TELNET、SSH和VNC服务的配置与实现(共44页).ppt

1、2022年3月3日内容提要内容提要对服务器的管理和维护是Linux管理员的一项重要工作，管理员常常通过远程管理的方式对服务器进行操作。在Windows Server 2003平台下，一般采用终端服务或远程桌面的方式实现远程控制。而在Linux平台下，最常用的是采用文本界面的SSH、TELNET或图形界面下的VNC服务实现远程控制。本章将介绍这三种远程管理服务的配置和使用。 TELNET服务的实现（传统） SSH服务的实现（安全连接） VNC服务的实现（图形界面）1. 1. 架设架设TelnetTelnet服务器服务器Telnet是TCP/IP协议族中应用最广泛的应用层协议之一，提供一个以联机方

2、式访问网上资源的通用工具。它允许用户与一个远程机器上的服务器进行通信，通过一个协商过程来支持不同的物理终端，从而提供了极大的灵活性。Telnet协议可以在任何主机（任何操作系统）或任何终端之间工作。各种操作系统都内置了Telnet协议的客户端软件，不需要安装，使用方便。1.1 1.1 远程管理远程管理v远程管理是指通过网络由一台终端或电脑去控制另一台电脑的技术，只要网络是相通的，这两台电脑的距离可以很远。远程管理可以支持多种网络连接方式，包括LAN、WAN、拨号方式、互联网等， v1远程办公v2远程技术支持v3远程教学v4远程维护和管理1.2 Telnet1.2 Telnet简介简介v TEL

3、NET是一个简单的远程终端协议，是进行远程登录的标准协议，它是当今Internet上应用最广泛的协议之一。用户用TELNET就可以在其所在地通过TCP连接注册（即登录）到远地的另一台主机上（使用主机名或IP地址）。TELNET能将用户的键盘输入传到远程主机，同时也能将远程主机的输出通过TCP连接返回到用户屏幕。这种服务是透明的，因为用户感觉到好像键盘和显示器是直接连接在远地主机上。v TELNET使用客户/服务器方式运行。在本地系统上运行TELNET客户进程，而在远程主机上则运行TELNET服务器进程。和FTP等服务类似，服务器中的主进程等待新的请求，并产生从属进程来处理每一个连接。1.2 T

4、elnet1.2 Telnet简介（续）简介（续）v TELNET能够适应许多计算机和操作系统的差异。例如，对于文本中一行的结束，有的系统使用ASCII码的回车（CR），有的系统使用换行（LF），还有的系统使用两个字符，回车-换行（CR-LF）。为了适应这种差异，TELNET定义了数据和命令应怎样通过互联网。这些定义就是所谓的网络虚拟终端NVT（Network Virtual Terminal）。也就是客户端软件把用户的键盘输入和命令转换成NVT格式，并送交服务器。服务器软件把收到的数据和命令，从NVT格式转换成远程系统所需要的格式。向用户返回数据时，服务器把远程系统的格式转换为NVT格式，本

5、地客户再从NVT格式转换到本地系统所需的格式。v TELNET已经成为网络管理员最常用的工具之一，几乎所有的网络设备，如路由器、交换机和防火墙等都可以通过TELNET方式进行管理，而且操作系统都内置了TELNET的客户端软件，不需要再进行安装，使用起来非常方便。1.3 1.3 安装安装TelnetTelnet服务服务v查询系统是否安装了TELNET服务器： #rpm qa telnet-serverv 安装Samba软件包# mount t iso9660 /dev/sr0 /mnt# rpm -vih /mnt/Packages/telnet-server.v需要注意的是，telnet服务器

6、服务需要xinetd的支持，如果没有安装xinetd，在安装TELNET服务器之前应该先安装xinetd服务，该服务的软件包也可以在以上网站搜索并下载。1.4 Telnet1.4 Telnet服务的启动服务的启动vTELNET服务不能象其它网络服务（如DNS、HTTP等）一样作为独立的守护进程运行，它使用xinetd（eXtended InterNET services Daemon，扩展Internet守护进程）程序管理，这样不但能提高安全性，而且还能使用xinted对TELNET服务器进行配置管理。1.4 Telnet1.4 Telnet服务的启动（续）服务的启动（续）vTELNET服务安

7、装后默认情况下不会被xinetd启动，而还需要修改配置文件将其启用。是xinetd程序配置文件的一部分，可以通过它来配置TELNET服务器的运行参数。通过编辑该文件，找到语句“disableyes”并将其改为“disableno”，如下所示。vservice telnetvv flags = REUSEv socket_type = streamv wait = nov user = rootvlog_on_failure += USERIDv disables = nov 1.4 Telnet1.4 Telnet服务的启动（续）服务的启动（续）v修改后需要重新启动xinetd服务，使用如下命

8、令重新启动该服务。 1.5 Telnet1.5 Telnet服务的配置服务的配置v一般来说，TELNET服务做如上设置就可以使用了，但若希望TELNET服务工作得更好，还应该对TELNET服务器做进一步的配置。v设置最大连接数:通过编辑文件，并在文件中添加语句“instances10”，这里的“10”表示允许客户端同时最多10个连接。如下所示。vservice telnetvv flags = REUSEv socket_type = streamv wait = nov user = rootvlog_on_failure += USERIDv disables = nov instance

9、s = 10v 1.5 Telnet1.5 Telnet服务的配置（续）服务的配置（续）vTELNET服务端口TELNET服务器默认使用TCP的23号端口提供客户端的连接，这样的默认配置很不安全，入侵者可以很轻松地监听主机上的23号端口。出于安全考虑，可以更改服务器的监听端口。v修改方法是找到/etc/services文件，将TELNET服务相关的端口改为其它端口，如“2323”。如： #grep telnet /etc/servicestelnet 23/tcptelnet 23/udp#vi /etc/servicestelnet 2323/tcptelnet 2323/tcptelnet

10、 2323/udptelnet 2323/udp1.6 Telnet1.6 Telnet客户端的使用客户端的使用vWindows平台在Windows平台下连接到TELNET服务器非常简单，步骤如下： 可以通过选择“开始”菜单里的“运行”选项; 在出现的“运行”对话框中输入“telnet 服务器的IP地址或主机名”，在这里假设TELNET服务器的主机的地址为，应该输入“telnet 01”。1.7 1.7 Linux平台平台TelnetTelnet客户端的使用客户端的使用v Linux平台v 命令检查系统是否已经安装了TELNEt客户端程序： #rpm -q telnetv

11、 如果系统中未安装TELNET客户端程序，可以将安装光盘DVD放入光驱，加载光驱后在光盘Packages目录下找到TELNET客户端程序的RPM安装包文件，然后使用如下命令安装TELNET客户端程序。 #rpm ivh /mnt/Packages/ telnet-1.7 1.7 Linux平台平台TelnetTelnet客户端的使用（续）客户端的使用（续）v安装好TELNET客户端程序后，可以直接使用telnet命令登录到TELNET服务器。如下图所示。Linux平台下平台下TELNET的使用的使用2.1 SSH2.1 SSH服务概述服务概述v 谈到网络安全访问，目前用得最多的就是安全Shel

12、l，也就是Secure ShellSecure Shell，简称为SSH。SSH是一个在应用程序中提供安全通信的协议，通过SSH可以安全地访问服务器，因为SSH基于成熟的公钥密码体系，把所有的传输的数据进行加密，保证数据在传输时不被恶意破坏、泄露和篡改。SSH还使用了多种加密和认证方式，解决了传输中数据加密和身份认证的问题，能有效防止网络嗅探和IP地址欺骗等攻击。使用SSH，还有一个额外的好处就是数据的传输是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以替代TELNET，又可以为FTP和PPP提供一个安全的“通道”。v 目前SSH协议已经经历了SSH1SSH1和SSH2SSH2

13、两个版本，它们使用了不同的协议来实现，二者互不兼容。SSH2不管在安全、功能上还是性能上都比SSH1有优势，所以目前被广泛使用的是SSH2。2.1 SSH2.1 SSH服务概述服务概述vSSH的运行不象其它的TCP/IP应用，SSH被设计为工作在自己的基础之上，而不是利用Wrappers或通过扩展Internet守护进程（Xinetd）。vSSH的应用比较广泛。首先，用它来取代传统的TELNET和FTP等网络应用程序，通过SSH登录到远方机器执行命令或做相关的工作。它提供了很强的身份验证机制（Authentication）与非常安全的通信环境。SSH的开发者的本意就是设计用来取代原UNIX系统

14、上的rcp、rlogin和rsh等命令的。但经过改进后，发现它功能上完全可以取代传统的TELNET和FTP等应用程序。2.2 SSH2.2 SSH的安装的安装v OpenSSH软件包由两部分组成，一部分是服务器软件包openssh-server，另一部分是客户端软件包openssh-clients。它们分别在两个不同的RPM安装包中。OpenSSH的安装包在安装光盘DVD的/Packages目录下，如果不确定系统是否已经安装了openssh，可以使用如下命令查看。 #rpm qa openssh-server v 若没有输出，表明openssh尚未安装，那么从安装光盘或openssh网站上准备

15、好RPM安装包，然后输入如下指令，系统即会自动完成安装openssh服务器和客户端程序的任务： #rpm ivh /mnt/Pachages/openssh-server- #rpm ivh /mnt/Pachages/openssh-clients-2.3 SSH2.3 SSH的启动的启动v安装好OpenSSH后，可以使用缺省配置启动SSH服务。v启动SSH服务的命令为：#service sshd startv要停止SSH服务，执行的命令为：#service sshd stopv要重新启动SSH服务，执行的命令如下：#service sshd restartv也可以使用/etc/init.d

16、/sshd start|stop|restart 命令完成以上操作。2.4 SSH2.4 SSH服务的配置服务的配置v配置SSH服务的运行参数，是通过修改配置文件/etc/ssh/sshd_config来实现的。/etc/ssh/sshd_config文件的配置选项非常多，但文中大部分的选项都使用了“#”符号注释掉了，这是因为SSH服务使用默认配置已经能比较好地工作。2.4 SSH2.4 SSH服务的常用选项服务的常用选项v设置SSH服务器的监听端口vPort选项定义了SSH服务的监听端口。SSH服务默认使用的端口是22。v Port=22v设置使用SSH协议的顺序vProtocol选项定义了

17、SSH服务器使用SSH协议的顺序。默认先使用SSH2协议，如果不成功则使用SSH1协议。为了安全起见，可以设置只使用SSH2协议。v Protocol=2,1v设置SSH服务绑定的IP地址vListenAddress选项定义了SSH服务器绑定的IP地址，默认绑定服务器所有可用的IP地址。2.4 SSH2.4 SSH服务的常用选项（续）服务的常用选项（续）v 设置是否允许root管理员登录v PermitRootLogin选项定义了是否允许root管理员登录。默认允许管理员登录。 PermitRootLogin yesv 设置是否允许空密码用户登录v PermitEmptyPasswords选项

18、定义了是否允许空密码的用户登录。为了保证系统的安全，应该禁止这些用户登录系统，默认是禁止空密码用户登录的。 PermitEmptyPasswords nov 设置是否使用口令认证方式v PasswordAuthentication选项定义了是否使用口令认证方式。如果准备使用公钥认证方式，可以将其设置为no。 PasswordAuthentication yesv 每次修改完配置文件/etc/ssh/sshd_config后，都需要重新启动SSH服务才能使新的配置生效。2.5 SSH2.5 SSH客户端的使用客户端的使用vPuTTY简介vPuTTY是一款免费而小巧的Win32平台下的SSH/TE

19、LNET客户端软件，它可以连接到支持SSH或TELNET联机的系统，并且自动取得对方的系统指纹码（Fingerprint）。建立连接以后，所有的通信内容都是以加密的方式传输，因此用户再也不用担心使用SSH在lnternet或公司的内部网络传输资料时被第三者获知内容。PuTTY的主程序只有几百KB，但功能丝毫不逊色于商业级的SecureCRT。使用使用PuTTYPuTTYv运行下载的文件，在PuTTY程序主界面的“主机名称（或IP地址）”文本框中输入服务器的IP地址或主机名，在“端口”文本框中输入要连接的端口，这里使用默认的22号端口即可，在“连接类型”中选择“SSH”选项，如图14-7所示。图

20、图14-7 PuTTY程序运行界面程序运行界面2.6 Linux2.6 Linux下下SSHSSH客户端的使用客户端的使用v在Linux平台下可以使用OpenSSH的客户端程序openssh-clients来连接SSH服务器。默认已经安装了SSH客户端程序。v安装好openssh-clients程序后，可以直接使用ssh命令登录到SSH服务器。命令的格式为：ssh -l 用户名 服务器的IP地址或主机名v例如，想要登录到IP地址为的SSH服务器上，可以使用命令： 2.6 Linux2.6 Linux下下SSHSSH客户端的使用客户端的使用v使用scp在本地主机与远程主机之间复制文件：vscp

21、用户名主机地址：文件全路径名 目标文件vscp root01:/tmp/aaa.txt /rootv使用sftp在本地主机与远程主机之间传输文件vsftp 用户名服务器名称或地址v注意运行本地命令前加上l或L,例如：v lpwd2.7 SSH 2.7 SSH 公钥认证公钥认证v公钥加密体系结构v公钥认证的原理v在服务器启用公钥认证 v在openssh-clients程序使用公钥认证2.7.1 2.7.1 公钥加密体系结构公钥加密体系结构公钥加密体系结构理论基础是基于非对称性算法的，非对称性算法使用一对密钥（即公开密钥Public Key和私有密钥Private Key）进

22、行加密和解密。虽然加密密钥和解密密钥不相同，但这对密钥是互补的，也就是说使用公钥加密的信息只有私钥才能解密，使用私钥加密的信息只有公钥才能解密 ，公钥可以向外公开，任何人都可以得到公钥；私钥不能向外公开，由用户自己小心保管。 公钥加密体系结构公钥加密体系结构用户A要发送数据给用户B，主要经过以下步骤进行加密： 用户B通过各种方式（如网络）向外界公开他的公钥PUB_B； 用户A得到用户B的公钥PUB_B，并使用PUB_B对信息加密并发送给用户B； 用户B在收到密文后，使用其私钥PRI_B就能完成解密。 2.7.2 2.7.2 公钥认证的原理公钥认证的原理 首先由用户生成一对密钥，然后将公钥保存在

23、SSH服务器用户主目录下.ssh子目录中的authorized_keys文件里（如/root/.ssh/authorized_keys），私钥保存在本地计算机中。当用户登录时，服务器检查authorized_keys文件的公钥是否与用户的私钥对应。如果相符则允许用户登录，否则拒绝用户的登录请求。 2.7.3 2.7.3 在服务器启用公钥认证在服务器启用公钥认证 编辑文件/etc/ssh/sshd_config，找到语句“PasswordAuthentication yes”，并将语句改为“PasswordAuthentication no” 。2.7.4 2.7.4 在在LinuxLinux客

24、户端使用公钥认证客户端使用公钥认证 1产生密钥可以使用openssh软件包自带的ssh-keygen程序产生密钥，如执行以下命令：#ssh-keygen -t rsa2传输公钥文件到SSH服务器为了让SSH服务器能读取公钥文件，还要将产生的公钥文件传输到SSH服务器的用户主目录下的.ssh子目录中，并改名为authorized_keys。 #ssh-copy-id I /root/.ssh/id_rsa.pub student35 3连接SSH服务器#ll#exit3.1 VNC3.1 VNC简介简介vVNC（Virtual Network Computing，虚拟网

25、络计算）是一种图形桌面共享系统，它使用RFB协议远程控制另外一台计算机。VNC通过网络把控制端的键盘和鼠标事件传输给被控端，并把被控端的屏幕显示回传给控制端，使在控制端的操作者感觉犹如坐在被控端电脑面前操作一样。vVNC由客户端、服务器和通讯协议三部分组成。3.1 VNC概述概述vVNC(Virtual Network Computing,虚拟网络计算机)是由英国剑桥大学的At&T实验室于2002年开发的，它是一种可操控远程计算机的软件，也就是说它能够将完整的窗口画面通过网络传输到另一台计算机的屏幕上，如同Windows Server 2003的终端服务。它在Mac平台上称为MacVN

26、C,在Windows平台上称为WinVNC。vVNC远程管理软件包括服务器VNC Server和客户端VNC Viewer。用户需要先将VNC Server安装在服务器端的计算机上，才能在主控端的计算机上用VNC Viewer远程管理被控端，类似Windows的终端服务，它可以远程控制X-Window桌面。VNC还可以实现基于Java的客户端访问远程的VNC服务器。换句话说，只要通过支持Java的浏览器即可进行远程控制，而无需安装任何软件。3.1 VNC3.1 VNC的特点的特点v客户端活动如掉线等不会影响到服务端，再次连接就可正常使用。v客户端无需安装专门软件，甚至用IE等浏览器就可控制服务

27、端。v最大的优点就是真正跨平台使用。它支持的平台有：Mac、Windows、Solaris、FreeBSD、HPUX、SCO OpenServer、等。3.2 VNC3.2 VNC的安装与启动的安装与启动v 检查系统是否已经安装了VNC服务或查看已经安装了何种版本。#rpm #rpm q |grep vncq |grep vncv 安装命令如下所示。 # rpm # rpm ivh /mnt/Packages/tigervnc-server-ivh /mnt/Packages/tigervnc-server-启动停止启动停止VNCVNC服务服务v可以使用vncserver命令来启动VNC服务，

28、命令的格式为“vncserver：桌面号”，其中“桌面号”用数字方式表示，每个用户连接需要占用1个桌面。例如，要启动编号为1的桌面可以执行命令： #vncserver:1#vncserver:1v由于这是第一次运行该命令，因此系统提示用户输入访问口令，口令会被加密保存在用户主目录下.vnc子目录中的passwd文件中（如/root/.vnc/passwd）。同时系统还会在用户主目录下的.vnc子目录中为用户自动建立xstartup配置文件，以后每次启动VNC服务时，都会读取该文件中的配置选项。v停止VNC服务 #vncserver -kill :1#vncserver -kill :13.3

29、Linux3.3 Linux平台平台VNCVNC客户端的配置客户端的配置v 检查系统是否已经安装了VNC Viewer#rpm qa|grep vnc#rpm qa|grep vncv 要使用VNC Viewervncviewer 服务器地址：桌面号# vncviewer # vncviewer 35:1 3.4 3.4 配置配置VNCVNC服务服务v为了能使用功能强大的KDE或GNOME图形桌面环境（前提是Linux系统已经安装了GNOME或KDE桌面环境），还要编辑用户主目录下.vnc子目录下的xstartup文件，例如，root的xstartup文件为/root/.vnc/xstartup。如果要使用GNOME桌面环境，则将最后一行的“twm”改为“gnome-session”；若要使用KDE桌面环境，则将“twm”改为“startkde”。配置配置VNC服务（续）服务（续）v 修改完xstartup文件后，还要执行以下命令关闭桌面号，并重新启动桌面号：#vncserver #vncserver kill :1kill :1#vncserver