Linux提供了多種方式讓用戶進行遠程管理,如Telnet,它的基本應用就是提供遠程管理,共享遠程系統中的資源。Telnet使用戶坐在自己的電腦前通過網絡進入另一臺電腦,并把用戶輸入的每個字符傳遞給主機。再將主機輸出的每個信息回顯在屏幕上,這樣的連接可以發生在同一個房間,也可以發生在地球的兩端。但Telnet服務在本質上是不安全的,原因在于在Telnet整個通信過程中采用明文傳送數據,在當今的網絡環境下這樣的操作如果發現在Internet上無異于自殺。
SSH(Secure Shell)則不同,它是以遠程聯機服務方式操作服務器時的較為安全的解決方案,最初由芬蘭一家公司開發完成,但由于版權等相關問題,目前大多使用OpenSSH來代替。它可以將所有傳輸的數據進行加密,這樣“中間人”功能方法就不太可能成功。而且SSH在傳輸數據的過程中會對數據進行壓縮,這樣也可以加快數據的傳輸速度。總之SSH的功能很好、很強大,正在逐漸取代Telnet,成為遠程登錄主要選擇。
SSH同Telnet相同采用客戶機/服務器的工作方式。目前主要有二個互不兼容的版本,分別是1.x及2.x。而OpenSSH 2.x同時支持1.x及2.x。
下面將以RHEL 5為例講述SSH服務在遠程登錄中的應用:
在RHEL 5中默認情況下已經安裝并已開啟SSH,但在使用前最好還是檢查進程及端口是否工作正常。
在實驗過程中,將用戶將在football.example.zqin上通過SSH遠程登錄到golf.example.zqin上。在講述配置過程前先介紹幾個在SSH中常用的命令:
ssh [user@]hostname [command]
遠程連接到指定服務器
◆ [user@]:遠程計算機的用戶名,如不輸入表示使用root進行連接
◆ [command]:連接成功后直接執行的命令
scp [user@]host:/path [-rpC]
文件在ssh客戶端與服務器端之間復制
◆-r:遞歸
◆ -p:保留原文件權限
◆ -C:傳輸中壓縮數據
rsync srcfile host:/path
在客戶端與服務器間同步文件,這個命令是一次性的,如果需要定時執行,要使用crontab。在同步是只從srcfile到host:/path。
一、通過SSH遠程登錄
1:通過ssh命令連接遠程計算機,未輸入用戶名則默認使用root。
2:如果是第一次連接到遠程計算機,由于OpenSSH不知道該計算機所以出現警告提示此處輸入yes,OpenSSH會將這臺計算機識別標記加入~/.ssh/know_hosts文件中,第二次連接時就不會出現警告。
3:輸入遠程計算機root用戶口令。
4:已成功連接到遠程計算機,此時輸入的所有命令將在遠程計算機中執行,可通過exit命令退出。
不知道是OpenSSH有Bug還是其它原因,有時一切配置正常但總無法連接到遠程計算機,此時可將客戶端~/.ssh里面內容刪除后再試。
二、通過密鑰方式遠程登錄
在使用ssh連接到遠程計算機時每次需要輸入遠程計算機的密碼,如企業中有多臺服務器需要通過ssh進行管理時這樣可能比較麻煩。可以通過使用密鑰文件的方式,先在本機生成一對密鑰文件,再將公鑰文件復制到遠程計算機,只要私鑰文件在本機那樣連接遠程計算機時不需要輸入密碼。
當然為了安全,可以在生成密鑰對時對私鑰文件設置密碼,這樣連接到遠程計算機時輸入的密碼就是私鑰文件的密碼,而不是遠程計算機的用戶密碼。為了方便可以將私鑰文件的密碼保存在當前計算機,這樣連接到遠程計算機時什么密碼都不需要輸入,但私鑰文件如果復制到其它計算機時還是需要輸入私鑰文件的密碼。具體配置步驟如下:
◆ 生成密鑰對文件
1:生成密鑰對。
2:輸入私鑰文件的名稱,直接回車使用默認名稱。
3:輸入私鑰文件密碼。
4:完成后在用戶家目錄.ssh中會自動生成密鑰對文件,id_rsa為私鑰文件,id_rsa.pub為公鑰文件。
◆ 將公鑰復制到遠程計算機
1:ssh-cop-id命令會將指定的公鑰文件復制到遠程計算機。
2:輸入遠程計算機root用戶密碼。
3:公鑰文件被復制到遠程計算機后,會自動更名為authorized_keys。
◆ 再次連接到服務器
此處輸入的是私鑰文件密碼,而不是遠程計算機root用戶的密碼。
◆ 將私鑰文件密碼保存到本機
1:啟用代理功能。
2:保存私鑰口令。
3:輸入私鑰口令。
當完成上述步驟后,再次連接到遠程計算機時無需輸入任何密碼。