Embed Size (px)
DESCRIPTION
第 17 章 Telnet 、 SSH 和 VNC 服务的配置与应用. 本章导读 Telnet 服务概述 Telnet 服务的安装 启动和停止 Telnet 服务 Telnet 服务的配置 Telnet 客户端的使用 Telnet 服务的安全问题 SSH 服务概述 SSH 服务的安装 SSH 服务的配置. 第 17 章 Telnet 、 SSH 和 VNC 服务的配置与应用. 启动和停止 SSH 服务 SSH 客户端的使用 使用公钥认证 VNC 服务概述 VNC 服务的安装 VNC 服务的配置 启动和停止 VNC 服务 VNC 客户端的配置 - PowerPoint PPT Presentation
Citation preview
第 17章 Telnet、 SSH和 VNC服务的配置与应用
本章导读 Telnet 服务概述 Telnet 服务的安装 启动和停止 Telnet 服务 Telnet 服务的配置 Telnet 客户端的使用 Telnet 服务的安全问题 SSH 服务概述 SSH 服务的安装 SSH 服务的配置
第 17章 Telnet、 SSH和 VNC服务的配置与应用
启动和停止 SSH 服务 SSH 客户端的使用 使用公钥认证 VNC 服务概述 VNC 服务的安装 VNC 服务的配置 启动和停止 VNC 服务 VNC 客户端的配置 启用远程协助功能
17.1 Telnet 服务概述
Telnet 是进行远程登录的标准协议,它是
当今 Internet 上应用最广泛的协议之一。它把用户正在使用的终端或计算机变成网络某一远程主机的仿真终端,使得用户可以方便地使用远程主机上的软、硬件资源。
17.2 Telnet 服务的安装
Red Hat Enterprise Linux 安装程序默认没有安装 Telnet服务,可使用下面命令检查系统是否已经安装了 Telnet 服务或查看已经安装了何种版本。
rpm -q telnet-server 如果系统还没有安装 Telnet 服务。可将 Red Hat Enterprise Linux 5 第 3 张安装盘放入光驱,加载光驱后在光盘的 Server 目录下找到 Telnet 服务的 RPM 安装包文件telnet-server-0.17-38.el5.i386.rpm ,然后使用下面的命令安装 Telnet 服务。rpm -ivh /mnt/Server/telnet-server-0.17-38.el5.i386.rpm
17.3 启动和停止 Telnet 服务
Telnet 服务并不像其他服务(如 HTTP 和 FTP 等)一样作
为独立的守护进程运行,它使用 xinetd 程序管理,这样不但能提高安全性,而且还能使用 xinetd 对 Telnet 服务器进行配置管理。
Telnet 服务安装后默认并不会被 xinetd 启用,还要修改文件 /etc/xinetd.d/telnet 将其启用。其实 /etc/xinetd.d/telnet文件是 xinetd 程序配置文件的一部分,可以通过它来配置Telnet 服务器的运行参数。编辑文件 /etc/xinetd.d/telnet ,找到语句“ disable = yes” ,将其改为“ disable = no” 。然后使用以下命令重新启动 xinetd 服务:
/etc/init.d/xinetd restart
17.4 Telnet 服务的配置
• Telnet 服务最大连接数• Telnet 服务端口
Telnet 服务最大连接数
编辑文件 /etc/xinetd.d/telnet ,在花括号“{ }” 中添加语句“ instances = 3” ,这里的
“ 3”
是指 Telnet 服务同时只允许 3 个连接。
Telnet 服务端口
Telnet 服务器默认在 23 端口监听所有客户机的连接,出于安全的考虑,可以更改服务器监听的端口。
编辑文件 /etc/services ,找到语句:telnet 23/tcptelnet 23/udp将这两条语句的 23 端口号改为其他端口(如 2323 )即可 。
17.5 Telnet 客户端的使用
• Windows 平台• Linux 平台
Windows 平台
在 Windows 平台下可以选择“开始”→“运行”,在出现的“运行”对话框中输入“ telnet 服务器的 IP 地址或域名”,然后再单击“确定”按钮。
如果 Telnet 成功地连接到远程服务器,就会显示登录信息并提示用户输入用户名和口令。如果用户名和口令输入正确,就能成功登录。用户登录进入后就出现 SHELL 界面,可以执行各种命令和访问系统的资源 。
Linux 平台
Red Hat Enterprise Linux 默认已经安装 Telnet 客户程序,可使用下面命令检查系统是否已经安装了 Telnet 客户程序或查看已经安装了何种版本。
rpm -q telnet如果系统还未安装 Telnet 客户程序,可将 Red Hat Enterprise Linux
5 第 1 张安装盘放入光驱,加载光驱后在光盘的 Server 目录下找到Telnet 客户程序的 RPM 安装包文件 telnet-0.17-38.el5.i386.rpm ,然后使用下面的命令安装 Telnet 客户程序。
rpm -ivh /mnt/Server/telnet-0.17-38.el5.i386.rpm安装好 Telnet 客户程序后,可以直接使用 telnet 命令登录到 Telnet 服
务器。命令格式为:telnet 服务器的 IP 地址或域名
17.6Telnet 服务的安全问题
Telnet 协议在带来便利性的同时,也带来了许多安全问题。最突出的就是 Telnet 协议以明文的方式传送所有数据(包括账号和口令),数据在传输过程中很容易被入侵者窃听或篡改,所以建议在对安全要求不高的环境下使用,或在使用前先建立 VPN 连接,使用以 VPN 提供的安全通道连接。
17.7 SSH 服务概述
• 公钥加密体系结构• SSH 服务简介• SSH 的版本
公钥加密体系结构
公钥加密体系结构理论基础是基于非对称性算法的,非对称性算法使用一对密钥(即公开密钥Public Key 和私有密钥 Private Key )进行加密和解密。虽然加密密钥和解密密钥不相同,但这对密钥是互补的,也就是说使用公钥加密的信息只有私钥才能解密,使用私钥加密的信息只有公钥才能解密 ,公钥可以向外公开,任何人都可以得到公钥;私钥不能向外公开,由用户自己小心保管。
公钥加密体系结构
用户 A 要发送数据给用户 B ,主要经过以下步骤进行加密:① 用户 B 通过各种方式(如网络)向外界公开他的公钥 PUB_B;② 用户 A 得到用户 B 的公钥 PUB_B ,并使用 PUB_B 对信息加密并发送给用户 B;
③ 用户 B 在收到密文后,使用其私钥 PRI_B 就能完成解密。
SSH 服务简介
Telnet 服务虽然使用方便,但由于其安全性不高,因此目前通常使用 SSH ( Secure Shell )代替 Telnet 进行远程管理。 SSH 是一个在应用程序中提供安全通信的协议,通过 SSH 可以安全地访问服务器,因为 SSH基于成熟的公钥加密体系,把所有传输的数据进行加密,保证数据在传输时不被恶意破坏、泄露和篡改。 SSH 还使用了多种加密和认证方式,解决了传输中数据加密和身份认证的问题,能
有效防止网络嗅探和 IP欺骗等攻击。
SSH 的版本
目前 SSH 协议已经经历了 SSH 1 和 SSH 2
两个版本,它们使用了不同的协议来实现,二者互不兼容。 SSH 2 不管在安全、功能上还是在性能上都比 SSH 1 有优势,所以目前被广泛使用的是 SSH2 。
17.8 SSH 服务的安装
默认情况下 Red Hat Enterprise Linux 安装程序会将OpenSSH 服务和客户程序安装在系统上。可使用下面的命令检查系统是否已经安装了 OpenSSH 服务或查看已经安装了何种版本。
rpm -q openssh-server如果系统还未安装 OpenSSH 服务,可将 Red Hat
Enterprise Linux 4 Update 1 第 2 张安装盘放入光驱,加载光驱后在光盘的 Server 目录下找到 OpenSSH 服务的 RP
M安装包文件 openssh-server-4.3p2-16.el5.i386.rpm ,然后使用下面的命令安装 OpenSSH 服务。
rpm -ivh /mnt/Server/openssh-server-4.3p2-16.el5.i386.rpm
17.9 SSH 服务的配置
配置 SSH 服务的运行参数,是通过修改配置文件 /etc/ssh/sshd_config 实现的。 ( 1 )设置 SSH 服务监听的端口号Port 选项定义了 SSH 服务监听的端口号。 SSH 服务默认使用的端口号是 22 。
#Port 22
( 2 )设置使用 SSH 协议的顺序 Protocol 选项定义了 SSH 服务器使用 SSH 协议的顺序。默认先使用 SSH 2
协议,如果不成功则使用 SSH1 协议。为了安全起见,可以设置只使用 SSH 2协议。
#Protocol 2,1
( 3 )设置 SSH 服务器绑定的 IP 地址ListenAddress 选项定义了 SSH 服务器绑定的 IP 地址,默认绑定服务器所有
可用的 IP 地址。#ListenAddress 0.0.0.0
( 4 )设置是否允许 root 管理员登录PermitRootLogin 选项定义了是否允许 root 管理员登录。默认允许管理员登
录。#PermitRootLogin yes
( 5 )设置是否允许空密码用户登录PermitEmptyPasswords 选项定义了是否允许空密码的用户登录。为了保
证服务器的安全,应该禁止这些用户登录,默认是禁止空密码用户登录的。#PermitEmptyPasswords no
( 6 )设置是否使用口令认证方式PasswordAuthentication 选项定义了是否使用口令认证方式。如果准备使
用公钥认证方式,可以将其设置为 no 。PasswordAuthentication yes
17.10 启动和停止 SSH 服务
1. 启动 SSH 服务的命令/etc/init.d/sshd start
2.停止 SSH 服务的命令/etc/init.d/sshd stop
3.重新启动 SSH 服务的命令/etc/init.d/sshd restart
17.10 启动和停止 SSH 服务
4.设置自动运行 SSH 服务 为了让系统每次启动时自动运行 SSH 服务,还可以将它设置为自启动。执行“ ntsysv” 命令启动服务配置程序,在出现的对话框中找
到“sshd” 服务,然后在其前面加上星号( * ),选择“确定”即可。
17.11 SSH 客户端的使用
• Windows 平台• Linux 平台
Windows 平台
1.获取 PuTTY 程序Windows 下有许多 SSH 的客户程序,推荐使用免费的 PuTTY 程
序 。下载地址 http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
Windows 平台
2.连接 SSH 服务器运行下载的 putty.exe 文件,在 PuTTY 程序主界面的“ Host Name” 中
输入服务器的 IP 地址或域名,在“ Protocol” 中选择“ SSH” 选项,然后单
击“ Open” 按钮连接。
Windows 平台
如果是第一次连接到某台服务器,由于服务器公钥还没有在注册表中缓存, PuTTY 程序会出现警告信息并显示服务器的指纹信息 。
Windows 平台
3.在远程系统上工作如果 PuTTY 成功地连接到 SSH 服务器,就会显示登录信息并提示
用户输入用户名和口令。如果用户名和口令输入正确,就能成功登录并在远程系统上工作了 。
Linux 平台
在 Linux 平台下可以使用 OpenSSH 的客户程序 openssh-clients 来连
接 SSH 服务器。 Red Hat Enterprise Linux 默认已经安装 SSH 客户程序,可使用下面命令检查系统是否已经安装了 SSH 客户程序或查看已经安装了何种版本。
rpm -q openssh-clients如果系统还未安装 SSH 客户程序,可将 Red Hat Enterprise Linux 5
第 1 张安装盘放入光驱,加载光驱后在光盘的 Server 目录下找到 SSH客户程序的 RPM 安装包文件 openssh-clients-4.3p2-16.el5.i386.rpm ,然后使用下面的命令安装 SSH 客户程序。
rpm -ivh /mnt/Server/openssh-clients-4.3p2-16.el5.i386.rpm 安装好 openssh-clients 程序后,可以直接使用 ssh 命令登录到 SSH
服务器。命令的格式为:ssh 服务器的 IP 地址或域名
17.12 使用公钥认证
• 公钥认证的原理• 在服务器启用公钥认证 • 在 PuTTY 程序中使用公钥认证• 在 openssh-clients 程序使用公钥认证
公钥认证的原理
首先由用户生成一对密钥,然后将公钥保存在 SSH 服务
器用户主目录下 .ssh子目录中的 authorized_keys 文件里(如 /root/.ssh/authorized_keys ),私钥保存在本地计算机中。当用户登录时,服务器检查 authorized_keys 文件
的公钥是否与用户的私钥对应。如果相符则允许用户登录,否则拒绝用户的登录请求。
在服务器启用公钥认证
编辑文件 /etc/ssh/sshd_config ,找到语句
“PasswordAuthentication yes” ,并将语句改为“ PasswordAuthentication no” 。
在 PuTTY 程序中使用公钥认证
1.获取 PuTTYgen 程序为了生成密钥,还要到 http://www.c
hiark.greenend.org.uk/~sgtatham/putty/download.html 下载产生密钥的程序 puttygen.exe
2.产生密钥运行下载的 puttygen.exe 文件,在 P
uTTYgen 程序主界面中的“ Type of key generate:” 选择加密的算法,在“ Number of bits in a generated key:” 中输入加密的位数,推荐使用默认的 1024位 SSH2 RSA 加密,然后单击“ Generate”按钮开始生成密钥
在 PuTTY 程序中使用公钥认证
在密钥产生的过程中,为了生成一些随机的数据,应在程序的窗口内随意移动鼠标(否则程序进度条不会改变)。密钥生成后,出于安全性的考虑,程序会提示输入保护私钥的口令短语Key passphrase
在 PuTTY 程序中使用公钥认证
3.保存密钥口令短语用于保护私钥。如果入侵者窃取了私钥但没有口令短语也不能使
用该私钥,如果不想使用口令短语保护,只需将该项留空即可,最后分别单击“ Save public key” 和“ Save private key” 按钮将公钥和私钥保存成文件。本例将保存公钥的文件名为 linden.pub ,保存私钥的文件名为 linden.ppk 。4.传输公钥文件到 SSH 服务器
为了让 SSH 服务器能读取公钥文件,还要将公钥文件传输到 SSH 服务器的用户主目录下的 .ssh子目录中(如果没有 .ssh 目录,可手动建立),因为公钥文件可以公开给所有用户,传输公钥文件时不必考虑安全问题,可以使用FTP 、电子邮件或软盘拷贝的方法。5.转换公钥文件格式由于 puttygen产生的公钥文件格式与 OpenSSH 程序使用的格式不兼容,因
此还要在 Linux 中使用 openssh 软件包自带的 ssh-keygen 程序对其进行转换。应输入如下命令进行转换:ssh-keygen -i -f /root/.ssh/linden.pub>/root/.ssh/authorized_keys
在 PuTTY 程序中使用公钥认证
6.连接 SSH 服务器 ① 运行 PuTTY 程序,在“ Host Name” 中输入服务器的 IP 地址或域
名(如 192.168.16.177 )
在 PuTTY 程序中使用公钥认证
② 选择对话框左边的“ Category”窗口的“ Connection”→“SSH”→“Auth” 。
③ 在“ Private key file for authentication” 输入框中输入私钥文件的路径,如图 17-28 所示,然后单击“ Open” 按钮连接。
在 PuTTY 程序中使用公钥认证
④ PuTTY 成功地连接到 SSH 服务器后,服务器会提示输入登录用户名。如果使用了保护私钥的口令短语,则还会提示输入口令短语。在登录过程中,不需要输入用户的口令。
在 openssh-clients 程序使用公钥认证
1.产生密钥可以使用 openssh 软件包自带的 ssh-keygen 程序产生密
钥,如执行以下命令:ssh-keygen -t rsa
2.传输公钥文件到 SSH 服务器为了让 SSH 服务器能读取公钥文件,还要将产生的公钥文件
id_rsa.pub 传输到 SSH 服务器的用户主目录下的 .ssh子目录中(如果
没有 .ssh 目录,可手动建立),并改名为 authorized_keys 。 3.连接 SSH 服务器
现在可以直接使用 ssh 命令登录到 SSH 服务器
17.13 VNC 服务概述
VNC 软件主要由两个部分组成: VNC server 和 VNC viewer 。用户需先将 VNC server 安装在被控端的计算机上,才能在主控端执行 VNC viewer控制被控端,类似Windows 的终端服务,它可以远程控制 X-Window桌面。VNC 还可以实现基于 Java 的客户端访问远程的 VNC 服务器 。
VNC server与 VNC viewer支持多种操作系统,如Windows 、 Linux 、 UNIX 和 MacOS 等,因此可将 VNC server及 VNC viewer 分别安装在不同的操作系统中进行控制。
17.14 VNC 服务的安装
• 启动 VNC 服务• 测试 VNC 服务
VNC 服务的安装
默认情况下, Red Hat Enterprise Linux 安装程序会将VNC 服务安装在系统上,可使用下面的命令检查系统是否已经安装了 VNC 服务或查看已经安装了何种版本。
rpm -q vnc-server如果系统还未安装 VNC 服务,可将 Red Hat Enterprise
Linux 5 第 2 张安装盘放入光驱,加载光驱后在光盘的Server 目录下找到 VNC 服务的 RPM 安装包文件 vnc-serve
r-4.1.2-9.el5.i386.rpm ,然后使用下面的命令安装 VNC 服务。
rpm -ivh /mnt/Server/vnc-server-4.1.2-9.el5.i386.rpm
启动 VNC 服务
可以使用 vncserver 命令来启动 VNC 服务,命令的格式为“vncserver :桌面号”,其中“桌面号”用“数字”的方式表示,每个用户
连接需要占用 1 个桌面。如要启动编号为 1 的桌面可以执行命令:
vncserver :1 第 1次运行该命令,因此系统提示用户输入访问口令,口令会被
加密保存在用户主目录下 .vnc子目录中的 passwd 文件(如/root/.vnc/passwd )里。同时系统还会在用户主目录下的 .vnc子目录中为用户自动建立 xstartup 配置文件,以后每次启动 VNC 服务时,都会读取该文件中的配置选项。
测试 VNC 服务
在客户机中打开 Web浏览器访问“ http://Linux 服务器的 IP 或域名 :5801/” ,会出现“ VNC viewer for Java” (即使用 Java 编写的 V
NC 客户程序)界面,同时还会出现一个连接对话框 。
17.15 VNC 服务的配置
• 配置图形桌面环境• 配置多个桌面号• 修改访问口令
配置图形桌面环境
VNC 服务默认使用 twm图形桌面环境的原因造成的,为了能使用功能强大的 KDE 或 GNOME图形桌面环境(当然前提是系统已经安装了 KDE 或 GNOME图形桌面环境),还要编辑文件用户主目录下 .vnc子目录中的 xstartup 文件(如 /root/.vnc/xstartup )。如果要使用 KDE图形桌面环境,则将文件最后一行的“ twm” 改为“ startkde”;如果要使用 GNOME图形桌面环境,则将文件最后一行的“ twm” 改为“gnome-session” 。
修改完 xstartup 文件后,还要执行以下命令关闭桌面号,并重新启动桌面号,
vncserver -kill :1vncserver :1
配置多个桌面号
如果需要多个用户同时连接到 VNC 服务,可以多次执行 vncserver 命令,并将其中的“桌面号”从“ :1” 改为“ :2” 或“ :3” ,依此类推。
修改访问口令
VNC 服务的每个用户账号拥有自己的登录
口令。如果需要修改访问口令,就应使用需修改口令的用户登录,然后执行命令:
vncpasswd
17.16 启动和停止 VNC 服务
1.启动 VNC 服务的命令/etc/init.d/vncserver start
2.停止 VNC 服务的命令/etc/init.d/vncserver stop
3.重新启动 VNC 服务的命令/etc/init.d/vncserver restart
17.16 启动和停止 VNC 服务
4.设置自动运行 VNC 服务 如果需要让 VNC 服务随系统启动而自动加载,可以执行“ ntsysv”
命令启动服务配置程序,找到“ vncserver” 服务,在其前面加上星号( * ),然后选择“确定”即可。
17.17 VNC 客户端的配置
• Linux 平台• Windows 平台
Linux 平台
Red Hat Enterprise Linux 安装程序默认没有安装 VNC viewer ,使用下面的命令检查系统是否已经安装了 VNC viewer 或查看已经安装了何种版本。
rpm -q vnc如果系统当前还没有安装 VNC viewer ,可将 Red Hat
Enterprise Linux 5 第 3 张安装盘放入光驱,加载光驱后在光盘的 Server 目录下找到 VNC viewer 的 RPM 安装包文件vnc-4.1.2-9.el5.i386.rpm ,然后使用下面的命令安装 VNC viewer 。
rpm -ivh /mnt/Server/vnc-4.1.2-9.el5.i386.rpm
Linux 平台
安装完后,在 X-Window 中打开“应用程序”→“附件”→“ VNC Viewer”
来执行 VNC 客户程序 。
Windows平台
1.获取 VNC 客户端程序 目前 TightVNC 的最新版本是 1.3.9 ,可以到http://www.tightvnc.com/download.html 下载基于 Windows 平
台
的 TightVNC 程序
2.安装 TightVNC 程序 3.连接 VNC 服务器安装完 TightVNC 后,打开“开始” →“ 程序”→“ TightVNC
(unstable)”→“TightVNC Viewer”
来执行 VNC 客户程序,在对话框中输入 Linux 服务器的 IP 或域名和桌面号后,单击“ Connect” 按钮连接,输入访问口令进行登录后就可以在 Windows 下远程控制 X-
Window 了 。
17.18 启用远程协助功能
如果要与本地运行的 X-Windows 进行远程协助,可以在本地 X-Windows 中打开一个“终端”窗口,然后执行命令“ x0vncserver -PasswordFile=/当前用户主目录 /.vnc/passwd” ,如对于 root 用户可以在“终端”窗口中执行以下命令。x0vncserver -PasswordFile=/root/.vnc/passwd
在远程协助过程中不能关闭 x0vncserver 程序,远程用户使用 VNC 客户端连接到服务器的“ :0”桌面号即可。
17.19练习题
【练习 1】建立 Telnet 服务器,并根据以下要求配置 Telnet 服务器。( 1 )配置 Telnet 服务同时只允许两个连接。( 2 )配置 Telnet 服务器在 2323 端口监听客户机的连接。【练习 2】建立 SSH 服务器,并根据以下要求配置 SSH 服务器。( 1 )配置 SSH 服务器绑定的 IP 地址为 192.168.16.177 。( 2 )在 SSH 服务器启用公钥认证。【练习 3】建立 VNC 服务器,并根据以下要求配置 VNC 服务器。( 1 )配置 VNC 服务器使用 GNOME图形桌面环境。( 2 )配置 VNC 服务每次启动都会自动创建桌面号。( 3 )在 VNC 服务器启用远程协助功能。
