远程管理Linux服务器经验谈 推荐

网管甲接到上级领导的通知，去了遥远的地方出差。在连续几天欣赏完当地美景准备离开时候，突然想起了此次来的目的，于是乎他开始了加班加点的工作。在任务即将完成时，却发现少了一个重要文件。不过没关系，来的时候网管甲已经把这个重要文件从他的Linux系统中拷到U盘上了，O(∩_∩)O，但接下来令人喷血的事发生了 “U盘 我的U盘呢？.........”。网管甲晕倒在地

网管乙是管理企业服务器的一个网管（怎么听着这么别扭），企业中的服务器都是放在一个机房统一管理的，作为网管的他是否必须每天跑去机房查看Linux代理服务器日志？但服务器机房可不能让人随便进仅出出的，万一出点故障负责不起的。再说了服务器一般也不带显示器，难道他去机房摸一摸服务器上插的网线就知道传输的二进制内容？超人啊！

那么我们如何解决上述两个问题？linux在设计时就已经考虑到了，在我们安装linux时系统自身带有一个远程管理服务OpenSSH。OpenSSH实现了与telnet服务类似的远程登陆功能，但SSH采用密文的形式在网络中传输数据，因此可以实现更高的安全级别，是telnet服务的安全替代品。OpenSSH在系统安装时已经携带，可以通过rpm -qa | grep ssh命令来查看当前系统是否安装了OpenSSH服务。如果你的系统比较个性，没有安装OpenSSH服务，可插入第一张光盘，并安装所有以OpenSSH开头的软件包。如图所示



此时有人抢答“前面都是废话，我们的系统默认都安装了那个你所谓的安全管理服务，怎么用啊 快说.......”，哈哈 大家已经迫不及待的想知道如何远程管理Linux了。由于是我们客户机一般都用到windwos操作系统，所以问题的关键是如何在windwos上远程控制Linux服务器。我们需要借助软件putty（本文附件中已提供，敬请下载、使用）这是一绿色小软件，可在windwos环境下通过SSH服务远程管理Linux服务器。

首先打开这个软件，在HosatName框中输入Linux服务器的IP地址，本文以192.168.0.10为例。 接着在Protocol协议中选择“SSH”，我们看到Port变成了22，这是由于SSH默认使用22端口。 完成后单击“Open”按钮开始登陆远程服务器。



输入“Y”后进入Linux登陆界面，输入正确的用户名和密码，进入远程服务器。此时可以进行任何操作了，看 是不是跟在本机上操作一样呢？（前提：服务器上必须通过service iptables stop命令关闭防火墙或者开放防火墙22端口，否则让无法连登陆到服务器的）



此时你一定有疑问，如果想下载服务器上的文件，或上传文件到服务器该怎么做？此时我们又得借助另一绿色小软件WinSCP3了。（附件中也有提供）
打开软件主界面，在Host name中输入Linux服务器的IP地址，在port中输入22（关于为什么输入22端口就不用解释了吧）在User name中输入远程linux服务器的用户名、密码，在Protocol协议中选择SFTP（allow SCP fallback）。并单击“Login”按钮登陆远程服务器



输入“Y”后进入登陆到远程服务器，管理界面是不是似曾相识？那就对了，跟FTP界面大致相同，其中左侧为本地磁盘以及文件，右侧为服务器目录以及文件。



若此时想上传文件至远程服务器root目录，可直接拖动文件到服务器的root目录下，在弹出的窗口中选择“Copy”按钮，这样上传文件成功。从服务器下载文件步骤相同，只是从服务器托文件从本地磁盘罢了。



OK，我们完成了服务器的远程管理与服务器文件上传、下载。

通过不同策略让远程管理更加安全

我们已经可以对Linux服务器进行远程了，可此时你是否会有疑问？万一别人知道了服务器的用户名和密码，那他不是也可通过此方法进行非法行为了？那我可就成了罪魁祸首了，不行，我们得让远程管理更加安全。

·策略一：修改SSH端口来伪装自己

最喜欢变色龙，因为它懂得通过改变皮肤颜色来伪装自己，这样似乎更安全。OpenSSH同样也是如此，通过修改OpenSSH的端口号，这样不知情的人总以22端口访问服务器，当然登陆不上了。那么如何修改OpenSSH的连接端口呢？首先必须在Linux服务器上用VI编辑器打开/etc/ssh/sshd_config文件，找到port 22这一行，默认前面打了“#”被注释掉了，所以我们需要删除#号，并修改22为51。保存后敲入命令service sshd restart重启SSH服务，客户端必须使用SSH服务的51端口来访问服务器了。



此时我们通过putty软件登陆Linux服务器，只要在主界面修改端口为51，其余操作相同



当不之情的人仍然使用22端口或其他端口访问服务器时，出现如图错误提示窗口



·策略二禁止ROOT登陆，扼杀高权限

我们更改了端口，那万一被某高手用软件破解出来，再次登陆你的linux服务器，那我们的服务器甚为危险了，别着急 有对策！我们可以禁止ROOT帐户登陆此服务器，由于ROOT用户权限过高，对任何文件可以访问、删除，被坏人利用那可不得了。所以我们在服务器上编辑/etc/ssh/sshd_configw文件，找到PermitRootLogin yes这一行，默认也是被注释掉的。我们必须删除#号并修改yes为no（禁止），这样客户端便不能使用root登陆Linux服务器了



那我们需要在客户端管理服务器时不是也不能登陆了？没关系，我们可以新建一用户，并设置为管理员组，这样我们可以在客户端使用新建的用户来登陆远程服务器了，并且权限也不低哦。



此时客户端用putty软件登陆服务器时只要在用户名处输入bestsafe即可登陆



当不知情的人还以ROOT用户登陆服务器时，出现如图错误提示框。



·策略三设置简易防火墙，控制登陆IP

如果你觉得更改SSH端口不是很安全，禁止ROOT登陆不是很方便，我们还可以通过修改/etc/hosts.deny和/etc/hosts.allow两个文件来搭建简易防火墙，控制允许使用SSH登陆的客户端IP地址。
hosts.deny文件用于设置禁止访问此服务器的客户端，hosts.allow文件用于设置允许访问此服务器的客户端。其格式为 服务进程名：主机列表：，服务器进程可以是单个服务如fttpd，也可是所有服务（all）；主机列表也可为单个IP如192.168.0.18，也可是所有IP（all）。

首先修改/etc/hosts.deny文件，我们先禁用掉所有的IP访问此服务器的所有服务



然后再修改/etc/hosts.allow文件，设置只有192.168.0.18这个客户端可以访问此服务器的OpenSSH服务。



由于我们首先禁用所有IP访问所有服务，再设置了所有IP可以访问HTTP服务，FTP服务；只有192.168.0.18这个客户端可以访问OpenSSH服务，而对于客户端访问服务器的其他服务如DHCP、DNS都禁止了。关于这个简易防火墙的更详细用法，可参考此站点

这样我们设置了只有192.168.0.18这个客户端（平时自己使用的那台机子）才能通过远程SSH登陆到服务器，当其他IP使用putty软件登陆服务器时会出现软件黑屏，接着自动关闭该软件，这样达到了禁止了其他IP登陆到此服务器。



不过对于这种方法，似乎也不是那么安全，客户机可以通过更改IP为192.168.0.18来登陆到远程服务器。所以我们必须设置客户端使用users用户登陆，那样客户端就不具备更改IP地址的权利了。

附件：http://down.51cto.com/data/2350974