项目三 配置与应用远程连接服务

【项目说明】

作为一个维护人员，经常要登录Linux服务器查看其是否正常运行，但是，服务器通常不在本地（可能位于分公司或ISP的托管机房）或者分散在不同的地理位置上，因此常常要借助远程控制的方式对这些远程服务器进行管理。在 CentOS Linux 系统中，一般采用Telnet、SSH 以及 VNC 服务实现远程控制，本项目的主要目的是实现这些远程服务的配置和使用方法。

【项目实施】

要实施完成此项目需要完成以下3个任务。

任务一：配置 Telnet 服务；

任务二：配置 SSH 服务；

任务三：配置 VNC 服务。

                                                       任务一   配置 Telnet 服务

【任务说明】

Telnet 协议是 TCP/IP 协议簇中的一员，是 Internet 远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。Telnet 可以让我们坐在自己的计算机前通过 Internet 登录到另一台远程计算机上，这台可以是在隔壁的房间里，也可以是在地球的另一端。当登录上远程计算机后，本地计算机就等同于远程计算机的一个终端，我们可以用自己的计算机直接操纵远程计算机，享受远程计算机本地终端同样的操作权限。

Telnet 的主要用途就是使用远程计算机是所拥有的本地计算机没有的信息资源。

【任务实施】

Telnet 因为其安全性差的特性，而在安装操作系统时不会默认安装。下面将从安装开始，完成 Telnet 的配置。

第1步：挂载光盘

将光盘放入光驱，然后使用【mount /dev/cdrom /mnt】命令挂载光盘到系统中。

第2步：配置 YUM 源

YUM 安装解决了软件的依赖性问题，所以一般软件的安装采用 YUM 的方式安装，但在安装之前必须配置好 YUM 源。

【cd /etc/yum. repos. d/】 进入 YUM 配置的目录下。

【mkdir /etc/yum.repos.d/bak】建立备份文件夹。

【mv /etc/yum.repos.d/Cent *   /etc/yum.repos.d/bak/】移动原有的配置文件到备份文件夹中。

【vim /etc/yum.repos.d/local.repo】(必须是. repo 为扩展名）编辑自己的 repo 文件。

local. repo 的具体内容如下。

编辑完成后按 Esc 键，输入【：wp】保存并推出。

第3步：安装客户端以及服务器软件

使用如下命令先查询软件是否安装，如果没有安装，则使用【yum】命令安装。

【rpm -q telnet】查询 Telnet 的客户端软件。

【rpm -q telnet-server】查询 Telnet 的服务端软件，如果没有查询到 Telnet 相关软件的安装信息，则需要使用如下命令进行安装。

【yum install -y telnet】安装 Telnet 的客户端软件。

【yum install -y telnet-server】安装Telnet的服务端相关软件。

安装完成以后，可以再次查询，可以看到Telnet的相关软件信息。

第4步：修改主配置文件

使用【vim/etc/xinetd.d/telnet】命令编辑Telnet配置文件，找到disable=yes所在行，将其改改为disable=no,打开Telnet功能。

  (1) 设置最大连接数。在后面加一行，instances=4.表示只允许4个用户同时连接。

（2）在服务器上启用Telnet服务。

【/etc/init.d/xinetd restart】重启Telnet服务。

【chkconfig xinetd on 】设置Telnet服务在系统中运行。

（3）修改连接端口

【vim/etc/services】修改服务器提供服务的默认端口。 

在服务器上使用【/etc/init.d/xinetd restart】命令重启特拉net服务。

第5步：允许root用户登录

如果需要root用户也能远程Telnet到服务器上，则需要使用【mv/etc/securetty/etc/securetty.bak】命令注释掉/etc/securetty这个文件使之失效，然后在以root用户远程这台电脑主机。

第6步：从第三方客户端登录

（1）使用Xshell5 远程登录。

（2）使用Xshell5远程。

                                                     任务二 配置SSH服务

  SSH 为 Secure Shell 的缩写，由 IETF 的网络工作小组(Network Working Group)所制定;SSH 为建立在应用层和传输层基础上的安全协议。SSH 是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序，后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。几乎所有UNIX平台-包括HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix，以及其他平台，都可运行SSH。

传统的网络传输协议，如ftp、pop和telnet在本质上都是不安全的，因为它们在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的， 就是很容易受到"中间人"(man-in-the-middle)这种方式的攻击。所谓"中间人"的攻击方式， 就是"中间人"冒充真正的服务器接收你传给服务器的数据，然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被"中间人"一转手做了手脚之后，就会出现很严重的问题。通过使用SSH，可以把所有传输的数据进行加密，这样"中间人"这种攻击方式就不可能实现了，而且也能够防止DNS欺骗和IP欺骗。

使用SSH，还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替Telnet，又可以为FTP、PoP、甚至为PPP提供一个安全的"通道"

第1步：检查SSH软件的安装

通过下面的命令检查SSH的安装情况。一般情况下，系统已经默认安装了此服务。

【rpm -q openssh】查看SSH服务客户端的安装

【rpm -q openssh-server】查看SSH服务服务端的安装

如果没有查询到相关的openssh软件，请挂载光盘，配置好YUM源后可以通过如下命令安装

【yum install -y openssh】安装openssh客户端

【yum install -y openssh-server】安装openssh服务器端

第2步：解读SSH配置文件

SSH的主配置文件是/etc/ssh/sshd-config，可使用vim编辑器打开。部分行的释义如下：

port 22                               监听端口所在行，可以把默认的22改成其他端口

protocol 2,1                        协议顺序（ssh有两个版本）

permirootlogin yes             设置是否允许root用户登录

permitEmptyPasswords no  是否允许空口令用户登录

passwordAuthentication yes 是否使用口令认证方式

此配置文件可以不做任何修改，直接启动服务即可。

【service sshd start】启动sshd服务进程（一般情况下，服务名称后加d表示服务进程）

【chkcdfig sshd on】配置服务器开机后自动启动sshd服务

第3步：使用第三方软件登录

（1）使用PuTTY登录

填写好要登录服务器的主机名或IP地址，使用默认的端口号，选择SSH服务即可登录，如图所示：

单击【Open】按钮后会提示输入服务器的用户名和密码

（2）使用SecureCRT登录。

单击【连接】按钮后，输入用户名和密码即可登录服务器。

第4步：使用【scp】命令传输文件

当我们远程到服务器上以后，经常会需要在两台主机上传输文件，通过以下方式可以实现文件的传输。

（1）在Linux Server 上启动SSH服务

（2）在客户机上使用【scp -r LINUXSERVER IP:/目录/文件/本地目录】命令表示把服务器上某一文件复制到本地目录；【scp -r LINUXSERVER IP:/目录/本地目录】命令表示把服务器上某一目录中所有文件与目录复制到本地目录中；【scp -r 192.168.223.189：/mnt/yhy】命令表示复制主机192.168.223.189上mnt目录下的所有文件到本地的/yhy目录下。

第5步：使用【sz】与【rz】命令实现远程主机与本地文件的传输

  一般来说，Linux服务器大多是通过SSH客户端来进行远程登录和管理的。使用SSH登录Linux主机后，如何能够快速地和本地机器进行文件的交互，也就是上传和下载文件到服务器和本地？与SSH有关的两个命令可以提供很方便的操作。

【sz】将选定的文件发送Send到本地机器

【rz】运行该命令会弹出一个文件选择窗口，从本地选择文件上传到服务器（Receive）.

但是，sz,rz是Linux、UNIX同Windows之间采用Zmodem文件传输的命令行工具，速度大概只有10kb/s，所以只适合中小文件。

                                                         任务三   配置VNC图形界面服务

VNC [ Virtual Network Computing ]是一款优秀的远程控制工具软件，由著名的AT&T的欧洲研究实验室开发的。VNC是在基于UNIX和Linux操作系统的免费的开放源码软件，远程控制能力强大，高效实用，其性能可以和Windows和MAC中的任何远程控制软件媲美。

组成部分

VNC基本上是由两部分组成:一部分是客户端的应用程序(vncviewer);另外一部分是服务器端的应用程序(vncserver)。VNC的基本运行原理和一些Windows下的远程控制软件很相像。VNC的服务器端应用程序在UNIX和Linux操作系统中适应性很强，图形用户界面十分友好，看上去和Windows下的软件界面也很类似。在任何安装了客户端的应用程序(vncviewer)的Linux平台的计算机都能十分方便地和安装了服务器端的应用程序(vncserver)的计算机相互连接。另外，服务器端 (vncserver)还内建了Java Web接口，这样用户通过服务器端对其他计算机的操作就能通过Netscape显示出来了，这样的操作过程和显示方式比较直观方便。

特点

同样可能远程连入UNIX、Linux进行图形化操作的还有流行的Xmanager，VNC与之相比--两者工作原理不一样，前者(VNC)是远程连入操作系统，所有操作在UNIX、Linux主机服务端进行，即使操作过程中"本地电脑与操作主机网络断开"，也不影响操作的顺利进行;而后者(Xmanager)是通过端口将主机服务器的UI界面引导到本地电脑进行展现，如操作过程出现"本地电脑与操作主机网络断开"，操作将中断失败!如果操作中进行的工作任务非常重要，不能中断，如ORACLE RAC实施，结果是灾难性的!更重要的是，VNC是免费的、开源的，Xmanager你可能用的是破解注册版的。

第1步：安装Gnome图形化桌面

要能远程访问图形化界面，首先服务器自身要安装图形化套件，在此我们还要安装中文支持套件。

【yum groupinstall "X Windows System""Desktop"】CentOS. x 安装Gnome桌面环境

【yum groupinstall Xfce】CentOS安装Xfce桌面环境，可选

【yum groupinstall -y "Chinese Support"】安装中文支持

第2步：安装vncserver软件

【yum install -y tigervnc-server tigervnc】安装vncserver软件

第3步：配置VNC密码

vncserver运行后，没有配置密码，客户端是无法连接的，通过如下命令设置与修改密码。

【vncserver】设置VNC密码，密码必须是6为以上。

【vncpasswd】修改VNC密码，同样，密码需要6位以上。

第4步：配置为使用Gnome桌面

【vim/root/.vnc/xstartup】打开gnome桌面的配置文件，修改该文件，把最后的【twm &】删除掉，再加上【gnome-session &】。

第5步：配置vncserver启动后监听端口和环境参数

【vim/etc/sysconfig/vncservers】修改配置文件，在最后面加入如下两行内容：

VNCSERVERS="1：root”

VNCSERVERARGS[1]=“-geometry 1024x768”-alwaysshared -depth 24"

第6步：设置vncserver服务在系统中运行

修改任何有关vncserver的服务后都需要重新启动相关的服务。

【servicevncserver restart】重启vncserver服务。

【chkconfig vncserveron】设置vncserver开机自动启动。

第7步：测试登录

在网络中输入【VNC Viewer】关键字搜索并下载VNC Viewer，安装后打开，界面入下图所示：

输入服务器IP地址，单击【确定】按钮，弹出下图所示的要求输入root密码的提示框。

输入root账号密码，单击【确定】按钮，即可登录成功，登录成功的界面如下图所示：

第8步：排错

（1）检查SeLinux服务并关闭。使用【vim /etc/seLinux/config】命令编辑/etc/seLinux/config文件，设置SeLinux字段的值为【disabled】。

（2）关闭NetworkManager服务。使用【chkconfig --delNetworkManager】命令关闭NetworkManager服务。

（3）iptables防火墙默认会阻止VNC远程桌面，所以需要在iptables运行通过。当启动VNC服务后，可以使用【netstart -tunlp】命令来查看VNC服务所使用的的端口，可以发现有5801、5901、6001。

使用【vim】命令编辑/etc/sysconfig/iptables文件，在文件最后添加如下内容，可以开始这些端口。

-A RH-Firewall -1 -INPUT -P tcp -m tcp -dport 5801 -j ACCEPT

-A RH-Firewall -1 -INPUT -P tcp -m tcp -dport 5901 -j ACCEPT

-A RH-Firewall -1 -INPUT -P tcp -m tcp -dport 6001 -j ACCEPT

重启防火墙或者直接关闭防火墙的目录如下：

【/etc/init.d/iptablesrsrtart】重启防火墙。

【/etc/init.d/iptablesstop】关闭防火墙。

第9步：VNC的反向连接设置

在大多数情况下，vncserver总处于监听状态，vnc client主动向服务器发出请求从而建立连接。然而在一些特殊的场合，需要让VNC客户机处于监听状态，vncserver主动向客户机发出连接请求，此谓VNC的反向连接。主要步骤如下：使用【vncviewer -listen】命令启动vnc client，使vncviewer处于监听状态，使用【vncserver】命令启动vncserver，使用【vncconnect -display ：1 192.268.223.289】命令在vncsercver端执行【vncconnect】命令，发起server到client的请求。

第10步：解决可能遇到的黑屏问题

在Linux里安装配置完VNC服务端，发现多用户登录会出现黑屏的情况，具体的现象为：客户端可以通过IP与会话号登录进入系统，但登录进去是一片漆黑，除了一个叉形的鼠标以外，伸手不见五指。

原因：用户的VNC启动文件权限未设置正确。

解决办法：将黑屏用户的xstartup文件的属性修改修改为755（rwxr-xr-x），然后杀掉所有已经启动的VNC客户端1，使用【vncserver -kill ：2】命令，杀掉所有以及启动的VNC客户端2，使用【/etc/init.d/vncserver restart】命令重启vncserver服务。