遠程登錄是指用戶使用SSH、Telnet等命令,使自己的計算機暫時成爲遠程主機的一個仿真終端過程。
一、使用Telnet
Telnet遠程登錄的使用主要有兩種情況:第一種就是用戶在遠程主機上有自己的賬號,即用戶擁有註冊的用戶名和口令;第二種是許多INETNET主機爲用戶提供了某種形式的公共Telnet信息資源,這種資源對於每一個Telnet用戶都是開放的。
輸入命令:Telnet 遠程主機名
二、安裝和啓動Telnet
安裝之前先檢測是否這些軟件包已安裝:
如沒有安裝要用以下命令安裝
成功安裝後就開始啓動Telnet服。
可使用SETUP命令。
選系統服務
選中Telnet服務就可以了
這個是xinetd啓動方式。
然後進行編輯。
最後重啓服務就可以了。
下面來看配置Telnet
1。設置Telnet端口
進入編輯
找到Telnet將端口可修改成未使用的端口號。
然後保存退出
最後重啓服務就可以了。
下面看下Telnet會話示例
其命令如下:
Telnet [-l user] [-a] host-name [port]
使用客戶端登錄Telnet服務器。成功登錄。
然後可以查看自己用戶下的文件等。
使用SSH
傳統的網絡服務程序,如FTP,POP,和Telnet在本質上都是不安全的,因爲它們在網絡上用明文傳送口令和數據,SSH的英文全稱是:Secure SHell,通過它,用戶可以把所有傳輸的數據進行加密.
SSH協議是建立在應用層和傳輸層基礎上的安全協議,其主要由以下三部分組成:1傳輸層協議,2.用戶認證協議層.3.連接協議層.
下面看安裝與啓動SSH
這裏已經安裝好了,可以看到其主要的安裝軟件包.
重啓一下服務
進行簡單的測試.
測試增加目錄.
下面看SSH的密匙管理.
包括兩個方面:生成公鑰/麼鑰和公鑰的分發.
在同一臺主機上同時有SSH1和SSH2的密匙是沒有問題的,因爲它們是保存爲不同的文件.在這裏修改了保存目錄.然後按ENTER
可看到公鑰和麼鑰的保存路徑
這裏也可看到一對密匙
然後進行發佈公匙:
通過FTP將公匙文件/home/yang/.ssh.pub複製到遠程服務器上的目錄/home/root/.ssh中,如果.ssh目錄不存在,可以用mkdir命令建立.再用chmod修改其屬性如下
chmod 644 .ssh.pub.
重啓服務進行遠程連接.由於本機沒有安裝FTP服務就不再做這個實驗了.
下面看在WINDOW客戶端使用PuTTY遠程管理LINUX服務器
因爲目前使用的系統大多數都是WINDOWS系統.所以在WINDOWS系統下遠程管理服務器也是很有必需的.PUTTY是免費的WIN32平臺下的SSH/TELNET客戶端軟件.從網上下載後,點擊它便可,不用安裝的.
在這裏輸入遠程服務器的IP,端口號是22,連接協議是SSH.然後點OPEN..
連接成功後,就會把遠程的LINUX服務器的終端窗口顯示出來.可以進行操作了.
還有類似的軟件有SecureCRT,SecureFX.
下面看配置文件夾的詳解
配置"/etc/ssh/ssh_conf"文件
# Host * //中對能夠匹配後面字串的計算機有效."*"表示所有計算機
# ForwardAgent no//設置連接是否經過驗證代理(如果存在)轉發給遠程計算機
# ForwardX11 no課設置X11連接是否被自動重定向到安全的通道和顯示集
# RhostsRSAAuthentication no //是否用基於RHOSTS的安全驗證
# RSAAuthentication yes //是否用RSA算法的基於RHOSTS的安全驗證
# PasswordAuthentication yes //是否用口令驗證
# HostbasedAuthentication no //
# BatchMode no
# CheckHostIP yes//設置SSH是否查看連接到服務器的主機的IP地址以防止DNS欺騙
# AddressFamily any
# ConnectTimeout 0
# StrictHostKeyChecking ask//如果設置爲YES,SSH就不會自動把計算機的密匙加入"$HOME/.ssh/known_hosts"文件,並且一旦計算機的密匙發生了變化,就拒絕連接
# IdentityFile ~/.ssh/identity
# IdentityFile ~/.ssh/id_rsa
# IdentityFile ~/.ssh/id_dsa
# Port 22//設置連接到遠程主機的端口
# Protocol 2,1
# Cipher 3des
# Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc
# EscapeChar ~
Host *
GSSAPIAuthentication yes
# If this option is set to yes then the remote X11 clients will have full access
# to the local X11 display. As virtually no X11 client supports the untrusted
# mode correctly we set this to yes.
ForwardX11Trusted yes
下面看下OPENSSH服務器的安全設置
# ForwardAgent no//設置連接是否經過驗證代理(如果存在)轉發給遠程計算機
# ForwardX11 no課設置X11連接是否被自動重定向到安全的通道和顯示集
# RhostsRSAAuthentication no //是否用基於RHOSTS的安全驗證
# RSAAuthentication yes //是否用RSA算法的基於RHOSTS的安全驗證
# PasswordAuthentication yes //是否用口令驗證
# HostbasedAuthentication no //
# BatchMode no
# CheckHostIP yes//設置SSH是否查看連接到服務器的主機的IP地址以防止DNS欺騙
# AddressFamily any
# ConnectTimeout 0
# StrictHostKeyChecking ask//如果設置爲YES,SSH就不會自動把計算機的密匙加入"$HOME/.ssh/known_hosts"文件,並且一旦計算機的密匙發生了變化,就拒絕連接
# IdentityFile ~/.ssh/identity
# IdentityFile ~/.ssh/id_rsa
# IdentityFile ~/.ssh/id_dsa
# Port 22//設置連接到遠程主機的端口
# Protocol 2,1
# Cipher 3des
# Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc
# EscapeChar ~
Host *
GSSAPIAuthentication yes
# If this option is set to yes then the remote X11 clients will have full access
# to the local X11 display. As virtually no X11 client supports the untrusted
# mode correctly we set this to yes.
ForwardX11Trusted yes
下面看下OPENSSH服務器的安全設置
1)防火牆方面:由於SSH服務使用的端口是22.所以可以在防火牆設置中,使用ipchains或iptables來開放一些允許的IP通過端口22,把其它IP都拒絕掉
2)修改/etc/hosts.allow文件.即可以在/etc/hosts.allow文件中把不允許通過SSH方式訪問服務器的IP地址拒絕掉,如果只允許IP地址192.168.0.1~192.167.0.255的主機可以通過SSH方式訪問服務器.可修改如下:
添加上
sshd:192.168.0.0/24:Allow
sshd:ALL:Deny //一定要在IP地址前面加上SSHD