8.怎樣實現郵箱配額管理?
項目五 遠程管理Linux係統
引言
在企業網絡應用中,一般要求服務器7×24小時不間斷運行。當服務器出現故障或對服務有新的要求時,不論管理員是否在現場,都必須立即對服務器進行維護或調整,以保證服務器的正常工作。遠程登錄服務就能讓管理員實現隨時隨地進行管理操作,極大地方便了管理員的工作。
完成本項目後,你將能夠:
◎描述Telnet遠程登錄服務的工作過程
◎配置並測試Telnet服務
◎描述SSH服務的工作過程
◎配置SSH服務器
◎使用ssh和sftp客戶端測試SSH服務
◎在Windows環境下使用PuTTY客戶程序連接SSH服務器
任務一 配置Telnet遠程登錄服務
Telnet是Internet遠程登錄服務的標準協議和主要方式,它為用戶提供了在本地計算機通過Telnet客戶端登錄遠程服務器的能力。當本地計算機連接到遠程服務器後,本地計算機就成為遠程服務器的一個終端,在telnet客戶端輸入的命令將傳送到遠程服務器並在服務器上運行,就像直接在服務器的控製台上輸入一樣,從而實現對服務器的遠程管理。本任務要求讀者配置Telnet服務器,並使用Telnet客戶端測試Telnet服務。
任務準備
Telnet服務的工作過程:Telnet服務采用客戶端/服務器工作模式。要使用Telnet服務就同時要求在遠程服務器中運行Telnet服務器,在本地計算機中安裝有Telnet客戶端程序。
Telnet服務的工作過程:(1)本地計算機通過Telnet客戶端程序向遠程服務器中的Telnet服務發起連接請求,需要提供遠程服務器的IP地址或域名。
(2)遠程服務器響應本地計算機的Telnet連接請求並等待接收命令。
(3)Telnet連接成功後,Telnet客戶端程序把本地計算機模擬成遠程服務器的終端,在Telnet終端輸入的任何命令或數據直接傳送到遠端的服務器。
(4)遠程服務器執行或處理接收到的命令和數據,並把結果返回給本地計算機上的Telnet終端。
學藝錦囊
◎Telnet是互聯網上實現遠程登錄服務的標準協議和方式。它采用Clinet/Server工作模式,在遠程服務器上運行Telnet服務端,在本地計算機上運行Telnet客戶程序。Telnet服務端在TCP或UDP的23號端口監聽Telnet客戶端的連接請求。
◎Telnet客戶端程序把本地計算機模擬成遠程服務的終端,稱之為網絡虛擬終端。在網絡虛擬終端輸入的命令和數據將以IP數據包的形式傳送給遠程服務器處理,而不在本地計算機上做任何處理。
◎Telnet連接是典型的TCP連接,隻要IP網絡覆蓋的範圍都可以使用Telnet服務,這使得管理員可以不受時間和地理區域的限製方便地實現服務器的遠程管理。
任務實施
一、配置Telnet服務器
在Linux係統中Telnet服務由超級守護進程xinetd管理。Telnet服務器的配置任務主要包括開啟Telnet服務和安全性配置,相關的配置文件是/etc/xinetd.d/telnet。
1.開啟Telnet服務
(1)配置Telnet服務啟動參數。
[root@vm ~]vi /etc/xinetd.d/telnet
default: on
description: The telnet server serves telnet sessions; it uses
unencrypted username/password pairs for authentication.
service telnet
{
把disable參數值設置成no即開啟Telnet服務,yes為關閉服務
disable = no
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.telnetd
log_on_failure+ = USERID
}
(2)啟動Telnet服務。
[root@vm ~]service xinetd restart
2.設置Telnet服務的安全性
Telnet采用明文方式在客戶端和服務器之間傳遞數據,而用戶通過Telnet登錄服務器後幾乎相當於在服務器端本地操作,這對服務器係統形成很大的安全隱患。當要使用Telnet服務時,必須對使用Telnet服務作出嚴格的限製。
(1)使用超級守護進程xinetd的內置保護機製。
[root@vm ~]vi /etc/xinetd.d/telnet
service telnet
{
disable = no
指定啟用Telnet服務的網卡,IP地址為192.168.0.222
bind =192.168.0.222
設置隻有192.168.0.0/24網段的計算機可以使用Telnet登錄
only_from =192.168.0.0/24
不允許地址為192.168.0.115和192.168.0.37的計算機使用Telnet登錄
no_access =192.168.0.{115,37}
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.telnetd
log_on_failure += USERID
}
(2)使用TCP_Wrappers管理Telnet服務的安全性。
[root@vm ~]vi /etc/hosts.allow
隻允許地址為192.168.0.50和192.168.0.43的計算機通過Telnet登錄
in.telnetd: 192.168.0.50,192.168.0.43 :allow
……
3.配置root可以使用Telnet遠程登錄
由於Telnet服務不安全,因此,默認情況下Linux不允許root以Telnet方式遠程登錄Linux主機。當確定使用環境有足夠的安全保障時,才可以向root開放Telnet服務。
(1)編輯安全終端配置文件/etc/securetty。
[root@vm ~]vi /etc/securetty
在文件中添加終端名:pts/0和pts/1
console
vc/1
vc/2
……
vc/10
vc/11
tty1
tty2
……
tty10
tty11
pts/0
pts/1
(2)直接把終端配置文件/etc/securetty改名。
[root@vm ~]mv /etc/securetty /etc/securetty.old
(3)修改驗證配置文件。
[root@vm ~]vi /etc/pam.d/login
%PAM-1.0
注釋掉下麵有pam_securetty.so的行,如下:
auth required pam_securetty.so
auth include system-auth
account required pam_nologin.so
account include system-auth
password include system-auth
pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session include system-auth
session required pam_loginuid.so
session optional pam_console.so
pam_selinux.so open should be the last session rule
session required pam_selinux.so open
學藝錦囊
◎出於係統安全考慮,一般情況下不要開啟Telnet服務。如果必須使用Telnet,請在使用後即時停止Telnet服務。
◎通常可以使用xinted、TCP_Wrappers和防火牆來限製訪問Telnet的網段範圍。
還可以編輯/etc/service文件,把Telnet的端口號改成其他未用的端口號,如2300。
◎為了係統安全應該禁止root賬戶從Telnet遠程登錄Linux服務器主機。
二、使用Telnet登錄遠程Linux服務器
幾乎所有的操作係統都提供了Telnet客戶端程序。在Windows操作係統的命令行窗口輸入命令telnet即可啟動Telnet客戶端程序。
啟動telnet客戶端程序時一般在其後接遠程服務器的IP地址或域名。
如果直接輸入telnet將進入telnet的交互工作模式,輸入?查看可以使用的命令。
當與遠程服務器建立連接後,輸入賬戶名和密碼登錄遠程服務器。成功登錄後與在服務器本地端的操作完全相同。
輸入命令exit退出係統。
續表任務二 配置SSH服務