任務一 配置Telnet服務
Telnet協議是TCP/IP協議族中的一員,是Internet遠程登陸服務的標準協議和主要方式。它爲用戶提供了在本地計算機上完成遠程主機工作的能力。在終端使用者的電腦上使用telnet程序,用它連接到服務器。終端使用者可以在telnet程序中輸入命令,這些命令會在服務器上運行,就像直接在服務器的控制檯上輸入一樣。可以在本地就能控制服務器。要開始一個telnet會話,必須輸入用戶名和密碼來登錄服務器。Telnet是常用的遠程控制Web服務器的方法。
第1步:掛載光盤
將光盤放入光驅,然後使用【mount /dev/ cdrom /mnt】命令掛載光盤到系統中。
第2步:配置YUM源
【cd /etc/yum.repos.d/】進入YUM配置的目錄下
【mkdir /etc/yum.repos.d/bak】建立備份文件夾
【mv /etc/yum.repos.d/Cent * /etc/yum.repos.d/bak/】移動原有的配置文件到備份文件夾中
【vim /etc/yum.repos.d/local.repo】(必須是。repo爲拓展名)編輯自己的repo文件
local.repo的具體內容如下:
【local_server】
name=This is a local repo
baseurl=file:///mnt/
enabled=1
gpgcheck=0
編輯完成後按Esc鍵,輸入【:wq】保存並退出
第3步:安裝客戶端以及服務器軟件
使用如下命令先查詢軟件是否安裝,如果沒有安裝,則使用【yum】命令安裝
【rpm -q telnet】查詢Telnet的客戶端軟件
【rpm -q telnet-server】查詢Telnet的服務端軟件,如果沒有查詢到Telnet相關軟件的安裝信息,則需要使用如下命令進行安裝
【yum install -y telnet】安裝Telnet的客戶端軟件
【yum install -y telent-server】安裝Telnet的服務端軟件
安裝完成後,再次進行查詢,可以看到Telnet的相關軟件信息
第4步:修改主配置文件
使用【vim /etc/xinetd.d/telnet】命令編輯Telnet配置文件,找到disable=yes所在行,將其改成disable=no,打開Telnet功能。
(1)設置最大連接數。
在disable=no的後一行加上一行:instances=4,表示只允許4個用戶同時連接。
(2)在服務器上啓用Telnet服務。
【/ect/init.d/xinetd restart】或【service xineted restart】重啓Telnet服務。
【chkconfig xinetd on】設置Telnet服務在系統中運行。
以user1遠程Telnet到主機的效果
(3)修改連接端口。
【vim/etc/services】修改服務器提高服務的默認端口號,把telnet 23/tcp和telnet 23/udp中端口號改爲自定義端口號,
在服務器上使用【/etc/init.d/xinetd restart】命令重啓Telnet服務。
第5步:允許root登錄
因爲Telnet在傳輸數據時,採用明文的方式,包括用戶名和密碼,所以數據在傳輸的過程中很容易被截取和篡改,因此係統默認root用戶不可以Telnet到遠程的服務器上,而只是允許普通用戶Telnet到遠程的服務器上。
如果需要root用戶也能遠程Telnet到遠程服務器上,則需要使用【mv /etc/securetty/etc/securetty.bak】命令註釋掉/etc/securetty這個文件,使之失效。然後再以root用戶遠程Telnet到主機。
第6步:從第三方客戶端登錄
(1)使用PuTTY遠程登錄
PuTTY是一個Telnet、SSH、rlogin、純TCP以及串行接口連接軟件。較早的版本僅支持Windows平臺,在最近的版本中開始支持各類Unix平臺,並打算移植至Mac OS X上。除了官方版本外,有許多第三方的團體或個人將PuTTY移植到其他平臺上,像是以Symbian爲基礎的移動電話。PuTTY爲一開放源代碼軟件,主要由Simon Tatham維護,使用MIT licence授權。隨着Linux在服務器端應用的普及,Linux系統管理越來越依賴於遠程。在各種遠程登錄工具中,Putty是出色的工具之一。Putty是一個免費的、Windows x86平臺下的Telnet、SSH和rlogin客戶端,但是功能絲毫不遜色於商業的Telnet類工具。目前最新的版本爲 0.68 latest release 。
優點
用它來遠程管理Linux十分好用,其主要優點如下:
◆ 完全免費;
◆ 在Windows 9x/NT/2000下運行的都非常好;
◆ 全面支持SSH1和SSH2;
◆ 綠色軟件,無需安裝,下載後在桌面建個快捷方式即可使用;
◆ 體積很小,僅519KB(0.67 版本);
◆ 操作簡單,所有的操作都在一個控制面板中實現。
PuTTY包括了:
支持IPv6連接。
可以控制SSH連接時加密協定的種類。
目前有3DES、AES、Blowfish、DES(不建議使用)及RC4。CLI版本的SCP及SFTP Client,分別叫做pscp與psftp。
自帶SSH Forwarding的功能,包括X11 Forwarding。
完全模擬xterm、VT102及ECMA-48終端機的能力。
支持公鑰認證。
(2)使用SecureCRT遠程登錄
SecureCRT 是一款用於連接運行包括Windows、UNIX和VMS的遠程系統的理想工具,通過使用內含的VCP命令行程序可以進行加密文件的傳輸。
SecureCRT將SSH(Secure Shell)的安全登錄、數據傳送性能和Windows終端仿真提供的可靠性、可用性和可配置性結合在一起。
主要特點
支持SSH, telnet, serial和其它協議
Activator tray的使用大大減少了桌面混亂
Secure Shell將logon和session數據加密
Port forwarding保證了TCP/IP數據的安全
密碼和RSA識別
Blowfish, DES, 3DES 和 RC4密碼
X11 forwarding
任務二 配置SSH服務
SSH 爲 Secure Shell 的縮寫,由 IETF 的網絡工作小組(Network Working Group)所制定;SSH 爲建立在應用層和傳輸層基礎上的安全協議。SSH 是目前較可靠,專爲遠程登錄會話和其他網絡服務提供安全性的協議。利用 SSH 協議可以有效防止遠程管理過程中的信息泄露問題。SSH最初是UNIX系統上的一個程序,後來又迅速擴展到其他操作平臺。SSH在正確使用時可彌補網絡中的漏洞。SSH客戶端適用於多種平臺。幾乎所有UNIX平臺-包括HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix,以及其他平臺,都可運行SSH。
傳統的網絡傳輸協議,如ftp、pop和telnet在本質上都是不安全的,因爲它們在網絡上用明文傳送口令和數據,別有用心的人非常容易就可以截獲這些口令和數據。而且,這些服務程序的安全驗證方式也是有其弱點的, 就是很容易受到"中間人"(man-in-the-middle)這種方式的攻擊。所謂"中間人"的攻擊方式, 就是"中間人"冒充真正的服務器接收你傳給服務器的數據,然後再冒充你把數據傳給真正的服務器。服務器和你之間的數據傳送被"中間人"一轉手做了手腳之後,就會出現很嚴重的問題。通過使用SSH,可以把所有傳輸的數據進行加密,這樣"中間人"這種攻擊方式就不可能實現了,而且也能夠防止DNS欺騙和IP欺騙。
使用SSH,還有一個額外的好處就是傳輸的數據是經過壓縮的,所以可以加快傳輸的速度。SSH有很多功能,它既可以代替Telnet,又可以爲FTP、PoP、甚至爲PPP提供一個安全的"通道"
第1步:檢查SSH軟件的安裝
通過下面的命令檢查SSH的安裝情況。一般情況下,系統已經默認安裝了此服務。
【rpm -q openssh】查看SSH服務客戶端的安裝
【rpm -q openssh-server】查看SSH服務服務端的安裝
如果沒有查詢到相關的openssh軟件,請掛載光盤,配置好YUM源後可以通過如下命令安裝
【yum install -y openssh】安裝openssh客戶端
【yum install -y openssh-server】安裝openssh服務器端
第2步:解讀SSH配置文件
SSH的主配置文件是/etc/ssh/sshd-config,可使用vim編輯器打開。部分行的釋義如下:
port 22 監聽端口所在行,可以把默認的22改成其他端口
protocol 2,1 協議順序(ssh有兩個版本)
permirootlogin yes 設置是否允許root用戶登錄
permitEmptyPasswords no 是否允許空口令用戶登錄
passwordAuthentication yes 是否使用口令認證方式
此配置文件可以不做任何修改,直接啓動服務即可。
【service sshd start】啓動sshd服務進程(一般情況下,服務名稱後加d表示服務進程)
【chkcdfig sshd on】配置服務器開機後自動啓動sshd服務
第3步:使用第三方軟件登錄
(1)使用PuTTY登錄
填寫好要登錄服務器的主機名或IP地址,使用默認的端口號,選擇SSH服務即可登錄,如圖所示:
單擊【Open】按鈕後會提示輸入服務器的用戶名和密碼
(2)使用SecureCRT登錄。
單擊【連接】按鈕後,輸入用戶名和密碼即可登錄服務器。
第4步:使用【scp】命令傳輸文件
當我們遠程到服務器上以後,經常會需要在兩臺主機上傳輸文件,通過以下方式可以實現文件的傳輸。
(1)在Linux Server 上啓動SSH服務
(2)在客戶機上使用【scp -r LINUXSERVER IP:/目錄/文件/本地目錄】命令表示把服務器上某一文件複製到本地目錄;【scp -r LINUXSERVER IP:/目錄/本地目錄】命令表示把服務器上某一目錄中所有文件與目錄複製到本地目錄中;【scp -r 192.168.223.189:/mnt/yhy】命令表示複製主機192.168.223.189上mnt目錄下的所有文件到本地的/yhy目錄下。
第5步:使用【sz】與【rz】命令實現遠程主機與本地文件的傳輸
一般來說,Linux服務器大多是通過SSH客戶端來進行遠程登錄和管理的。使用SSH登錄Linux主機後,如何能夠快速地和本地機器進行文件的交互,也就是上傳和下載文件到服務器和本地?與SSH有關的兩個命令可以提供很方便的操作。
【sz】將選定的文件發送Send到本地機器
【rz】運行該命令會彈出一個文件選擇窗口,從本地選擇文件上傳到服務器(Receive).
但是,sz,rz是Linux、UNIX同Windows之間採用Zmodem文件傳輸的命令行工具,速度大概只有10kb/s,所以只適合中小文件。
任務三 配置VNC圖形界面服務
VNC [ Virtual Network Computing ]是一款優秀的遠程控制工具軟件,由著名的AT&T的歐洲研究實驗室開發的。VNC是在基於UNIX和Linux操作系統的免費的開放源碼軟件,遠程控制能力強大,高效實用,其性能可以和Windows和MAC中的任何遠程控制軟件媲美。
組成部分
VNC基本上是由兩部分組成:一部分是客戶端的應用程序(vncviewer);另外一部分是服務器端的應用程序(vncserver)。VNC的基本運行原理和一些Windows下的遠程控制軟件很相像。VNC的服務器端應用程序在UNIX和Linux操作系統中適應性很強,圖形用戶界面十分友好,看上去和Windows下的軟件界面也很類似。在任何安裝了客戶端的應用程序(vncviewer)的Linux平臺的計算機都能十分方便地和安裝了服務器端的應用程序(vncserver)的計算機相互連接。另外,服務器端 (vncserver)還內建了Java Web接口,這樣用戶通過服務器端對其他計算機的操作就能通過Netscape顯示出來了,這樣的操作過程和顯示方式比較直觀方便。
特點
同樣可能遠程連入UNIX、Linux進行圖形化操作的還有流行的Xmanager,VNC與之相比--兩者工作原理不一樣,前者(VNC)是遠程連入操作系統,所有操作在UNIX、Linux主機服務端進行,即使操作過程中"本地電腦與操作主機網絡斷開",也不影響操作的順利進行;而後者(Xmanager)是通過端口將主機服務器的UI界面引導到本地電腦進行展現,如操作過程出現"本地電腦與操作主機網絡斷開",操作將中斷失敗!如果操作中進行的工作任務非常重要,不能中斷,如ORACLE RAC實施,結果是災難性的!更重要的是,VNC是免費的、開源的,Xmanager你可能用的是破解註冊版的。
第1步:安裝Gnome圖形化桌面
要能遠程訪問圖形化界面,首先服務器自身要安裝圖形化套件,在此我們還要安裝中文支持套件。
【yum groupinstall "X Windows System""Desktop"】CentOS. x 安裝Gnome桌面環境
【yum groupinstall Xfce】CentOS安裝Xfce桌面環境,可選
【yum groupinstall -y "Chinese Support"】安裝中文支持
第2步:安裝vncserver軟件
【yum install -y tigervnc-server tigervnc】安裝vncserver軟件
第3步:配置VNC密碼
vncserver運行後,沒有配置密碼,客戶端是無法連接的,通過如下命令設置與修改密碼。
【vncserver】設置VNC密碼,密碼必須是6爲以上。
【vncpasswd】修改VNC密碼,同樣,密碼需要6位以上。
第4步:配置爲使用Gnome桌面
【vim/root/.vnc/xstartup】打開gnome桌面的配置文件,修改該文件,把最後的【twm &】刪除掉,再加上【gnome-session &】。
第5步:配置vncserver啓動後監聽端口和環境參數
【vim/etc/sysconfig/vncservers】修改配置文件,在最後面加入如下兩行內容:
VNCSERVERS="1:root”
VNCSERVERARGS[1]=“-geometry 1024x768”-alwaysshared -depth 24"
第6步:設置vncserver服務在系統中運行
修改任何有關vncserver的服務後都需要重新啓動相關的服務。
【servicevncserver restart】重啓vncserver服務。
【chkconfig vncserveron】設置vncserver開機自動啓動。
第7步:測試登錄
在網絡中輸入【VNC Viewer】關鍵字搜索並下載VNC Viewer,安裝後打開,界面入下圖所示:
輸入服務器IP地址,單擊【確定】按鈕,彈出下圖所示的要求輸入root密碼的提示框。
輸入root賬號密碼,單擊【確定】按鈕,即可登錄成功,登錄成功的界面如下圖所示:
第8步:排錯
(1)檢查SeLinux服務並關閉。使用【vim /etc/seLinux/config】命令編輯/etc/seLinux/config文件,設置SeLinux字段的值爲【disabled】。
(2)關閉NetworkManager服務。使用【chkconfig --delNetworkManager】命令關閉NetworkManager服務。
(3)iptables防火牆默認會阻止VNC遠程桌面,所以需要在iptables運行通過。當啓動VNC服務後,可以使用【netstart -tunlp】命令來查看VNC服務所使用的的端口,可以發現有5801、5901、6001。
使用【vim】命令編輯/etc/sysconfig/iptables文件,在文件最後添加如下內容,可以開始這些端口。
-A RH-Firewall -1 -INPUT -P tcp -m tcp -dport 5801 -j ACCEPT
-A RH-Firewall -1 -INPUT -P tcp -m tcp -dport 5901 -j ACCEPT
-A RH-Firewall -1 -INPUT -P tcp -m tcp -dport 6001 -j ACCEPT
重啓防火牆或者直接關閉防火牆的目錄如下:
【/etc/init.d/iptablesrsrtart】重啓防火牆。
【/etc/init.d/iptablesstop】關閉防火牆。
第9步:VNC的反向連接設置
在大多數情況下,vncserver總處於監聽狀態,vnc client主動向服務器發出請求從而建立連接。然而在一些特殊的場合,需要讓VNC客戶機處於監聽狀態,vncserver主動向客戶機發出連接請求,此謂VNC的反向連接。主要步驟如下:使用【vncviewer -listen】命令啓動vnc client,使vncviewer處於監聽狀態,使用【vncserver】命令啓動vncserver,使用【vncconnect -display :1 192.268.223.289】命令在vncsercver端執行【vncconnect】命令,發起server到client的請求。
第10步:解決可能遇到的黑屏問題
在Linux裏安裝配置完VNC服務端,發現多用戶登錄會出現黑屏的情況,具體的現象爲:客戶端可以通過IP與會話號登錄進入系統,但登錄進去是一片漆黑,除了一個叉形的鼠標以外,伸手不見五指。
原因:用戶的VNC啓動文件權限未設置正確。
解決辦法:將黑屏用戶的xstartup文件的屬性修改修改爲755(rwxr-xr-x),然後殺掉所有已經啓動的VNC客戶端1,使用【vncserver -kill :2】命令,殺掉所有以及啓動的VNC客戶端2,使用【/etc/init.d/vncserver restart】命令重啓vncserver服務。