数的Linux自带软件一样,这个防火墙是免费提供的,它可以代替昂贵的企业级防火墙来解决实际问题与实际方案,完成封包过滤、封包重定向和网络地址转换等功能。iptables并不是最早出现的防火墙软件,它的前身是ipchains。随着发展到Linux2.4.×内核以后,ipchains逐渐被功能更加强大的iptables所代替。iptables可以检查数据包的源和目的IP地址、源和目的端口、流入数据包的顺序号、TCP先后顺序的信息及包头标记(SYN、ACK、FIN、RST等)的状态。iptables会跟踪整个会话过程,从而提高安全性和包过滤的效率。上一页下一页返回模块2服务器安全2.iptables的工作原理数据包从外网传送到防火墙后,防火墙在IP层向TCP层传送之前将数据包转发给检查模块进行处理。其过程如下。①首先与第一个过滤规则比较。②如果与第一个模块相同,则对它进行审核,判断是否要转发该数据包,这时审核的结果是转发数据包,则将数据包发送到TCP层进行处理,否则就将它丢弃。③如果与第一个过滤规则不同,则接着与第二个规则相比较,如果相同,则对它进行审核,过程与上一步相同。④如果与第二个过滤规则不同,则继续与下一个过滤规则比较,直到与所有的过滤规则比较完成。如果不满足所有的过滤规则,就将数据丢弃。上一页下一页返回模块2服务器安全包检查器并不检查数据包的所有内容,它通常只检查下列几项:IP源地址ICMP消息类型IP目标地址TCP报头中的ACK位TCP或UDP的源端口号TCP的序列号、确认号TCP或UDP的目的端口号协议类型iptables的工作原理如图7-2-1所示。上一页下一页返回模块2服务器安全3.iptables命令与参数(1)-A例子:iptables-AINPUT…解释:在所选择的链末添加规则。当源地址或目的地址是以名字而不是IP地址的形式出现时,若这些名字可以被解析为多个地址,则这条规则会和所有可用的地址结合。(2)-p例子:iptables-ptcp解释:数据包分为TCP进行判断(包一般分为TCP、UDP及ICMP封装)。(3)-s例子:iptables-s192.168.1.1解释:与所有来自192.168.1.1这一IP地址的信息包进行匹配。上一页下一页返回模块2服务器安全(4)ACCEPT例子:iptables-jACCEPT解释:当信息包与具有ACCEPT目标的规则完全匹配时,会被接收。(5)DROP例子:iptables-jDROP解释:当信息包与具有ACCEPT目标的规则完全匹配时,会被拒绝。(6)--dport例子:iptables--dport80解释:与所有来自外部进入内部服务器的信息包进行80端口匹配。上一页下一页返回模块2服务器安全四、实现方法1.项目要求配置一台运行Linux的服务器,服务器的IP地址是192.168.0.5,子网掩码是255.255.255.0,默认网关是192.168.0.1。客户机采用Windows系统。要求:源地址是192.168.0.0/24的客户机都禁止访问这台Linux服务器的Web服务。上一页下一页返回模块2服务器安全2.配置步骤说明操作步骤如下:(1)网络参数配置设置服务器的IP地址为192.168.0.5,子网掩码为255.255.255.0,网关地址为192.168.0.1,并关闭防火墙。(2)查看是否安装iptables打开终端,在终端输入命令“rpm-qiptables”,如果出现iptables版本信息,说明已安装了iptables服务器,如图7-2-2所示。(3)启动Apache服务器①在/var/www/html下建立主页文件:上一页下一页返回模块2服务器安全②打开终端,在终端输入命令“servicehttpdstart”,启动Apache服务器。③用WinXP客户机测试,具体步骤如下:设置WinXP客户机的IP地址为192.168.0.100,子网掩码为255.255.255.0。在WinXP中打开IE浏览器,在地址栏中输入http://192.168.0.5:80,如出现图7-2-3中的内容,则说明80端口已打开。(4)编写脚本打开终端,在终端中输入“vi/etc/rc.d/rc.local”。上一页下一页返回模块2服务器安全输入如下内容:(5)启动iptables服务及运行脚本在终端输入命令serviceiptablesstart,启动iptables服务,然后在终端输入命令“./etc/rc.d/rc.local”,运行脚本中