【IT168 资讯】现在网络上的远控软件多如牛毛,管理员们应该如何选择呢?笔者认为,安全、稳定、高效是最重要的三个标准。下面笔者向大家推荐两款非常实用的远程控制工具。
一、部署SSH,远程管理更安全
管理员经常需要telnet到远程服务器进行管理,众所周知Telnet服务有一个致命的弱点,它是以明文的方式传输用户名和口令,所以很容易被别有用心的人窃取口令。
基于此笔者向大家推荐SSH(Secure Shell),它包括服务器端和客户端两部分。SSH客户端与服务器端通讯时,用户名和密码均进行了加密,这就有效地防止了他人对密码的盗取。而且通信中所传送的数据包都是“非明码”的方式。更重要的是它提供了图形界面,同时也可以在命令行(shell)下进行操作。
(一)部署SSH服务器
1.演示环境
服务器
OS:Windows Server 2003
IP:192.168.1.12
管理端
OS:Windows XP sp2
IP:192.168.1.22
软件版本
Server:F-Secure SSH Server v5.3.28
Client:F-Secure SSH Client v5.4.56
2.服务端部署
(1)安装
在服务器上,下载并安装SSH服务器端“F-Secure SSH Server”软件。安装完成后,SSH服务器自动启动。特别提示在安装并启动了SSH服务后,一定要关闭Telnet服务以保证服务器的安全。
(2)设置
启动SSH服务后,网络管理员就可以远程登录服务器进行维护了。但是每个局域网使用SSH服务的需求是不同的,因此默认的服务参数未必能满足需要,那么我们就可以自行设置这些参数。
基本参数设置
运行“fsshconf.exe”服务端配置程序,在弹出的“F-Secure SSH Server Configuration”窗口左栏中,依次选择“Server Settings→General”,然后在右边的“General”框体中就可以进行服务端基本参数的设置了。
“Maximum number of connections”设置SSH服务器的最大连接数,以限制连接到SSH服务器的最大用户数。大家可以根据自己的需要进行设置,但不要太大造成服务器的负担,建议企业中有几个管理员就设置几个连接数比如设置成12。默认是0,表示没有限制。“Idle timeout”是用户远程登录的超时时间设置,默认为“0”,就是不进行登录超时限制。“Event log filter”多选框用来定义系统日志记录哪些信息,我们可采用默认设置,勾选“Errors”和“Warnings”两项即可,建议大家不要勾选“Information”,否则会浪费系统资源。
“Encryption”配置项下可以设置加密方法,大家可以根据企业的安全需要进行选择。大家知道FTP服务器的个性化的登录信息,SSH服务器也一样可以做到。首先编写一个登录信息文本文件保存在文件夹中,然后点击“Banner message file”栏的浏览按钮,指定已编写好的文本文件即可,这样用户远程登录时就能看到这些个性化的信息了。最后,大家一定要记住点击“Apply”按钮保存参数设置。
网络参数设置
“Network”配置项下可以设置连接的端口,默认是“22”,笔者建议更改端口以加强安全性。当然SSH服务器使用的端口号一定不能和服务器上别的程序的端口号冲突。另外,端口更改后在客户端连接是就必须得用这个端口。其他的参数设置建议使用默认值。
点击“Identity”选项,在右栏中,我们可以使服务器重新产生新的用户加密密钥和对外公开使用的公钥,它们分别存放在安装文件夹的“hostkey”和“hostkey.pub”文件中,点击“Generate”按钮就可以重新生成这两个文件。
SSH服务器产生一对密钥和公钥。客户端使用公钥对SSH服务器发送来的信息进行解密。当用户第一次登录SSH服务器时,服务器会将它的公钥发送给客户端,以便客户机能对服务器发送的信息进行解密。
登陆限制参数设置
点击“Host Restrictions”选项,在右栏中就可以对远程登录的计算机进行限制设置。例如,不允许IP地址为“192.168.1.30”的客户机远程登录 SSH服务器,在“Deny login from hosts”输入框中输入“192.168.1.30”。与此类似“Group Restrictions”、“User Restrictions”分别是设置对于用户组和具体用户的限制。设置完成后点击“Apply”按钮即可。
SSH服务器参数的设置还有很多,除上面的以外大部分参数使用默认值即可。SSH服务器的参数保存在“sshd2_config”文件中,用户也可以用记事本打开它,直接进行编辑,但这种方法比较麻烦,建议大家不要使用。
3、客户端:客户端的部署非常简单,只需安装客户SSH客户端程序“F-Secure SSH Client”即可。
(二)安全控制
1.连接SSH服务器
运行桌面上的客户端程序,弹出“F-Secure SSH Client”主窗口,点击工具栏中的“Connect”(连接)按钮,弹出“Connect to Remote Host”对话框。
在“Host name or IP address”栏中输入SSH服务器的地址,如输入它的IP地址“192.168.1.12”。接着,在“User Name”栏中输入SSH服务器的管理员账号名,在“Port”栏中输入SSH服务器使用的端口号。最后,点击“Connect”按钮即可连接SSH服务器。
此时,如果用户是第一次远程登录SSH服务器,则会弹出“是否将SSH服务器公钥保存在本地数据库中”的提示框,点击“是”按钮,接着弹出“请输入密码”对话框,输入管理员账号、密码后,点击“OK”按钮,就可以登录到SSH服务器,对服务器进行远程维护了。
提示:SSH客户端也会产生用户的加密密钥和公钥,客户端在第一次登录时,会将产生的公钥复制到SSH服务器上的用户目录中,以便服务器能对客户端发送的信息进行解密。用户目录在服务器上的存储路径为“C\Documents and Settings\用户名\”(假设操作系统是安装在C盘中)。
2.文件传输功能
SSH服务器不但提供了远程登录功能,还提供了文件传输功能。点击“F-Secure SSH Client”主窗口的文件传输按钮后,则可弹出文件传输窗口,以进行文件的传输。在“Local Folders”栏中选择一个本地文件,然后将它拖到“Remote Folders”栏中的SSH服务器上用户的主目录中即可,在窗口底部的状态栏中会显示文件的传输状态。
客户端连接SSH服务器时,SSH服务器提供两种级别的安全验证。第一种级别基于用户账号密码的安全验证,只要知道账号和密码就可以登录到SSH 服务器;第二种级别基于密钥的安全验证,客户端必须为自己创建一对密钥,并把公用密钥传送到SSH服务器上,这样就有效地保证了客户端和服务器端数据的安全传输。