|
利用遠程登錄協(xié)議來遠程登錄并對服務(wù)器進行管理�����,這是服務(wù)器管理員最司空見慣的操作了��。在 Windows操作環(huán)境中��,系統(tǒng)管理員可能喜歡采用Telnet協(xié)議來完成這個任務(wù)�。但是在Linux操作系統(tǒng) 環(huán)境中�����,要利用這個Telnet協(xié)議的話�,具有一定的困難��。因為由于Telnet協(xié)議有一定的安全漏洞��, 所以Linux操作系統(tǒng)默認情況下是采用ssh遠程登錄協(xié)議來代替這個Telnet協(xié)議�����。不過有些系統(tǒng)管理 員還是喜歡采用Telnet協(xié)議��。如要通過Windows客戶端來遠程管理Linux主機�����,如果要使用ssh協(xié)議的 話����,還必須去下載這個工具。因為Windows客戶端默認情況下只支持Telnet協(xié)議�,而不支持ssh協(xié)議 。為了滿足這部分系統(tǒng)管理員的需要�,今天就談?wù)勗贚inux主機上啟用Telnet協(xié)議的注意事項��。
第一、 手工啟動telnet協(xié)議���。
默認情況下�,紅帽子Linux操作系統(tǒng)是不會啟用Telnet協(xié)議�。其他版本的Linux操作系統(tǒng)其實也 都有類似的限制。這主要是因為Telnet其有一個比較大的安全隱患�����。即其在數(shù)據(jù)傳輸?shù)倪^程中����,用 戶名、密碼��、指令都是明文傳輸?shù)��。為此在傳輸過程中���,容易遭受到攻擊���,如利用嗅探器攻擊者可 以輕松的獲取帳號�����、密碼等敏感信息���。為了Linux服務(wù)器的安全,建議大家采用ssh協(xié)議����,而不是 Telnet協(xié)議。如果一定要采用這個Telnet協(xié)議的話����,則首先需要在Linux服務(wù)器上啟用這個Telnet協(xié) 議。如果需要啟用這個協(xié)議的話����,則需要利用vi等文本編輯器修改telnet文件。在/etc/xinetd.d下 有一個/telnet文件��。在這個文件中��,有一條記錄為disable=no��。只需要把這條記錄改為 disable=yes即可���。注意在修改時���,大小寫是敏感的���。這里是小寫的yes��,而不是大寫����。
不過這個文件修改后還不能夠及時生效。系統(tǒng)管理員需要重新啟動來讓這個文件生效�����。如果不 想重新啟動的話���,則需要執(zhí)行命令/etc/init.d/xinetd reload命令�����,強制讓系統(tǒng)重新加載設(shè)置文件 ��。這個命令執(zhí)行完成后���,操作系統(tǒng)會立即啟用telnet服務(wù)了����。為了服務(wù)器的安全考慮��,筆者再強調(diào) 一次���,最好不要輕易啟動這個服務(wù)����。如果啟動了這個服務(wù)的話�����,那么在用完之后最好能夠及時關(guān)閉 ����,以確保其安全����;蛘哒f,在網(wǎng)絡(luò)上采用其他的安全措施,如IPSec安全策略等等����,來加密網(wǎng)絡(luò)中傳 輸?shù)臄?shù)據(jù)。跟這些類似的工具結(jié)合使用�,也可以減少采用Telnet協(xié)議帶來的安全風險。
第二��、 允許root帳號采用Telnet協(xié)議遠程登錄���。
即使啟用來Telent服務(wù),默認情況下系統(tǒng)管理員仍然不能夠利用Telnet協(xié)議遠程登錄操作系統(tǒng) �。這主要是因為默認情況下,在紅帽子Linux操作系統(tǒng)中����,是不允許root帳戶采用Telnet進行遠程登 錄的。而作為系統(tǒng)管理員來說��,如果要執(zhí)行管理任務(wù)的話���,則大部分情況下都需要特權(quán)用戶root才 能夠完成�。所以啟用了Telnet服務(wù)后�����,還需要允許特權(quán)帳戶root可以采用這個協(xié)議進行遠程登錄并 執(zhí)行相關(guān)的維護操作。
其實Linux操作系統(tǒng)這么設(shè)計并不是在為難系統(tǒng)管理員����,其也有特殊的考慮。主要是因為采用 Telnet協(xié)議的時候��,利用特權(quán)帳戶root登錄時需要在網(wǎng)絡(luò)上明文傳輸特權(quán)用戶的密碼���。而root帳戶 對Linux服務(wù)器具有最高的操作權(quán)限����。為此如果其密碼泄露的話�,那么就可以讓攻擊者任意妄為了。 所以Linux操作系統(tǒng)設(shè)計者在不得已的情況下�����,采取了這個限制��。
如果要允許root帳戶遠程登錄操作系統(tǒng)的話�����,可以按照下面的方法來操作。
對于root帳戶�����,在操作系統(tǒng)中專門有一個文件/etc/securretty 來限制root帳號可以從哪一個 終端來登錄��。在這個文件中����,不僅固定了本地終端,也同時規(guī)定了遠程終端�����。在Linux操作系統(tǒng)中�, 遠程終端的代碼是pts�����。其后面的代碼(/0���,/1)表示允許登錄用戶的數(shù)量��。如果允許同時有多個用戶 遠程登錄到操作系統(tǒng)的話�����,則需要設(shè)置多個pts終端����。通過這個終端的數(shù)量,可以限制同時進行遠程 登錄用戶的數(shù)量�����。當用戶登錄時����,到底是采用那個終端則是不一定的。如現(xiàn)在已經(jīng)有三個用戶遠程 登錄到操作系統(tǒng)����,此時系統(tǒng)管理員遠程登錄到操作系統(tǒng)時,則采用的終端號就為pts/4����。如果要運行 root特權(quán)帳戶采用Telnet協(xié)議遠程登錄的話,則需要將這些終端加入到這個文件中��。這里需要注意 的是���,如果遠程登錄的用戶比較多時�����,則需要在這個文件中多加入幾個遠程終端�����,即pts/0,pts1等 等�����。否則的話��,有其他用戶捷足先登了���,那么系統(tǒng)管理員就不能夠在遠程登錄了�����。一般情況下,需 要加入兩到三個遠程終端����。不過具體要加入多少��,還是需要系統(tǒng)管理員根據(jù)企業(yè)的實際情況來定����。 如果企業(yè)系統(tǒng)管理員比較多時�,或者需要同時遠程登錄這臺Linux服務(wù)器進行遠程協(xié)作等等,那么就 需要多啟用幾個遠程端口�。以便不時之需。在文件中加入這些端口之后��,系統(tǒng)管理員就可以利用 root帳戶進行遠程登錄了����。注意,如果采用的是ssh遠程登錄協(xié)議的話�����,不需要進行類似的設(shè)置���。因 為ssh 協(xié)議默認情況下其傳輸?shù)膬?nèi)容是加密的�����,所以系統(tǒng)允許root帳戶進行遠程登錄���。
如果系統(tǒng)管理員覺得這個方式比較麻煩的話���,那么還有一種比較簡便的方法。即直接將這個文 件刪除����,或者對其進行重命名即可。把文件刪除或者重命名�,操作系統(tǒng)就找不到相關(guān)的設(shè)置文件了 。此時系統(tǒng)就會允許root帳戶利用所有可用的終端進行登錄了�����。不過顯然這么操作�����,雖然方便了����, 但是留下了很大的安全隱患。為此�����,筆者還是建議��,如果真的允許root帳戶利用Telnet協(xié)議進行遠 程登錄的話����,還是老老實實的,在上面這個配置文件中加入相關(guān)的記錄��。其實這個配置起來也不是 很麻煩����,而且這個配置文件修改后即時生效。不需要重新啟動或者手工執(zhí)行命令讓強制生效���。所以 這個配置文件修改起來還是比較簡單的��。另外需要提醒管理員的是��,如果采取配置文件自動備份機 制的話���,則最好在修改這個配置文件之前,對其進行備份��。畢竟最老的“鳥”也會有失手的時候�����。 因為Linux操作系統(tǒng)中的配置文件,就好像微軟操作系統(tǒng)中的注冊表文件��。對他們進行修改時����,都必 須要先進行備份。這個安全措施���,即使對Linux系統(tǒng)管理專家來說也仍然是不可少的�。
第三��、 建立使用ssh協(xié)議來替代Telent協(xié)議�。
其實從功能上來說,telnet協(xié)議能夠完成的事情�����,ssh協(xié)議也能夠完成����。但是,在Linux操作系 統(tǒng)環(huán)境下使用ssh協(xié)議,有兩方面的優(yōu)勢���。首先,ssh協(xié)議比telnet協(xié)議具有更高的安全性���。前者帳 號�����、密碼�����、指令等等在傳輸?shù)倪^程中都是加密過的�����。為此即使攻擊者獲取這些信息也沒有作用����。而 后者由于在傳輸過程中以明文傳輸����,為此攻擊者可以輕松后去所需要的內(nèi)容,特別是帳號與口令, 從而為下一步攻擊做好準備��。其次�����,默認情況下�,Linux操作系統(tǒng)只支持ssh協(xié)議,而不支持Telnet 協(xié)議�����。也就是說��,如果想通過Telnet協(xié)議遠程登錄到Linux操作系統(tǒng)的話����,就需要向上面介紹的進行 一些額外的設(shè)置。而如果采用ssh協(xié)議的話����,想比起來可以避免類似設(shè)置的麻煩。
而如果通過Windows客戶端來遠程管理Linux服務(wù)器系統(tǒng)時���,若采用ssh協(xié)議則有一個障礙���。即在 Windows的客戶端中����,現(xiàn)在還不支持ssh協(xié)議�。為此如果要通過Windows客戶端來管理Linux操作系統(tǒng)( 是很多系統(tǒng)管理員所采用的方法),則必須要下載一個小工具���,如putty等等,讓在Windows客戶端上 也可以使用ssh協(xié)議����。雖然從網(wǎng)上下載工具有一定的麻煩,但是比起這個安全性來說����,這還是值得的 。為此筆者再次建議系統(tǒng)管理員���,要使用ssh協(xié)議來遠程登錄與維護Linuxc操作系統(tǒng)���,而不是采用 Telnet協(xié)議。
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【1tcdy.com】
服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商���!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
