项目三 配置与应用远程连接服务

任务一  配置Telnet服务

Telnet协议是TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序，用它连接到服务器。终端使用者可以在telnet程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器。要开始一个telnet会话，必须输入用户名和密码来登录服务器。Telnet是常用的远程控制Web服务器的方法。

第1步：挂载光盘

将光盘放入光驱，然后使用【mount /dev/ cdrom /mnt】命令挂载光盘到系统中。

第2步：配置YUM源

【cd /etc/yum.repos.d/】进入YUM配置的目录下

【mkdir /etc/yum.repos.d/bak】建立备份文件夹

【mv /etc/yum.repos.d/Cent * /etc/yum.repos.d/bak/】移动原有的配置文件到备份文件夹中

【vim /etc/yum.repos.d/local.repo】(必须是。repo为拓展名）编辑自己的repo文件

local.repo的具体内容如下：

【local_server】

name=This is a local repo

baseurl=file:///mnt/

enabled=1

gpgcheck=0

编辑完成后按Esc键，输入【：wq】保存并退出

第3步：安装客户端以及服务器软件

使用如下命令先查询软件是否安装，如果没有安装，则使用【yum】命令安装

【rpm -q telnet】查询Telnet的客户端软件

【rpm -q telnet-server】查询Telnet的服务端软件，如果没有查询到Telnet相关软件的安装信息，则需要使用如下命令进行安装

【yum install -y telnet】安装Telnet的客户端软件

【yum install -y telent-server】安装Telnet的服务端软件

安装完成后，再次进行查询，可以看到Telnet的相关软件信息

第4步：修改主配置文件

使用【vim /etc/xinetd.d/telnet】命令编辑Telnet配置文件，找到disable=yes所在行，将其改成disable=no,打开Telnet功能。

（1）设置最大连接数。

在disable=no的后一行加上一行：instances=4，表示只允许4个用户同时连接。

（2）在服务器上启用Telnet服务。

【/ect/init.d/xinetd restart】或【service xineted restart】重启Telnet服务。

【chkconfig xinetd on】设置Telnet服务在系统中运行。

以user1远程Telnet到主机的效果

（3）修改连接端口。

【vim/etc/services】修改服务器提高服务的默认端口号，把telnet 23/tcp和telnet 23/udp中端口号改为自定义端口号，

在服务器上使用【/etc/init.d/xinetd restart】命令重启Telnet服务。

第5步：允许root登录

因为Telnet在传输数据时，采用明文的方式，包括用户名和密码，所以数据在传输的过程中很容易被截取和篡改，因此系统默认root用户不可以Telnet到远程的服务器上，而只是允许普通用户Telnet到远程的服务器上。

如果需要root用户也能远程Telnet到远程服务器上，则需要使用【mv /etc/securetty/etc/securetty.bak】命令注释掉/etc/securetty这个文件，使之失效。然后再以root用户远程Telnet到主机。

第6步：从第三方客户端登录

(1)使用PuTTY远程登录

  PuTTY是一个Telnet、SSH、rlogin、纯TCP以及串行接口连接软件。较早的版本仅支持Windows平台，在最近的版本中开始支持各类Unix平台，并打算移植至Mac OS X上。除了官方版本外，有许多第三方的团体或个人将PuTTY移植到其他平台上，像是以Symbian为基础的移动电话。PuTTY为一开放源代码软件，主要由Simon Tatham维护，使用MIT licence授权。随着Linux在服务器端应用的普及，Linux系统管理越来越依赖于远程。在各种远程登录工具中，Putty是出色的工具之一。Putty是一个免费的、Windows x86平台下的Telnet、SSH和rlogin客户端，但是功能丝毫不逊色于商业的Telnet类工具。目前最新的版本为 0.68 latest release  。

优点

用它来远程管理Linux十分好用，其主要优点如下:

◆ 完全免费;

◆ 在Windows 9x/NT/2000下运行的都非常好;

◆ 全面支持SSH1和SSH2;

◆ 绿色软件，无需安装，下载后在桌面建个快捷方式即可使用;

◆ 体积很小，仅519KB(0.67 版本);

◆ 操作简单，所有的操作都在一个控制面板中实现。

PuTTY包括了:

支持IPv6连接。

可以控制SSH连接时加密协定的种类。

目前有3DES、AES、Blowfish、DES(不建议使用)及RC4。CLI版本的SCP及SFTP Client，分别叫做pscp与psftp。

自带SSH Forwarding的功能，包括X11 Forwarding。

完全模拟xterm、VT102及ECMA-48终端机的能力。

支持公钥认证。

（2）使用SecureCRT远程登录

  SecureCRT 是一款用于连接运行包括Windows、UNIX和VMS的远程系统的理想工具，通过使用内含的VCP命令行程序可以进行加密文件的传输。

  SecureCRT将SSH(Secure Shell)的安全登录、数据传送性能和Windows终端仿真提供的可靠性、可用性和可配置性结合在一起。

主要特点

支持SSH, telnet, serial和其它协议

Activator tray的使用大大减少了桌面混乱

Secure Shell将logon和session数据加密

Port forwarding保证了TCP/IP数据的安全

密码和RSA识别

Blowfish, DES, 3DES 和 RC4密码

X11 forwarding

任务二 配置SSH服务

    SSH 为 Secure Shell 的缩写，由 IETF 的网络工作小组(Network Working Group)所制定;SSH 为建立在应用层和传输层基础上的安全协议。SSH 是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序，后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。几乎所有UNIX平台-包括HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix，以及其他平台，都可运行SSH。

  传统的网络传输协议，如ftp、pop和telnet在本质上都是不安全的，因为它们在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的， 就是很容易受到"中间人"(man-in-the-middle)这种方式的攻击。所谓"中间人"的攻击方式， 就是"中间人"冒充真正的服务器接收你传给服务器的数据，然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被"中间人"一转手做了手脚之后，就会出现很严重的问题。通过使用SSH，可以把所有传输的数据进行加密，这样"中间人"这种攻击方式就不可能实现了，而且也能够防止DNS欺骗和IP欺骗。

使用SSH，还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替Telnet，又可以为FTP、PoP、甚至为PPP提供一个安全的"通道"

第1步：检查SSH软件的安装

通过下面的命令检查SSH的安装情况。一般情况下，系统已经默认安装了此服务。

【rpm -q openssh】查看SSH服务客户端的安装

【rpm -q openssh-server】查看SSH服务服务端的安装

如果没有查询到相关的openssh软件，请挂载光盘，配置好YUM源后可以通过如下命令安装

【yum install -y openssh】安装openssh客户端

【yum install -y openssh-server】安装openssh服务器端

第2步：解读SSH配置文件

SSH的主配置文件是/etc/ssh/sshd-config，可使用vim编辑器打开。部分行的释义如下：

port 22                               监听端口所在行，可以把默认的22改成其他端口

protocol 2,1                        协议顺序（ssh有两个版本）

permirootlogin yes             设置是否允许root用户登录

permitEmptyPasswords no  是否允许空口令用户登录

passwordAuthentication yes 是否使用口令认证方式

此配置文件可以不做任何修改，直接启动服务即可。

【service sshd start】启动sshd服务进程（一般情况下，服务名称后加d表示服务进程）

【chkcdfig sshd on】配置服务器开机后自动启动sshd服务

第3步：使用第三方软件登录

（1）使用PuTTY登录

填写好要登录服务器的主机名或IP地址，使用默认的端口号，选择SSH服务即可登录，如图所示：

单击【Open】按钮后会提示输入服务器的用户名和密码

（2）使用SecureCRT登录。

单击【连接】按钮后，输入用户名和密码即可登录服务器。

第4步：使用【scp】命令传输文件

当我们远程到服务器上以后，经常会需要在两台主机上传输文件，通过以下方式可以实现文件的传输。

（1）在Linux Server 上启动SSH服务

（2）在客户机上使用【scp -r LINUXSERVER IP:/目录/文件/本地目录】命令表示把服务器上某一文件复制到本地目录；【scp -r LINUXSERVER IP:/目录/本地目录】命令表示把服务器上某一目录中所有文件与目录复制到本地目录中；【scp -r 192.168.223.189：/mnt/yhy】命令表示复制主机192.168.223.189上mnt目录下的所有文件到本地的/yhy目录下。

第5步：使用【sz】与【rz】命令实现远程主机与本地文件的传输

    一般来说，Linux服务器大多是通过SSH客户端来进行远程登录和管理的。使用SSH登录Linux主机后，如何能够快速地和本地机器进行文件的交互，也就是上传和下载文件到服务器和本地？与SSH有关的两个命令可以提供很方便的操作。

【sz】将选定的文件发送Send到本地机器

【rz】运行该命令会弹出一个文件选择窗口，从本地选择文件上传到服务器（Receive）.

但是，sz,rz是Linux、UNIX同Windows之间采用Zmodem文件传输的命令行工具，速度大概只有10kb/s，所以只适合中小文件。

任务三   配置VNC图形界面服务

   VNC [ Virtual Network Computing ]是一款优秀的远程控制工具软件，由著名的AT&T的欧洲研究实验室开发的。VNC是在基于UNIX和Linux操作系统的免费的开放源码软件，远程控制能力强大，高效实用，其性能可以和Windows和MAC中的任何远程控制软件媲美。

组成部分

VNC基本上是由两部分组成:一部分是客户端的应用程序(vncviewer);另外一部分是服务器端的应用程序(vncserver)。VNC的基本运行原理和一些Windows下的远程控制软件很相像。VNC的服务器端应用程序在UNIX和Linux操作系统中适应性很强，图形用户界面十分友好，看上去和Windows下的软件界面也很类似。在任何安装了客户端的应用程序(vncviewer)的Linux平台的计算机都能十分方便地和安装了服务器端的应用程序(vncserver)的计算机相互连接。另外，服务器端 (vncserver)还内建了Java Web接口，这样用户通过服务器端对其他计算机的操作就能通过Netscape显示出来了，这样的操作过程和显示方式比较直观方便。

  特点

同样可能远程连入UNIX、Linux进行图形化操作的还有流行的Xmanager，VNC与之相比--两者工作原理不一样，前者(VNC)是远程连入操作系统，所有操作在UNIX、Linux主机服务端进行，即使操作过程中"本地电脑与操作主机网络断开"，也不影响操作的顺利进行;而后者(Xmanager)是通过端口将主机服务器的UI界面引导到本地电脑进行展现，如操作过程出现"本地电脑与操作主机网络断开"，操作将中断失败!如果操作中进行的工作任务非常重要，不能中断，如ORACLE RAC实施，结果是灾难性的!更重要的是，VNC是免费的、开源的，Xmanager你可能用的是破解注册版的。

第1步：安装Gnome图形化桌面

要能远程访问图形化界面，首先服务器自身要安装图形化套件，在此我们还要安装中文支持套件。

【yum groupinstall "X Windows System""Desktop"】CentOS. x 安装Gnome桌面环境

【yum groupinstall Xfce】CentOS安装Xfce桌面环境，可选

【yum groupinstall -y "Chinese Support"】安装中文支持

第2步：安装vncserver软件

【yum install -y tigervnc-server tigervnc】安装vncserver软件

第3步：配置VNC密码

vncserver运行后，没有配置密码，客户端是无法连接的，通过如下命令设置与修改密码。

【vncserver】设置VNC密码，密码必须是6为以上。

【vncpasswd】修改VNC密码，同样，密码需要6位以上。

第4步：配置为使用Gnome桌面

【vim/root/.vnc/xstartup】打开gnome桌面的配置文件，修改该文件，把最后的【twm &】删除掉，再加上【gnome-session &】。

第5步：配置vncserver启动后监听端口和环境参数

【vim/etc/sysconfig/vncservers】修改配置文件，在最后面加入如下两行内容：

VNCSERVERS="1：root”

VNCSERVERARGS[1]=“-geometry 1024x768”-alwaysshared -depth 24"

第6步：设置vncserver服务在系统中运行

修改任何有关vncserver的服务后都需要重新启动相关的服务。

【servicevncserver restart】重启vncserver服务。

【chkconfig vncserveron】设置vncserver开机自动启动。

第7步：测试登录

在网络中输入【VNC Viewer】关键字搜索并下载VNC Viewer，安装后打开，界面入下图所示：

输入服务器IP地址，单击【确定】按钮，弹出下图所示的要求输入root密码的提示框。

输入root账号密码，单击【确定】按钮，即可登录成功，登录成功的界面如下图所示：

第8步：排错

（1）检查SeLinux服务并关闭。使用【vim /etc/seLinux/config】命令编辑/etc/seLinux/config文件，设置SeLinux字段的值为【disabled】。

（2）关闭NetworkManager服务。使用【chkconfig --delNetworkManager】命令关闭NetworkManager服务。

（3）iptables防火墙默认会阻止VNC远程桌面，所以需要在iptables运行通过。当启动VNC服务后，可以使用【netstart -tunlp】命令来查看VNC服务所使用的的端口，可以发现有5801、5901、6001。

使用【vim】命令编辑/etc/sysconfig/iptables文件，在文件最后添加如下内容，可以开始这些端口。

-A RH-Firewall -1 -INPUT -P tcp -m tcp -dport 5801 -j ACCEPT

-A RH-Firewall -1 -INPUT -P tcp -m tcp -dport 5901 -j ACCEPT

-A RH-Firewall -1 -INPUT -P tcp -m tcp -dport 6001 -j ACCEPT

重启防火墙或者直接关闭防火墙的目录如下：

【/etc/init.d/iptablesrsrtart】重启防火墙。

【/etc/init.d/iptablesstop】关闭防火墙。

第9步：VNC的反向连接设置

在大多数情况下，vncserver总处于监听状态，vnc client主动向服务器发出请求从而建立连接。然而在一些特殊的场合，需要让VNC客户机处于监听状态，vncserver主动向客户机发出连接请求，此谓VNC的反向连接。主要步骤如下：使用【vncviewer -listen】命令启动vnc client，使vncviewer处于监听状态，使用【vncserver】命令启动vncserver，使用【vncconnect -display ：1 192.268.223.289】命令在vncsercver端执行【vncconnect】命令，发起server到client的请求。

第10步：解决可能遇到的黑屏问题

在Linux里安装配置完VNC服务端，发现多用户登录会出现黑屏的情况，具体的现象为：客户端可以通过IP与会话号登录进入系统，但登录进去是一片漆黑，除了一个叉形的鼠标以外，伸手不见五指。

原因：用户的VNC启动文件权限未设置正确。

解决办法：将黑屏用户的xstartup文件的属性修改修改为755（rwxr-xr-x），然后杀掉所有已经启动的VNC客户端1，使用【vncserver -kill ：2】命令，杀掉所有以及启动的VNC客户端2，使用【/etc/init.d/vncserver restart】命令重启vncserver服务。