远程登录是指用户使用SSH、Telnet等命令,使自己的计算机暂时成为远程主机的一个仿真终端过程。
一、使用Telnet
Telnet远程登录的使用主要有两种情况:第一种就是用户在远程主机上有自己的账号,即用户拥有注册的用户名和口令;第二种是许多INETNET主机为用户提供了某种形式的公共Telnet信息资源,这种资源对于每一个Telnet用户都是开放的。
输入命令:Telnet 远程主机名
二、安装和启动Telnet
安装之前先检测是否这些软件包已安装:
如没有安装要用以下命令安装
成功安装后就开始启动
Telnet服。
可使用SETUP命令。
选系统服务
选中
Telnet服务就可以了
这个是xinetd启动方式。
然后进行编辑。
最后重启服务就可以了。
下面来看配置
Telnet
1。设置Telnet端口
进入编辑
找到
Telnet将端口可修改成未使用的端口号。
然后保存退出
最后重启服务就可以了。
下面看下
Telnet会话示例
其命令如下:
Telnet [-l user] [-a] host-name [port]
使用客户端登录
Telnet服务器。成功登录。
然后可以查看自己用户下的文件等。
使用SSH
传统的网络服务程序,如FTP,POP,和
Telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,SSH的英文全称是:Secure SHell,通过它,用户可以把所有传输的数据进行加密.
SSH协议是建立在应用层和传输层基础上的安全协议,其主要由以下三部分组成:1传输层协议,2.用户认证协议层.3.连接协议层.
下面看安装与启动SSH
这里已经安装好了,可以看到其主要的安装软件包.
重启一下服务
进行简单的测试.
测试增加目录.
下面看SSH的密匙管理.
包括两个方面:生成公钥/么钥和公钥的分发.
在同一台主机上同时有SSH1和SSH2的密匙是没有问题的,因为它们是保存为不同的文件.在这里修改了保存目录.然后按ENTER
可看到公钥和么钥的保存路径
这里也可看到一对密匙
然后进行发布公匙:
通过FTP将公匙文件/home/yang/.ssh.pub复制到远程服务器上的目录/home/root/.ssh中,如果.ssh目录不存在,可以用mkdir命令建立.再用chmod修改其属性如下
chmod 644 .ssh.pub.
重启服务进行远程连接.由于本机没有安装FTP服务就不再做这个实验了.
下面看在WINDOW客户端使用PuTTY远程管理LINUX服务器
因为目前使用的系统大多数都是WINDOWS系统.所以在WINDOWS系统下远程管理服务器也是很有必需的.PUTTY是免费的WIN32平台下的SSH/TELNET客户端软件.从网上下载后,点击它便可,不用安装的.
在这里输入远程服务器的IP,端口号是22,连接协议是SSH.然后点OPEN..
连接成功后,就会把远程的LINUX服务器的终端窗口显示出来.可以进行操作了.
还有类似的软件有SecureCRT,SecureFX.
下面看配置文件夹的详解
配置"/etc/ssh/ssh_conf"文件
# Host * //中对能够匹配后面字串的计算机有效."*"表示所有计算机
# ForwardAgent no//设置连接是否经过验证代理(如果存在)转发给远程计算机
# ForwardX11 no课设置X11连接是否被自动重定向到安全的通道和显示集
# RhostsRSAAuthentication no //是否用基于RHOSTS的安全验证
# RSAAuthentication yes //是否用RSA算法的基于RHOSTS的安全验证
# PasswordAuthentication yes //是否用口令验证
# HostbasedAuthentication no //
# BatchMode no
# CheckHostIP yes//设置SSH是否查看连接到服务器的主机的IP地址以防止DNS欺骗
# AddressFamily any
# ConnectTimeout 0
# StrictHostKeyChecking ask//如果设置为YES,SSH就不会自动把计算机的密匙加入"$HOME/.ssh/known_hosts"文件,并且一旦计算机的密匙发生了变化,就拒绝连接
# IdentityFile ~/.ssh/identity
# IdentityFile ~/.ssh/id_rsa
# IdentityFile ~/.ssh/id_dsa
# Port 22//设置连接到远程主机的端口
# Protocol 2,1
# Cipher 3des
# Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc
# EscapeChar ~
Host *
GSSAPIAuthentication yes
# If this option is set to yes then the remote X11 clients will have full access
# to the local X11 display. As virtually no X11 client supports the untrusted
# mode correctly we set this to yes.
ForwardX11Trusted yes
下面看下OPENSSH服务器的安全设置
# ForwardAgent no//设置连接是否经过验证代理(如果存在)转发给远程计算机
# ForwardX11 no课设置X11连接是否被自动重定向到安全的通道和显示集
# RhostsRSAAuthentication no //是否用基于RHOSTS的安全验证
# RSAAuthentication yes //是否用RSA算法的基于RHOSTS的安全验证
# PasswordAuthentication yes //是否用口令验证
# HostbasedAuthentication no //
# BatchMode no
# CheckHostIP yes//设置SSH是否查看连接到服务器的主机的IP地址以防止DNS欺骗
# AddressFamily any
# ConnectTimeout 0
# StrictHostKeyChecking ask//如果设置为YES,SSH就不会自动把计算机的密匙加入"$HOME/.ssh/known_hosts"文件,并且一旦计算机的密匙发生了变化,就拒绝连接
# IdentityFile ~/.ssh/identity
# IdentityFile ~/.ssh/id_rsa
# IdentityFile ~/.ssh/id_dsa
# Port 22//设置连接到远程主机的端口
# Protocol 2,1
# Cipher 3des
# Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc
# EscapeChar ~
Host *
GSSAPIAuthentication yes
# If this option is set to yes then the remote X11 clients will have full access
# to the local X11 display. As virtually no X11 client supports the untrusted
# mode correctly we set this to yes.
ForwardX11Trusted yes
下面看下OPENSSH服务器的安全设置
1)防火墙方面:由于SSH服务使用的端口是22.所以可以在防火墙设置中,使用ipchains或iptables来开放一些允许的IP通过端口22,把其它IP都拒绝掉
2)修改/etc/hosts.allow文件.即可以在/etc/hosts.allow文件中把不允许通过SSH方式访问服务器的IP地址拒绝掉,如果只允许IP地址192.168.0.1~192.167.0.255的主机可以通过SSH方式访问服务器.可修改如下:
添加上
sshd:192.168.0.0/24:Allow
sshd:ALL:Deny //一定要在IP地址前面加上SSHD
本文转自yangming1052 51CTO博客,原文链接:http://blog.51cto.com/ming228/108103,如需转载请自行联系原作者
