telnet、ssh和vnc服务的配置与应用

Telnet、SSH和VNC服务的配置与应用本章导读Telnet服务概述Telnet服务的安装启动和停止Telnet服务Telnet服务的配置Telnet客户端的使用Telnet服务的安全问题SSH服务概述SSH服务的安装SSH服务的配置第17章Telnet、SSH和VNC服务的配置与应用启动和停止SSH服务SSH客户端的使用使用公钥认证VNC服务概述VNC服务的安装VNC服务的配置启动和停止VNC服务VNC客户端的配置启用远程协助功能17.1Telnet服务概述Telnet是进行远程登录的标准协议，它是当今Internet上应用最广泛的协议之一。它把用户正在使用的终端或计算机变成网络某一远程主机的仿真终端，使得用户可以方便地使用远程主机上的软、硬件资源。17.2Telnet服务的安装RedHatEnterpriseLinux安装程序默认没有安装Telnet服务，可使用下面命令检查系统是否已经安装了Telnet服务或查看已经安装了何种版本。rpm-qtelnet-server如果系统还没有安装Telnet服务。可将RedHatEnterpriseLinux5第3张安装盘放入光驱，加载光驱后在光盘的Server目录下找到Telnet服务的RPM安装包文件telnet-server-0.17-38.el5.i386.rpm，然后使用下面的命令安装Telnet服务。rpm-ivh/mnt/Server/telnet-server-0.17-38.el5.i386.rpm17.3启动和停止Telnet服务Telnet服务并不像其他服务（如HTTP和FTP等）一样作为独立的守护进程运行，它使用xinetd程序管理，这样不但能提高安全性，而且还能使用xinetd对Telnet服务器进行配置管理。Telnet服务安装后默认并不会被xinetd启用，还要修改文件/etc/xinetd.d/telnet将其启用。其实/etc/xinetd.d/telnet文件是xinetd程序配置文件的一部分，可以通过它来配置Telnet服务器的运行参数。编辑文件/etc/xinetd.d/telnet，找到语句“disable=yes”，将其改为“disable=no”。然后使用以下命令重新启动xinetd服务：/etc/init.d/xinetdrestart17.4Telnet服务的配置•Telnet服务最大连接数•Telnet服务端口Telnet服务最大连接数编辑文件/etc/xinetd.d/telnet，在花括号“{}”中添加语句“instances=3”，这里的“3”是指Telnet服务同时只允许3个连接。Telnet服务端口Telnet服务器默认在23端口监听所有客户机的连接，出于安全的考虑，可以更改服务器监听的端口。编辑文件/etc/services，找到语句：telnet23/tcptelnet23/udp将这两条语句的23端口号改为其他端口（如2323）即可。17.5Telnet客户端的使用•Windows平台•Linux平台Windows平台在Windows平台下可以选择“开始”→“运行”，在出现的“运行”对话框中输入“telnet服务器的IP地址或域名”，然后再单击“确定”按钮。如果Telnet成功地连接到远程服务器，就会显示登录信息并提示用户输入用户名和口令。如果用户名和口令输入正确，就能成功登录。用户登录进入后就出现SHELL界面，可以执行各种命令和访问系统的资源。Linux平台RedHatEnterpriseLinux默认已经安装Telnet客户程序，可使用下面命令检查系统是否已经安装了Telnet客户程序或查看已经安装了何种版本。rpm-qtelnet如果系统还未安装Telnet客户程序，可将RedHatEnterpriseLinux5第1张安装盘放入光驱，加载光驱后在光盘的Server目录下找到Telnet客户程序的RPM安装包文件telnet-0.17-38.el5.i386.rpm，然后使用下面的命令安装Telnet客户程序。rpm-ivh/mnt/Server/telnet-0.17-38.el5.i386.rpm安装好Telnet客户程序后，可以直接使用telnet命令登录到Telnet服务器。命令格式为：telnet服务器的IP地址或域名17.6Telnet服务的安全问题Telnet协议在带来便利性的同时，也带来了许多安全问题。最突出的就是Telnet协议以明文的方式传送所有数据（包括账号和口令），数据在传输过程中很容易被入侵者窃听或篡改，所以建议在对安全要求不高的环境下使用，或在使用前先建立VPN连接，使用以VPN提供的安全通道连接。17.7SSH服务概述•公钥加密体系结构•SSH服务简介•SSH的版本公钥加密体系结构公钥加密体系结构理论基础是基于非对称性算法的，非对称性算法使用一对密钥（即公开密钥PublicKey和私有密钥PrivateKey）进行加密和解密。虽然加密密钥和解密密钥不相同，但这对密钥是互补的，也就是说使用公钥加密的信息只有私钥才能解密，使用私钥加密的信息只有公钥才能解密，公钥可以向外公开，任何人都可以得到公钥；私钥不能向外公开，由用户自己小心保管。公钥加密体系结构用户A要发送数据给用户B，主要经过以下步骤进行加密：①用户B通过各种方式（如网络）向外界公开他的公钥PUB_B；②用户A得到用户B的公钥PUB_B，并使用PUB_B对信息加密并发送给用户B；③用户B在收到密文后，使用其私钥PRI_B就能完成解密。SSH服务简介Telnet服务虽然使用方便，但由于其安全性不高，因此目前通常使用SSH（SecureShell）代替Telnet进行远程管理。SSH是一个在应用程序中提供安全通信的协议，通过SSH可以安全地访问服务器，因为SSH基于成熟的公钥加密体系，把所有传输的数据进行加密，保证数据在传输时不被恶意破坏、泄露和篡改。SSH还使用了多种加密和认证方式，解决了传输中数据加密和身份认证的问题，能有效防止网络嗅探和IP欺骗等攻击。SSH的版本目前SSH协议已经经历了SSH1和SSH2两个版本，它们使用了不同的协议来实现，二者互不兼容。SSH2不管在安全、功能上还是在性能上都比SSH1有优势，所以目前被广泛使用的是SSH2。17.8SSH服务的安装默认情况下RedHatEnterpriseLinux安装程序会将OpenSSH服务和客户程序安装在系统上。可使用下面的命令检查系统是否已经安装了OpenSSH服务或查看已经安装了何种版本。rpm-qopenssh-server如果系统还未安装OpenSSH服务，可将RedHatEnterpriseLinux4Update1第2张安装盘放入光驱，加载光驱后在光盘的Server目录下找到OpenSSH服务的RPM安装包文件openssh-server-4.3p2-16.el5.i386.rpm，然后使用下面的命令安装OpenSSH服务。rpm-ivh/mnt/Server/openssh-server-4.3p2-16.el5.i386.rpm17.9SSH服务的配置配置SSH服务的运行参数，是通过修改配置文件/etc/ssh/sshd_config实现的。（1）设置SSH服务监听的端口号Port选项定义了SSH服务监听的端口号。SSH服务默认使用的端口号是22。#Port22（2）设置使用SSH协议的顺序Protocol选项定义了SSH服务器使用SSH协议的顺序。默认先使用SSH2协议，如果不成功则使用SSH1协议。为了安全起见，可以设置只使用SSH2协议。#Protocol2,1（3）设置SSH服务器绑定的IP地址ListenAddress选项定义了SSH服务器绑定的IP地址，默认绑定服务器所有可用的IP地址。#ListenAddress0.0.0.0（4）设置是否允许root管理员登录PermitRootLogin选项定义了是否允许root管理员登录。默认允许管理员登录。#PermitRootLoginyes（5）设置是否允许空密码用户登录PermitEmptyPasswords选项定义了是否允许空密码的用户登录。为了保证服务器的安全，应该禁止这些用户登录，默认是禁止空密码用户登录的。#PermitEmptyPasswordsno（6）设置是否使用口令认证方式PasswordAuthentication选项定义了是否使用口令认证方式。如果准备使用公钥认证方式，可以将其设置为no。PasswordAuthenticationyes17.10启动和停止SSH服务1.启动SSH服务的命令/etc/init.d/sshdstart2．停止SSH服务的命令/etc/init.d/sshdstop3．重新启动SSH服务的命令/etc/init.d/sshdrestart17.10启动和停止SSH服务4．设置自动运行SSH服务为了让系统每次启动时自动运行SSH服务，还可以将它设置为自启动。执行“ntsysv”命令启动服务配置程序，在出现的对话框中找到“sshd”服务，然后在其前面加上星号（*），选择“确定”即可。17.11SSH客户端的使用•Windows平台•Linux平台Windows平台1．获取PuTTY程序Windows下有许多SSH的客户程序，推荐使用免费的PuTTY程序。下载地址~sgtatham/putty/download.htmlWindows平台2．连接SSH服务器运行下载的putty.exe文件，在PuTTY程序主界面的“HostName”中输入服务器的IP地址或域名，在“Protocol”中选择“SSH”选项，然后单击“Open”按钮连接。Windows平台如果是第一次连接到某台服务器，由于服务器公钥还没有在注册表中缓存，PuTTY程序会出现警告信息并显示服务器的指纹信息。Windows平台3．在远程系统上工作如果PuTTY成功地连接到SSH服务器，就会显示登录信息并提示用户输入用户名和口令。如果用户名和口令输入正确，就能成功登录并在远程系统上工作了。Linux平台在Linux平台下可以使用OpenSSH的客户程序openssh-clients来连接SSH服务器。RedHatEnterpriseLinux默认已经安装SSH客户程序，可使用下面命令检查系统是否已经安装了SSH客户程序或查看已经安装了何种版本。rpm-qopenssh-clients如果系统还未安装SSH客户程序，可将RedHatEnterpriseLinux5第1张安装盘放入光驱，加载光驱后在光盘的Server目录下找到SSH客户程序的RPM安装包文件openssh-clients-4.3p2-16.el5.i386.rpm，然后使用下面的命令安装SSH客户程序。rpm-ivh/mnt/Server/openssh-clients-4.3p2-16.el5.i386.rpm安装好openssh-clients程序后，可以直接使用ssh命令登录到SSH服务器。命令的格式为：ssh服务器的IP地址或域名17.12使用公钥认证•公钥认证的原理•在服务器启用公钥认证•在PuTTY程序中使用公钥认证•在openssh-clients程序使用公钥认证公钥认证的原理首先由用户生成一对密钥，然后将公钥保存在SSH服务器用户主目录下.ssh子目录中的authorized_keys文件里（如/root/.ssh/authorized_keys），私钥保存在本地计算机中。当用户登录时，服务器检查authorized_keys文件的公钥是否与用户的私钥对应。如果相符则允许用户登录，否则拒绝用户的登录请求。在服务器启用公钥认证编辑文件/etc/ssh/sshd_config，找到语句“PasswordAuthenticationyes”，并将语句改为“PasswordAuthentica