1.先来查看一下,telnet是否安装,默认是安装的。。 |
2这个是telnet的配置文件,我们打开。。 |
service telnet #使用telnet服务的标准端口,即23
{
disable = no #启动xinetd服务时自动打开本服务
socket_type = stream #服务使用的数据传输方式
wait = no #本服务是多线程的
user = roo #执行本服务的用户名t
server = /usr/sbin/in.telnetd #启动telnet 服务所使用的命令
log_on_failure += USERID #登陆不成功时日志记载用户名的信息
} 上边是telnet 服务的基本配置。我们还可以添加下面的选项。如;
bind = 192.168.0.11
这可以使telnet 服务只在某一个IP地址上提供服务,对于哪些起网关作用的服务器来说。可以拒绝外部地址的访问。
only_from = 192.168.0.111
这可以使得只有IP地址为192.168.0.100 的机器才能使用本机的telnet 服务,这样可以拒绝哪些未经授权的访问请求。
no_access = 192.168.0.101 ,禁止某个地址访问本机的telnet 服务。
access_times = 23:00-6:00 允许在23:00至6:00的其间访问本机的telnet 服务。注意要用24小时制来表示。小时可以是0-23 ,而分钟可以是0-59,但不可以用24来表示小时或用60来表示分钟。
在这里也随便讲一下tcp-wrappers防火墙吧,它们相互配合,那叫那叫绝代双脚。。呵呵
除了利用Xinetd 服务自身的配置文件以外。我们还可以使用tcp-wrappers 防火墙来保护xinetd 提供的多种服务。tcp-wrappers 防火墙是用过/etc/hosts.deny 和 /etc/hosts.allow 两个文件来配置的。是一种简单易用。却又功能强大的防火墙。
/etc/hosts.deny 文件用来存放拒绝访问的机器列表,/etc/hosts.allow用来存放允许访问的机器列表。如果两个文件的定义存在歧义,则以/etc/hosts.allow为准(优先)。两个文件的格式相同都是如下格式:
SERVICE:HOST(s)[:ACTION]
SERVICE 和 HOST(s)是必须的。而ACTION部分是可选的。
SERVICE 项就是服务的进程名称,也就是ps –e 命令中显示的进程名称。并且可以是用ALL和EXCEPT关键字。代表所有的服务或例外。如:
ALL EXCEPT sshd 代表除了ssh 服务以外的所有服务。
HOST(s)代表某台主机或一系列主机,也可以使用ALL 和 EXCEPT 关键字。
如192.168.0.12 代表一台主机。
192.168.0. EXCEPT 192.168.0.3 代表除了192.168.0.3以外的192.168.0.0整个网段。
.strive.com EXCEPT mail.strive.com 代表除了 mail.strive.com 以外的所有以strive.com为结尾的域名。
ACTION字段是可选的。她使得我们可以在有连接请求的时候执行一定的动作。如写入日志或发email通知管理员等工作。写法通常为
spawn /bin/echo `date` %c >> /var/log/tcp_wrapper
含义是当有访问请求时。将日期和客户机的信息写如 /var/log/tcp_wrapper 作为日志。除了%c 之外,还可以用 %d、%a、%p等参数来代表不同的信息。详细用法可以用man xinetd.conf 来查询。
下面给出一个完整的tcp_wrappers 防火墙的配置,
/etc/hosts.allow 如下 :
in.ftpd:mycompany.com
in.ftpd:myhome.com
in.telnetd:mycompany.com
in.telnetd:myhome.com
/etc/hosts.deny 如下:
in.ftpd:ALL:spawn /bin/echo `date` %c >> /var/log/tcp_wrapper
in.telnetd:ALL: spawn /bin/echo `date` %c >> /var/log/tcp_wrapper
4.重启一下服务器。。 这个可得记着,更改了telnet配置文件,一定要记得重启服务的。。
5. 这个配置文件是设置允许一次有多少个客户端同时登录到服务器。 特别注一下:上面不是已经说/etc/xinetd.d/telnet下的配置文件是更改那个同时可远程telnet的客户端吗,现在怎么又变成这个了,我在做实验的时候参考了资料,发现不成功,最后发现更改这个文件才可以生效,望注意!!! |
才可以生效的。。。。
看到没有,这个就是效果,如果你再登录第三台,就会自动关闭窗口。。。 |
6.这个配置文件是改各个服务的端口的。。。 |
我们把telent的端口再改一下,一会再重新连接。。 |
7.还用默认端口,发现已经不行了。。。 |
8.已经登录成功。。 |
这个规则是允许23号端口登录。。 |
可以了。。。。。 |
*************************下面是SSH*************************
先来讲一下实验的目的及思路:用ssh登录就是在客户机上以ssh的方式登录到远程的服务器上面,这个ssh的身体可以由自己定,这样也可以进行远程的管理。这种方式就是以ssh加密的方式来进行的,在客户端上生成一个公钥和一个私钥,把自己的公钥上传到服务器,当客户端登录的时候,用客户端的私钥进行验证,如果公钥和私钥是一对的话,就可以直接登录,而不需要密码就可以了。。。
1.这个是服务器的网络环境。。
第一个圈错误是因为我没有输入服务器端的用户密码,没有上传成功。。
第二个圈正确。。。还有说明这个文件上传到何地。。这个是上传到root的家目录下,如果是其它用户则上传到其家目录下。。
5.查看一下上传上来的那个公钥。。。 6.重启一下服务器,要不然不会生效的。。。 7.下面来测试一下,登录的是root用户。。。已经成功登录。。。
下面这个是用ssh登录到一个无权限的帐号,方法一样,只是这个文件上传到其家目录而已。。。
新建一个用户。。
把客户端生成的公钥上传,是以这个用户的身份上传的,所以会传到其家目录下面去。。这个-i参数非常重要,如果不写个参数,会提示,权限拒绝。。。 已经上传成功,来查看一下。。 测试一下,用51cto来登录一下,可以了。。。 这个文件意思是拒绝用ssh远程到root用户,关键是权限太大了。。
找开这个文件..vim /etc/ssh/sshd_conf中的第39行,把root登录权限改为no即可。。。
再来测试一下,看见没有,彻底不让进去了,有密码也不行的。。。 这样就让它用普通用户瞎折腾吧。。 完毕了!!!!! 1:17 2010/3/18
本文出自 “李公子���y �z �{ �| Zone” 博客,谢绝转载!