LINUX+服务器管理技术.ppt

1、LINUX 服务器管理技术,田 钧,2,2,第十五章 TELNET、OPENSSH,TELNET的简介 TELNET的安装 TELNET的使用 OPENSSH简介 OPENSSH安装 OPENSSH配置 OPENSSH使用,3,3,TELNET简介,TELNET简介 Telnet协议是TCP/IP协议族中的一员，是 Internet远程登陆服务的标准协议。 应用Telnet协议能够把本地用户所使用的 计算机变成远程主机系统的一个终端。,4,4,TELNET的简介,Telnet远程登录过程1）本地与远程主机建立连接。该过程实际上是建立一个TCP连接，用户必须知道远程主机的Ip地址或域名；2）将本

2、地终端上输入的用户名和口令及以后输入的任何命令或字符以NVT（Net Virtual Terminal）格式传送到远程主机。该过程实际上是从本地主机向远程主机发送一个IP数据报；3）将远程主机输出的NVT格式的数据转化为本地所接受的格式送回本地终端，包括输入命令回显和命令执行结果；4）最后，本地终端对远程主机进行撤消连接。该过程是撤销一个TCP连接。,5,5,TELNET的安装,TELNET的安装 （REDHAT AS 3.0） # rpm -ivh telnet-0.17-26.i386.rpm # rpm -ivh telnet-server-0.17-26.i386.rpm TELNET

3、安装信息 # rpm -qip telnet-0.17-26.i386.rpm # rpm -qip telnet-server-0.17-26.i386.rpm,6,6,TELNET的配置,TELNET的重要文件 /etc/xinetd.d/telnet TELNET服务配置文件 /usr/sbin/in.telnetd TELNET服务守候程序 /usr/bin/telnet TELNET终端工具,7,7,TELNET的配置,编辑/etc/xinetd.d/telnet # default: on # description: The telnet server serves telnet

4、 sessions; it uses # unencrypted username/password pairs for authentication. service telnet disable = yes ； 如果需要启动telnet服务需要把yes改为no flags = REUSE socket_type = stream wait = no user = root server = /usr/sbin/in.telnetd log_on_failure += USERID ,8,8,TELNET的配置,Telnet服务限制 telnet以明文传送口令和数据，如果对其默认的设置不满意

5、，可以对其服务范围进行限制。 假设主机的IP地址是7，可以按以下方式设置： #vi /etc/xinetd.d/telnet service telnet . Disable = no #激活 telnet 服务,no only_from = /16 #只允许 55 这个网段进入 only_from = #只有教育网才能进入！ no_access = 15,116 #这两个IP地址不可登陆 access_times = 8:00-12:00 20:00-23:59 #每天只有这两个

6、时间段开放服务 . ,9,9,TELNET的启动,启动telnet服务 # service xinetd restart 查看服务是否启动 # netstat -an |grep LISTEN |grep :23 tcp 0 0 :23 :* LISTEN （Telnet服务监听tcp 23号端口）,10,10,TELNET的使用,使用telnet服务登陆 # telnet 02 Trying 02. Connected to 02 (02). Escape character

7、is . Red Hat Enterprise Linux AS release 3 (Taroon Update 2) Kernel 2.4.21-15.EL on an i686 login: admin Password: $,11,11,TELNET的使用,允许root直接登录 默认情况下系统不允许root直接登陆，如果要 允许root直接登录，编辑/etc/securetty ，增 添如下行到文件尾部。 pts/0 pts/1 pts/2 ,12,12,TELNET的缺点,明文传输，容易捕获 漏洞较多，易导致缓存溢出 效率不高,13,13,OPENSSH的简介,OPENSSH的简介

8、OpenSSH是SSH（Secure SHell）协议的免费开源实现。它用安全、加密的网络连接工具代替了telnet、ftp、rlogin、rsh和rcp工具。该协议默认使用RSA钥匙 OpenSSH支持SSH协议的版本1.3、1.5和2。自从OpenSSH的版本2.9以来，默认的协议是版本2。最新OpenSSH版本：3.9,14,14,OPENSSH的简介,OPENSSH优点 加密方式传输 传输数据经过压缩,可加快传输速 可实现远程控制、数据传输（拷贝及FTP方式）,15,15,OPENSSH的安装,安装OPENSSH （redhat as 3.0） # rpm ivh openssh-3.

9、6.1p2-33.30.1.i386.rpm # rpm ivh openssh-clients-3.6.1p2-33.30.1.i386.rpm # rpm ivh openssh-server-3.6.1p2-33.30.1.i386.rpm,16,16,OPENSSH配置,OPENSSH 主要配置文件和程序 /etc/pam.d/sshd pam认证配置文件 /etc/rc.d/init.d/sshd 启动脚本 /etc/ssh/sshd_config 主配置文件 /usr/sbin/sshd 服务守候程序 /usr/bin/sftp 安全ftp工具 /usr/bin/scp 安全拷贝工

10、具 /usr/bin/ssh 安全登陆工具,17,17,OPENSSH配置,配置文件/etc/ssh/sshd_config # more sshd_config #Port 22 #Protocol 2,1 #ListenAddress #ListenAddress : # Logging #SyslogFacility AUTH SyslogFacility AUTHPRIV #LogLevel INFO # Authentication: #LoginGraceTime 120 #PermitRootLogin yes #StrictModes yes #RSAAuthe

11、ntication yes #PubkeyAuthentication yes #AuthorizedKeysFile .ssh/authorized_keys ,18,18,OPENSSH配置,一些OPENSSH的缺省配置 监听所有网络接口；使用TCP 22号端口； #Port 22 #ListenAddress 记录有关认证信息 #SyslogFacility AUTH SyslogFacility AUTHPRIV #LogLevel INFO 允许root直接登陆 #PermitRootLogin yes,19,19,OPENSSH配置,RSA 和 DSA 认证协议 R

12、SA 和 DSA 认证协议的基础是一对专门生成的密钥，分别叫做专用密钥和公用密钥。在许多情况下，有可能不必手工输入密码就能建立起安全的连接。 SSH 协议第一版支持基于 RSA 的认证。 SSH 协议第二版支持使用 RAS 或 DSA 算法。,20,20,OPENSSH配置,RSA认证协议， RSA 密钥对的生成 # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty f

13、or no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub. The key fingerprint is: 64:c8:a8:fc:a8:ca:60:a3:cf:90:7a:61:9b:2e:f0:e7 rootgdlc-gongguan #,21,21,OPENSSH配置,RSA认证协议，RSA 密钥的安装 私钥的安装 私钥存放在用

14、户根目录下的 $HOME/.ssh/id_rsa中 。 公钥的安装 公钥存放在 $HOME/.ssh/id_rsa.pub中. 用户应该把id_rsa.pub复制到远程服务器中, 改名 $HOME/.ssh/authorized_keys 存放到用户根目录下。 例如： $ scp /.ssh/ id_rsa.pub userremote: $ cat id_rsa.pub /.ssh/authorized_keys,22,22,OPENSSH配置,DSA认证协议，DSA 密钥对的生成 # ssh-keygen -t dsa Generating public/private dsa key p

15、air. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa. Your public key has been saved in /root/.ssh/id_dsa.pub. The key fingerprint is: 1b:31:87:ee:a8:ba:67:0c:04:

16、24:02:bb:1a:0f:00:8d rootgdlc-gongguan #,23,23,OPENSSH配置,DSA 密钥对的安装 私钥的安装 私钥存放在用户根目录下的 $HOME/.ssh/ id_dsa中 。 公钥的安装 DSA 公用密钥的安装几乎和 RSA 安装完全一样。公钥存放在 $HOME/.ssh/ id_dsa.pub中. 用户应该把id_dsa.pub复制到远程服务器中, 改名 $HOME/.ssh/authorized_keys 存放到用户根目录下。 例如： $ scp /.ssh/ id_dsa.pub userremote: $ cat id_dsa.pub /.ss

17、h/authorized_keys,24,24,OPENSSH使用,Openssh的使用 $ ssh admin02 Enter passphrase for key /home/admin/.ssh/id_dsa: 输入你的DSA认证密码 $登陆成功 $ ssh admin02 Enter passphrase for key /home/admin/.ssh/id_rsa: $输入你的RSA认证密码 $登陆成功,25,25,OPENSSH使用,Openssh的使用 # ssh gongguan02 The authentic

18、ity of host 02 (02) cant be established. RSA key fingerprint is 00:eb:d3:41:f0:92:14:8b:30:20:2a:5d:32:71:c8:32. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 02 (RSA) to the list of known hosts. gongguan02s password: $ scp(安全、加密的连接在机器间传输文件） 把本地文件传输给远程系统语法： scp localfile usernamedesthostname:/newfilename localfile 指源文件， u