Linux Telnet服務(wù)的替換
在一些設(shè)置中,我們常會(huì)遇到Telnet服務(wù)的問題。這里我們主要講解一下Linux下的Telnet的替換問題。那么首先讓我們了解一下系統(tǒng)環(huán)境。不知道您有沒有發(fā)現(xiàn),最近的Linux套件中,都將Telnet的功能自『預(yù)設(shè)啟動(dòng)』的條件,改為需要由使用者開啟的狀態(tài)?也就是說,RedHat在7.x版本以后,如果您需要Telnet服務(wù),那么你就必須要自行啟動(dòng)他,因?yàn)樗呀?jīng)被排除在『預(yù)設(shè)啟動(dòng)』的服務(wù)項(xiàng)目之外了!為什么呢?這是由于Telnet服務(wù)本身在傳送資料或者是在進(jìn)行任何工作的時(shí)候,都是以『明碼』的狀態(tài)來傳送指令,這樣一來,當(dāng)有心人士以listen的功能監(jiān)聽你的資料封包時(shí),那么你所傳送的資料將會(huì)被擷取而遭到竊取了!所以,基本上,那是非常不安全的一種傳輸資料方式!因此,在最近所釋出的Linux版本中,例如RedHat7.x版本,他們的Telnet服務(wù)就已經(jīng)不再是『預(yù)設(shè)啟動(dòng)』的功能了!
那如果我們要從遠(yuǎn)端連線到主機(jī)的話,應(yīng)該怎么辦?既然使用Telnet這種明碼的方式行不通的話,那么我們要使用何種方式呢?呵呵,現(xiàn)在有更好的方式來提供喔!那就是使用openssh這個(gè)套件啦!這個(gè)SSH的服務(wù),最重要的是可以使用『非明碼』的方式來傳送你所鍵入的資料封包,也就是說,你的資料在網(wǎng)路上,即使被監(jiān)聽而遭竊取了,由于SSH是一種加密過后的封包,故而即使被竊取了,該資料要經(jīng)過解密也不是三天兩頭的事情,所以呢,就可以比較安全的工作啦!此外,SSH同時(shí)也提供配合PAM的安全模組,與TCPWrappers的封包限制(也就是/etc/hosts.allow與/etc/hosts.deny的機(jī)制),因此呢,安全性也就比較高一些啰!此外,最便利的一點(diǎn)是,你可以使用root的身份經(jīng)由ssh登入你的主機(jī)喔!
好了!底下我們就來說一說,要如何將你的Telnet改成以ssh來連接呢?由于RedHat7.x以后,預(yù)設(shè)的ssh是『開啟』的狀態(tài),所以你幾乎不需要任何設(shè)定就可以使用ssh啰,那如果是RedHat6.x以前的系統(tǒng)呢?那也很簡單的,你只要安裝底下兩個(gè)套件(假如您安裝RedHat6.x是以完全安裝為主)就可以啰!
主機(jī)系統(tǒng)的SSH建置:
◆RedHat7.x系統(tǒng):
由于RedHat7.x系統(tǒng)本身就已經(jīng)開啟了sshd了,所以你可以直接以ssh來連上你的主機(jī)啰!不過,如果沒有正常開啟SSH的話,那樣要如何啟動(dòng)呢?也是很簡單的,你可以這樣:
1.以『/usr/sbin/setup』程式進(jìn)入setup的話面中;
2.選擇『SystemServices』這個(gè)項(xiàng)目;
3.然后向下移動(dòng)到『[*]sshd』,將[*]勾選(按下空白鍵即可);
4.然后以tab按鍵移動(dòng)到『OK』按下enter;
這樣就設(shè)定完開機(jī)啟動(dòng)了!然后以底下的方式來啟動(dòng)ssh服務(wù):
/etc/rc.d/init.d/sshdstart
來啟動(dòng)sshd這個(gè)服務(wù),要知道有沒有正常的啟動(dòng)ssh呢?呵呵,只要輸入底下的指令:
netstat-a|more
如果一切正常的話,你將會(huì)看到類似底下的這一行:
tcp00*:ssh*:*LISTEN
那就表示ssh已經(jīng)成功的啟動(dòng)了!不過,如果萬一你的Linux系統(tǒng)并沒有安裝ssh這個(gè)服務(wù)呢?呵呵!那就安裝他吧!其實(shí),ssh這支服務(wù)的主要程式稱為openSSH啰!然后,如果您想要重先安裝openssh來提供ssh的服務(wù),那么RedHat的網(wǎng)站上隨時(shí)更新的Errata您就不能不去看看!你可以按底下的連結(jié)上去RedHat下載屬于您系統(tǒng)的***的openssh這個(gè)套件!
小紅帽的Errata網(wǎng)頁
然后按下您的RedHat版本,進(jìn)入后,去尋找openssh字眼的套件,那個(gè)就是啦!然后按下連結(jié)之后,直接找到屬于您的系統(tǒng)版本,例如我都是直接捉i386的RPM檔案,然后回來以root身份執(zhí)行:
rpm-ivhopenssh*
如果您只是要升級(jí)openssh的話,那就使用:
rpm-Uvhopenssh*
更有甚者,直接以u(píng)p2date來升級(jí),(不過會(huì)比較慢一些喔!)
up2date-iopenssh
升級(jí)成功之后,就可以直接的以上面的方式來啟動(dòng)ssh這個(gè)服務(wù)了!
VBird的經(jīng)驗(yàn)在上一次更新openSSH套件的時(shí)候,那是因?yàn)榫W(wǎng)路上發(fā)表了舊的openssh可能有些安全方面的問題,所以VBird就去更新了,但是沒想到更新完成之后SSH竟然不會(huì)動(dòng)!當(dāng)真是嚇了一大跳!后來,找了一些檔案之后,才發(fā)現(xiàn),原來預(yù)設(shè)的PAM模組的屬性搞錯(cuò)了!你可以到/etc/pam.d這個(gè)目錄下去看一下,會(huì)發(fā)現(xiàn)sshd的屬性竟然是600,與其他的檔案屬性都不同,后來執(zhí)行了:chmod644sshd就OK啰!如果你也更新之后發(fā)現(xiàn)有這個(gè)問題,可以參考看看啰!
◆RedHat6.x以前版本的Linux啟動(dòng)ssh服務(wù):
好了,那么要如何的在RedHat6.x以前的版本上執(zhí)行ssh這個(gè)服務(wù)呢?其實(shí)也是很簡單的,如前所說的,ssh其實(shí)是openssh套件的一種,而openssh有使用到openssl這個(gè)資料保密的套件,(其實(shí)還有其他的套件需要安裝,不過,由于我這里預(yù)設(shè)條件是您已經(jīng)用『完整安裝』來安裝您的Linux系統(tǒng),所以其他的套件應(yīng)該都已經(jīng)安裝完整了才對(duì)!)VBird不是很建議使用RPM來安裝openssh,因?yàn)樵赗edHat6.x以前的版本上面安裝openssh的RPM實(shí)在是太麻煩了!所以,我們就使用tarball的方式來安裝吧!#p#
下載openssl與openssh:
到哪里下載呢?直接到他們的網(wǎng)站上去看看相關(guān)的訊息吧!到目前為止(2002/01/18),openssh***版本為3.0.2(2001/12/3釋出),而openssl***則是0.9.6c(2001/12/21)這個(gè)版本:
openSSH網(wǎng)站
openSSL網(wǎng)站
或者您也可以在這里下載OpenSSH與OpenSSL這兩個(gè)檔案.
安裝:
由于openssh會(huì)使用到openssl的資料,所以當(dāng)然需要先安裝openssl之后,在安裝openssh啰:
[root@tsairoot]#cd/usr/local/src[root@tsaisrc]#tar-zxvf/root/openssh-3.0.2p1.tar.gz[root@tsaisrc]#tar-zxvf/root/openssl-0.9.6c.tar.gz[root@tsaisrc]#cdopenssl-0.9.6c[root@tsaiopenssl-0.9.6c]#./config--prefix=./usr/local/openssl將資料安裝在/usr/local/openssl這個(gè)目錄,這樣安裝的好處是,往后在移除該套件較為容易!直接移除該目錄就好了!.[root@tsaiopenssl-0.9.6c]#make開始編譯啰![root@tsaiopenssl-0.9.6c]#maketest測試一下是否正常,應(yīng)該不會(huì)有問題才是![root@tsaiopenssl-0.9.6c]#makeinstall安裝到/usr/local/openssl中啰!安裝好openssl之后,他的函式庫馬上就自動(dòng)啟動(dòng)了!然后開始安裝openssh吧![root@tsaiopenssl-0.9.6c]#cd./openssh-3.0.2p1[root@tsaiopenssh-3.0.2p1]#./configure--prefix=/usr/local/openssh--with-pam--with-tcp-wrappers注意喔!上面是同一行喔!--with-pam在加入PAM模組的安全防護(hù),而--with-tcp-wrappers則是加入TCPWrappers的安全防護(hù)啰!.[root@tsaiopenssh-3.0.2p1]#cdcontrib/redhat[root@tsairedhat]#cpsshd.pam/etc/pam.d/sshd這個(gè)步驟在將PAM這個(gè)安全模組拷貝到PAM的預(yù)設(shè)路徑去,也就是/etc/pam.d這個(gè)目錄啦!另外,特別注意,sshd這個(gè)檔案的屬性必須為644,而所有人是root才行,否則ssh不會(huì)動(dòng)!![root@tsairedhat]#cd./.[root@tsaiopenssh-3.0.2p1]#make<==編譯[root@tsaiopenssh-3.0.2p1]#makeinstall
上面這樣就安裝完畢啦!
啟動(dòng):
再來就是需要啟動(dòng)SSH這個(gè)套件了,你應(yīng)該可以到/usr/local/openssh去,進(jìn)入/usr/local/openssh/sbin去執(zhí)行sshd這個(gè)檔案,也就是:
/usr/local/openssh/sbin/sshd
就完成啟動(dòng)的程序啰!如果不相信的話,那就執(zhí)行netstat-a|more看看有沒有ssh這個(gè)服務(wù)吧!
既然啟動(dòng)了ssh那么Telnet服務(wù)自然就不需要繼續(xù)存在啰!沒錯(cuò),因?yàn)閟sh可以完全取代Telnet的功能的!所以呢,請(qǐng):
vi/etc/inetd.conf
找到底下這一行:
Telnetstreamtcpnowaitroot/usr/sbin/tcpdin.Telnetd
在前面加上一個(gè)注解符號(hào)『#』就可以啦!然后退出之后,執(zhí)行:
/etc/rc.d/init.d/inetrestart
重新啟動(dòng)inet這個(gè)服務(wù),然后以netstat-a|more看一下,Telnet服務(wù)就不見了,那我們就用ssh來取代。#p#
用戶端的SSH連線軟體
Linuxsysem:
好了,現(xiàn)在我們知道主機(jī)可以使用ssh來進(jìn)行連線的服務(wù),但是怎樣在用戶端(Client)執(zhí)行連線的軟體呢?哈哈!很簡單,如果你是以Linux系統(tǒng)來連線的話,那么你應(yīng)該可以在/usr/bin里面找到一個(gè)ssh的軟體,(如果是使用tarball的話,那么ssh就會(huì)在/usr/local/openssh/bin里面啰!)你可以這樣來執(zhí)行連線程式:
ssh-lusernamehost.name.domain
假設(shè)我要以vbird這個(gè)帳號(hào)登入一個(gè)名為testing.adsldns.org的主機(jī),那么就以:ssh-lvbirdtesting.adsldns.org來執(zhí)行登入連線的程序!然后如果是***次登入的話,你會(huì)發(fā)現(xiàn)到有一個(gè)訊息,告訴你要不要接受一個(gè)認(rèn)證碼,直接選擇yes就可以連線啰!使用ssh***的另一個(gè)好處,root也可以登入喔!
Windowssystem:
那萬一你是使用Windows為Client呢?那也沒問題,你可以到PuTTy的網(wǎng)站上下載putty這支程式:
http://www.chiark.greenend.org.uk/~sgtatham/putty/
或者是在這里下載.這支程式完全不需要安裝,直接以滑鼠雙擊他,就會(huì)自動(dòng)的執(zhí)行了!
安全性的設(shè)定
好了!雖然openssh是比較安全沒錯(cuò),但是并不是一定安全的!所以,你仍然可以設(shè)定一些簡單的安全防護(hù)來防止一些問題的發(fā)生!其實(shí),說穿了,就是將一些你不想要讓他登入的IP擋掉他就是了,然后只開放一些可以登入的IP就是了!
防火墻:
由于ssh這個(gè)服務(wù)是開啟在port22,所以你可以使用ipchains或iptables來開放一些你允許的IP以port22進(jìn)入!
TCPWrappers:
如果不會(huì)設(shè)定ipchains或iptables,那也沒關(guān)系!剛剛我們?cè)诎惭b的時(shí)候不是有選擇--with-tcp-wrappers嗎?呵呵,這個(gè)時(shí)候就派的上用場了!你可以到/etc/hosts.allow去設(shè)定你允許的IP連線到你的主機(jī)里面,例如你允許192.168.1.1-192.168.1.255連線到你的主機(jī),那么你可以:
sshd:192.168.1.0/24:Allow
而將其他的IP都擋掉在/etc/hosts.deny當(dāng)中:
sshd:ALL:Deny
如此一來則ssh只會(huì)開放給192.168.1.1-255之間的電腦啰!以后要再開放的話,那就再將其他的IP加到/etc/hosts.allow當(dāng)中去就好啰!
