Telnet與SSH兩大協(xié)議有什么區(qū)別
Telnet與SSH兩大協(xié)議有什么區(qū)別
作為系統(tǒng)管理員,我們的重要職責之一就是管理并監(jiān)控生產(chǎn)服務器和企業(yè)服務器,更新服務器內(nèi)核,安裝最新的軟件包和補丁,以及每天執(zhí)行其他服務器常規(guī)任務,同時遠程訪問服務器。
其實有兩大協(xié)議可用于訪問服務器:
•Telnet
•SSH
不妨逐個討論這兩大協(xié)議:
Telnet
1. Telnet是電信(Telecommunications)和網(wǎng)絡(luò)(Networks)的聯(lián)合縮寫,這是一種在UNIX平臺上最為人所熟知的網(wǎng)絡(luò)協(xié)議。
2. Telnet使用端口23,它是專門為局域網(wǎng)設(shè)計的。
3. Telnet不是一種安全通信協(xié)議,因為它并不使用任何安全機制,通過網(wǎng)絡(luò)/互聯(lián)網(wǎng)傳輸明文格式的數(shù)據(jù),包括密碼,所以誰都能嗅探數(shù)據(jù)包,獲得這個重要信息。
4. Telnet中沒有使用任何驗證策略及數(shù)據(jù)加密方法,因而帶來了巨大的安全威脅,這就是為什么telnet不再用于通過公共網(wǎng)絡(luò)訪問網(wǎng)絡(luò)設(shè)備和服務器。
5. 在Linux系統(tǒng)上,telnet很容易使用yum來安裝:
[root@pbx2 ~]# yum install telnet
telnet的最佳用途就是檢查遠程主機上任何特定服務的狀態(tài)。比如說,如果我們想要檢查在本地服務器上通過端口80運行的Apache Web服務的狀態(tài),可以這么做:
[root@pbx2 ~]# telnet localhost 80
Trying ::1...
telnet: connect to address ::1: Connection refused
Trying 127.0.0.1...
telnet: connect to address 127.0.0.1: Connection refused
[root@pbx2 ~]#
現(xiàn)在,我們可以看到,該Web服務已被停止,telnet也無法連接,所以我們不得不在服務器上重啟服務,如下所示:
[root@pbx2 ~]# service httpd restart
Stopping httpd: [FAILED]
Starting httpd: [ OK]
現(xiàn)在再次檢查:
[root@pbx2 ~]# telnet localhost 80
Trying ::1...
Connected to localhost.
Escape character is '^]'.
^]
telnet> quit
Connection closed.
所以apache服務現(xiàn)已運行,以同樣方式檢查服務器上通過端口運行的SSH守護程序的狀態(tài):
[root@pbx2 ~]# telnet localhost 22
Trying ::1...
Connected to localhost.
Escape character is '^]'.
SSH-2.0-OpenSSH_5.3
^]
telnet> quit
Connection closed.
SSH
1. SSH代表安全外殼(Secure Shell),它現(xiàn)在是通過互聯(lián)網(wǎng)訪問網(wǎng)絡(luò)設(shè)備和服務器的唯一的主要協(xié)議。
2. SSH默認情況下通過端口22運行;不過,很容易更改這個端口。
3. SSH是一種非常安全的協(xié)議,因為它共享并發(fā)送經(jīng)過加密的信息,從而為通過互聯(lián)網(wǎng)等不安全的網(wǎng)絡(luò)訪問的數(shù)據(jù)提供了機密性和安全性。
4. 一旦通訊的數(shù)據(jù)使用SSH經(jīng)過加密,就極難解壓和讀取該數(shù)據(jù),所以我們的密碼在公共網(wǎng)絡(luò)上傳輸也變得很安全。
5. SSH還使用公鑰用于對訪問服務器的用戶驗證身份,這是一種很好的做法,為我們提供了極高的安全性。
6.SSH主要用在所有流行的操作系統(tǒng)上,比如Unix、Solaris、Red-Hat Linux、CentOS和Ubuntu等。
7. 我們可以更改服務器的SSH端口,具體如下所示:
[root@pbx2 ssh]# vim /etc/ssh/sshd_config
打開該配置文件后,尋找Port,其在默認情況下應該會采用如下所示的注釋:
#Port 22
去掉注釋,更改端口,比如我就將它改成了端口10089。
Port 10089
保存文件后退出,使用下面這個命令,對SSH守護程序進行重置:
service sshd restart
我們還可以禁用服務器的根訪問權(quán),只要在同一個文件中稍微改動一下,搜索下面這個參數(shù):
#PermitRootLogin yes
去掉注釋,把“yes”換成“no”
PermitRootLogin no
結(jié)束語
以上這些是針對Linux服務器的非常基本的安全技巧,我們會在下一篇文章中著重介紹重要的Linux安全加固技巧。通過Telnet或SSH訪問服務器的知名工具則有Putty、MTPutty和Secure CRT。到目前為止,SSH是最主要的訪問協(xié)議,它還用于訪問思科設(shè)備。