一、利用SSH協(xié)議代替Telnet協(xié)議
在微軟的網(wǎng)絡(luò)環(huán)境中,大家或許都習(xí)慣了利用Telnet協(xié)議對(duì)微軟的服務(wù)器系統(tǒng)進(jìn)行遠(yuǎn)程管理。但是,這個(gè)協(xié)議有一定的缺陷。如Telnet協(xié)議在數(shù)據(jù)傳輸過程中是沒有加密的。所以,利用Telnet遠(yuǎn)程登錄系統(tǒng)的話,賬號(hào)、口令很容易被竊取。但是,SSH協(xié)議則彌補(bǔ)了這個(gè)缺陷,它在數(shù)據(jù)傳輸?shù)倪^程中,采取了加密的手段。所以,從數(shù)據(jù)的安全性上考慮,SSH協(xié)議相對(duì)來說,比較安全。所以,在Linux的網(wǎng)絡(luò)環(huán)境中,Linux網(wǎng)絡(luò)服務(wù)器往往是不開啟Telnet服務(wù)的,而利用SSH協(xié)議代替了Telnet協(xié)議。
其登錄的方式跟Telnet方式相同,只是關(guān)建字不同而已。在Linux的終端命令行中,我們只需要輸入ssh關(guān)鍵字,后面加上服務(wù)器的IP地址即可。如ssh 192.168.0.6 即可。
我們不僅可以在Linux的客戶端上利用SSH協(xié)議遠(yuǎn)程管理Linux服務(wù)器系統(tǒng);而且,我們?cè)谖④浀目蛻舳松弦部梢允褂肧SH服務(wù)遠(yuǎn)程登錄到Linux服務(wù)器中,進(jìn)行服務(wù)器的維護(hù)與管理。不過由于微軟的操作系統(tǒng),現(xiàn)在自帶的仍然是Telnet協(xié)議,而沒有裝有SSH服務(wù)。所以,要使用SSH服務(wù)遠(yuǎn)程管理Linux服務(wù)器的話,則需要第三方的管理工具。筆者現(xiàn)在采用的是PUTTY這款工具。這款小工具是開源的,可以從網(wǎng)上隨意下載。其容量也不大,只有小小的400K左右。
這款工具不僅支持SSH協(xié)議,還支持諸如Telnet在內(nèi)的其他遠(yuǎn)程連接服務(wù)。另外,其還可以保存一些原有的連接,這對(duì)于維護(hù)Linux客戶端與服務(wù)器非常的有用。我們可以把Linux服務(wù)器的SSH連接方式都保存起來,等到需要用到的時(shí)候,不用重復(fù)的輸入IP地址,而只需要進(jìn)行選擇即可。
Root帳戶默認(rèn)為L(zhǎng)inux系統(tǒng)的管理員帳戶。不過一般為了安全起見,我們往往不用這個(gè)帳戶進(jìn)行服務(wù)器的管理操作。如我們?cè)贚inux服務(wù)器上部署Oracle數(shù)據(jù)庫系統(tǒng)的話,我們往往會(huì)另外建立一個(gè)Oracle的管理員帳戶。以后有關(guān)Oracle數(shù)據(jù)庫的維護(hù)與管理基本上都是通過Oracle帳戶進(jìn)行管理。所以,我們有時(shí)候在遠(yuǎn)程登錄服務(wù)器的時(shí)候,我們希望root帳戶不能夠遠(yuǎn)程登陸到服務(wù)器。在默認(rèn)情況下,Linux服務(wù)器是允許以root的身份遠(yuǎn)程管理的。若我們要禁止這個(gè)帳戶進(jìn)行ssh登錄的話,則需要修改相關(guān)的配置文件。如我們打開/etc/ssh/sshd_config 文件的時(shí)候,可以看到如下的內(nèi)容。
我們只需要把#PermitRootLogin yes 的內(nèi)容更改為PermitRootLogin no 即可。如此的話,下次再采用root 帳戶進(jìn)行遠(yuǎn)程連接的話,Linux服務(wù)器就會(huì)拒絕。這是出于一種安全性的考慮。若企業(yè)在一個(gè)Linux服務(wù)器上只部署了一種應(yīng)用服務(wù)器的話,則采取如此的限制是完全有必要的。但是,若在一臺(tái)服務(wù)器上,除了部署Oracle數(shù)據(jù)庫系統(tǒng)之外,還有郵箱服務(wù)器等等其他應(yīng)用服務(wù)的話,則為了管理上的方便,就沒有必要禁ROOT帳戶遠(yuǎn)程登錄了。
雖然說,Telnet協(xié)議沒有SSH協(xié)議那么安全,不過為了那些微軟的管理專家考慮,Linux操作系統(tǒng)還是沒有完全禁用掉Telnet協(xié)議。只是其默認(rèn)是不開啟的。若網(wǎng)絡(luò)管理員需要采用Telnet對(duì)Linux進(jìn)行遠(yuǎn)程管理的話,則必須在操作系統(tǒng)上打開Telnet服務(wù)。為了開啟Telnet服務(wù)的話,則我們需要修改Linxu的配置文件。其目錄在/etc/xinetd.d/telnet下面。把其中的一項(xiàng)內(nèi)容,disable=yes 改為disable=no。然后采用reload命令或者重新啟動(dòng)系統(tǒng),加載設(shè)置文件,系統(tǒng)就會(huì)開啟Telnet服務(wù)。不過這跟上面的SSH相反,默認(rèn)情況下,系統(tǒng)是不允許ROOT帳戶登錄的。這主要是因?yàn)椋琇inux設(shè)計(jì)著認(rèn)為Telnet是以明文傳輸?shù)模云涿艽a很容易泄露。這就對(duì)Linux服務(wù)器帶來了很大的安全隱患。故為了安全考慮,Linux系統(tǒng)默認(rèn)情況下,是無法利用root帳戶通過Telnet服務(wù)遠(yuǎn)程登錄Linux操作系統(tǒng)的。
若出于某些原因,如對(duì)自己網(wǎng)絡(luò)安全的自信等等,需要讓root 帳戶也能夠利用Telent命令遠(yuǎn)程管理Linux操作系統(tǒng)的話,則需要進(jìn)行相關(guān)配置的更改。對(duì)于這個(gè)控制,Linux操作系統(tǒng)是通過/sec/securetty文件來控制的。若我們需要允許root帳戶采用Telent命令的話,則需要更改這個(gè)文件的配置。
最簡(jiǎn)單的方法,就是把這個(gè)文件重命名或者刪除即可。
復(fù)雜一點(diǎn)的話,就需要更改這個(gè)文件中的具體的值。這個(gè)文件是用來限定root帳戶可以從哪一個(gè)終端進(jìn)行登錄。一般來說,在Linux操作系統(tǒng)中,遠(yuǎn)程登陸是使用PTS/0,PTS/1等表示。而在實(shí)際登錄的時(shí)候,具體是用什么PTS端,則是根據(jù)當(dāng)前服務(wù)器已經(jīng)有幾個(gè)遠(yuǎn)程登錄帳戶來判斷的。如第一個(gè)登陸這個(gè)服務(wù)器時(shí),則是采用PTS/0,第二個(gè)的話則是PTS/1 。默認(rèn)情況下,由于不允許root帳戶Telnet登錄到Linux操作系統(tǒng)中,所以,是沒有配置這些PTS端的。若我們需要起登錄的話,則只要把這些端口加入到這個(gè)文件中即可。
不過,一般來說,出于安全的考慮,我們是不建議網(wǎng)絡(luò)管理員開啟Linux操作系統(tǒng)的Telnet服務(wù),因?yàn)檫@會(huì)明顯降低操作系統(tǒng)的安全性。
