LINUX LINUX 服务器管理技术服务器管理技术田 钧

2 2

第 十 五 章 第 十 五 章 TELNETTELNET 、、 OPENSSHOPENSSH• TELNET 的简介• TELNET 的安装• TELNET 的使用• OPENSSH 简介• OPENSSH 安装• OPENSSH 配置• OPENSSH 使用

3 3

TELNETTELNET 简介简介• TELNET 简介

Telnet 协议是 TCP/IP 协议族中的一员，是Internet 远程登陆服务的标准协议。 应用 Telnet 协议能够把本地用户所使用的计算机变成远程主机系统的一个终端。

4 4

TELNETTELNET 的简介的简介• Telnet 远程登录过程1 ）本地与远程主机建立连接。该过程实际上是建立一个 TCP 连接，用户必须知道远程主机的 Ip 地址或域名；

2 ）将本地终端上输入的用户名和口令及以后输入的任何命令或字符以 NVT（ Net Virtual Terminal ）格式传送到远程主机。该过程实际上是从本地主机向远程主机发送一个 IP 数据报；3 ）将远程主机输出的 NVT 格式的数据转化为本地所接受的格式送回本地终端，包括输入命令回显和命令执行结果；4 ）最后，本地终端对远程主机进行撤消连接。该过程是撤销一个 TCP 连接。

5 5

TELNETTELNET 的安装的安装• TELNET 的安装 （ REDHAT AS 3.0 ）# rpm -ivh telnet-0.17-26.i386.rpm# rpm -ivh telnet-server-0.17-26.i386.rpm• TELNET 安装信息# rpm -qip telnet-0.17-26.i386.rpm# rpm -qip telnet-server-0.17-26.i386.rpm

6 6

TELNETTELNET 的配置的配置• TELNET 的重要文件/etc/xinetd.d/telnet TELNET 服务配置文件/usr/sbin/in.telnetd TELNET 服务守候程序/usr/bin/telnet TELNET 终端工具

7 7

TELNETTELNET 的配置的配置• 编辑 /etc/xinetd.d/telnet # default: on# description: The telnet server serves telnet sessions; it

uses# unencrypted username/password pairs for authentication.service telnet{ disable = yes ； 如果需要启动 telnet 服务需要把 yes 改为 no

flags = REUSE socket_type = stream wait = no user = root server = /usr/sbin/in.telnetd log_on_failure += USERID}

8 8

TELNETTELNET 的配置的配置• Telnet 服务限制telnet 以明文传送口令和数据，如果对其默认的设置不满意，可以对其服务范围进行限制。假设主机的 IP 地址是 210.45.160.17 ，可以按以下方式设置：#vi /etc/xinetd.d/telnetservice telnet { .....Disable = no # 激活 telnet 服务 ,no only_from = 210.45.0.0/16 # 只允许 210.45.0.0 ~ 210.45.255.255 这个网段进入only_from = .edu.cn # 只有教育网才能进入！no_access = 210.45.160.{115,116} # 这两个 IP 地址不可登陆access_times = 8:00-12:00 20:00-23:59 # 每天只有这两个时间段开放服务......}

9 9

TELNETTELNET 的启动的启动• 启动 telnet 服务# service xinetd restart• 查看服务是否启动# netstat -an |grep LISTEN |grep :23tcp 0 0 0.0.0.0:23 0.0.0.0:* LISTEN（ Telnet 服务监听 tcp 23 号端口）

10 10

TELNETTELNET 的使用的使用• 使用 telnet 服务登陆# telnet 192.168.2.202Trying 192.168.2.202...Connected to 192.168.2.202 (192.168.2.202).Escape character is '^]'.Red Hat Enterprise Linux AS release 3 (Taroon Update 2)Kernel 2.4.21-15.EL on an i686login: adminPassword:$

11 11

TELNETTELNET 的使用的使用• 允许 root 直接登录 默认情况下系统不允许 root 直接登陆，如果要允许 root 直接登录，编辑 /etc/securetty ，增添如下行到文件尾部。pts/0pts/1pts/2…

12 12

TELNETTELNET 的缺点的缺点• 明文传输，容易捕获• 漏洞较多，易导致缓存溢出• 效率不高

13 13

OPENSSHOPENSSH 的简介的简介• OPENSSH 的简介OpenSSH是 SSH（ Secure SHell ）协议的免费开源实现。它用安全、加密的网络连接 工 具 代 替 了

telnet 、 ftp 、 rlogin 、 rsh 和 rcp 工具。该协议默认使用 RSA 钥匙OpenSSH 支持 SSH 协议的版本 1.3 、 1.5和 2 。自从 OpenSSH 的版本 2.9 以来，默认的协议是版本 2 。最新 OpenSSH 版本：

3.9

14 14

OPENSSHOPENSSH 的简介的简介• OPENSSH 优点加密方式传输传输数据经过压缩 ,可加快传输速可实现远程控制、数据传输（拷贝及

FTP 方式）

15 15

OPENSSHOPENSSH 的安装的安装• 安装 OPENSSH （ redhat as 3.0 ）# rpm –ivh openssh-3.6.1p2-33.30.1.i386.rpm# rpm –ivh openssh-clients-3.6.1p2-

33.30.1.i386.rpm# rpm –ivh openssh-server-3.6.1p2-

33.30.1.i386.rpm

16 16

OPENSSHOPENSSH 配置配置• OPENSSH 主要配置文件和程序/etc/pam.d/sshd pam 认证配置文件/etc/rc.d/init.d/sshd 启动脚本/etc/ssh/sshd_config 主配置文件/usr/sbin/sshd 服务守候程序/usr/bin/sftp 安全 ftp 工具/usr/bin/scp 安全拷贝工具/usr/bin/ssh 安全登陆工具

17 17

OPENSSHOPENSSH 配置配置• 配置文件 /etc/ssh/sshd_config# more sshd_config#Port 22#Protocol 2,1#ListenAddress 0.0.0.0#ListenAddress ::…# Logging#SyslogFacility AUTHSyslogFacility AUTHPRIV#LogLevel INFO…# Authentication:#LoginGraceTime 120#PermitRootLogin yes#StrictModes yes#RSAAuthentication yes#PubkeyAuthentication yes#AuthorizedKeysFile .ssh/authorized_keys…

18 18

OPENSSHOPENSSH 配置配置• 一些 OPENSSH 的缺省配置监听所有网络接口；使用 TCP 22 号端口；#Port 22#ListenAddress 0.0.0.0记录有关认证信息#SyslogFacility AUTHSyslogFacility AUTHPRIV#LogLevel INFO允许 root 直接登陆#PermitRootLogin yes

19 19

OPENSSHOPENSSH 配置配置• RSA 和 DSA 认证协议 RSA 和 DSA 认证协议的基础是一对专门生成的密钥，分别叫做专用密钥和公用密钥。在许多情况下，有可能不必手工输入密码就能建立起安全的连接。SSH 协议第一版支持基于 RSA 的认证。SSH 协议第二版支持使用 RAS 或 DSA 算法。

20 20

OPENSSHOPENSSH 配置配置• RSA 认证协议， RSA 密钥对的生成# ssh-keygen -t rsaGenerating public/private rsa key pair.Enter file in which to save the key (/root/.ssh/id_rsa):Enter passphrase (empty for no passphrase):Enter same passphrase again:Your identification has been saved in /root/.ssh/id_rsa.Your public key has been saved in /root/.ssh/id_rsa.pub.The key fingerprint is:64:c8:a8:fc:a8:ca:60:a3:cf:90:7a:61:9b:2e:f0:e7

root@gdlc-gongguan#

21 21

OPENSSHOPENSSH 配置配置• RSA 认证协议， RSA 密钥的安装私钥的安装 私钥存放在用户根目录下的 $HOME/.ssh/id_rsa 中 。公钥的安装 公钥存放在 $HOME/.ssh/id_rsa.pub 中 . 用户应该 把 id_rsa.pub 复 制 到 远 程 服 务 器 中 , 改 名

$HOME/.ssh/authorized_keys 存放到用户根目录下。例如： $ scp ~/.ssh/ id_rsa.pub user@remote: $ cat id_rsa.pub >> ~/.ssh/authorized_keys

22 22

OPENSSHOPENSSH 配置配置• DSA 认证协议， DSA 密钥对的生成# ssh-keygen -t dsaGenerating public/private dsa key pair.Enter file in which to save the key (/root/.ssh/id_dsa):

Enter passphrase (empty for no passphrase):Enter same passphrase again:Your identification has been saved in /root/.ssh/id_dsa.Your public key has been saved in

/root/.ssh/id_dsa.pub.The key fingerprint is:1b:31:87:ee:a8:ba:67:0c:04:24:02:bb:1a:0f:00:8d

root@gdlc-gongguan#

23 23

OPENSSHOPENSSH 配置配置• DSA 密钥对的安装私钥的安装 私钥存放在用户根目录下的 $HOME/.ssh/ id_dsa 中 。公钥的安装 DSA 公用密钥的安装几乎和 RSA 安装完全一样。公钥存放在 $HOME/.ssh/ id_dsa.pub 中 . 用户应该把

id_dsa.pub 复 制 到 远 程 服 务 器 中 , 改 名 $HOME/.ssh/authorized_keys 存放到用户根目录下。

例如： $ scp ~/.ssh/ id_dsa.pub user@remote: $ cat id_dsa.pub >> ~/.ssh/authorized_keys

24 24

OPENSSHOPENSSH 使用使用• Openssh 的使用$ ssh admin@192.168.2.202Enter passphrase for key '/home/admin/.ssh/id_dsa':输入你的 DSA 认证密码$ 登陆成功$ ssh admin@192.168.2.202Enter passphrase for key '/home/admin/.ssh/id_rsa':$ 输入你的 RSA 认证密码$ 登陆成功

25 25

OPENSSHOPENSSH 使用使用• Openssh 的使用# ssh gongguan@192.168.2.202The authenticity of host '192.168.2.202 (192.168.2.202)' can't be established.RSA key fingerprint is 00:eb:d3:41:f0:92:14:8b:30:20:2a:5d:32:71:c8:32.Are you sure you want to continue connecting (yes/no)? yesWarning: Permanently added '192.168.2.202' (RSA) to the list of known hosts.gongguan@192.168.2.202's password:$

• scp( 安全、加密的连接在机器间传输文件） 把本地文件传输给远程系统语法：scp localfile username@desthostname:/newfilenamelocalfile 指源文件，

username@desthostname:/newfilename 指目标文件。把远程文件传输给本地系统语法：scp username@desthostname:/remotefile /newlocalfileremotefile 指源文件， newlocalfile指目标文件

26 26

结束结束• 练习 1配置 telnet 服务器实现功能： 1 、实现本地用户登陆 2 、允许 root 用户直接登陆系统。• 练习 2配置 openssh 服务器实现功能： 1 、实现本地用户登陆 2 、使用 rsa 认证，登陆系统不许密码 3 、禁止 root 用户直接登陆系统。 4 、更改 ssh 监听端口为 222