由于很多局域網(wǎng)的規(guī)模較大,服務(wù)器會(huì)分散在不同的地理位置。因此,對(duì)于服務(wù)器的管理是一件很困難的事情。大多數(shù)網(wǎng)絡(luò)管理員都會(huì)采用遠(yuǎn)程維護(hù)的手段,使用大家比較熟悉的Windows終端服務(wù)器、PCAnyWhere等工具,同時(shí)也有管理員采用Telnet服務(wù)進(jìn)行服務(wù)器的遠(yuǎn)程維護(hù)。但這些管理、維護(hù)的手段和方法真的完美無(wú)瑕、萬(wàn)無(wú)一失嗎?
一、為何采用SSH
Windows終端服務(wù)器、PCAnyWhere這些基于GUI(圖形用戶接口)的遠(yuǎn)程管理系統(tǒng)不但會(huì)占用大量的服務(wù)器資源,而且無(wú)法在GUI上完成一些復(fù)雜的維護(hù)操作,還要在“命令行模式”進(jìn)行解決。因此,很多網(wǎng)絡(luò)管理員使用Telnet服務(wù)進(jìn)行服務(wù)器的遠(yuǎn)程維護(hù)。
但是Telnet服務(wù)有一個(gè)致命的弱點(diǎn),它是以明文的方式傳輸用戶名和口令,所以很容易被別有用心的人竊取口令。另外,使用Windows 98客戶機(jī)遠(yuǎn)程維護(hù)服務(wù)器時(shí),無(wú)法通過(guò)Telnet服務(wù)器默認(rèn)的“NTLM身份驗(yàn)證”,由此可見(jiàn),Telnet服務(wù)也是弊端多多。難道就沒(méi)有好的遠(yuǎn)程維護(hù)方法嗎?當(dāng)然有,目前有一種可代替Telnet服務(wù)的有效工具——SSH服務(wù)。
SSH(Secure Shell)服務(wù)分為兩部分:服務(wù)器端和客戶端。SSH客戶端與服務(wù)器端通訊時(shí),用戶名和密碼均進(jìn)行了加密,這就有效地防止了他人對(duì)密碼的盜取。而且通信中所傳送的數(shù)據(jù)包都是“非明碼”方式的。正因?yàn)镾SH采用加密傳輸方式,即使數(shù)據(jù)被竊取,但對(duì)該數(shù)據(jù)解密也不是一件很容易的事,所以使用SSH服務(wù)遠(yuǎn)程維護(hù)服務(wù)器是非常安全的。
二、安裝啟動(dòng)SSH服務(wù)器
下面以Windows 2000 Server為例介紹SSH服務(wù)器的安裝,可在SSH服務(wù)器端使用“F-Secure SSH Server”軟件,它的安裝非常簡(jiǎn)單,和一般軟件安裝沒(méi)什么區(qū)別。安裝完成后,需要啟動(dòng)“SSH Server”服務(wù),這一過(guò)程比較復(fù)雜,這里介紹三種啟動(dòng)“SSH Server”的方法。
方法一:使用批處理文件
在服務(wù)器端安裝目錄下有兩個(gè)批處理文件“start-ssh.bat”和“stop-ssh.bat”。運(yùn)行“start-ssh.bat”文件就可以啟動(dòng)SSH服務(wù),要停止該服務(wù)只要執(zhí)行“stop-ssh.bat”文件即可。
方法二:使用SSH服務(wù)配置程序
在安裝目錄下,運(yùn)行“fsshconf.exe”程序,它雖是SSH服務(wù)器的配置程序,但也可以用來(lái)啟動(dòng)和停止SSH服務(wù)。在彈出的“F-Secure SSH Server Configuration”窗口中,點(diǎn)擊左面列表框中的“Server Settings”后,在右邊的“Service status”欄中會(huì)顯示服務(wù)器狀態(tài)按鈕,如果服務(wù)器是停止?fàn)顟B(tài),則按鈕顯示為“Start service”(圖1),點(diǎn)擊該按鈕就可啟動(dòng)SSH服務(wù),再次點(diǎn)擊可停止SSH服務(wù)。
圖1
方法三:使用NET命令
在服務(wù)器端的“命令提示符”窗口中,輸入“net start ″F-secure SSH Server″”命令,就可以啟動(dòng)SSH服務(wù),要停止該服務(wù),輸入“net stop ″F-Secure SSH Server″”命令即可。其中“F-Secure SSH Server”為SSH服務(wù)器名,“net start”和“net stop”為Windows系統(tǒng)啟動(dòng)和停止系統(tǒng)服務(wù)所使用的命令。
提示:?jiǎn)?dòng)了SSH服務(wù)后,一定要關(guān)閉Telnet服務(wù),這樣服務(wù)器就處在安全環(huán)境之中了,不用再怕數(shù)據(jù)被竊取。
啟動(dòng)SSH服務(wù)后,網(wǎng)絡(luò)管理員就可以遠(yuǎn)程登錄服務(wù)器進(jìn)行維護(hù)了。但是每個(gè)局域網(wǎng)使用SSH服務(wù)的需求是不同的,因此默認(rèn)的服務(wù)參數(shù)未必能滿足需要,那么我們就可以自行設(shè)置這些參數(shù)。
1.基本參數(shù)設(shè)置
運(yùn)行“fsshconf.exe”服務(wù)配置程序,在彈出的“F-Secure SSH Server Configuration”窗口左欄中,依次選擇“Server Settings→General”,然后在右邊的“General”框體中就可以對(duì)參數(shù)進(jìn)行設(shè)置了(圖2)。
圖2
在“Maximum number of connections”欄中輸入合適的數(shù)值,對(duì)連接到SSH服務(wù)器的最大用戶數(shù)進(jìn)行限制,在這里我們可根據(jù)需要進(jìn)行設(shè)置,如輸入“50”,則只允許50個(gè)用戶同時(shí)連接SSH服務(wù)器。
“Event log filter”多選框用來(lái)定義系統(tǒng)日志記錄哪些信息,我們可采用默認(rèn)設(shè)置,勾選“Errors”和“Warnings”兩項(xiàng)即可,建議大家不要勾選“Information”,否則會(huì)浪費(fèi)系統(tǒng)資源。
“Idle timeout”是用戶遠(yuǎn)程登錄的超時(shí)時(shí)間設(shè)置,默認(rèn)為“0”,就是不進(jìn)行登錄超時(shí)限制。
大家可能還記得FTP服務(wù)器的個(gè)性化的登錄信息,SSH服務(wù)器也一樣可以做到。首先編寫(xiě)一個(gè)登錄信息文本文件保存在文件夾中,然后點(diǎn)擊“Banner message file”欄的瀏覽按鈕,指定已編寫(xiě)好的文本文件即可,這樣用戶遠(yuǎn)程登錄時(shí)就能看到這些個(gè)性化的信息了。最后,大家一定要記住點(diǎn)擊“Apply”按鈕保存參數(shù)設(shè)置。
2.網(wǎng)絡(luò)參數(shù)設(shè)置
在“F-Secure SSH Server Configuration”窗口左欄中點(diǎn)擊“Network”選項(xiàng)(圖3),SSH服務(wù)器默認(rèn)使用的是“22”端口,當(dāng)然也可以自定義端口號(hào)(注意,SSH服務(wù)器使用的端口號(hào)一定不能和服務(wù)器上別的程序的端口號(hào)沖突)。在“Port”欄中輸入想使用的端口號(hào)即可,其他的參數(shù)設(shè)置建議使用默認(rèn)值。
圖3
點(diǎn)擊“Identity”選項(xiàng)(圖4),在右欄中,我們可以使服務(wù)器重新產(chǎn)生新的用戶加密密鑰和對(duì)外公開(kāi)使用的公鑰,它們分別存放在安裝文件夾的“hostkey”和“hostkey.pub”文件中,點(diǎn)擊“Generate”按鈕就可以重新生成這兩個(gè)文件。
提示:SSH服務(wù)器產(chǎn)生一對(duì)密鑰和公鑰。客戶端使用公鑰對(duì)SSH服務(wù)器發(fā)送來(lái)的信息進(jìn)行解密。當(dāng)用戶第一次登錄SSH服務(wù)器時(shí),服務(wù)器會(huì)將它的公鑰發(fā)送給客戶端,以便客戶機(jī)能對(duì)服務(wù)器發(fā)送的信息進(jìn)行解密。
3.主機(jī)限制參數(shù)設(shè)置
點(diǎn)擊“Host Restrictions”選項(xiàng),在右欄中就可以對(duì)遠(yuǎn)程登錄的計(jì)算機(jī)進(jìn)行限制設(shè)置。例如,不允許IP地址為“192.168.0.2”的客戶機(jī)遠(yuǎn)程登錄SSH服務(wù)器,在“Deny login from hosts”輸入框中輸入“192.168.0.2”,然后點(diǎn)擊“Apply”按鈕即可。
提示:SSH服務(wù)器還有很多參數(shù)就不詳細(xì)介紹了,大部分參數(shù)使用默認(rèn)值即可。SSH服務(wù)器的參數(shù)保存在“sshd2_config”文件中,用戶也可以用記事本打開(kāi)它,直接進(jìn)行編輯,但這種方法比較麻煩,建議大家不要使用。
1.連接SSH服務(wù)器
客戶端使用“F-Secure SSH Client”程序,它的安裝也很簡(jiǎn)單。安裝完成后,運(yùn)行桌面上的客戶端程序,彈出“F-Secure SSH Client”主窗口,點(diǎn)擊工具欄中的“Connect”(連接)按鈕,彈出“Connect to Remote Host”對(duì)話框(圖5)。
圖5
首先,在“Host name or IP address”欄中輸入SSH服務(wù)器的地址,如輸入它的IP地址“218.22.123.26”。其次,在“User Name”欄中輸入SSH服務(wù)器的管理員賬號(hào)名,在“Port”欄中輸入SSH服務(wù)器使用的端口號(hào)。最后,點(diǎn)擊“Connect”按鈕即可連接SSH服務(wù)器。
此時(shí),如果用戶是第一次遠(yuǎn)程登錄SSH服務(wù)器,則會(huì)彈出“是否將SSH服務(wù)器公鑰保存在本地?cái)?shù)據(jù)庫(kù)中”的提示框,點(diǎn)擊“是”按鈕,接著彈出“請(qǐng)輸入密碼”對(duì)話框,輸入管理員賬號(hào)、密碼后,點(diǎn)擊“OK”按鈕,就可以登錄到SSH服務(wù)器,對(duì)服務(wù)器進(jìn)行遠(yuǎn)程維護(hù)了。
提示:SSH客戶端也會(huì)產(chǎn)生用戶的加密密鑰和公鑰,客戶端在第一次登錄時(shí),會(huì)將產(chǎn)生的公鑰復(fù)制到SSH服務(wù)器上的用戶目錄中,以便服務(wù)器能對(duì)客戶端發(fā)送的信息進(jìn)行解密。用戶目錄在服務(wù)器上的存儲(chǔ)路徑為“C?\Documents and Settings\用戶名\”(假設(shè)操作系統(tǒng)是安裝在C盤(pán)中)。
2.文件傳輸功能
SSH服務(wù)器不但提供了遠(yuǎn)程登錄功能,還提供了文件傳輸功能。點(diǎn)擊“F-Secure SSH Client”主窗口的文件傳輸按鈕后,則可彈出文件傳輸窗口(圖6),以進(jìn)行文件的傳輸。在“Local Folders”欄中選擇一個(gè)本地文件,然后將它拖到“Remote Folders”欄中的SSH服務(wù)器上用戶的主目錄中即可,在窗口底部的狀態(tài)欄中會(huì)顯示文件的傳輸狀態(tài)。
圖6
提示:客戶端連接SSH服務(wù)器時(shí),SSH服務(wù)器提供兩種級(jí)別的安全驗(yàn)證。第一種級(jí)別基于用戶賬號(hào)密碼的安全驗(yàn)證,只要知道賬號(hào)和密碼就可以登錄到SSH服務(wù)器;第二種級(jí)別基于密鑰的安全驗(yàn)證,客戶端必須為自己創(chuàng)建一對(duì)密鑰,并把公用密鑰傳送到SSH服務(wù)器上,這樣就有效地保證了客戶端和服務(wù)器端數(shù)據(jù)的安全傳輸。
由于篇幅的關(guān)系,不能對(duì)SSH服務(wù)器所有的功能進(jìn)行介紹,有興趣的朋友可以參考有關(guān)技術(shù)資料,進(jìn)行更深入的研究。
