Linux提供了多種方式讓用戶進行遠程管理,如Telnet,它的基本應(yīng)用就是提供遠程管理,共享遠程系統(tǒng)中的資源。Telnet使用戶坐在自己的電腦前通過網(wǎng)絡(luò)進入另一臺電腦,并把用戶輸入的每個字符傳遞給主機。再將主機輸出的每個信息回顯在屏幕上,這樣的連接可以發(fā)生在同一個房間,也可以發(fā)生在地球的兩端。但Telnet服務(wù)在本質(zhì)上是不安全的,原因在于在Telnet整個通信過程中采用明文傳送數(shù)據(jù),在當今的網(wǎng)絡(luò)環(huán)境下這樣的操作如果發(fā)現(xiàn)在Internet上無異于自殺。
SSH(Secure Shell)則不同,它是以遠程聯(lián)機服務(wù)方式操作服務(wù)器時的較為安全的解決方案,最初由芬蘭一家公司開發(fā)完成,但由于版權(quán)等相關(guān)問題,目前大多使用OpenSSH來代替。它可以將所有傳輸?shù)臄?shù)據(jù)進行加密,這樣“中間人”功能方法就不太可能成功。而且SSH在傳輸數(shù)據(jù)的過程中會對數(shù)據(jù)進行壓縮,這樣也可以加快數(shù)據(jù)的傳輸速度。總之SSH的功能很好、很強大,正在逐漸取代Telnet,成為遠程登錄主要選擇。
SSH同Telnet相同采用客戶機/服務(wù)器的工作方式。目前主要有二個互不兼容的版本,分別是1.x及2.x。而OpenSSH 2.x同時支持1.x及2.x。
下面將以RHEL 5為例講述SSH服務(wù)在遠程登錄中的應(yīng)用:
在RHEL 5中默認情況下已經(jīng)安裝并已開啟SSH,但在使用前最好還是檢查進程及端口是否工作正常。
在實驗過程中,將用戶將在football.example.zqin上通過SSH遠程登錄到golf.example.zqin上。在講述配置過程前先介紹幾個在SSH中常用的命令:
ssh [user@]hostname [command]
遠程連接到指定服務(wù)器
◆ [user@]:遠程計算機的用戶名,如不輸入表示使用root進行連接
◆ [command]:連接成功后直接執(zhí)行的命令
scp [user@]host:/path [-rpC]
文件在ssh客戶端與服務(wù)器端之間復(fù)制
◆-r:遞歸
◆ -p:保留原文件權(quán)限
◆ -C:傳輸中壓縮數(shù)據(jù)
rsync srcfile host:/path
在客戶端與服務(wù)器間同步文件,這個命令是一次性的,如果需要定時執(zhí)行,要使用crontab。在同步是只從srcfile到host:/path。
一、通過SSH遠程登錄
1:通過ssh命令連接遠程計算機,未輸入用戶名則默認使用root。
2:如果是第一次連接到遠程計算機,由于OpenSSH不知道該計算機所以出現(xiàn)警告提示此處輸入yes,OpenSSH會將這臺計算機識別標記加入~/.ssh/know_hosts文件中,第二次連接時就不會出現(xiàn)警告。
3:輸入遠程計算機root用戶口令。
4:已成功連接到遠程計算機,此時輸入的所有命令將在遠程計算機中執(zhí)行,可通過exit命令退出。
不知道是OpenSSH有Bug還是其它原因,有時一切配置正常但總無法連接到遠程計算機,此時可將客戶端~/.ssh里面內(nèi)容刪除后再試。
二、通過密鑰方式遠程登錄
在使用ssh連接到遠程計算機時每次需要輸入遠程計算機的密碼,如企業(yè)中有多臺服務(wù)器需要通過ssh進行管理時這樣可能比較麻煩。可以通過使用密鑰文件的方式,先在本機生成一對密鑰文件,再將公鑰文件復(fù)制到遠程計算機,只要私鑰文件在本機那樣連接遠程計算機時不需要輸入密碼。
當然為了安全,可以在生成密鑰對時對私鑰文件設(shè)置密碼,這樣連接到遠程計算機時輸入的密碼就是私鑰文件的密碼,而不是遠程計算機的用戶密碼。為了方便可以將私鑰文件的密碼保存在當前計算機,這樣連接到遠程計算機時什么密碼都不需要輸入,但私鑰文件如果復(fù)制到其它計算機時還是需要輸入私鑰文件的密碼。具體配置步驟如下:
◆ 生成密鑰對文件
1:生成密鑰對。
2:輸入私鑰文件的名稱,直接回車使用默認名稱。
3:輸入私鑰文件密碼。
4:完成后在用戶家目錄.ssh中會自動生成密鑰對文件,id_rsa為私鑰文件,id_rsa.pub為公鑰文件。
◆ 將公鑰復(fù)制到遠程計算機
1:ssh-cop-id命令會將指定的公鑰文件復(fù)制到遠程計算機。
2:輸入遠程計算機root用戶密碼。
3:公鑰文件被復(fù)制到遠程計算機后,會自動更名為authorized_keys。
◆ 再次連接到服務(wù)器
此處輸入的是私鑰文件密碼,而不是遠程計算機root用戶的密碼。
◆ 將私鑰文件密碼保存到本機
1:啟用代理功能。
2:保存私鑰口令。
3:輸入私鑰口令。
當完成上述步驟后,再次連接到遠程計算機時無需輸入任何密碼。