Linux操作系統(tǒng)配置與管理 主編嚴(yán)學(xué)軍魯立中國(guó)水利水電出版社 第18章遠(yuǎn)程管理Linux服務(wù)器 學(xué)習(xí)要點(diǎn)遠(yuǎn)程管理的基本概念配置Telnet服務(wù)器配置OpenSSH服務(wù)器使用VNC實(shí)現(xiàn)遠(yuǎn)程管理 18 1遠(yuǎn)程管理的基本概念 所謂遠(yuǎn)程管理 也叫遠(yuǎn)程控制 是指管理人員在異地通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)異地?fù)芴?hào)或雙方都接入Internet等手段 聯(lián)通需被控制的計(jì)算機(jī) 將被控計(jì)算機(jī)的桌面環(huán)境顯示到自己的計(jì)算機(jī)上 通過(guò)本地計(jì)算機(jī)對(duì)遠(yuǎn)方計(jì)算機(jī)進(jìn)行配置 軟件安裝程序 修改等工作 遠(yuǎn)程喚醒 WOL 即通過(guò)局域網(wǎng)絡(luò)實(shí)現(xiàn)遠(yuǎn)程開(kāi)機(jī) 18 1遠(yuǎn)程管理的基本概念 18 1 1遠(yuǎn)程管理的基本原理遠(yuǎn)程控制軟件工作原理 遠(yuǎn)程控制軟件一般分客戶端程序 Client 和服務(wù)器端程序 Server 兩部分 通常將客戶端程序安裝到主控端的電腦上 將服務(wù)器端程序安裝到被控端的電腦上 使用時(shí)客戶端程序向被控端電腦中的服務(wù)器端程序發(fā)出信號(hào) 建立一個(gè)特殊的遠(yuǎn)程服務(wù) 然后通過(guò)這個(gè)遠(yuǎn)程服務(wù) 使用各種遠(yuǎn)程控制功能發(fā)送遠(yuǎn)程控制命令 控制被控端電腦中的各種應(yīng)用程序運(yùn)行 18 1遠(yuǎn)程管理的基本概念 18 1 2基于TCP協(xié)議的遠(yuǎn)程管理網(wǎng)上大部分的遠(yuǎn)程控制軟件都使用TCP協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程控制 使用TCP協(xié)議的遠(yuǎn)程控制軟件的優(yōu)勢(shì)是穩(wěn)定 連接成功率高 缺陷是雙方必須有一方具有公網(wǎng)IP 或在同一個(gè)內(nèi)網(wǎng)中 否則就需要在路由器上做端口映射 這意味著你只能用這些軟件控制擁有公網(wǎng)IP的電腦 或者只能控制同一個(gè)內(nèi)網(wǎng)中的電腦 比如控制該公司里其它的電腦 你不可能使用TCP協(xié)議的軟件從某一家公司的電腦 控制另外一家公司的內(nèi)部電腦 或者從網(wǎng)吧 賓館里控制你辦公室的電腦 因?yàn)樗麄兲幱诓煌膬?nèi)網(wǎng)中 80 以上的電腦都處于內(nèi)網(wǎng)中 使用路由共享上網(wǎng)的方式即為內(nèi)網(wǎng) TCP軟件不能穿透內(nèi)網(wǎng)的缺陷 使得該類軟件使用率大打折扣 但是目前很多遠(yuǎn)程控制軟件支持從被控端主動(dòng)連接到控制端 可以一定程度上彌補(bǔ)該缺陷 18 1遠(yuǎn)程管理的基本概念 18 1 3基于UDP協(xié)議的遠(yuǎn)程管理與TCP協(xié)議遠(yuǎn)程控制不同 UDP傳送數(shù)據(jù)前并不與對(duì)方建立連接 發(fā)送數(shù)據(jù)前后也不進(jìn)行數(shù)據(jù)確認(rèn) 從理論上說(shuō)速度會(huì)比TCP快 實(shí)際上會(huì)受網(wǎng)絡(luò)質(zhì)量影響 最關(guān)鍵的是 使用UDP協(xié)議可以利用UDP的打洞原理 UDPHolePunching技術(shù) 穿透內(nèi)網(wǎng) 從而解決了TCP協(xié)議遠(yuǎn)程控制軟件需要做端口映射的難題 這樣 即使雙方都在不同的局域網(wǎng)內(nèi) 也可以實(shí)現(xiàn)遠(yuǎn)程連接和控制 你會(huì)發(fā)現(xiàn)使用穿透內(nèi)網(wǎng)的遠(yuǎn)程控制軟件無(wú)需做端口映射即可實(shí)現(xiàn)連接 這類軟件都需要一臺(tái)服務(wù)器協(xié)助程序進(jìn)行通訊以便實(shí)現(xiàn)內(nèi)網(wǎng)的穿透 由于IP資源日益稀缺 越來(lái)越多的用戶會(huì)在內(nèi)網(wǎng)中上網(wǎng) 因此能穿透內(nèi)網(wǎng)的遠(yuǎn)程控制軟件 將是今后遠(yuǎn)程控制發(fā)展的主流方向 18 1遠(yuǎn)程管理的基本概念 18 1 4遠(yuǎn)程管理的應(yīng)用1 遠(yuǎn)程辦公2 遠(yuǎn)程教育3 遠(yuǎn)程維護(hù)4 遠(yuǎn)程協(xié)助 18 1遠(yuǎn)程管理的基本概念 18 1 5遠(yuǎn)程管理技術(shù)的發(fā)展趨勢(shì)1 功能更強(qiáng)大2 集中管理多臺(tái)遠(yuǎn)程計(jì)算機(jī)3 用Web瀏覽器進(jìn)行遠(yuǎn)程控制4 訪問(wèn)代碼連接進(jìn)行遠(yuǎn)程控制 18 1遠(yuǎn)程管理的基本概念 18 1 6遠(yuǎn)程控制軟件與病毒的區(qū)別通常所說(shuō)的控制軟件主要指用于正當(dāng)用途的常規(guī)遠(yuǎn)程控制軟件 此外還有以病毒復(fù)制等形式傳播的非法遠(yuǎn)程控制軟件 常見(jiàn)的是木馬病毒類型 18 1遠(yuǎn)程管理的基本概念 18 1 7遠(yuǎn)程管理的安全策略1 制定遠(yuǎn)程控制策略2 部署現(xiàn)場(chǎng)解決方案3 審核第三方驗(yàn)證4 確保審計(jì)能力5 設(shè)置訪問(wèn)權(quán)限等級(jí) 18 2Telnet服務(wù)器 Telnet是一種遠(yuǎn)程訪問(wèn)協(xié)議 使用該協(xié)議可以登錄遠(yuǎn)程計(jì)算機(jī) 網(wǎng)絡(luò)設(shè)備或?qū)Ｓ肨CP IP網(wǎng)絡(luò) 通過(guò)Linux系統(tǒng)的telnet服務(wù) telnet客戶機(jī)用戶可以連接到運(yùn)行telnet服務(wù)的計(jì)算機(jī)上 并且能夠在這臺(tái)計(jì)算機(jī)上執(zhí)行命令 對(duì)于早期的linux服務(wù)器來(lái)說(shuō) 一般采用遠(yuǎn)程登錄方式來(lái)登錄系統(tǒng) 最常見(jiàn)的就是使用telnet遠(yuǎn)程登錄工具 18 2Telnet服務(wù)器 18 2 1安裝telnet軟件包安裝telnet需要如下軟件包 xinetd 2 3 14 10 el5 i386 rpm 在第二張安裝光盤(pán)中 在安裝Telnet服務(wù)軟件前 必須首先安裝該軟件包 telnet是由該進(jìn)程啟動(dòng)的 telnet server 0 17 38 el5 i386 rpm 在第三張安裝光盤(pán)中 telnet服務(wù)軟件包 telnet 0 17 38 el5 i386 rpm telnet客戶端軟件包 Linux客戶機(jī)訪問(wèn)時(shí)需安裝 用命令可以查詢是否正確安裝 結(jié)果如下圖18 1所示 圖18 1 18 2Telnet服務(wù)器 18 2 2啟動(dòng)telnet服務(wù)要啟動(dòng)telnet服務(wù) 需要如兩個(gè)步驟 1 使用ntsysv命令 然后在如下圖所示的窗口中用空格鍵將telnet選中 然后使用Tab 鍵切換到 確定 按鈕 回車(chē)即可 圖18 2 18 2Telnet服務(wù)器 2 編輯 etc xinetd d telnet文件設(shè)置disable no 如下所示 圖18 3 18 2Telnet服務(wù)器 2 激活服務(wù)telnet服務(wù)是有xinetd進(jìn)程來(lái)啟動(dòng)的 因此只要重新激活xinetd 就可以重新激活剛設(shè)置的telnet服務(wù) 如下圖所示 圖18 4 18 2Telnet服務(wù)器 18 2 3配置telnet服務(wù)器為了安全起見(jiàn) 一般我們會(huì)修改telnet的默認(rèn)23端口 在 etc services文件中 找到telnet 將默認(rèn)的23端口修改為其他數(shù)值 例如2300 圖18 5 18 2Telnet服務(wù)器 修改了telnet的默認(rèn)端口后 重新激活xinetd 以便重新激活telnet服務(wù) 在登錄時(shí) 需在IP地址后加上端口號(hào)才能登陸 如果此時(shí) 我們用命令登陸telnet服務(wù)器 會(huì)出現(xiàn)錯(cuò)誤提示 如下圖所示 圖18 6 18 2Telnet服務(wù)器 18 2 4登陸telnet服務(wù)器1 Linux客戶端登陸此時(shí)可以用普通用戶登陸telnet服務(wù)器了 我們?cè)谙到y(tǒng)中自行添加一個(gè)普通賬號(hào) test 密碼 123456 然后用這個(gè)賬戶登陸 如下圖所示 首先打開(kāi)終端 圖18 7 18 2Telnet服務(wù)器 輸入telnet命令 telnet192 168 0 1012300 在提示中輸入用戶名test和密碼123456 圖18 8 18 2Telnet服務(wù)器 2 Windows客戶端登陸此時(shí)可以用windows自帶的命令提示符工具來(lái)完成telnet遠(yuǎn)程訪問(wèn) 首先 打開(kāi)命令提示符工具 效果如下圖所示 圖18 9 18 2Telnet服務(wù)器 輸入telnet命令 telnet192 168 0 1012300 來(lái)登陸遠(yuǎn)程的Linux服務(wù)器 圖18 10 18 2Telnet服務(wù)器 在登錄后的提示界面中輸入用戶名test和密碼123456 完成登陸驗(yàn)證 效果如下圖所示 圖18 12 圖18 11 18 3OpenSSH服務(wù)器 SSH secureShell 實(shí)現(xiàn)了與telnet服務(wù)類似的功能 可以實(shí)現(xiàn)字符界面的遠(yuǎn)程登錄管理 SSH采用了密文的形式在網(wǎng)絡(luò)中傳輸數(shù)據(jù) 因此可以實(shí)現(xiàn)更高的安全級(jí)別 是telnet服務(wù)的安全替代品 OpenSSH是免費(fèi)的SSH協(xié)議的實(shí)現(xiàn)版本 最早應(yīng)用于OpenBSD 現(xiàn)在可以運(yùn)行于大多數(shù)Unix操作系統(tǒng) 當(dāng)然也包括各種發(fā)行版本的linux 它是和telnet類似的遠(yuǎn)程命令行下登陸協(xié)議 區(qū)別在于 telnet采用明文傳輸命令和數(shù)據(jù) ssh采用密文傳輸命令和數(shù)據(jù) 安全性好 18 3OpenSSH服務(wù)器 配置OpenSSH服務(wù)器非常簡(jiǎn)單 只需安裝相關(guān)軟件即可 使用命令 rpm qa grepssh來(lái)查詢是否已安裝ssh 如果沒(méi)有 則需安裝 在RedHatLinux企業(yè)級(jí)版本中是默認(rèn)安裝的 一般的安裝目錄為 etc ssh 對(duì)應(yīng)的服務(wù)器配置文件為 etc ssh sshd config 圖18 13 18 3OpenSSH服務(wù)器 18 3 1啟動(dòng)和停止OpenSSH如果要啟動(dòng)OpenSSH服務(wù) 可以使用命令 Servicesshdstart 如果要停止OpenSSH服務(wù) 可以使用命令 Servicesshdstop 18 3OpenSSH服務(wù)器 18 3 2Linux客戶端的連接1 采用當(dāng)前用戶登錄 直接使用ssh命令 ssh192 168 0 101如下圖所示 圖18 14 圖18 15 18 3OpenSSH服務(wù)器 圖18 16 18 3OpenSSH服務(wù)器 18 3 3Windows客戶端的連接1 準(zhǔn)備工作 默認(rèn)設(shè)置 無(wú)法連接Linux服務(wù)器 原因是Linux防火墻過(guò)濾了ssh端口 22 解決辦法 直接關(guān)掉防火墻 但不安全 不推薦 關(guān)掉防火墻命令 etc init d iptablesstop在不關(guān)掉防火墻的情況下 我們只需要放開(kāi)ssh端口就可以了 推薦使用 2 使用putty軟件 綠色軟件 無(wú)須安裝 軟件中填入服務(wù)器IP地址即可 18 3OpenSSH服務(wù)器 圖18 17 18 3OpenSSH服務(wù)器 在軟件相應(yīng)編輯框中填入要訪問(wèn)的Linux服務(wù)器IP地址 這里填入的IP地址為192 168 0 101 然后點(diǎn)擊 open 按鈕 效果如下圖所示 圖18 18 18 3OpenSSH服務(wù)器 然后 我們就進(jìn)入了ssh登陸界面了 在這里 需要填入登陸用戶名和密碼 如下圖所示 我們使用前面添加的用戶test和密碼123456來(lái)完成登陸驗(yàn)證 圖18 19 圖18 20 18 4使用VNC實(shí)現(xiàn)遠(yuǎn)程管理 18 4 1安裝VNC配置VNC服務(wù)器非常簡(jiǎn)單 只需安裝相關(guān)軟件即可 使用命令 rpm qa grepvnc來(lái)查詢是否已安裝vnc服務(wù)器端軟件和客戶端軟件 如果沒(méi)有 則需安裝 默認(rèn)情況下 RedHatEnterpriseLinux安裝程序會(huì)將VNC服務(wù)安裝在系統(tǒng)上 打開(kāi)終端窗口 并查詢VNC服務(wù)的安裝情況 如下圖所示 圖18 21 18 4 2啟動(dòng)VNC服務(wù)器啟動(dòng)VNC服務(wù)器的方法 使用命令vncserver 接下來(lái)系統(tǒng)會(huì)要求輸入一個(gè)驗(yàn)證密碼 用于客戶端登錄時(shí)的驗(yàn)證 如下圖所示 18 4使用VNC實(shí)現(xiàn)遠(yuǎn)程管理 圖18 22 18 4 3連接VNC服務(wù)器1 Linux客戶端在Linux系統(tǒng)中 首先要安裝VNC客戶端 然后運(yùn)行客戶端 VNCViewer 接著輸入VNC服務(wù)器的IP地址 1 表示要啟動(dòng)X顯示方式 接著出現(xiàn)密碼界面 輸入VNC服務(wù)器啟動(dòng)時(shí)設(shè)置的密碼即可連接到服務(wù)器 例如 連接VNCServer的地址 192 168 0 101 1 18 4使用VNC實(shí)現(xiàn)遠(yuǎn)程管理 2 Windows客戶端首先安裝RealVNC 然后運(yùn)行RealVNC 在連接輸入VNC服務(wù)器的IP地址 1 表示要啟動(dòng)X顯示方式 接著出現(xiàn)密碼界面 輸入VNC服務(wù)器啟動(dòng)時(shí)設(shè)置的密碼即可連接到服務(wù)器 例如 192 168 0 101 1即可 18 4使用VNC實(shí)現(xiàn)遠(yuǎn)程管理 圖18 23 連接Linux的VNC服務(wù)器 填入遠(yuǎn)程服務(wù)器的IP地址 點(diǎn)擊 OK 按鈕 如下圖所示 填入VNC驗(yàn)證密碼 即啟動(dòng)VNCServer時(shí) 設(shè)置的連接密碼 如圖所示 18 4使用VNC實(shí)現(xiàn)遠(yuǎn)程管理 圖18 24 圖18 25 項(xiàng)目需求 某公司管理員需要遠(yuǎn)程管理Linux服務(wù)器 因此需要在服務(wù)器上配置Telnet服務(wù) 完成遠(yuǎn)程管理的工作 18 5項(xiàng)目實(shí)訓(xùn) 配置Telnet服務(wù)器