二远程管理Linux服务器.pptx

远程管理LinuxTELNET、SSH实训任务（一）（一）配置配置telnettelnet服务器服务器实现功能：实现功能：1 1、实现本地用户登陆、实现本地用户登陆 2 2、允许、允许rootroot用户直接登陆系统。用户直接登陆系统。（二）（二）配置配置opensshopenssh服务器服务器实现功能：实现功能：1 1、实现本地用户登陆、实现本地用户登陆 2 2、使用、使用rsarsa认证。认证。3 3、禁止、禁止rootroot用户直接登陆系统。用户直接登陆系统。4 4、更改、更改sshssh监听端口为监听端口为222222 TELNET简介TelnetTelnet协议是协议是TCP/IPTCP/IP协议族中的一员，是协议族中的一员，是InternetInternet远程登陆服务的标准协议。远程登陆服务的标准协议。应用应用TelnetTelnet协议能够把本地用户所使用的协议能够把本地用户所使用的计算机变成远程主机系统的一个终端。计算机变成远程主机系统的一个终端。TELNET的简介TelnetTelnet远程登录过程远程登录过程1 1）本地与远程主机建立连接。该过程实际上是建立一个）本地与远程主机建立连接。该过程实际上是建立一个TCPTCP连接，连接，用户必须知道远程主机的用户必须知道远程主机的IpIp地址或域名；地址或域名；2 2）将本地终端上输入的用户名和口令及以后输入的任何命令或字）将本地终端上输入的用户名和口令及以后输入的任何命令或字符以符以NVTNVT（Net Virtual TerminalNet Virtual Terminal）格式传送到远程主机。该过程格式传送到远程主机。该过程实际上是从本地主机向远程主机发送一个实际上是从本地主机向远程主机发送一个IPIP数据报；数据报；3 3）将远程主机输出的）将远程主机输出的NVTNVT格式的数据转化为本地所接受的格式送格式的数据转化为本地所接受的格式送回本地终端，包括输入命令回显和命令执行结果；回本地终端，包括输入命令回显和命令执行结果；4 4）最后，本地终端对远程主机进行撤消连接。该过程是撤销一个）最后，本地终端对远程主机进行撤消连接。该过程是撤销一个TCPTCP连接。连接。TELNET的安装TELNETTELNET的安装的安装 （REDHAT AS 4.4REDHAT AS 4.4）#rpm-ivh telnet-0.17-31.i386.rpmrpm-ivh telnet-0.17-31.i386.rpm#rpm-ivh telnet-server-0.17-31.i386.rpm#rpm-ivh telnet-server-0.17-31.i386.rpmTELNETTELNET安装信息安装信息#rpm-qip telnet-0.17-31.i386.rpmrpm-qip telnet-0.17-31.i386.rpm#rpm-qip telnet-server-0.17-31.i386.rpmrpm-qip telnet-server-0.17-31.i386.rpm（REDHAT EL 5.6REDHAT EL 5.6）telnet-server-0.17-39.el5.i386telnet-server-0.17-39.el5.i386TELNET的配置TELNETTELNET的重要文件的重要文件/etc/xinetd.d/telnet TELNET/etc/xinetd.d/telnet TELNET服务配置文件服务配置文件/usr/sbin/in.telnetd TELNET/usr/sbin/in.telnetd TELNET服务守候程序服务守候程序/usr/bin/telnet TELNET/usr/bin/telnet TELNET终端工具终端工具TELNET的配置编辑编辑/etc/xinetd.d/telnet etc/xinetd.d/telnet#default:on#default:on#description:The telnet server serves telnet sessions;it uses#description:The telnet server serves telnet sessions;it uses#unencrypted username/password pairs for authentication.#unencrypted username/password pairs for authentication.service telnetservice telnet disable=yes disable=yes ；如果需要启动如果需要启动telnettelnet服务需要把服务需要把yesyes改为改为no no flags =REUSE flags =REUSE socket_type =stream socket_type =stream wait =no wait =no user =root user =root server =/usr/sbin/in.telnetd server =/usr/sbin/in.telnetd log_on_failure +=USERID log_on_failure +=USERID TELNET的启动启动启动telnettelnet服务服务#service xinetd startservice xinetd start查看服务是否启动查看服务是否启动#netstat-an|grep LISTEN|grep:23#netstat-an|grep LISTEN|grep:23tcp 0 0 0.0.0.0:23 0.0.0.0:*LISTENtcp 0 0 0.0.0.0:23 0.0.0.0:*LISTEN（TelnetTelnet服务监听服务监听tcp 23tcp 23号端口）号端口）TELNET的使用使用使用telnettelnet服务登陆服务登陆#telnet 192.168.2.202#telnet 192.168.2.202Trying 192.168.2.202.Trying 192.168.2.202.Connected to 192.168.2.202(192.168.2.202).Connected to 192.168.2.202(192.168.2.202).Escape character is.Escape character is.Red Hat Enterprise Linux AS release 3(Taroon Update 2)Red Hat Enterprise Linux AS release 3(Taroon Update 2)Kernel 2.4.21-15.EL on an i686Kernel 2.4.21-15.EL on an i686login:adminlogin:adminPassword:Password:$TELNET的使用允许允许rootroot直接登录直接登录 默认情况下系统不允许默认情况下系统不允许rootroot直接登陆，如果要直接登陆，如果要允许允许rootroot直接登录，编辑直接登录，编辑/etc/securetty/etc/securetty，增，增添如下行到文件尾部，多加几个。添如下行到文件尾部，多加几个。pts/0pts/0pts/1pts/1pts/2pts/2TELNET的缺点明文传输，容易捕获明文传输，容易捕获漏洞较多，易导致缓存溢出漏洞较多，易导致缓存溢出效率不高效率不高OPENSSH的简介OPENSSHOPENSSH的简介的简介OpenSSHOpenSSH是是SSHSSH（Secure Secure SHellSHell）协协议议的的免免费费开开源源实实现现。它它用用安安全全、加加密密的的网网络络连连接接工工具具代代替替了了telnettelnet、ftpftp、rloginrlogin、rshrsh和和rcprcp工具。该协议默认使用工具。该协议默认使用RSARSA钥匙钥匙OpenSSHOpenSSH支持支持SSHSSH协议的版本是协议的版本是3.93.9OPENSSH的简介OPENSSHOPENSSH优点优点加密方式传输加密方式传输传输数据经过压缩传输数据经过压缩,可加快传输速可加快传输速可可实实现现远远程程控控制制、数数据据传传输输（拷拷贝贝及及FTPFTP方式）方式）OPENSSH的安装安装安装OPENSSH OPENSSH（redhat as 4.4redhat as 4.4）#rpm#rpm ivh openssh*ivh openssh*rootlocalhost#rpm-qa|grep opensshrootlocalhost#rpm-qa|grep opensshopenssh-clients-3.9p1-8.RHEL4.15openssh-clients-3.9p1-8.RHEL4.15openssh-askpass-gnome-3.9p1-8.RHEL4.15openssh-askpass-gnome-3.9p1-8.RHEL4.15openssh-server-3.9p1-8.RHEL4.15openssh-server-3.9p1-8.RHEL4.15openssh-askpass-3.9p1-8.RHEL4.15openssh-askpass-3.9p1-8.RHEL4.15openssh-3.9p1-8.RHEL4.15openssh-3.9p1-8.RHEL4.15redhat el 5.6redhat el 5.6系统默认已经自带系统默认已经自带OPENSSH配置OPENSSH OPENSSH 主要配置文件和程序主要配置文件和程序/etc/pam.d/sshd pam/etc/pam.d/sshd pam认证配置文件认证配置文件/etc/rc.d/init.d/sshd /etc/rc.d/init.d/sshd 启动脚本启动脚本/etc/ssh/sshd_config /etc/ssh/sshd_config 主配置文件主配置文件/usr/sbin/sshd /usr/sbin/sshd 服务守候程序服务守候程序/usr/bin/sftp /usr/bin/sftp 安全安全ftpftp工具工具/usr/bin/scp /usr/bin/scp 安全拷贝工具安全拷贝工具/usr/bin/ssh /usr/bin/ssh 安全登陆工具安全登陆工具OPENSSH配置配置文件配置文件/etc/ssh/sshd_config/etc/ssh/sshd_config#more sshd_config#more sshd_config#Port 22#Port 22#Protocol 2,1#Protocol 2,1#ListenAddress 0.0.0.0#ListenAddress 0.0.0.0#ListenAddress:#ListenAddress:#Logging#Logging#SyslogFacility AUTH#SyslogFacility AUTHSyslogFacility AUTHPRIVSyslogFacility AUTHPRIV#LogLevel INFO#LogLevel INFO#Authentication:#Authentication:#LoginGraceTime 120#LoginGraceTime 120#PermitRootLogin yes#PermitRootLogin yes#StrictModes yes#StrictModes yes#RSAAuthentication yesRSAAuthentication yes#PubkeyAuthentication yes#PubkeyAuthentication yes#AuthorizedKeysFile .ssh/authorized_keys#AuthorizedKeysFile .ssh/authorized_keysOPENSSH配置一些一些OPENSSHOPENSSH的缺省配置的缺省配置监听所有网络接口；使用监听所有网络接口；使用TCP 22TCP 22号端口；号端口；#Port 22#Port 22#ListenAddress 0.0.0.0#ListenAddress 0.0.0.0记录有关认证信息记录有关认证信息#SyslogFacility AUTH#SyslogFacility AUTHSyslogFacility AUTHPRIVSyslogFacility AUTHPRIV#LogLevel INFO#LogLevel INFO允许允许rootroot直接登陆直接登陆#PermitRootLogin yes#PermitRootLogin yesOPENSSH配置RSA RSA 和和 DSA DSA 认证协议认证协议 RSA RSA 和和 DSA DSA 认证协议的基础是一对专门生成认证协议的基础是一对专门生成的密钥，分别叫做专用密钥和公用密钥。在许的密钥，分别叫做专用密钥和公用密钥。在许多情况下，有可能不必手工输入密码就能建立多情况下，有可能不必手工输入密码就能建立起安全的连接。起安全的连接。SSH SSH 协议第一版支持基于协议第一版支持基于 RSA RSA 的认证。的认证。SSH SSH 协议第二版支持使用协议第二版支持使用 RAS RAS 或或 DSA DSA 算法。算法。OPENSSH配置RSARSA认证协议，认证协议，RSA RSA 密钥对的生成密钥对的生成#ssh-keygen-t rsa#ssh-keygen-t rsaGenerating public/private rsa key pair.Generating public/private rsa key pair.Enter file in which to save the key(/root/.ssh/id_rsa):Enter file in which to save the key(/root/.ssh/id_rsa):Enter passphrase(empty for no passphrase):Enter passphrase(empty for no passphrase):Enter same passphrase again:Enter same passphrase again:Your identification has been saved in/root/.ssh/id_rsa.Your identification has been saved in/root/.ssh/id_rsa.Your public key has been saved in/root/.ssh/id_rsa.pub.Your public key has been saved in/root/.ssh/id_rsa.pub.The key fingerprint is:The key fingerprint is:64:c8:a8:fc:a8:ca:60:a3:cf:90:7a:61:9b:2e:f0:e7 64:c8:a8:fc:a8:ca:60:a3:cf:90:7a:61:9b:2e:f0:e7 rootgdlc-rootgdlc-gongguangongguan#OPENSSH配置RSARSA认证协议，认证协议，RSA RSA 密钥的安装密钥的安装私钥的安装私钥的安装 私钥存放在用户根目录下的私钥存放在用户根目录下的$HOME/.ssh/id_rsaHOME/.ssh/id_rsa中中 。公钥的安装公钥的安装 公公钥钥存存放放在在$HOME/.ssh/id_rsa.pubHOME/.ssh/id_rsa.pub中中.用用户户应应该该把把id_rsa.pubid_rsa.pub复复 制制 到到 远远 程程 服服 务务 器器 中中,改改 名名$HOME/.ssh/authorized_keys HOME/.ssh/authorized_keys 存放到用户根目录下。存放到用户根目录下。例如：例如：$scp/.ssh/id_rsa.pub userremote:$cat id_rsa.pub /.ssh/authorized_keys OPENSSH配置DSADSA认证协议，认证协议，DSA DSA 密钥对的生成密钥对的生成#ssh-keygen -t dsa#ssh-keygen -t dsaGenerating public/private dsa key pair.Generating public/private dsa key pair.Enter file in which to save the key(/root/.ssh/id_dsa):Enter file in which to save the key(/root/.ssh/id_dsa):Enter passphrase(empty for no passphrase):Enter passphrase(empty for no passphrase):Enter same passphrase again:Enter same passphrase again:Your identification has been saved in/root/.ssh/id_dsa.Your identification has been saved in/root/.ssh/id_dsa.Your public key has been saved in/root/.ssh/id_dsa.pub.Your public key has been saved in/root/.ssh/id_dsa.pub.The key fingerprint is:The key fingerprint is:1b:31:87:ee:a8:ba:67:0c:04:24:02:bb:1a:0f:00:8d 1b:31:87:ee:a8:ba:67:0c:04:24:02:bb:1a:0f:00:8d rootgdlc-rootgdlc-gongguangongguan#OPENSSH配置DSA DSA 密钥对的安装密钥对的安装私钥的安装私钥的安装 私钥存放在用户根目录下的私钥存放在用户根目录下的$HOME/.ssh/id_dsaHOME/.ssh/id_dsa中中 。公钥的安装公钥的安装 DSA DSA 公公用用密密钥钥的的安安装装几几乎乎和和 RSA RSA 安安装装完完全全一一样样。公公钥钥存存放放在在$HOME/.ssh/HOME/.ssh/id_dsa.pubid_dsa.pub中中.用用户户应应该该把把id_dsa.pubid_dsa.pub复复 制制 到到 远远 程程 服服 务务 器器 中中,改改 名名$HOME/.ssh/authorized_keys HOME/.ssh/authorized_keys 存放到用户根目录下。存放到用户根目录下。例如：例如：$scp/.ssh/id_dsa.pub userremote:$cat id_dsa.pub /.ssh/authorized_keysOPENSSH使用OpensshOpenssh的使用的使用$ssh admin192.168.2.202$ssh admin192.168.2.202Enter passphrase for key/home/admin/.ssh/id_dsa:Enter passphrase for key/home/admin/.ssh/id_dsa:输入你的输入你的DSADSA认证密码认证密码$登陆成功登陆成功$ssh admin192.168.2.202$ssh admin192.168.2.202Enter passphrase for key/home/admin/.ssh/id_rsa:Enter passphrase for key/home/admin/.ssh/id_rsa:$输入你的输入你的RSARSA认证密码认证密码$登陆成功登陆成功OPENSSH使用OpensshOpenssh的使用的使用#ssh user192.168.2.202#ssh user192.168.2.202The authenticity of host 192.168.2.202(192.168.2.202)cant be established.The authenticity of host 192.168.2.202(192.168.2.202)cant be established.RSA key fingerprint is 00:eb:d3:41:f0:92:14:8b:30:20:2a:5d:32:71:c8:32.RSA key fingerprint is 00:eb:d3:41:f0:92:14:8b:30:20:2a:5d:32:71:c8:32.Are you sure you want to continue connecting(yes/no)?yesAre you sure you want to continue connecting(yes/no)?yesWarning:Permanently added 192.168.2.202(RSA)to the list of known hosts.Warning:Permanently added 192.168.2.202(RSA)to the list of known hosts.gongguan192.168.2.202s password:gongguan192.168.2.202s password:$scp(scp(安全、加密的连接在机器间传输文件）安全、加密的连接在机器间传输文件）把本地文件传输给远程系统语法：把本地文件传输给远程系统语法：scp localfile usernamedesthostname:/newfilenamescp localfile usernamedesthostname:/newfilenamelocalfile localfile 指源文件，指源文件，usernamedesthostname:/newfilename usernamedesthostname:/newfilename 指目标文件。指目标文件。把远程文件传输给本地系统语法：把远程文件传输给本地系统语法：scp usernamedesthostname:/remotefile /newlocalfilescp usernamedesthostname:/remotefile /newlocalfileremotefile remotefile 指源文件，指源文件，newlocalfilenewlocalfile指目标文件指目标文件