Linux服务器管理-7-远程管理Linux

Linux服务器管理课程七Linux常见服务器架设（远程管理Linux）目录21Telnet服务器架设2SSH服务器架设3VNC服务器架设1.1Telnet服务器架设–Telnet工作原理3（1）远程管理概述远程管理是指通过网络由一台终端或主机去控制另一台主机的技术远程管理支持多种网络连接方式（LAN\WAN\PPP等）；传统的远程管理通过TCP/IP、NETBIOS、IPX/SPX等协议实现，也有一些通过串口、并口、红外接口等实现远程管理技术的主要应用：远程办公远程技术支持远程教学远程维护管理1.1Telnet服务器架设–Telnet工作原理4（2）Telnet概述Telnet是TCP/IP协议族的一员，是Internet远程登陆服务的标准协议和方式，为用户提供在本地计算机上完成远程主机工作的能力在终端使用者的电脑上使用telnet程序，用它连接到服务器。终端使用者可在telnet中输入命令，这些命令会在服务器上运行，就像直接在服务器控制台上输入一样，可以在本地就能控制服务器开始一个telnet会话，必须输入用户名和密码来登录服务器；使用Telnet协议进行远程登录时需要满足：在本地计算机上必须装有包含Telnet协议的客户程序；必须知道远程主机的Ip地址或域名；必须知道登录标识与口令1.1Telnet服务器架设–Telnet工作原理5（3）Telnet基本原理–NVT网络虚拟终端（NVT）是一种虚拟的终端设备，它被客户和服务器所采用，用来建立数据表示和解释的一致性网络虚拟终端NVT包括两个部分：输出设备：输出远程数据，一般为显示器输入设备：本地数据输入TELNET使用了一种对称的数据表示，当每个客户机发送数据时，把它的本地终端的字符表示影射到NVT的字符表示上，当接收数据时，又把NVT的表示映射到本地字符集合上1.1Telnet服务器架设–Telnet工作原理6（3）Telnet基本原理–工作过程Telnet远程登录服务分为以下4个过程：1）本地与远程主机建立连接。该过程实际上是建立一个TCP连接，用户必须知道远程主机的Ip地址或域名2）将本地终端上输入的用户名和口令及以后输入的任何命令或字符以NVT（NetVirtualTerminal）格式传送到远程主机。该过程实际上是从本地主机向远程主机发送一个IP数据包3）将远程主机输出的NVT格式的数据转化为本地所接受的格式送回本地终端，包括输入命令回显和命令执行结果4）最后，本地终端对远程主机进行撤消连接。该过程是撤销一个TCP连接1.1Telnet服务器架设–Telnet工作原理7（3）Telnet基本原理–主要功能实现本地主机上的Telnet客户程序功能：建立与远程服务器的TCP联接从键盘上接收本地输入的字符将输入的字符串变成标准格式并传送给远程服务器从远程服务器接收输出的信息将该信息显示在本地主机屏幕上远程主机服务程序功能：通知本地主机，远程主机已经准备好了等候本地主机输入命令对本地主机的命令作出反应（如显示目录内容，或执行某个程序等）把执行命令的结果送回本地计算机显示重新等候本地主机的命令1.1Telnet服务器架设–Telnet工作原理8（4）Telnet主要命令命令格式：telnet[参数][主机]命令功能：执行telnet指令开启终端机阶段作业，并登入远端主机命令参数：-a尝试自动登入远端系统-b<主机别名>使用别名指定远端主机名称-F使用KerberosV5认证时，可把本地主机的认证数据上传到远端主机-k<域名>使用Kerberos认证时，让远端主机采用指定的领域名-K不自动登入远端主机-l<用户名称>指定要登入远端主机的用户名称-n<记录文件>指定文件记录相关信息-S<服务类型>设置telnet连线所需的IPTOS信息-x假设主机有支持数据加密的功能，就使用它-X<认证形态>关闭指定的认证形态1.2Telnet服务器架设–Telnet服务器安装运行9（1）Telnet服务器的安装–安装步骤因为Telnet采用明文传输用户名和密码，对系统安全造成很大威胁，在一些重要系统中一般不使用Telnet；因此RHEL6默认不安装在挂载光盘中的/Pakages找到如下安装包xinetd-2.3.14-34.el6.i686.rpm（监视一些网络请求的守护进程，根据网络请求来调用相应的服务进程来处理连接请求）telnet-server-0.17-47.el6.i686.rpm（telnet服务器）telnet-0.17-47.el6.i686.rpm（telnet客户端）依次安装以上软件包1.2Telnet服务器架设–Telnet服务器安装运行10（1）Telnet服务器的安装–xinetd进程xinetd是监视一些网络请求的守护进程，其根据网络请求来调用相应的服务进程来处理连接请求它可以为多种服务管理连接，当xinetd接到连接时，它能够确定连接所需的程序，启动相应的进程，并把socket交给它（服务socket会作为程序的标准输入、输出和错误输出描述符）使用inetd来运行那些负载不重的服务有助于降低系统负载，因为它不需要为每个服务都启动独立的服务程序Xinetd还提供了访问控制、加强的日志和资源管理功能1.2Telnet服务器架设–Telnet服务器安装运行11（1）Telnet服务器的安装–安装后生成文件xinetd主要文件/etc/rc.d/init.d/xinetd/etc/sysconfig/xinetd/etc/xinetd.conf/usr/sbin/xinetd/etc/xinetd.d/*telnet主要文件/etc/xinetd.d/telnet/usr/sbin/in.telnetd1.2Telnet服务器架设–Telnet服务器安装运行12（2）Telnet服务器的运行–运行步骤修改/etc/xinetd/telnet文件，将disable改为no使用/usr/sbin/xinetd或/etc/init.d/xinetdstart命令启动xinetd进程此时telnet服务器进程尚未启动，待有客户端登录请求时即启动1.2Telnet服务器架设–Telnet服务器安装运行13（2）Telnet服务器的运行–服务器软件配置xinetd配置文件快速启动或禁用所有的服务定义日志类型登录失败时，记录客户机地址登录成功时，记录进程PID、客户机IP等不允许访问的客户机列表允许访问的客户机列表设置最大负载设置最大连接频率设置最大同时工作实例数。。。1.2Telnet服务器架设–Telnet服务器安装运行14（2）Telnet服务器的运行–服务器软件配置telnet配置文件servicetelnet{ disable =no flags =REUSE socket_type =stream wait =no user =root server =/usr/sbin/in.telnetd log_on_failure +=USERID}1.3Telnet服务器架设–Telnet安装运行实验15（1）实验-

telnet服务器的安装运行1、依次安装xinetd、telnetserver、telnet软件包，检查安装状态1.3Telnet服务器架设–Telnet安装运行实验16（1）实验-telnet服务器的安装运行2、启动xinetd，检查运行状态1.3Telnet服务器架设–Telnet安装运行实验17（1）实验-telnet服务器的安装运行3、检查用户设置，确认有一个普通用户可用于telnet远程登录1.3Telnet服务器架设–Telnet安装运行实验18（2）实验–windows客户端登录1、在Windows中的控制面板->程序和功能->启动或关闭Windows功能中选中telnet客户端选项1.3Telnet服务器架设–Telnet安装运行实验19（2）实验–windows客户端登录2、在Windows中启动cmd控制台，使用telnet登录服务器，执行命令（若无法连接，检查windows和linu的防火墙设置）目录201Telnet服务器架设2SSH服务器架设3VNC服务器架设2.1SSH服务器架设–SSH工作原理21（1）SSH概述传统的网络服务程序（ftp、pop和telnet）本质上是不安全的，因为它们在网络上用明文传送口令和数据，非常容易被截获。而且，这些服务程序的安全验证方式也是有其弱点的，就是很容易受到“中间人”（man-in-the-middle）这种方式的攻击SSH（SecureShell）由IETF的网络小组（NetworkWorkingGroup）所制定；SSH为建立在应用层基础上的安全协议。SSH是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议；利用SSH协议可以有效防止远程管理过程中的信息泄露问题SSH最初是UNIX系统上的程序，后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞，客户端适用于多种平台2.1SSH服务器架设–SSH工作原理22（2）SSH基本原理–安全验证1从客户端来看，SSH提供两种级别的安全验证。第一种级别（基于口令的安全验证）：只要你知道自己帐号和口令，就可登录到远程主机。所有传输的数据都会被加密，但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器，也就是受到“中间人”这种方式的攻击第二种级别（基于密匙的安全验证）：需要依靠密匙，必须为自己创建一对密匙，并把公用密匙放在需要访问的服务器上。连接SSH服务器时，客户端会向服务器发出请求，用密匙进行安全验证。服务器收到请求后，先在该服务器上主目录下寻找公用密匙，然后把它和你发送过来的公用密匙进行比较。若两个密匙一致，服务器就用公用密匙加密“质询”（challenge）并把它发送给客户端软件。客户端软件收到“质询”之后就可以用你的私人密匙解密再把它发送给服务器2.1SSH服务器架设–SSH工作原理23（2）SSH基本原理–安全验证2第二种方式，你必须知道自己密匙的口令。但是，与第一种级别相比，第二种级别不需要在网络上传送口令第二种级别不仅加密所有传送的数据，而且“中间人”这种攻击方式也是不可能的（因为他没有你的私人密匙）。但是整个登录的过程可能需要10秒2.1SSH服务器架设–SSH工作原理24（2）SSH基本原理–SSH版本SSH有2个不兼容的版本，分别是SSH1和SSH2；SSH2的客户端不能连接到SSH1的服务器SSH1和SSH2采用了不同的加密算法OpenSSH2.x同时支持SSH1.x和SSH2.x2.1SSH服务器架设–SSH工作原理25（2）SSH基本原理–基本工作原理1服务端是一个守护进程(daemon)，在后台运行并响应来自客户端的连接请求。服务端一般是sshd进程，提供了对远程连接的处理，一般包括公共密钥认证、密钥交换、对称密钥加密和非安全连接客户端包含ssh程序及scp（远程拷贝）、slogin（远程登陆）、sftp（安全文件传输）等其他应用程序工作机制是本地的客户端发送一个连接请求到远程的服务端，服务端检查申请的包和IP地址再发送密钥给SSH的客户端，本地再将密钥发回给服务端，自此连接建立一旦建立一个安全传输层连接，客户机就发送一个服务请求。当用户认证完成之后，会发送第二个服务请求。这样就允许新定义的协议可以与上述协议共存2.1SSH服务器架设–SSH工作原理26（2）SSH基本原理–基本工作原理2SSH被设计成为工作于自己的基础之上而不利用超级服务器(inetd)，虽然可以通过inetd上的tcpd来运行SSH进程，没有必要启动SSH服务器后，sshd运行起来并在默认的22端口进行监听，如果不是通过inetd启动的SSH，那么SSH就将一直等待连接请求。当请求到来的时候SSH守护进程会产生一个子进程，该子进程进行这次的连接处理2.2SSH服务器架设–SSH服务器的安装运行和配置27（1）OpenSSH服务器的安装运行–安装方法RHEL6已默认安装OpenSSH，可直接使用若需重新安装，基本的安装文件为：openssh-5.3p1-81.el6.i686.rpmopenssh-askpass-5.3p1-81.el6.i686.rpmopenssh-server-5.3p1-81.el6.i686.rpm安装以上软件包时，需要OpenSSL等软件包支持，可用rpm–qR查看软件包的依赖关系2.2SSH服务器架设–SSH服务器的安装运行和配置28（1）OpenSSH服务器的安装运行–主要文件/etc/pam.d/sshd/etc/rc.d/init.d/sshd/etc/ssh/sshd_config/usr/libexec/openssh/sftp-server/usr/sbin/sshd2.2SSH服务器架设–SSH服务器的安装运行和配置29（1）OpenSSH服务器的安装运行–运行方法使用如下命令即可运行sshd进程/sbin/servicesshdstart/etc/init.d/sshdstart第一次运行时，sshd会在/etc/ssh目录下创建3对主机密钥文件；当客户端连接时，若要登录的用户没有自己的密钥，则服务器会使用这些密钥与客户端通信Sshd通过端口22进行通信2.2SSH服务器架设–SSH服务器的安装运行和配置30（2）OpenSSH服务器的配置SSH服务器配置文件在/etc/ssh/sshd_config配置文件中包含了常见的配置指令#Port22#AddressFamilyany#ListenAddress#ListenAddress::#HostKeyforprotocolversion1#HostKey/etc/ssh/ssh_host_key#HostKeysforprotocolversion2#HostKey/etc/ssh/ssh_host_rsa_key#HostKey/etc/ssh/ssh_host_dsa_key2.2SSH服务器架设–SSH服务器的安装运行和配置31（2）OpenSSH服务器的配置#KeyRegenerationInterval1h#ServerKeyBits1024#SyslogFacilityAUTHSyslogFacilityAUTHPRIV#LogLevelINFO#LoginGraceTime2m#PermitRootLoginyes#StrictModesyes#MaxAuthTries6#MaxSessions102.2SSH服务器架设–SSH服务器的安装运行和配置32（2）OpenSSH服务器的配置#RSAAuthenticationyes#PubkeyAuthenticationyes#AuthorizedKeysFile .ssh/authorized_keys#AuthorizedKeysCommandnone#AuthorizedKeysCommandRunAsnobody（详见课本p.218-224）2.3SSH服务器架设–SSH客户端33（1）Linux下SSH客户端使用–安装客户端RHEL6默认已安装ssh客户端，可直接使用若需重新安装，基本的安装文件为：openssh-clients-5.3p1-81.el6.i686.rpm2.3SSH服务器架设–SSH客户端34（2）Linux下SSH客户端使用–运行客户端（方式1）基于口令的安全验证可使用如下命令登录sshd服务器ssh–l<用户名><主机>ssh<用户名>@<主机>如果不指定用户名，则默认以本机当前用户名登录远程主机初始登录时，由于双方都没有对方的公共密钥，服务器提示客户端连接可能是假冒的，需要用户确认用户确认后，在客户机的个人目录下的.ssh目录下，创建known_hosts文件，包含对方主机地址、公共密钥算法和公钥内容；查看命令为：$cat/home/<用户名>/.ssh/known_hosts2.3SSH服务器架设–SSH客户端35（2）Linux下SSH客户端使用–运行客户端（方式2）基于密钥的安全验证先在客户机中创建密钥对，如采用ssh-keygen–t–rsa命令；命令执行中，可选择设定私钥密码密钥创建在客户机的/home/<用户名>/.ssh目录下生成id_rsa和id_rsa.pub两个文件，分别是私钥和公钥将公钥上传到服务器主机（多种方式），将公钥文件拷贝到服务器的/home/<用户名>/.ssh目录下，并将公钥内容放到authorized_keys文件，文件应由该用户创建，权限值为600在客户机登录服务器，即不再需要该用户密码，而采用密钥方式登录2.3SSH服务器架设–SSH客户端36（3）Linux下SSH客户端使用–客户端登录流程客户端与sshd服务器建立连接时，事先提供用户名；sshd到该用户个人目录下的.ssh目录中查找authorized_keys文件，若找到且符合要求，则通过该公钥加密一个凭据发送给客户端客户端收到凭据后，根据算法查找当前用户个人目录下.ssh目录下是否有私钥（id_rsa）文件；若有，就用该私钥解密凭据，在发送给服务器服务器比较收到的凭据与发送的凭据，多一样，就认为是合法用户，直接登录若sshd找不到authorized_keys文件，则向客户端发送一个自己的公钥；若客户端是第一次登录，就把该公钥加入known_hosts文件中，再通过该公钥通信；此时需要用户密码登录2.3SSH服务器架设–SSH客户端37（4）Linux下SSH客户端使用–客户端配置SSH客户端配置文件在/etc/ssh/ssh_config配置文件中包含了常见的配置指令#Host*#ForwardAgentno#ForwardX11no#RhostsRSAAuthenticationno#RSAAuthenticationyes#PasswordAuthenticationyes#HostbasedAuthenticationno#GSSAPIAuthenticationno#GSSAPIDelegateCredentialsno#GSSAPIKeyExchangeno（详见课本p.212-213）2.3SSH服务器架设–SSH客户端38（5）Linux下SSH客户端使用–

OpenSSH的端口转发很多程序要通过TCP/IP传输，但受到协议本身限制使得数据传输不安全，如telnet、FTP、POP3等利用SSH的端口转发功能（隧道传输），可对这些网络程序在各种TCP端口上建立的TCP/IP连接进行加密和解密，以保证数据传输的安全示例：客户机为30；服务器为29；客户机执行如下命令#ssh–L2323:30:23root@29#telnet23232.4SSH服务器架设–SSH安装运行实验39（1）实验–克隆linux虚拟机（客户机）1、关闭linux虚拟机，运行虚拟机->管理->克隆选项2.4SSH服务器架设–SSH安装运行实验40（1）实验–克隆linux虚拟机（客户机）2、克隆自虚拟机的当前状态，创建完全克隆虚拟机2.4SSH服务器架设–SSH安装运行实验41（2）实验–SSH服务器安装运行1、启动服务器主机，检查sshd是否安装，启动sshd，并检查进程状态2.4SSH服务器架设–SSH安装运行实验42（2）实验–SSH服务器安装运行2、查看/etc/ssh/sshd_config配置文件2.4SSH服务器架设–SSH安装运行实验43（3）实验–SSH客户端使用1、启动客户机，采用用户密码方式，由客户机登录服务器主机2.4SSH服务器架设–SSH安装运行实验44（3）实验–SSH客户端使用2、查看客户机中known_hosts文件2.4SSH服务器架设–SSH安装运行实验45（3）实验–SSH客户端使用3、退出登录，在客户机中生成密钥2.4SSH服务器架设–SSH安装运行实验46（3）实验–SSH客户端使用4、在客户机中查看密钥2.4SSH服务器架设–SSH安装运行实验47（3）实验–SSH客户端使用5、将公钥放入共享文件夹，在服务器以user1用户复制文件至.ssh目录2.4SSH服务器架设–SSH安装运行实验48（3）实验–SSH客户端使用6、将公钥加入anthorized_keys文件，修改文件权限值为6002.4SSH服务器架设–SSH安装运行实验49（3）实验–SSH客户端使用7、在客户机重新登录sshd服务器2.4SSH服务器架设–SSH安装运行实验50（3）实验–SSH客户端使用8、在客户机中设置端口转发功能2.4SSH服务器架设–SSH安装运行实验51（3）实验–SSH客户端使用9、在客户机中另启终端控制器，使用SSH端口转发登录telnet目录521Telnet服务器架设2SSH服务器架设3VNC服务器架设3.1VNC服务器架设-VNC简介53（1）VNC简介VNC(VirtualNetworkConsole)是虚拟网络控制台的缩写。它是一款优秀的远程控制工具软件，由著名的AT&T的欧洲研究实验室开发VNC是在基于UNIX和Linux操作系统的免费的开源软件，远程控制能力强大，高效实用，其性能可以和Windows和MAC中的任何远程控制软件媲美在Linux中，VNC包括以下四个命令：vncserver，v