Linux全攻略–遠端登入管理-Telnet與SSH

技術小胖子發表於2017-11-14
Linux
遠端登入是指使用者使用SSH、Telnet等命令,使自己的計算機暫時成為遠端主機的一個模擬終端過程。
一、使用Telnet
Telnet遠端登入的使用主要有兩種情況:第一種就是使用者在遠端主機上有自己的賬號,即使用者擁有註冊的使用者名稱和口令;第二種是許多INETNET主機為使用者提供了某種形式的公共Telnet資訊資源,這種資源對於每一個Telnet使用者都是開放的。
輸入命令:Telnet 遠端主機名
 
二、安裝和啟動Telnet
安裝之前先檢測是否這些軟體包已安裝:
如沒有安裝要用以下命令安裝
成功安裝後就開始啟動Telnet服。
可使用SETUP命令。
選系統服務
選中Telnet服務就可以了
這個是xinetd啟動方式。
然後進行編輯。
最後重啟服務就可以了。
下面來看配置Telnet
1。設定Telnet埠
進入編輯
找到Telnet將埠可修改成未使用的埠號。
然後儲存退出
最後重啟服務就可以了。
下面看下Telnet會話示例
其命令如下:
Telnet [-l user] [-a] host-name [port]
使用客戶端登入Telnet伺服器。成功登入。
然後可以檢視自己使用者下的檔案等。
使用SSH
傳統的網路服務程式,如FTP,POP,和Telnet在本質上都是不安全的,因為它們在網路上用明文傳送口令和資料,SSH的英文全稱是:Secure SHell,通過它,使用者可以把所有傳輸的資料進行加密.
SSH協議是建立在應用層和傳輸層基礎上的安全協議,其主要由以下三部分組成:1傳輸層協議,2.使用者認證協議層.3.連線協議層.
下面看安裝與啟動SSH
這裡已經安裝好了,可以看到其主要的安裝軟體包.
重啟一下服務
進行簡單的測試.
測試增加目錄.
下面看SSH的密匙管理.
包括兩個方面:生成公鑰/麼鑰和公鑰的分發.
在同一臺主機上同時有SSH1和SSH2的密匙是沒有問題的,因為它們是儲存為不同的檔案.在這裡修改了儲存目錄.然後按ENTER
可看到公鑰和麼鑰的儲存路徑
這裡也可看到一對密匙
然後進行釋出公匙:
通過FTP將公匙檔案/home/yang/.ssh.pub複製到遠端伺服器上的目錄/home/root/.ssh中,如果.ssh目錄不存在,可以用mkdir命令建立.再用chmod修改其屬性如下
chmod 644 .ssh.pub.
重啟服務進行遠端連線.由於本機沒有安裝FTP服務就不再做這個實驗了.
 
下面看在WINDOW客戶端使用PuTTY遠端管理LINUX伺服器
因為目前使用的系統大多數都是WINDOWS系統.所以在WINDOWS系統下遠端管理伺服器也是很有必需的.PUTTY是免費的WIN32平臺下的SSH/TELNET客戶端軟體.從網上下載後,點選它便可,不用安裝的.
在這裡輸入遠端伺服器的IP,埠號是22,連線協議是SSH.然後點OPEN..
連線成功後,就會把遠端的LINUX伺服器的終端視窗顯示出來.可以進行操作了.
還有類似的軟體有SecureCRT,SecureFX.
下面看配置資料夾的詳解
配置”/etc/ssh/ssh_conf”檔案
# Host * //中對能夠匹配後面字串的計算機有效.”*”表示所有計算機

#   ForwardAgent no//設定連線是否經過驗證代理(如果存在)轉發給遠端計算機

#   ForwardX11 no課設定X11連線是否被自動重定向到安全的通道和顯示集

#   RhostsRSAAuthentication no //是否用基於RHOSTS的安全驗證

#   RSAAuthentication yes //是否用RSA演算法的基於RHOSTS的安全驗證

#   PasswordAuthentication yes //是否用口令驗證

#   HostbasedAuthentication no //

#   BatchMode no

#   CheckHostIP yes//設定SSH是否檢視連線到伺服器的主機的IP地址以防止DNS欺騙

#   AddressFamily any

#   ConnectTimeout 0

#   StrictHostKeyChecking ask//如果設定為YES,SSH就不會自動把計算機的密匙加入”$HOME/.ssh/known_hosts”檔案,並且一旦計算機的密匙發生了變化,就拒絕連線

#   IdentityFile ~/.ssh/identity

#   IdentityFile ~/.ssh/id_rsa

#   IdentityFile ~/.ssh/id_dsa

#   Port 22//設定連線到遠端主機的埠

#   Protocol 2,1

#   Cipher 3des

#   Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc

#   EscapeChar ~

Host *

 GSSAPIAuthentication yes

# If this option is set to yes then the remote X11 clients will have full access

# to the local X11 display. As virtually no X11 client supports the untrusted

# mode correctly we set this to yes.

       ForwardX11Trusted yes

下面看下OPENSSH伺服器的安全設定
1)防火牆方面:由於SSH服務使用的埠是22.所以可以在防火牆設定中,使用ipchains或iptables來開放一些允許的IP通過埠22,把其它IP都拒絕掉
2)修改/etc/hosts.allow檔案.即可以在/etc/hosts.allow檔案中把不允許通過SSH方式訪問伺服器的IP地址拒絕掉,如果只允許IP地址192.168.0.1~192.167.0.255的主機可以通過SSH方式訪問伺服器.可修改如下:
新增上
sshd:192.168.0.0/24:Allow
sshd:ALL:Deny      //一定要在IP地址前面加上SSHD
     本文轉自yangming1052 51CTO部落格,原文連結:http://blog.51cto.com/ming228/108103,如需轉載請自行聯絡原作者


相關文章