|
利用遠(yuǎn)程登錄協(xié)議來遠(yuǎn)程登錄并對(duì)服務(wù)器進(jìn)行管理����,這是服務(wù)器管理員最司空見慣的操作了。在 Windows操作環(huán)境中����,系統(tǒng)管理員可能喜歡采用Telnet協(xié)議來完成這個(gè)任務(wù)。但是在Linux操作系統(tǒng) 環(huán)境中�����,要利用這個(gè)Telnet協(xié)議的話�,具有一定的困難。因?yàn)橛捎赥elnet協(xié)議有一定的安全漏洞����, 所以Linux操作系統(tǒng)默認(rèn)情況下是采用ssh遠(yuǎn)程登錄協(xié)議來代替這個(gè)Telnet協(xié)議。不過有些系統(tǒng)管理 員還是喜歡采用Telnet協(xié)議�����。如要通過Windows客戶端來遠(yuǎn)程管理Linux主機(jī)��,如果要使用ssh協(xié)議的 話,還必須去下載這個(gè)工具����。因?yàn)閃indows客戶端默認(rèn)情況下只支持Telnet協(xié)議,而不支持ssh協(xié)議 ����。為了滿足這部分系統(tǒng)管理員的需要,今天就談?wù)勗贚inux主機(jī)上啟用Telnet協(xié)議的注意事項(xiàng)��。
第一���、 手工啟動(dòng)telnet協(xié)議���。
默認(rèn)情況下,紅帽子Linux操作系統(tǒng)是不會(huì)啟用Telnet協(xié)議����。其他版本的Linux操作系統(tǒng)其實(shí)也 都有類似的限制。這主要是因?yàn)門elnet其有一個(gè)比較大的安全隱患�。即其在數(shù)據(jù)傳輸?shù)倪^程中,用 戶名��、密碼�、指令都是明文傳輸?shù)���。為此在傳輸過程中,容易遭受到攻擊��,如利用嗅探器攻擊者可 以輕松的獲取帳號(hào)����、密碼等敏感信息�。為了Linux服務(wù)器的安全,建議大家采用ssh協(xié)議��,而不是 Telnet協(xié)議���。如果一定要采用這個(gè)Telnet協(xié)議的話�,則首先需要在Linux服務(wù)器上啟用這個(gè)Telnet協(xié) 議�����。如果需要啟用這個(gè)協(xié)議的話�����,則需要利用vi等文本編輯器修改telnet文件����。在/etc/xinetd.d下 有一個(gè)/telnet文件��。在這個(gè)文件中�,有一條記錄為disable=no���。只需要把這條記錄改為 disable=yes即可���。注意在修改時(shí),大小寫是敏感的��。這里是小寫的yes����,而不是大寫。
不過這個(gè)文件修改后還不能夠及時(shí)生效�。系統(tǒng)管理員需要重新啟動(dòng)來讓這個(gè)文件生效。如果不 想重新啟動(dòng)的話�����,則需要執(zhí)行命令/etc/init.d/xinetd reload命令��,強(qiáng)制讓系統(tǒng)重新加載設(shè)置文件 。這個(gè)命令執(zhí)行完成后�����,操作系統(tǒng)會(huì)立即啟用telnet服務(wù)了���。為了服務(wù)器的安全考慮����,筆者再強(qiáng)調(diào) 一次���,最好不要輕易啟動(dòng)這個(gè)服務(wù)。如果啟動(dòng)了這個(gè)服務(wù)的話��,那么在用完之后最好能夠及時(shí)關(guān)閉 ��,以確保其安全�。或者說���,在網(wǎng)絡(luò)上采用其他的安全措施����,如IPSec安全策略等等����,來加密網(wǎng)絡(luò)中傳 輸?shù)臄?shù)據(jù)����。跟這些類似的工具結(jié)合使用��,也可以減少采用Telnet協(xié)議帶來的安全風(fēng)險(xiǎn)��。
第二�、 允許root帳號(hào)采用Telnet協(xié)議遠(yuǎn)程登錄。
即使啟用來Telent服務(wù)���,默認(rèn)情況下系統(tǒng)管理員仍然不能夠利用Telnet協(xié)議遠(yuǎn)程登錄操作系統(tǒng) ��。這主要是因?yàn)槟J(rèn)情況下�,在紅帽子Linux操作系統(tǒng)中����,是不允許root帳戶采用Telnet進(jìn)行遠(yuǎn)程登 錄的。而作為系統(tǒng)管理員來說�����,如果要執(zhí)行管理任務(wù)的話,則大部分情況下都需要特權(quán)用戶root才 能夠完成����。所以啟用了Telnet服務(wù)后,還需要允許特權(quán)帳戶root可以采用這個(gè)協(xié)議進(jìn)行遠(yuǎn)程登錄并 執(zhí)行相關(guān)的維護(hù)操作���。
其實(shí)Linux操作系統(tǒng)這么設(shè)計(jì)并不是在為難系統(tǒng)管理員�����,其也有特殊的考慮��。主要是因?yàn)椴捎?Telnet協(xié)議的時(shí)候�����,利用特權(quán)帳戶root登錄時(shí)需要在網(wǎng)絡(luò)上明文傳輸特權(quán)用戶的密碼。而root帳戶 對(duì)Linux服務(wù)器具有最高的操作權(quán)限���。為此如果其密碼泄露的話�����,那么就可以讓攻擊者任意妄為了�����。 所以Linux操作系統(tǒng)設(shè)計(jì)者在不得已的情況下���,采取了這個(gè)限制��。
如果要允許root帳戶遠(yuǎn)程登錄操作系統(tǒng)的話��,可以按照下面的方法來操作���。
對(duì)于root帳戶,在操作系統(tǒng)中專門有一個(gè)文件/etc/securretty 來限制root帳號(hào)可以從哪一個(gè) 終端來登錄�。在這個(gè)文件中,不僅固定了本地終端�,也同時(shí)規(guī)定了遠(yuǎn)程終端。在Linux操作系統(tǒng)中����, 遠(yuǎn)程終端的代碼是pts。其后面的代碼(/0�����,/1)表示允許登錄用戶的數(shù)量�。如果允許同時(shí)有多個(gè)用戶 遠(yuǎn)程登錄到操作系統(tǒng)的話�����,則需要設(shè)置多個(gè)pts終端��。通過這個(gè)終端的數(shù)量����,可以限制同時(shí)進(jìn)行遠(yuǎn)程 登錄用戶的數(shù)量����。當(dāng)用戶登錄時(shí),到底是采用那個(gè)終端則是不一定的��。如現(xiàn)在已經(jīng)有三個(gè)用戶遠(yuǎn)程 登錄到操作系統(tǒng)�����,此時(shí)系統(tǒng)管理員遠(yuǎn)程登錄到操作系統(tǒng)時(shí)�,則采用的終端號(hào)就為pts/4�。如果要運(yùn)行 root特權(quán)帳戶采用Telnet協(xié)議遠(yuǎn)程登錄的話,則需要將這些終端加入到這個(gè)文件中��。這里需要注意 的是����,如果遠(yuǎn)程登錄的用戶比較多時(shí)����,則需要在這個(gè)文件中多加入幾個(gè)遠(yuǎn)程終端�����,即pts/0,pts1等 等��。否則的話�����,有其他用戶捷足先登了�����,那么系統(tǒng)管理員就不能夠在遠(yuǎn)程登錄了����。一般情況下,需 要加入兩到三個(gè)遠(yuǎn)程終端���。不過具體要加入多少�����,還是需要系統(tǒng)管理員根據(jù)企業(yè)的實(shí)際情況來定����。 如果企業(yè)系統(tǒng)管理員比較多時(shí),或者需要同時(shí)遠(yuǎn)程登錄這臺(tái)Linux服務(wù)器進(jìn)行遠(yuǎn)程協(xié)作等等�����,那么就 需要多啟用幾個(gè)遠(yuǎn)程端口���。以便不時(shí)之需���。在文件中加入這些端口之后,系統(tǒng)管理員就可以利用 root帳戶進(jìn)行遠(yuǎn)程登錄了��。注意�����,如果采用的是ssh遠(yuǎn)程登錄協(xié)議的話��,不需要進(jìn)行類似的設(shè)置�����。因 為ssh 協(xié)議默認(rèn)情況下其傳輸?shù)膬?nèi)容是加密的��,所以系統(tǒng)允許root帳戶進(jìn)行遠(yuǎn)程登錄�����。
如果系統(tǒng)管理員覺得這個(gè)方式比較麻煩的話�����,那么還有一種比較簡(jiǎn)便的方法��。即直接將這個(gè)文 件刪除���,或者對(duì)其進(jìn)行重命名即可�����。把文件刪除或者重命名��,操作系統(tǒng)就找不到相關(guān)的設(shè)置文件了 ��。此時(shí)系統(tǒng)就會(huì)允許root帳戶利用所有可用的終端進(jìn)行登錄了�。不過顯然這么操作,雖然方便了�����, 但是留下了很大的安全隱患���。為此���,筆者還是建議,如果真的允許root帳戶利用Telnet協(xié)議進(jìn)行遠(yuǎn) 程登錄的話���,還是老老實(shí)實(shí)的���,在上面這個(gè)配置文件中加入相關(guān)的記錄。其實(shí)這個(gè)配置起來也不是 很麻煩���,而且這個(gè)配置文件修改后即時(shí)生效�。不需要重新啟動(dòng)或者手工執(zhí)行命令讓強(qiáng)制生效��。所以 這個(gè)配置文件修改起來還是比較簡(jiǎn)單的�。另外需要提醒管理員的是,如果采取配置文件自動(dòng)備份機(jī) 制的話,則最好在修改這個(gè)配置文件之前�,對(duì)其進(jìn)行備份。畢竟最老的“鳥”也會(huì)有失手的時(shí)候����。 因?yàn)長(zhǎng)inux操作系統(tǒng)中的配置文件�,就好像微軟操作系統(tǒng)中的注冊(cè)表文件。對(duì)他們進(jìn)行修改時(shí)���,都必 須要先進(jìn)行備份����。這個(gè)安全措施����,即使對(duì)Linux系統(tǒng)管理專家來說也仍然是不可少的。
第三���、 建立使用ssh協(xié)議來替代Telent協(xié)議�����。
其實(shí)從功能上來說�,telnet協(xié)議能夠完成的事情,ssh協(xié)議也能夠完成��。但是��,在Linux操作系 統(tǒng)環(huán)境下使用ssh協(xié)議����,有兩方面的優(yōu)勢(shì)。首先�����,ssh協(xié)議比telnet協(xié)議具有更高的安全性��。前者帳 號(hào)���、密碼��、指令等等在傳輸?shù)倪^程中都是加密過的���。為此即使攻擊者獲取這些信息也沒有作用。而 后者由于在傳輸過程中以明文傳輸����,為此攻擊者可以輕松后去所需要的內(nèi)容,特別是帳號(hào)與口令, 從而為下一步攻擊做好準(zhǔn)備�����。其次���,默認(rèn)情況下,Linux操作系統(tǒng)只支持ssh協(xié)議�����,而不支持Telnet 協(xié)議��。也就是說���,如果想通過Telnet協(xié)議遠(yuǎn)程登錄到Linux操作系統(tǒng)的話�����,就需要向上面介紹的進(jìn)行 一些額外的設(shè)置�����。而如果采用ssh協(xié)議的話���,想比起來可以避免類似設(shè)置的麻煩��。
而如果通過Windows客戶端來遠(yuǎn)程管理Linux服務(wù)器系統(tǒng)時(shí)�����,若采用ssh協(xié)議則有一個(gè)障礙��。即在 Windows的客戶端中���,現(xiàn)在還不支持ssh協(xié)議����。為此如果要通過Windows客戶端來管理Linux操作系統(tǒng)( 是很多系統(tǒng)管理員所采用的方法)�,則必須要下載一個(gè)小工具,如putty等等���,讓在Windows客戶端上 也可以使用ssh協(xié)議��。雖然從網(wǎng)上下載工具有一定的麻煩�����,但是比起這個(gè)安全性來說��,這還是值得的 ��。為此筆者再次建議系統(tǒng)管理員�,要使用ssh協(xié)議來遠(yuǎn)程登錄與維護(hù)Linuxc操作系統(tǒng),而不是采用 Telnet協(xié)議��。
億恩科技地址(ADD):鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商���!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
