学习情境7 远程管理linux.ppt

学习情境7 远程管理linux7.1 Telnet服务概述服务概述 Telnet是进行远程登录的标准协议，它是当今Internet上应用最广泛的协议之一。它把用户正在使用的终端或计算机变成网络某一远程主机的仿真终端，使得用户可以方便地使用远程主机上的软、硬件资源。7.2 Telnet服务的安装服务的安装Red Hat Enterprise Linux安装程序默认没有安装Telnet服务，可使用下面命令检查系统是否已经安装了Telnet服务或查看已经安装了何种版本。rpm-q telnet-server 如果系统还没有安装Telnet服务。可将Red Hat Enterprise Linux 5第3张安装盘放入光驱，加载光驱后在光盘的Server目录下找到Telnet服务的RPM安装包文件telnet-server-0.7-38.el5.i386.rpm，然后使用下面的命令安装Telnet服务。rpm-ivh/mnt/Server/telnet-server-0.7-38.el5.i386.rpm 7.3启动和停止启动和停止Telnet服务服务Telnet服务并不像其他服务（如HTTP和FTP等）一样作为独立的守护进程运行，它使用xinetd程序管理，这样不但能提高安全性，而且还能使用xinetd对Telnet服务器进行配置管理。Telnet服务安装后默认并不会被xinetd启用，还要修改文件/etc/xinetd.d/telnet将其启用。其实/etc/xinetd.d/telnet文件是xinetd程序配置文件的一部分，可以通过它来配置Telnet服务器的运行参数。编辑文件/etc/xinetd.d/telnet，找到语句“disable=yes”，将其改为“disable=no”。然后使用以下命令重新启动xinetd服务：/etc/init.d/xinetd restart 7.4 Telnet服务的配置服务的配置Telnet服务最大连接数Telnet服务端口Telnet服务最大连接数服务最大连接数编辑文件/etc/xinetd.d/telnet，在花括号“”中添加语句“instances=3”，这里的“3”是指Telnet服务同时只允许3个连接。Telnet服务端口服务端口 Telnet服务器默认在23端口监听所有客户机的连接，出于安全的考虑，可以更改服务器监听的端口。编辑文件/etc/services，找到语句：telnet 23/tcptelnet 23/udp将这两条语句的23端口号改为其他端口（如2323）即可。7.5 Telnet客户端的使用客户端的使用Windows平台Linux平台Windows平台平台 在Windows平台下可以选择“开始”“运行”，在出现的“运行”对话框中输入“telnet 服务器的IP地址或域名”，然后再单击“确定”按钮。如果Telnet成功地连接到远程服务器，就会显示登录信息并提示用户输入用户名和口令。如果用户名和口令输入正确，就能成功登录。用户登录进入后就出现SHELL界面，可以执行各种命令和访问系统的资源。Linux平台平台 Red Hat Enterprise Linux默认已经安装Telnet客户程序，可使用下面命令检查系统是否已经安装了Telnet客户程序或查看已经安装了何种版本。rpm-q telnet如果系统还未安装Telnet客户程序，可将Red Hat Enterprise Linux 5第1张安装盘放入光驱，加载光驱后在光盘的Server目录下找到Telnet客户程序的RPM安装包文件telnet-0.7-38.el5.i386.rpm，然后使用下面的命令安装Telnet客户程序。rpm-ivh/mnt/Server/telnet-0.7-38.el5.i386.rpm安装好Telnet客户程序后，可以直接使用telnet命令登录到Telnet服务器。命令格式为：telnet 服务器的IP地址或域名7.6Telnet服务的安全问题服务的安全问题Telnet协议在带来便利性的同时，也带来了许多安全问题。最突出的就是Telnet协议以明文的方式传送所有数据（包括账号和口令），数据在传输过程中很容易被入侵者窃听或篡改，所以建议在对安全要求不高的环境下使用，或在使用前先建立VPN连接，使用以VPN提供的安全通道连接。7.7 SSH服务概述服务概述公钥加密体系结构SSH服务简介SSH的版本公钥加密体系结构公钥加密体系结构公钥加密体系结构理论基础是基于非对称性算法的，非对称性算法使用一对密钥（即公开密钥Public Key和私有密钥Private Key）进行加密和解密。虽然加密密钥和解密密钥不相同，但这对密钥是互补的，也就是说使用公钥加密的信息只有私钥才能解密，使用私钥加密的信息只有公钥才能解密，公钥可以向外公开，任何人都可以得到公钥；私钥不能向外公开，由用户自己小心保管。公钥加密体系结构公钥加密体系结构用户A要发送数据给用户B，主要经过以下步骤进行加密：用户B通过各种方式（如网络）向外界公开他的公钥PUB_B；用户A得到用户B的公钥PUB_B，并使用PUB_B对信息加密并发送给用户B；用户B在收到密文后，使用其私钥PRI_B就能完成解密。SSH服务简介服务简介 Telnet服务虽然使用方便，但由于其安全性不高，因此目前通常使用SSH（Secure Shell）代替Telnet进行远程管理。SSH是一个在应用程序中提供安全通信的协议，通过SSH可以安全地访问服务器，因为SSH基于成熟的公钥加密体系，把所有传输的数据进行加密，保证数据在传输时不被恶意破坏、泄露和篡改。SSH还使用了多种加密和认证方式，解决了传输中数据加密和身份认证的问题，能有效防止网络嗅探和IP欺骗等攻击。SSH的版本的版本 目前SSH协议已经经历了SSH 1和SSH 2两个版本，它们使用了不同的协议来实现，二者互不兼容。SSH 2不管在安全、功能上还是在性能上都比SSH 1有优势，所以目前被广泛使用的是SSH2。7.8 SSH服务的安装服务的安装默认情况下Red Hat Enterprise Linux安装程序会将OpenSSH服务和客户程序安装在系统上。可使用下面的命令检查系统是否已经安装了OpenSSH服务或查看已经安装了何种版本。rpm-q openssh-server如果系统还未安装OpenSSH服务，可将Red Hat Enterprise Linux 4 Update 1第2张安装盘放入光驱，加载光驱后在光盘的Server目录下找到OpenSSH服务的RPM安装包文件openssh-server-4.3p2-16.el5.i386.rpm，然后使用下面的命令安装OpenSSH服务。rpm-ivh/mnt/Server/openssh-server-4.3p2-16.el5.i386.rpm7.9 SSH服务的配置服务的配置配置SSH服务的运行参数，是通过修改配置文件/etc/ssh/sshd_config实现的。（1）设置SSH服务监听的端口号Port选项定义了SSH服务监听的端口号。SSH服务默认使用的端口号是22。#Port 22（2）设置使用SSH协议的顺序 Protocol选项定义了SSH服务器使用SSH协议的顺序。默认先使用SSH 2协议，如果不成功则使用SSH1协议。为了安全起见，可以设置只使用SSH 2协议。#Protocol 2,1（3）设置SSH服务器绑定的IP地址ListenAddress选项定义了SSH服务器绑定的IP地址，默认绑定服务器所有可用的IP地址。#ListenAddress 0.0.0.0（4）设置是否允许root管理员登录PermitRootLogin选项定义了是否允许root管理员登录。默认允许管理员登录。#PermitRootLogin yes（5）设置是否允许空密码用户登录PermitEmptyPasswords选项定义了是否允许空密码的用户登录。为了保证服务器的安全，应该禁止这些用户登录，默认是禁止空密码用户登录的。#PermitEmptyPasswords no（6）设置是否使用口令认证方式PasswordAuthentication选项定义了是否使用口令认证方式。如果准备使用公钥认证方式，可以将其设置为no。PasswordAuthentication yes7.10启动和停止启动和停止SSH服务服务1.启动SSH服务的命令/etc/init.d/sshd start2停止SSH服务的命令/etc/init.d/sshd stop3重新启动SSH服务的命令/etc/init.d/sshd restart7.10启动和停止启动和停止SSH服务服务 4设置自动运行SSH服务 为了让系统每次启动时自动运行SSH服务，还可以将它设置为自启动。执行“ntsysv”命令启动服务配置程序，在出现的对话框中找到“sshd”服务，然后在其前面加上星号（*），选择“确定”即可。7.11 SSH客户端的使用客户端的使用Windows平台Linux平台Windows平台平台 1获取PuTTY程序Windows下有许多SSH的客户程序，推荐使用免费的PuTTY程序。下载地址http:/www.chiark.greenend.org.uk/sgtatham/putty/download.html Windows平台平台2连接SSH服务器运行下载的putty.exe文件，在PuTTY程序主界面的“Host Name”中输入服务器的IP地址或域名，在“Protocol”中选择“SSH”选项，然后单击“Open”按钮连接。Windows平台平台如果是第一次连接到某台服务器，由于服务器公钥还没有在注册表中缓存，PuTTY程序会出现警告信息并显示服务器的指纹信息。Windows平台平台3在远程系统上工作如果PuTTY成功地连接到SSH服务器，就会显示登录信息并提示用户输入用户名和口令。如果用户名和口令输入正确，就能成功登录并在远程系统上工作了。Linux平台平台 在Linux平台下可以使用OpenSSH的客户程序openssh-clients来连接SSH服务器。Red Hat Enterprise Linux默认已经安装SSH客户程序，可使用下面命令检查系统是否已经安装了SSH客户程序或查看已经安装了何种版本。rpm-q openssh-clients如果系统还未安装SSH客户程序，可将Red Hat Enterprise Linux 5第1张安装盘放入光驱，加载光驱后在光盘的Server目录下找到SSH客户程序的RPM安装包文件openssh-clients-4.3p2-16.el5.i386.rpm，然后使用下面的命令安装SSH客户程序。rpm-ivh/mnt/Server/openssh-clients-4.3p2-16.el5.i386.rpm 安装好openssh-clients程序后，可以直接使用ssh命令登录到SSH服务器。命令的格式为：ssh 服务器的IP地址或域名 7.12使用公钥认证使用公钥认证公钥认证的原理在服务器启用公钥认证 在PuTTY程序中使用公钥认证在openssh-clients程序使用公钥认证公钥认证的原理公钥认证的原理 首先由用户生成一对密钥，然后将公钥保存在SSH服务器用户主目录下.ssh子目录中的authorized_keys文件里（如/root/.ssh/authorized_keys），私钥保存在本地计算机中。当用户登录时，服务器检查authorized_keys文件的公钥是否与用户的私钥对应。如果相符则允许用户登录，否则拒绝用户的登录请求。在服务器启用公钥认证在服务器启用公钥认证 编辑文件/etc/ssh/sshd_config，找到语句“PasswordAuthentication yes”，并将语句改为“PasswordAuthentication no”。在在PuTTY程序中使用公钥认证程序中使用公钥认证 1获取PuTTYgen程序为了生成密钥，还要到http:/www.chiark.greenend.org.uk/sgtatham/putty/download.html下载产生密钥的程序puttygen.exe 2产生密钥运行下载的puttygen.exe文件，在PuTTYgen程序主界面中的“Type of key generate:”选择加密的算法，在“Number of bits in a generated key:”中输入加密的位数，推荐使用默认的1024位SSH2 RSA加密，然后单击“Generate”按钮开始生成密钥 在在PuTTY程序中使用公钥认证程序中使用公钥认证在密钥产生的过程中，为了生成一些随机的数据，应在程序的窗口内随意移动鼠标（否则程序进度条不会改变）。密钥生成后，出于安全性的考虑，程序会提示输入保护私钥的口令短语Key passphrase 在在PuTTY程序中使用公钥认证程序中使用公钥认证3保存密钥口令短语用于保护私钥。如果入侵者窃取了私钥但没有口令短语也不能使用该私钥，如果不想使用口令短语保护，只需将该项留空即可，最后分别单击“Save public key”和“Save private key”按钮将公钥和私钥保存成文件。本例将保存公钥的文件名为linden.pub，保存私钥的文件名为linden.ppk。4传输公钥文件到SSH服务器为了让SSH服务器能读取公钥文件，还要将公钥文件传输到SSH服务器的用户主目录下的.ssh子目录中（如果没有.ssh目录，可手动建立），因为公钥文件可以公开给所有用户，传输公钥文件时不必考虑安全问题，可以使用FTP、电子邮件或软盘拷贝的方法。5转换公钥文件格式由于puttygen产生的公钥文件格式与OpenSSH程序使用的格式不兼容，因此还要在Linux中使用openssh软件包自带的ssh-keygen程序对其进行转换。应输入如下命令进行转换：ssh-keygen-i-f/root/.ssh/linden.pub/root/.ssh/authorized_keys 在在PuTTY程序中使用公钥认证程序中使用公钥认证6连接SSH服务器 运行PuTTY程序，在“Host Name”中输入服务器的IP地址或域名（如192.168.16.77）在在PuTTY程序中使用公钥认证程序中使用公钥认证 选择对话框左边的“Category”窗口的“Connection”“SSH”“Auth”。在“Private key file for authentication”输入框中输入私钥文件的路径，如图7-28所示，然后单击“Open”按钮连接。在在PuTTY程序中使用公钥认证程序中使用公钥认证 PuTTY成功地连接到SSH服务器后，服务器会提示输入登录用户名。如果使用了保护私钥的口令短语，则还会提示输入口令短语。在登录过程中，不需要输入用户的口令。在在openssh-clients程序使用公钥认证程序使用公钥认证 1产生密钥可以使用openssh软件包自带的ssh-keygen程序产生密钥，如执行以下命令：ssh-keygen-t rsa2传输公钥文件到SSH服务器为了让SSH服务器能读取公钥文件，还要将产生的公钥文件id_rsa.pub传输到SSH服务器的用户主目录下的.ssh子目录中（如果没有.ssh目录，可手动建立），并改名为authorized_keys。3连接SSH服务器现在可以直接使用ssh命令登录到SSH服务器 7.13 VNC服务概述服务概述VNC软件主要由两个部分组成：VNC server和VNC viewer。用户需先将VNC server安装在被控端的计算机上，才能在主控端执行VNC viewer控制被控端，类似Windows的终端服务，它可以远程控制X-Window桌面。VNC还可以实现基于Java的客户端访问远程的VNC服务器。VNC server与VNC viewer支持多种操作系统，如Windows、Linux、UNIX和MacOS等，因此可将VNC server及VNC viewer分别安装在不同的操作系统中进行控制。7.14 VNC服务的安装服务的安装启动VNC服务测试VNC服务VNC服务的安装服务的安装默认情况下，Red Hat Enterprise Linux安装程序会将VNC服务安装在系统上，可使用下面的命令检查系统是否已经安装了VNC服务或查看已经安装了何种版本。rpm-q vnc-server如果系统还未安装VNC服务，可将Red Hat Enterprise Linux 5第2张安装盘放入光驱，加载光驱后在光盘的Server目录下找到VNC服务的RPM安装包文件vnc-server-4.1.2-9.el5.i386.rpm，然后使用下面的命令安装VNC服务。rpm-ivh/mnt/Server/vnc-server-4.1.2-9.el5.i386.rpm启动启动VNC服务服务 可以使用vncserver命令来启动VNC服务，命令的格式为“vncserver:桌面号”，其中“桌面号”用“数字”的方式表示，每个用户连接需要占用1个桌面。如要启动编号为1的桌面可以执行命令：vncserver:1 第1次运行该命令，因此系统提示用户输入访问口令，口令会被加密保存在用户主目录下.vnc子目录中的passwd文件（如/root/.vnc/passwd）里。同时系统还会在用户主目录下的.vnc子目录中为用户自动建立xstartup配置文件，以后每次启动VNC服务时，都会读取该文件中的配置选项。测试测试VNC服务服务 在客户机中打开Web浏览器访问“http:/Linux服务器的IP或域名:5801/”，会出现“VNC viewer for Java”（即使用Java编写的VNC客户程序）界面，同时还会出现一个连接对话框。7.15 VNC服务的配置服务的配置配置图形桌面环境配置多个桌面号修改访问口令配置图形桌面环境配置图形桌面环境 VNC服务默认使用twm图形桌面环境的原因造成的，为了能使用功能强大的KDE或GNOME图形桌面环境（当然前提是系统已经安装了KDE或GNOME图形桌面环境），还要编辑文件用户主目录下.vnc子目录中的xstartup文件（如/root/.vnc/xstartup）。如果要使用KDE图形桌面环境，则将文件最后一行的“twm”改为“startkde”；如果要使用GNOME图形桌面环境，则将文件最后一行的“twm”改为“gnome-session”。修改完xstartup文件后，还要执行以下命令关闭桌面号，并重新启动桌面号，vncserver-kill:1vncserver:1配置多个桌面号配置多个桌面号 如果需要多个用户同时连接到VNC服务，可以多次执行vncserver命令，并将其中的“桌面号”从“:1”改为“:2”或“:3”，依此类推。修改访问口令修改访问口令 VNC服务的每个用户账号拥有自己的登录口令。如果需要修改访问口令，就应使用需修改口令的用户登录，然后执行命令：vncpasswd 7.16启动和停止启动和停止VNC服务服务1启动VNC服务的命令/etc/init.d/vncserver start2停止VNC服务的命令/etc/init.d/vncserver stop3重新启动VNC服务的命令/etc/init.d/vncserver restart7.16启动和停止启动和停止VNC服务服务 4设置自动运行VNC服务 如果需要让VNC服务随系统启动而自动加载，可以执行“ntsysv”命令启动服务配置程序，找到“vncserver”服务，在其前面加上星号（*），然后选择“确定”即可。7.7 VNC客户端的配置客户端的配置Linux平台Windows平台Linux平台平台Red Hat Enterprise Linux安装程序默认没有安装VNC viewer，使用下面的命令检查系统是否已经安装了VNC viewer或查看已经安装了何种版本。rpm-q vnc如果系统当前还没有安装VNC viewer，可将Red Hat Enterprise Linux 5第3张安装盘放入光驱，加载光驱后在光盘的Server目录下找到VNC viewer的RPM安装包文件vnc-4.1.2-9.el5.i386.rpm，然后使用下面的命令安装VNC viewer。rpm-ivh/mnt/Server/vnc-4.1.2-9.el5.i386.rpmLinux平台平台安装完后，在X-Window中打开“应用程序”“附件”“VNC Viewer”来执行VNC客户程序。Windows平台1获取VNC客户端程序 目前TightVNC的最新版本是1.3.9，可以到http:/ 2安装TightVNC程序 3连接VNC服务器安装完TightVNC后，打开“开始”“程序”“TightVNC(unstable)”“TightVNC Viewer”来执行VNC客户程序，在对话框中输入Linux服务器的IP或域名和桌面号后，单击“Connect”按钮连接，输入访问口令进行登录后就可以在Windows下远程控制X-Window了。7.18启用远程协助功能启用远程协助功能如果要与本地运行的X-Windows进行远程协助，可以在本地X-Windows中打开一个“终端”窗口，然后执行命令“x0vncserver-PasswordFile=/当前用户主目录/.vnc/passwd”，如对于root用户可以在“终端”窗口中执行以下命令。x0vncserver-PasswordFile=/root/.vnc/passwd在远程协助过程中不能关闭x0vncserver程序，远程用户使用VNC客户端连接到服务器的“:0”桌面号即可。7.19 web7.19 web配置配置 Webmin和SSL简介 Webmin+SSL的安装 Webmin+SSL使用简介 Webmin和和SSL简介介 什么是Webmin Webmin是由Jamie Cameron开发的一款基于Web页面的Unix和Linux系统的远程管理软件。SSL和Stunnel Webmin管理系管理系统的的优点点 1.Webmin是GUI的，在图形界面下配置和管理系统，比使用命令和编辑配置文件更加直观、方便，尤其适合初学者和从Windows平台下迁移过来的用户。2.Webmin把所有不同种类的系统和服务器的管理和配置集成到一个Web界面中，使用统一的模式进行操作，这样更便于集中管理。3.使用Webmin可以远程对服务器进行管理，而客户端可以是任何操作系统，只要能够运行支持表单的浏览器就行。这使得同时对多个服务器的管理更加容易进行。4.Webmin支持SSL，可以保证远程管理时信息传输的安全。5.在Linux系统下也有一些其他的GUI的管理工具，如Redhat的redhat-config*、KDE控制中心，Suse的Yast，Mandrake的Mandrake控制中心，以及linux-conf等。和Webmin相比，这些管理工具大多是针对特定的发布版本的，而且能完成的管理任务有限，而Webmin则适用于不同版本Linux，甚至Unix。SSL和和Stunnel Stunnel（universal SSL tunnel）是一个进行SSL加密包装的程序，可让本身不支持SSL的基于TCP协议的程序，通过Stunnel来使用SSL建立加密连接。Webmin+SSL的安装的安装 安装Webmin 设置Webmin使用SSL 下载下载Webmin主站：http:/ ivh webmin-1.020-1.noarch.rpm使用rpm命令安装webmin软件包Webmin的启动与停止的启动与停止/etc/rc.d/init.d/webminWebmin的启动脚本service webmin start启动webmin服务的命令service webmin stop停止webmin服务的命令service webmin status查询webmin服务状态的命令Webmin的登的登录界面界面 设置置Webmin使用使用SSL 让Webmin使用SSL进行加密传输，还需要另外安装三个软件包：OpenSSL、OpenSSL的开发软件包、以及Net:SSLeay模块。设置置Webmin使用使用SSL Webmin的的设置界面置界面 设置置SSL Webmin+SSL使用使用简介介 Webmin中的模块简介 使用Webmin安装和配置Stunnel Webmin中的模中的模块简介介 第一类是“Webmin”第二类是“System”第三类是“Servers”第四类是“Networking”第五类是“Hardware”第六类是“Cluster”第七类是“Other”Webmin System Servers Networking Hardware Cluster Other 使用使用Webmin安装和配置安装和配置Stunnel 首先要安装Stunnel 配置Stunnel安装安装Stunnel配置配置SSL Tunnels 7.20练习题练习题【练习1】建立Telnet服务器，并根据以下要求配置Telnet服务器。（1）配置Telnet服务同时只允许两个连接。（2）配置Telnet服务器在2323端口监听客户机的连接。【练习2】建立SSH服务器，并根据以下要求配置SSH服务器。（1）配置SSH服务器绑定的IP地址为192.168.16.77。（2）在SSH服务器启用公钥认证。【练习3】建立VNC服务器，并根据以下要求配置VNC服务器。（1）配置VNC服务器使用GNOME图形桌面环境。（2）配置VNC服务每次启动都会自动创建桌面号。（3）在VNC服务器启用远程协助功能。