|
利用遠(yuǎn)程登錄協(xié)議來遠(yuǎn)程登錄并對服務(wù)器進(jìn)行管理�,這是服務(wù)器管理員最司空見慣的操作了�。在 Windows操作環(huán)境中,系統(tǒng)管理員可能喜歡采用Telnet協(xié)議來完成這個任務(wù)�。但是在Linux操作系統(tǒng) 環(huán)境中,要利用這個Telnet協(xié)議的話�����,具有一定的困難���。因為由于Telnet協(xié)議有一定的安全漏洞�����, 所以Linux操作系統(tǒng)默認(rèn)情況下是采用ssh遠(yuǎn)程登錄協(xié)議來代替這個Telnet協(xié)議��。不過有些系統(tǒng)管理 員還是喜歡采用Telnet協(xié)議�����。如要通過Windows客戶端來遠(yuǎn)程管理Linux主機(jī)����,如果要使用ssh協(xié)議的 話,還必須去下載這個工具�����。因為Windows客戶端默認(rèn)情況下只支持Telnet協(xié)議��,而不支持ssh協(xié)議 ��。為了滿足這部分系統(tǒng)管理員的需要�����,今天就談?wù)勗贚inux主機(jī)上啟用Telnet協(xié)議的注意事項��。
第一���、 手工啟動telnet協(xié)議����。
默認(rèn)情況下,紅帽子Linux操作系統(tǒng)是不會啟用Telnet協(xié)議���。其他版本的Linux操作系統(tǒng)其實也 都有類似的限制��。這主要是因為Telnet其有一個比較大的安全隱患。即其在數(shù)據(jù)傳輸?shù)倪^程中�����,用 戶名����、密碼、指令都是明文傳輸?shù)�����。為此在傳輸過程中��,容易遭受到攻擊�,如利用嗅探器攻擊者可 以輕松的獲取帳號、密碼等敏感信息����。為了Linux服務(wù)器的安全,建議大家采用ssh協(xié)議,而不是 Telnet協(xié)議�。如果一定要采用這個Telnet協(xié)議的話,則首先需要在Linux服務(wù)器上啟用這個Telnet協(xié) 議����。如果需要啟用這個協(xié)議的話,則需要利用vi等文本編輯器修改telnet文件����。在/etc/xinetd.d下 有一個/telnet文件。在這個文件中�,有一條記錄為disable=no。只需要把這條記錄改為 disable=yes即可��。注意在修改時����,大小寫是敏感的。這里是小寫的yes����,而不是大寫。
不過這個文件修改后還不能夠及時生效�。系統(tǒng)管理員需要重新啟動來讓這個文件生效。如果不 想重新啟動的話����,則需要執(zhí)行命令/etc/init.d/xinetd reload命令���,強(qiáng)制讓系統(tǒng)重新加載設(shè)置文件 。這個命令執(zhí)行完成后����,操作系統(tǒng)會立即啟用telnet服務(wù)了。為了服務(wù)器的安全考慮�,筆者再強(qiáng)調(diào) 一次�,最好不要輕易啟動這個服務(wù)。如果啟動了這個服務(wù)的話��,那么在用完之后最好能夠及時關(guān)閉 �,以確保其安全�;蛘哒f,在網(wǎng)絡(luò)上采用其他的安全措施���,如IPSec安全策略等等��,來加密網(wǎng)絡(luò)中傳 輸?shù)臄?shù)據(jù)���。跟這些類似的工具結(jié)合使用�,也可以減少采用Telnet協(xié)議帶來的安全風(fēng)險�����。
第二���、 允許root帳號采用Telnet協(xié)議遠(yuǎn)程登錄��。
即使啟用來Telent服務(wù)���,默認(rèn)情況下系統(tǒng)管理員仍然不能夠利用Telnet協(xié)議遠(yuǎn)程登錄操作系統(tǒng) 。這主要是因為默認(rèn)情況下���,在紅帽子Linux操作系統(tǒng)中���,是不允許root帳戶采用Telnet進(jìn)行遠(yuǎn)程登 錄的。而作為系統(tǒng)管理員來說�,如果要執(zhí)行管理任務(wù)的話,則大部分情況下都需要特權(quán)用戶root才 能夠完成�。所以啟用了Telnet服務(wù)后,還需要允許特權(quán)帳戶root可以采用這個協(xié)議進(jìn)行遠(yuǎn)程登錄并 執(zhí)行相關(guān)的維護(hù)操作�。
其實Linux操作系統(tǒng)這么設(shè)計并不是在為難系統(tǒng)管理員,其也有特殊的考慮���。主要是因為采用 Telnet協(xié)議的時候��,利用特權(quán)帳戶root登錄時需要在網(wǎng)絡(luò)上明文傳輸特權(quán)用戶的密碼����。而root帳戶 對Linux服務(wù)器具有最高的操作權(quán)限。為此如果其密碼泄露的話��,那么就可以讓攻擊者任意妄為了���。 所以Linux操作系統(tǒng)設(shè)計者在不得已的情況下�,采取了這個限制�。
如果要允許root帳戶遠(yuǎn)程登錄操作系統(tǒng)的話�����,可以按照下面的方法來操作��。
對于root帳戶����,在操作系統(tǒng)中專門有一個文件/etc/securretty 來限制root帳號可以從哪一個 終端來登錄。在這個文件中��,不僅固定了本地終端,也同時規(guī)定了遠(yuǎn)程終端���。在Linux操作系統(tǒng)中���, 遠(yuǎn)程終端的代碼是pts。其后面的代碼(/0����,/1)表示允許登錄用戶的數(shù)量。如果允許同時有多個用戶 遠(yuǎn)程登錄到操作系統(tǒng)的話���,則需要設(shè)置多個pts終端�����。通過這個終端的數(shù)量��,可以限制同時進(jìn)行遠(yuǎn)程 登錄用戶的數(shù)量����。當(dāng)用戶登錄時�����,到底是采用那個終端則是不一定的。如現(xiàn)在已經(jīng)有三個用戶遠(yuǎn)程 登錄到操作系統(tǒng)�����,此時系統(tǒng)管理員遠(yuǎn)程登錄到操作系統(tǒng)時�����,則采用的終端號就為pts/4��。如果要運行 root特權(quán)帳戶采用Telnet協(xié)議遠(yuǎn)程登錄的話���,則需要將這些終端加入到這個文件中���。這里需要注意 的是,如果遠(yuǎn)程登錄的用戶比較多時�,則需要在這個文件中多加入幾個遠(yuǎn)程終端��,即pts/0,pts1等 等�����。否則的話����,有其他用戶捷足先登了����,那么系統(tǒng)管理員就不能夠在遠(yuǎn)程登錄了��。一般情況下��,需 要加入兩到三個遠(yuǎn)程終端�����。不過具體要加入多少����,還是需要系統(tǒng)管理員根據(jù)企業(yè)的實際情況來定。 如果企業(yè)系統(tǒng)管理員比較多時��,或者需要同時遠(yuǎn)程登錄這臺Linux服務(wù)器進(jìn)行遠(yuǎn)程協(xié)作等等�,那么就 需要多啟用幾個遠(yuǎn)程端口。以便不時之需�����。在文件中加入這些端口之后,系統(tǒng)管理員就可以利用 root帳戶進(jìn)行遠(yuǎn)程登錄了��。注意����,如果采用的是ssh遠(yuǎn)程登錄協(xié)議的話,不需要進(jìn)行類似的設(shè)置���。因 為ssh 協(xié)議默認(rèn)情況下其傳輸?shù)膬?nèi)容是加密的��,所以系統(tǒng)允許root帳戶進(jìn)行遠(yuǎn)程登錄�����。
如果系統(tǒng)管理員覺得這個方式比較麻煩的話����,那么還有一種比較簡便的方法�。即直接將這個文 件刪除,或者對其進(jìn)行重命名即可����。把文件刪除或者重命名�,操作系統(tǒng)就找不到相關(guān)的設(shè)置文件了 。此時系統(tǒng)就會允許root帳戶利用所有可用的終端進(jìn)行登錄了。不過顯然這么操作����,雖然方便了, 但是留下了很大的安全隱患��。為此�,筆者還是建議,如果真的允許root帳戶利用Telnet協(xié)議進(jìn)行遠(yuǎn) 程登錄的話����,還是老老實實的,在上面這個配置文件中加入相關(guān)的記錄�����。其實這個配置起來也不是 很麻煩����,而且這個配置文件修改后即時生效。不需要重新啟動或者手工執(zhí)行命令讓強(qiáng)制生效�。所以 這個配置文件修改起來還是比較簡單的。另外需要提醒管理員的是����,如果采取配置文件自動備份機(jī) 制的話��,則最好在修改這個配置文件之前����,對其進(jìn)行備份��。畢竟最老的“鳥”也會有失手的時候�����。 因為Linux操作系統(tǒng)中的配置文件�,就好像微軟操作系統(tǒng)中的注冊表文件。對他們進(jìn)行修改時����,都必 須要先進(jìn)行備份。這個安全措施�,即使對Linux系統(tǒng)管理專家來說也仍然是不可少的。
第三�����、 建立使用ssh協(xié)議來替代Telent協(xié)議��。
其實從功能上來說�����,telnet協(xié)議能夠完成的事情����,ssh協(xié)議也能夠完成。但是�,在Linux操作系 統(tǒng)環(huán)境下使用ssh協(xié)議,有兩方面的優(yōu)勢�����。首先�,ssh協(xié)議比telnet協(xié)議具有更高的安全性。前者帳 號�����、密碼��、指令等等在傳輸?shù)倪^程中都是加密過的����。為此即使攻擊者獲取這些信息也沒有作用。而 后者由于在傳輸過程中以明文傳輸��,為此攻擊者可以輕松后去所需要的內(nèi)容,特別是帳號與口令�, 從而為下一步攻擊做好準(zhǔn)備。其次��,默認(rèn)情況下���,Linux操作系統(tǒng)只支持ssh協(xié)議��,而不支持Telnet 協(xié)議��。也就是說��,如果想通過Telnet協(xié)議遠(yuǎn)程登錄到Linux操作系統(tǒng)的話��,就需要向上面介紹的進(jìn)行 一些額外的設(shè)置���。而如果采用ssh協(xié)議的話,想比起來可以避免類似設(shè)置的麻煩�。
而如果通過Windows客戶端來遠(yuǎn)程管理Linux服務(wù)器系統(tǒng)時,若采用ssh協(xié)議則有一個障礙��。即在 Windows的客戶端中����,現(xiàn)在還不支持ssh協(xié)議�。為此如果要通過Windows客戶端來管理Linux操作系統(tǒng)( 是很多系統(tǒng)管理員所采用的方法)���,則必須要下載一個小工具��,如putty等等,讓在Windows客戶端上 也可以使用ssh協(xié)議��。雖然從網(wǎng)上下載工具有一定的麻煩����,但是比起這個安全性來說,這還是值得的 �����。為此筆者再次建議系統(tǒng)管理員���,要使用ssh協(xié)議來遠(yuǎn)程登錄與維護(hù)Linuxc操作系統(tǒng)��,而不是采用 Telnet協(xié)議�����。
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)�����!虛擬主機(jī)域名注冊頂級提供商��!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
