【IT168 资讯】现在网络上的远控软件多如牛毛,管理员们应该如何选择呢?笔者认为,安全、稳定、高效是最重要的三个标准。下面笔者向大家推荐两款非常实用的远程控制工具。
一、部署SSH,远程管理更安全
管理员经常需要telnet到远程服务器进行管理,众所周知Telnet服务有一个致命的弱点,它是以明文的方式传输用户名和口令,所以很容易被别有用心的人窃取口令。
基于此笔者向大家推荐SSH(Secure Shell),它包括服务器端和客户端两部分。SSH客户端与服务器端通讯时,用户名和密码均进行了加密,这就有效地防止了他人对密码的盗取。而且通信中所传送的数据包都是“非明码”的方式。更重要的是它提供了图形界面,同时也可以在命令行(shell)下进行操作。
(一)部署SSH服务器
1.演示环境
服务器
OS:Windows Server 2003
IP:192.168.1.12
管理端
OS:Windows XP sp2
IP:192.168.1.22
软件版本
Server:F-Secure SSH Server v5.3.28
Client:F-Secure SSH Client v5.4.56
2.服务端部署
(1)安装
在服务器上,下载并安装SSH服务器端“F-Secure SSH Server”软件。安装完成后,SSH服务器自动启动。特别提示在安装并启动了SSH服务后,一定要关闭Telnet服务以保证服务器的安全。
(2)设置
启动SSH服务后,网络管理员就可以远程登录服务器进行维护了。但是每个局域网使用SSH服务的需求是不同的,因此默认的服务参数未必能满足需要,那么我们就可以自行设置这些参数。
基本参数设置
运行“fsshconf.exe”服务端配置程序,在弹出的“F-Secure SSH Server Configuration”窗口左栏中,依次选择“Server Settings→General”,然后在右边的“General”框体中就可以进行服务端基本参数的设置了。
“Maximum number of connections”设置SSH服务器的最大连接数,以限制连接到SSH服务器的最大用户数。大家可以根据自己的需要进行设置,但不要太大造成服务器的负担,建议企业中有几个管理员就设置几个连接数比如设置成12。默认是0,表示没有限制。“Idle timeout”是用户远程登录的超时时间设置,默认为“0”,就是不进行登录超时限制。“Event log filter”多选框用来定义系统日志记录哪些信息,我们可采用默认设置,勾选“Errors”和“Warnings”两项即可,建议大家不要勾选“Information”,否则会浪费系统资源。
“Encryption”配置项下可以设置加密方法,大家可以根据企业的安全需要进行选择。大家知道FTP服务器的个性化的登录信息,SSH服务器也一样可以做到。首先编写一个登录信息文本文件保存在文件夹中,然后点击“Banner message file”栏的浏览按钮,指定已编写好的文本文件即可,这样用户远程登录时就能看到这些个性化的信息了。最后,大家一定要记住点击“Apply”按钮保存参数设置。
网络参数设置
“Network”配置项下可以设置连接的端口,默认是“22”,笔者建议更改端口以加强安全性。当然SSH服务器使用的端口号一定不能和服务器上别的程序的端口号冲突。另外,端口更改后在客户端连接是就必须得用这个端口。其他的参数设置建议使用默认值。
点击“Identity”选项,在右栏中,我们可以使服务器重新产生新的用户加密密钥和对外公开使用的公钥,它们分别存放在安装文件夹的“hostkey”和“hostkey.pub”文件中,点击“Generate”按钮就可以重新生成这两个文件。
SSH服务器产生一对密钥和公钥。客户端使用公钥对SSH服务器发送来的信息进行解密。当用户第一次登录SSH服务器时,服务器会将它的公钥发送给客户端,以便客户机能对服务器发送的信息进行解密。
登陆限制参数设置
点击“Host Restrictions”选项,在右栏中就可以对远程登录的计算机进行限制设置。例如,不允许IP地址为“192.168.1.30”的客户机远程登录 SSH服务器,在“Deny login from hosts”输入框中输入“192.168.1.30”。与此类似“Group Restrictions”、“User Restrictions”分别是设置对于用户组和具体用户的限制。设置完成后点击“Apply”按钮即可。
SSH服务器参数的设置还有很多,除上面的以外大部分参数使用默认值即可。SSH服务器的参数保存在“sshd2_config”文件中,用户也可以用记事本打开它,直接进行编辑,但这种方法比较麻烦,建议大家不要使用。
3、客户端:客户端的部署非常简单,只需安装客户SSH客户端程序“F-Secure SSH Client”即可。
(二)安全控制
1.连接SSH服务器
运行桌面上的客户端程序,弹出“F-Secure SSH Client”主窗口,点击工具栏中的“Connect”(连接)按钮,弹出“Connect to Remote Host”对话框。
在“Host name or IP address”栏中输入SSH服务器的地址,如输入它的IP地址“192.168.1.12”。接着,在“User Name”栏中输入SSH服务器的管理员账号名,在“Port”栏中输入SSH服务器使用的端口号。最后,点击“Connect”按钮即可连接SSH服务器。
此时,如果用户是第一次远程登录SSH服务器,则会弹出“是否将SSH服务器公钥保存在本地数据库中”的提示框,点击“是”按钮,接着弹出“请输入密码”对话框,输入管理员账号、密码后,点击“OK”按钮,就可以登录到SSH服务器,对服务器进行远程维护了。
提示:SSH客户端也会产生用户的加密密钥和公钥,客户端在第一次登录时,会将产生的公钥复制到SSH服务器上的用户目录中,以便服务器能对客户端发送的信息进行解密。用户目录在服务器上的存储路径为“C\Documents and Settings\用户名\”(假设操作系统是安装在C盘中)。
2.文件传输功能
SSH服务器不但提供了远程登录功能,还提供了文件传输功能。点击“F-Secure SSH Client”主窗口的文件传输按钮后,则可弹出文件传输窗口,以进行文件的传输。在“Local Folders”栏中选择一个本地文件,然后将它拖到“Remote Folders”栏中的SSH服务器上用户的主目录中即可,在窗口底部的状态栏中会显示文件的传输状态。
客户端连接SSH服务器时,SSH服务器提供两种级别的安全验证。第一种级别基于用户账号密码的安全验证,只要知道账号和密码就可以登录到SSH 服务器;第二种级别基于密钥的安全验证,客户端必须为自己创建一对密钥,并把公用密钥传送到SSH服务器上,这样就有效地保证了客户端和服务器端数据的安全传输。
二、ATIES出马,轻松实现服务器远程备份
服务器备份是服务器安全的需要,根据安全策略对服务器继续备份也是管理人员的一项重要工作。笔者向大家推荐一款利器Acronis True Image Enterprise Server(简称ATIES),通过它能轻松实现对服务器磁盘分区的远程完整备份、增量备份和计划备份,极大减轻网管的维护工作量。
下面笔者部署一个网络环境,实例演示利用ATIES对服务器进行远程备份。
服务器A(Windows Server 2003)
网管机B(Windows XP)
任务:
1.远程备份服务器A中的磁盘分区,镜像文件存储在服务器A的共享文件夹“TEST”中。
2.利用“计划任务”功能实现自动增量备份。
(一)部署控制中心
在网管机器B中,下载并运行ATIES安装程序,弹出组件安装对话框,点击“Install Acronis True Image Management Console”选项,同意用户许可协议后,一路点击“NEXT”按钮,就完成了ATIES控制中心的安装。
(二)远程部署Agent(代理)
要想进行远程备份操作,必须为服务器A远程安装Agent代理程序。
在网管机器B中,依次点击“开始→程序→Acronis→Acronis true image management console→Acronis true image management console”项目。在ATIES控制中心窗口中点击“Install acronis componets to a remote computer”选项,进入到“远程安装向导”对话框,点击“NEXT”按钮后,选中“Registered components”单选项,在接下来的“程序选择”对话框中列出两个程序组件:Acronis true image agent和Acronis true image enterprise server。这里笔者要为服务器A安装代理程序,因此选择“Acronis true image agent”项目,然后进入到“登录信息”对话框。
在“Computer”栏中输入服务器A的IP地址,如“192.168.1.12”,也可以点击“Browse”按钮,在计算机浏览框中找到服务器A,然后在“User name”和“Password”栏中分别输入服务器A的管理员账号名和密码,如“lw”账号。这里笔者建议选中“Allow to reboot remote computer automatically”选项,因为代理程序远程安装后,必须重新启动系统才能生效。最后点击“Proceed”按钮,开始为服务器A远程安装代理程序。安装完成后,服务器A将自动重新启动系统。
(三)让文件夹共享
这里笔者要在网管机器B中远程备份服务器A的磁盘分区,并将“镜像文件”存储在服务器A的“S_bak”共享文件夹中。这里注意服务器A使用的是NTFS文件系统,因此共享文件夹的访问权限不但受到“共享权限”限制,还受到NTFS文件系统的访问权限限制。我们首先要在服务器A上对“S_bak”共享文件夹访问权限进行合理设置。
1.设置共享权限
在服务器A的资源管理器中,右键点击“S_bak”共享文件夹,选择“属性”,切换到“共享”标签页,点击“权限”按钮,弹出“S_bak的权限”设置对话框,点击“添加”按钮,将“lw”账号添加到“组或用户名称”列表框内,并且还要给该账号赋予“完全控制权限”,最后点击“确定”按钮,完成共享权限设置。
2.NTFS访问权限设置
以上设置的只是共享访问权限,毕竟“S_bak”共享文件夹是受“共享访问权限”和“NTFS访问权限”双重制约的。如果NTFS文件系统不允许“lw”账号访问共享,也是不行的。
切换到“安全”标签页后,首先将“lw”账号添加到“组或用户名称”列表框中,接下来还要为该账号设置访问权限。选中“lw”账号后,在“lw的权限”列表框中选中“读取和运行、列出文件夹目录、读取、修改和写入”项目,最后点击“确定”按钮。
经过以上操作后,就完成了“S_bak”共享文件夹访问权限的设置。这里要注意以上操作是在服务器A进行的。
(四)远程备份从此简单
到此为止,远程备份的准备工作就全部完成了,下面就可以在网管机器B中对服务器A的磁盘分区进行远程备份。
1.连接服务器A
在网管机器B的ATIES控制中心窗口中,点击“Connect to a remote computer”项目,弹出“远程连接计算机”对话框,在“Computer”栏中输入服务器A的IP地址“192.168.1.12”,点击“Options”按钮后,在“User name”和“Password”栏中分别输入服务器A的管理员账号名“lw”和账号密码如图10,点击“OK”按钮后,进入到“Pick a task for the remote computer”窗口,说明已经成功连接到服务器A。
2.第一次完全手工备份
下面就开始实施远程手工备份服务器A磁盘分区。点击“Backup”选项,弹出“创建镜像文件向导”对话框,点击“NEXT”按钮后,在接下来的对话框中列出服务器A的磁盘分区。这里笔者以“C盘”分区为例,选中“C盘分区”项目,点击“NEXT”按钮后,为镜像文件指定存储位置。
在“网络计算机”对话框中找到服务器A,弹出登录对话框窗口,输入服务器A的管理员账号后,进入到“S_bak”共享文件夹,接着为镜像文件起个名字,如“server.tib”。下面选择“镜像模式”,这是笔者第一次为服务器A的C盘分区进行备份,因此要选择完全备份方式,选中“Create the full backup image archive”选项,点击“NEXT”按钮后,要为镜像文件设置一个复杂的“保护密码”,防止有人非法窃取。接着还要为镜像文件设置分卷方式、压缩率等,如果没有特殊要求,使用默认值即可。最后点击“Proceed”按钮,就开始远程备份服务器A的C盘分区。备份成功后,就会在服务器A的“S_bak”共享文件夹中生成一个名为“rtj.tib”的镜像文件。
3.计划增量备份
以上完成了第一次手工备份,但以后每次都要手工备份是非常麻烦的,ATIES提供了“计划任务”功能,利用它创建备份任务,可以轻松完成自动备份。
在网管机器B的ATIES控制中心窗口中,点击下方的“Show tasks”选项,弹出“计划任务向导”对话框,计划备份向导的操作过程和手工备份向导基本相似,只是多出“备份时间间隔”参数的设置。
还是以备份服务器A的C盘分区为例,在“计划任务向导”对话框中选中服务器A的C盘分区,指定好镜像文件的存储位置“S_bak共享文件夹中rtj.tib”。这里要注意:“镜像模式”要选中“Create differential backup archive”项目,也就是增量备份。
接着指定好分卷方式、压缩率等,然后进入到“备份时间间隔”参数设置对话框。这里笔者每天都要对服务器A的C盘分区进行远程增量备份,选中“Daily”单选项,点击“NEXT”按钮后,在“Start time”栏中设置每天开始计划备份的时间;然后进入到“用户信息”对话框,在这里输入要使用的服务器A的管理员账号密码,最后点击“Finish”按钮,完成备份任务的创建。这样一来,网管机器B每天都可以自动对服务器A的C盘分区进行远程增量备份,免去了手工备份的麻烦。
利用ATIES实现磁盘分区的远程备份的确能方便网管对备份文件的统一管理。在设置过程中一定意以下两点:1、要正确设置服务器A的网络防火墙和共享文件夹的访问权限,这样在网络中进行远程备份的人员才能访问服务器A,保证备份文件被正常存储在共享文件夹中;1、远程备份人员要拥有服务器A的管理员访问权限,否则就无法正常安装代理程序和远程连接服务器A。
总结:现在的远控工具实在是太多了,也许大家都有自己常用的工具,不管大家选择那款工具安全性是最重要的。选择工具的时候一定要慎重,从企业的需要出发把好安全关以免引狼入室造成安全隐患。希望笔者推荐的这两款远控工具为大家带来安全快捷的远控体验。