一部連上Internet上面的您的個人主機，最重要的是什麼呢？大概就是如何讓您自己可以連線進入自己的主機，並且進行所謂的『遠端操控』了吧！也就是說，您可以在任何具有連上Internet的電腦中，以遠端連線軟體連上Internet，並藉由您主機上面的遠端連線伺服器軟體提供的功能，直接登入您的主機來進行操控的工作！此時，您將發現Linux有趣又好玩的地方囉！在早期的Unix Like機器當中，幾乎都提供Telnet這個遠端連線伺服器軟體，不過，Telnet本身是以『明碼』來傳送您操作的資料，安全上面是值得來思考要不要開放吶！這個時候就有需要瞭解一下傳送過程中以加密動作來傳送資料封包的SSH這個遠端連線伺服器軟體啦！另外，除了純文字介面登入主機來進行操控之外，在現在的Linux distributions當中，還可以利用X相關的服務來幫助我們以圖形介面登入喔！很棒吧！^_^

1.本章的行前準備工作
2.遠端連線伺服器
　　2.1什麼是遠端連線伺服器
　　2.2有哪些可供登入的類型？
3.Telnet伺服器
　　3.1安裝、啟動與關閉服務
　　3.2好用的連線軟體
　　3.3iptables,TCP_Wrappers,純建議
4.SSH伺服器
　　4.1連線加密技術簡介
　　4.2啟動ssh服務
　　4.3ssh用戶端連線：ssh,sftp,scp,putty與pietty,psftp
　　4.4詳細設定sshd伺服器：
　　4.5製作不用密碼可立即登入的ssh用戶：ssh-keygen
　　4.6安全設定：
5.Xdmcp服務的啟用
　　5.1X Window的Server/Client架構
　　5.2設定XDMCP
　　5.3用戶登入
　　5.4關閉XDMCP
6.VNC伺服器
7.RSH伺服器
　　7.1RSH Server：/etc/hosts.equiv,~user/.rhosts
　　7.2RSH Client：rsh,rcp
8.以rsync進行同步鏡相備份
9.重點回顧
10.課後練習
11.參考資源
12.針對本文的建議：http://phorum.vbird.org/viewtopic.php?p=114550

本章的行前準備工作

瞭解網路基礎，尤其網路是雙向的；
認識網路安全當中的取消SELinux，以及防火牆的基本概念；
瞭解使用者與帳號的相關概念；
認識X Window System；
由於很多遠端連線伺服器軟體系統預設並不安裝，因此你必須要瞭解RPM及yum的使用。

遠端連線伺服器

什麼是遠端連線伺服器

遠端連線伺服器

伺服器類型(Server)的連線程式：

除非必要，否則Server類型的主機還真的不建議開放連線的服務呢！

工作站類型(Workstation)的連線程式：

有哪些可供登入的類型？

當我們的資料封包在網路上流竄時，該資料封包的內容為資料的原始格式

網路常用指令章節當中介紹的tcpdump

Telnet伺服器

安裝、啟動與關閉服務

安裝：

已經都將telnet這個伺服器排除在『先發名單』之外啦

還是有提供telnet套件在光碟當中啦


[root@linux ~]# rpm -qa | grep telnet
telnet-0.17-31.EL4.3
telnet-server-0.17-31.EL4.3
# 上面是 CentOS 4.x 預設的套件版本。如果是其他的 distribution，
# 檔名可能會不太一樣～可利用 yum 或 apt 等方式來安裝喔！

一個是telnet，這個套件提供的是telnet用戶端的連線程式；
另一個是telnet-server套件，這個才是真正的Telnet server軟體喔！

啟動與關閉：

鳥哥的Linux私房菜--基礎學習篇

認識服務(daemon)

Linux基礎篇

將xinetd裡面關於telnet的項目開啟，然後

重新啟動一次xinetd就成功啦！

使用ntsysv或chkconfig：

ntsysv

使用vi修改/etc/xinetd.d/telnet這個檔案：


[root@linux ~]# vi /etc/xinetd.d/telnet
service telnet
{
        flags           = REUSE
        socket_type     = stream
        wait            = no
        user            = root
        server          = /usr/sbin/in.telnetd
        log_on_failure  += USERID
#       disable         = yes
        disable         = no
# 基本上，改上面這兩行就夠了！將 disable 設定成 no 表示要啟動！
}

telnet是掛在xinetd底下的，所以自然只要重新啟動xinetd就能夠將/etc/xinetd.d/裡頭的設定重新讀進來


僅適合 Red Hat 系列 / Mandriva 系列的主機啟動方式
[root@linux ~]# service xinetd restart
Stopping xinetd:                       [  OK  ]
Starting xinetd:                       [  OK  ]

適合各版本的主機啟動方式
[root@linux ~]# /etc/init.d/xinetd restart
Stopping xinetd:                       [  OK  ]
Starting xinetd:                       [  OK  ]
# 某些版本並沒有 restart 的選項，這個時候就需要：stop 再 start 囉！

限制Linux port的連線

netstat


[root@linux ~]# netstat -tlup
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address  Foreign Address   State   PID/Program name
tcp        0      0 *:telnet       *:*               LISTEN  23817/xinetd

限制Linux port的連線


Step 1: 修改設定檔
[root@linux ~]# vi /etc/xinetd.d/telnet
service telnet
{
        flags           = REUSE
        socket_type     = stream
        wait            = no
        user            = root
        server          = /usr/sbin/in.telnetd
        log_on_failure  += USERID
        disable         = yes  <== 就是這裡啦！將他改成 yes 就是關閉！
}

Step 2: 重新啟動 xinetd 這個 super daemon
[root@linux ~]# /etc/init.d/xinetd restart

好用的連線軟體


[root@linux ~]# telnet localhost
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
CentOS release 4.4 (Final)
Kernel 2.6.9-42.0.2.EL on an i686
login: dmtsai    <== 就是這裡啦！請輸入『一般』帳號，不能用 root 喔！
Password:         <== 這裡輸入該帳號的密碼！請注意，輸入時，螢幕不會有任何資訊！
Last login: Fri Jul  1 09:31:21 from 127.0.0.1  <== 上次登入的資訊為何?
[dmtsai@linux ~]$ <== 這裡就是已經登入的地方！亦即遠端主機了！
[dmtsai@linux ~]$ exit    <== 這樣就能夠離開 telnet 與遠端主機咯！

按下Windows內的『開始』
選擇『執行』
在出現的視窗中輸入『telnet your.IP.or.hostname』

預設的telnet是『不允許』使用root這個帳號登入的～

iptables,TCP_Wrappers,純建議

總是一個不太好的連線解決方案

以比較限制的設定檔來規範連線的IP：

鳥哥的Linux私房菜--基礎學習篇

認識服務


[root@linux ~]# vi /etc/xinetd.d/telnet
# This file had been modified by VBird 2002/11/04
# First is about inside the network
service telnet
{
        disable         = no
        bind            = 192.168.1.2
        only_from       = 192.168.1.0/24
        # 上面這兩行說明僅提供內部網域！
        instance        = UNLIMITED
        nice            = 0
        flags           = REUSE
        socket_type     = stream
        wait            = no
        user            = root
        server          = /usr/sbin/telnetd
        server_args     = -a none
        log_on_failure  += USERID
}

# Second is about the outside domain's settings
service telnet
{
        disable         = no
        bind            = 140.116.142.196
        only_from       = 140.116.0.0/16
        no_access       = 140.116.32.{10,26}
        # 上面這三行設定外部較為嚴格的限制
        instance        = 10   <==最多允許同時 10 個連線
        umask           = 022
        nice            = 10
        flags           = REUSE
        socket_type     = stream
        wait            = no
        user            = root
        server          = /usr/sbin/telnetd
        server_args     = -a none
        log_on_failure  += USERID
}

root不能直接以telnet連接上主機：

既然telnet不是很安全，自然預設的情況之下就是無法允� oot以telnet登入Linux主機的


[root@linux ~]# mv /etc/securetty /etc/securetty.bak


[root@linux ~]# vi /etc/pam.d/login
#%PAM-1.0
#auth       required     pam_securetty.so  <== 就是這樣一行，將他註解即可！
auth       required     pam_stack.so service=system-auth
auth       required     pam_nologin.so
account    required     pam_stack.so service=system-auth
password   required     pam_stack.so service=system-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_stack.so service=system-auth
session    required     pam_loginuid.so
session    optional     pam_console.so
# pam_selinux.so open should be the last session rule
session    required     pam_selinux.so multiple open

還是不建議如此做的

加上防火牆iptables：

簡易防火牆架設


iptables -A INPUT -p tcp -i $INIF  -s 192.168.0.0/24 --dport 23 -j ACCEPT
iptables -A INPUT -p tcp -i $EXTIF -s 61.xxx.xxx.xxx --dport 23 -j ACCEPT
iptables -A INPUT -p tcp -i $EXTIF                   --dport 23 -j DROP

加上防火牆/etc/hosts.allow(deny)機制：


[root@linux ~]# vi /etc/hosts.allow
in.telnetd: 192.168.0.1, 192.168.0.2, 192.168.0.3, 192.168.0.4
in.telnetd: 192.168.0.5

[root@linux ~]# vi /etc/hosts.deny
in.telnetd : ALL : spawn (/bin/echo Security notice from `/bin/hostname`; \
/bin/echo; /usr/sbin/safe_finger @%h ) | \
/bin/mail -s "%d -%h security" root@localhost & \
: twist ( /bin/echo -e "

WARNING connectin not allowed. 


" )

建議事項：

非必要時，不要啟動telnet，如果真的需要啟動telnet，那麼也請在啟動並且使用完畢之後，立即將他關掉！
如果確定真的要啟動telnet時，請確定好限制的連線範圍，使用iptables來設定連線的限制區域；
加上TCP_Wrappers的輔助，加強防火牆的功能！

隨時注意登錄檔案裡面關於login的事項！並且不要讓root能以telnet登入Linux主機！

SSH伺服器

SSH是SecureSHell protocol的簡寫

一個就是類似telnet的遠端連線使用shell的伺服器，亦即是俗稱的ssh；

另一個就是類似FTP服務的sftp-server！提供更安全的FTP服務。

連線加密技術簡介：

一對公鑰與私鑰

Public and Private組合成的key pair

圖一、公鑰與私鑰在進行資料傳輸時的角色示意圖

SSH protocol version 1：

當每次SSH daemon(sshd)啟動時，就會產生一支768-bit的公鑰(或稱為server key)存放在Server中；
若有client端的ssh連線需求傳送來時，那麼Server就會將這一支公鑰傳給client，此時client也會比對一下這支公鑰的正確性。比對的方法為利用/etc/ssh/ssh_known_hosts或~/.ssh/known_hosts檔案內容。
在Client接受這個768-bit的server key之後，Client自己也會隨機產生一支256-bit的私鑰(host key)，並且以加密的方式將server key與host key整合成一對完整的Key pair，並且將這對Key pair也傳送給server；
之後，Server與Client在這次的連線當中，就以這一對1024-bit的Key pair來進行資料的傳遞！

SSH protocol version 2：

啟動SSH服務：

OpenSSL

OpenSSH

都是預設啟動SSH的


[root@linux ~]# /etc/init.d/sshd restart
[root@linux ~]# netstat -tlp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address  Foreign Address  State   PID/Program name
tcp        0      0 *:ssh          *:*              LISTEN  24266/sshd

netstat

chkconfig

使用Tarbal安裝SSH以及升級SSH可能會遇到的問題說明
(http://linux.vbird.org/linux_server/0310telnetssh/0310telnetssh-2.php)

這個sshd可以同時提供shell與ftp喔！而且都是架構在port 22上面的呢

ssh用戶端連線：

Linux Client: ssh


1. 直接登入到對方主機的方法：
[root@linux ~]# ssh account@hostname
# 連接到我們自己本機上面的 ssh 服務！更多訊息，請 man ssh 喔！
[root@linux ~]# ssh dmtsai@localhost
The authenticity of host 'localhost (127.0.0.1)' can't be established.
RSA key fingerprint is f8:ae:67:0e:f0:e0:3e:bb:d9:88:1e:c9:2e:62:22:72.
Are you sure you want to continue connecting (yes/no)? yes
# 上面很重要喔！務必填入完整的 "yes" 而不是 Y 或 y 而已。
Warning: Permanently added 'localhost' (RSA) to the list of known hosts.
dmtsai@localhost's password: <== 在這裡填入密碼，同樣的，螢幕不會有訊息的！
Last login: Fri Jul  1 14:23:27 2005 from localhost.localdomain
[dmtsai@linux ~]$      <== 瞧！已經登入囉～
[dmtsai@linux ~]$ exit <== 輸入 exit 就能夠離開對方主機囉！

2. 不登入對方主機，直接在對方主機執行指令的方法：
[root@linux ~]# ssh dmtsai@localhost date
dmtsai@localhost's password:
Tue Nov 22 11:57:27 CST 2005
[root@linux ~]# 
# 看！身份還是 root 喔！只是以 dmtsai 的身份在遠端主機上執行了一個指令而已！

ssh hostname

進入hostname這個主機的『帳號名稱』將會是目前您所在的這個環境當中的使用者帳號！

ssh user@hostname

在預設的情況下，SSH是『允許您以root的身份登入』喔

務必要輸入yes而不是y或Y

關於Server Keys的紀錄資料：~/.ssh/known_hosts

如果Server Key與~/.ssh/known_hosts比對成功，那麼您就會直接進入等待密碼輸入的畫面，


[root@linux ~]# ssh dmtsai@localhost
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
f8:ae:67:0e:f0:a0:3e:aa:d9:77:19:c9:2e:62:22:72.
Please contact your system administrator.
Add correct host key in /root/.ssh/known_hosts to get rid of this message.
Offending key in /root/.ssh/known_hosts:1
RSA host key for localhost has changed and you have requested strict checking.
Host key verification failed.

進入您的家目錄的~/.ssh裡面，編輯一下known_hosts，將欲連接的主機名稱的Key給他消除


[root@linux ~]# vi ~/.ssh/known_hosts
localhost ssh-rsa AAAAB3NzaC1yc2Euowireffodjoiwjefmoeiwhoqhwupoi
t[egmlomowimvoiweo6VpTHTw2/tENp4U7Wn8J6nxYWP36YziFgxtWu4MPSKaRmr
E4eUpR1G/zV3TkChRZY5hGUybAreupTVdxCZvJlYvNiejfijoejwiojfijeoiwx5
eRkzvSj7a19vELZ5f8XhzH62E=

Linux Client: sftp


[root@linux ~]# sftp dmtsai@localhost
Connecting to localhost...
dmtsai@localhost's password: <== 這裡請輸入密碼啊！
sftp> <== 這裡就是在等待您輸入 ftp 相關指令的地方了！

針對遠方主機(Server)之行為
變換目錄到/etc/test或其他目錄	cd /etc/test cd PATH
列出目前所在目錄下的檔名	ls dir
建立目錄	mkdir directory
刪除目錄	rmdir directory
顯示目前所在的目錄	pwd
更改檔案或目錄群組	chgrp groupname PATH
更改檔案或目錄擁有者	chown username PATH
更改檔案或目錄的權限	chmod 644 PATH 其中，644與權限有關！回去看基礎篇！
建立連結檔	ln oldname newname
刪除檔案或目錄	rm PATH
更改檔案或目錄名稱	rename oldname newname
離開遠端主機	exit(or)bye(or)quit
針對本機(Client)之行為(都加上l,L的小寫)
變換目錄到本機的PATH當中	lcd PATH
列出目前本機所在目錄下的檔名	lls
在本機建立目錄	lmkdir
顯示目前所在的本機目錄	lpwd
針對資料上傳/下載的行為
將檔案由本機上傳到遠端主機	put[本機目錄或檔案][遠端] put[本機目錄或檔案] 如果是這種格式，則檔案會放置到目前遠端主機的目錄下！
將檔案由遠端主機下載回來	get[遠端主機目錄或檔案][本機] get[遠端主機目錄或檔案] 若是這種格式，則檔案會放置在目前本機所在的目錄當中！可以使用萬用字元，例如： get* get*.rpm 亦是可以的格式！

Linux Client: scp


1. 將資料由本機上傳到遠端主機上去
[root@linux ~]# scp /etc/crontab dmtsai@localhost:/home/dmtsai/
dmtsai@localhost's password: <== 這裡請輸入密碼啊！
crontab                  100%  620     0.6KB/s   00:00
# 這個例子在說明，我將本機目錄的 /etc/crontab 這個檔案傳送給 dmtsai 
# 這個使用者，而這個使用者是在 "localhost" 那部主機上面喔！
# 仔細看一下，會有一個傳輸資料的訊息跑出來喔！

2. 將資料由遠端主機下載到本機上！
[root@linux ~]# scp dmtsai@localhost:~/.bashrc .
# 這個例子則是在說明，我要將 localhost 那部機器上的 dmtsai 這個人，
# 他家目錄下的 .bashrc 複製到我的機器上！

hostname:PATH

Windows Client: putty

ssh

putty官方網站：http://www.chiark.greenend.org.uk/~sgtatham/putty/
pietty官方網站：http://www.csie.ntu.edu.tw/~piaip/pietty/

圖二、pietty的執行圖示之一

圖三、pietty的執行圖示之一

文字檔案本身在存檔時所挑選的語系；
Linux主機本身所使用的語系(可用LANG變數調整)；

pietty所使用的語系。

圖四、pietty的執行圖示之一

圖五、pietty的執行圖示之一

圖六、pietty的執行圖示之一

圖七、pietty的執行圖示之一

圖八、pietty的執行圖示之一

將(1)字型設定為細明體(2)字集設定為『Big5』，如此一來，您的pietty就支援中文的輸入囉！

HKEY_CURRENT_USER-->Software-->SimonTatham-->PuTTY-->Sessions

Windows Client: psftp


psftp: no hostname specified; use "open host.name" to connect
psftp>


psftp: no hostname specified; use "open host.name" to connect
psftp> open test.linux.org
login as: dmtsai
Using username "dmtsai".
dmtsai@linux.dmtsai.tw's password:
Remote working directory is /home/dmtsai
psftp> <== 這裡就在等待您輸入 FTP 的指令了！

詳細設定sshd伺服器

/etc/ssh/sshd_config


[root@linux ~]# vi /etc/ssh/sshd_config
# 1. 關於 SSH Server 的整體設定，包含使用的 port 啦，以及使用的密碼演算方式
# 先留意一下，在預設的檔案內，只要是被註解的設定值(#)，即為『預設值！』
Port 22
# SSH 預設使用 22 這個port，也可以使用多個port，即重複使用 port 這個設定項目！
# 例如想要開放 sshd 在 22 與 443 ，則多加一行內容為：
# Port 443 
# 這樣就好了！不過，不建議修改 port number 啦！

Protocol 1,2
# 選擇的 SSH 協定版本，可以是 1 也可以是 2 ，
# 如果要同時支援兩者，就必須要使用 2,1 這個分隔了(Protocol 1,2)！
# 目前我們會建議您，直接使用 Protocol 2 即可！

#ListenAddress 0.0.0.0
# 監聽的主機介面卡！舉個例子來說，如果您有兩個 IP，
# 分別是 192.168.0.100 及 192.168.2.20 ，那麼只想要
# 開放 192.168.0.100 時，就可以寫如同下面的樣式：
ListenAddress 192.168.0.100
# 只監聽來自 192.168.0.100 這個 IP 的SSH連線。
# 如果不使用設定的話，則預設所有介面均接受 SSH

#PidFile /var/run/sshd.pid
# 可以放置 SSHD 這個 PID 的檔案！左列為預設值

#LoginGraceTime 2m
# 當使用者連上 SSH server 之後，會出現輸入密碼的畫面，在該畫面中，
# 在多久時間內沒有成功連上 SSH server ，就斷線！若無單位則預設時間為秒！

#Compression yes
# 是否可以使用壓縮指令？當然可以囉

# 2. 說明主機的 Private Key 放置的檔案，預設使用下面的檔案即可！
#HostKey /etc/ssh/ssh_host_key        # SSH version 1 使用的私鑰
#HostKey /etc/ssh/ssh_host_rsa_key    # SSH version 2 使用的 RSA 私鑰
#HostKey /etc/ssh/ssh_host_dsa_key    # SSH version 2 使用的 DSA 私鑰
# 還記得我們在主機的 SSH 連線流程裡面談到的，這裡就是 Host Key ～

# 2.1 關於 version 1 的一些設定！
#KeyRegenerationInterval 1h
# 由前面連線的說明可以知道， version 1 會使用 server 的 Public Key ，
# 那麼如果這個 Public Key 被偷的話，豈不完蛋？所以需要每隔一段時間
# 來重新建立一次！這裡的時間為秒！不過我們通常都僅使用 version 2 ，
# 所以這個設定可以被忽略喔！

#ServerKeyBits 768
# 沒錯！這個就是 Server key 的長度！用預設值即可。

# 3. 關於登錄檔的訊息資料放置與 daemon 的名稱！
SyslogFacility AUTHPRIV
# 當有人使用 SSH 登入系統的時候，SSH會記錄資訊，這個資訊要記錄在什麼 daemon name
# 底下？預設是以 AUTH 來設定的，即是 /var/log/secure 裡面！什麼？忘記了！
# 回到 Linux 基礎 去翻一下。其他可用的 daemon name 為：DAEMON,USER,AUTH,
# LOCAL0,LOCAL1,LOCAL2,LOCAL3,LOCAL4,LOCAL5,

#LogLevel INFO
# 登錄記錄的等級！嘿嘿！任何訊息！同樣的，忘記了就回去參考！

# 4. 安全設定項目！極重要！
# 4.1 登入設定部分
PermitRootLogin no
# 是否允許 root 登入！預設是允許的，但是建議設定成 no！

#UserLogin no
# 在 SSH 底下本來就不接受 login 這個程式的登入！

#StrictModes yes
# 當使用者的 host key 改變之後，Server 就不接受連線，可以抵擋部分的木馬程式！

#RSAAuthentication yes    # 是否使用純的 RSA 認證！？僅針對 version 1 ！
#PubkeyAuthentication yes # 是否允許 Public Key ？當然允許啦！僅針對 version 2

#AuthorizedKeysFile      .ssh/authorized_keys
# 上面這個在設定若要使用不需要密碼登入的帳號時，那麼那個帳號的存放檔案所在檔名！
# 這個設定值很重要喔！檔名給他記一下！

# 4.2 認證部分
#RhostsAuthentication no
# 本機系統不使用 .rhosts，因為僅使用 .rhosts太不安全了，所以這裡一定要設定為 no

#IgnoreRhosts yes
# 是否取消使用 ~/.ssh/.rhosts 來做為認證！當然是！

#RhostsRSAAuthentication no #
# 這個選項是專門給 version 1 用的，使用 rhosts 檔案在 /etc/hosts.equiv
# 配合 RSA 演算方式來進行認證！不要使用啊！

#HostbasedAuthentication no
# 這個項目與上面的項目類似，不過是給 version 2 使用的！

#IgnoreUserKnownHosts no
# 是否忽略家目錄內的 ~/.ssh/known_hosts 這個檔案所記錄的主機內容？
# 當然不要忽略，所以這裡就是 no 啦！

PasswordAuthentication yes
# 密碼驗證當然是需要的！所以這裡寫 yes 囉！

#PermitEmptyPasswords no
# 若上面那一項如果設定為 yes 的話，這一項就最好設定為 no ，
# 這個項目在是否允許以空的密碼登入！當然不許！

ChallengeResponseAuthentication no
# 允許任何的密碼認證！所以，任何 login.conf 規定的認證方式，均可適用！
# 但目前我們比較喜歡使用 PAM 模組幫忙管理認證，因此這個選項可以設定為 no 喔！
UsePAM yes
# 利用 PAM 管理使用者認證有很多好處，可以記錄與管理。
# 所以這裡我們建議您使用 UsePAM 且 ChallengeResponseAuthentication 設定為 no 
　
# 4.3 與 Kerberos 有關的參數設定！因為我們沒有 Kerberos 主機，所以底下不用設定！
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosTgtPassing no
　
# 4.4 底下是有關在 X-Window 底下使用的相關設定！
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes

# 4.5 登入後的項目：
PrintMotd no
# 登入後是否顯示出一些資訊呢？例如上次登入的時間、地點等等，預設是 yes
# 亦即是列印出 /etc/motd 這個檔案的內容。但是，如果為了安全，可以考慮改為 no ！

PrintLastLog yes
# 顯示上次登入的資訊！可以啊！預設也是 yes ！

KeepAlive yes
# 一般而言，如果設定這項目的話，那麼 SSH Server 會傳送KeepAlive 的訊息給 
# Client端，以確保兩者的連線正常！在這個情況下，任何一端死掉後，SSH可以立刻知道！
# 而不會有僵屍程序的發生！

UsePrivilegeSeparation yes
# 使用者的權限設定項目！就設定為 yes 吧！

MaxStartups 10
# 同時允許幾個尚未登入的連線畫面？當我們連上 SSH ，但是尚未輸入密碼時，
# 這個時候就是我們所謂的連線畫面啦！在這個連線畫面中，為了保護主機，
# 所以需要設定最大值，預設最多十個連線畫面，而已經建立連線的不計算在這十個當中

# 4.6 關於使用者抵擋的設定項目：
DenyUsers *
# 設定受抵擋的使用者名稱，如果是全部的使用者，那就是全部擋吧！
# 若是部分使用者，可以將該帳號填入！例如下列！
DenyUsers test

DenyGroups test
# 與 DenyUsers 相同！僅抵擋幾個群組而已！

# 5. 關於 SFTP 服務的設定項目！
Subsystem       sftp    /usr/lib/ssh/sftp-server

建議你(1)將root的登入權限取消；(2)將ssh版本設定為2

/etc/init.d/sshd restart

製作不用密碼可立即登入的ssh用戶：

首先，先在Client上面建立Public Key跟Private Key這兩把鑰匙，利用的指令為ssh-keygen這個命令；
再來，將Private Key放在Client上面的家目錄，亦即$HOME/.ssh/，並且修改權限為僅有該User可讀的狀態；

最後，將那把Public Key放在任何一個您想要用來登入的主機的Server端的某User的家目錄內之.ssh/裡面的認證檔案即可完成整個程序。

Server部分為linux.dmtsai.tw這部192.168.0.2的主機，欲使用的User為test這個帳號；
Client部分為test2.dmtsai.tw這部192.168.0.100 PC的test2這個帳號，他要用來登入192.168.0.2這部主機的test這個帳號。

在Client端建立Public與Private Key：


[test2@test2 ~]$ ssh-keygen -t rsa  <==這個步驟在產生 Key pair
Generating public/private rsa key pair.
Enter file in which to save the key (/home/test2/.ssh/id_rsa): <==這裡按下Enter
Enter passphrase (empty for no passphrase): <==這裡按 Enter
Enter same passphrase again:  <==再按一次 Enter
Your identification has been saved in /home/test2/.ssh/id_rsa. <==這是私鑰
Your public key has been saved in /home/test2/.ssh/id_rsa.pub. <==這是公鑰
The key fingerprint is:
c4:ae:d9:02:d1:ba:06:5d:07:e6:92:e6:6a:c8:14:ba test2@test2.linux.org
# 注意： -t 指的是『使用何種密碼演算方式？』由於我們使用 RSA ，
# 所以直接輸入 -t rsa 即可建立兩支 Keys ！
# 此外，建立的兩把 Keys 都放置在家目錄下的 .ssh 這個目錄中！
# 察看一下這兩把 Keys 吧！

[test2@test2 ~]$ ll ~/.ssh
total 12
-rw-------    1 test2    test2         887 Nov 12 22:36 id_rsa
-rw-r--r--    1 test2    test2         233 Nov 12 22:36 id_rsa.pub
-rw-r--r--    1 test2    test2         222 Oct 31 11:20 known_hosts

私鑰(id_rsa)與公鑰(id_rsa.pub)

-rw-------

那麼那個id_rsa.pub則是『公鑰！』這個檔案必須要被放置到Server端才行！

在Client端放置私鑰：

在Server端放置可以登入的公鑰：

sshd_config

AuthorizedKeysFile

authorized_keys


1. 先在 Client 端以 sftp 將公鑰丟到 test 上面去！
[test2@test2 ~]$ cd ~/.ssh
[test2@test2 .ssh]$ scp id_rsa.pub test@192.168.0.2:~/
test@192.168.0.2's password:
id_rsa.pub          100%  233     0.2KB/s   00:00

2. 到 Server 上面，將公鑰轉存到 authorized_keys 檔案中！
[test@linux ~]$ cd ~/.ssh
[test@linux .ssh]$ cat ../id_rsa.pub >> authorized_keys


[test2@test2 ~]$ ssh test@linux.dmtsai.tw

Client必須製作出Public&Private這兩把keys，且Private需放到~/.ssh/內；

Server必須要有Public Key，且放置到使用者家目錄下的~/.ssh/authorized_keys；

安全設定：

SSH是個安全的服務』所欺騙了

sshd的資料是加密過的，所以他的資料在Internet上面傳遞時是比較安全的。

非必要，不要將sshd對Internet開放可登入的權限，盡量侷限在幾個小範圍內的IP或主機名稱即可！

/etc/ssh/sshd_config
/etc/hosts.allow,/etc/hosts.deny
iptables

/etc/ssh/sshd_config

禁止root的登入：
任何時候，不� oot以遠端連線的方式登入，都會是一個好主意！所以這裡蠻建議大家直接將root的登入權限拿掉吧！所以，可以修改/etc/ssh/sshd_config這個檔案的內容為：
[root@linux ~]# vi /etc/ssh/sshd_config PermitRootLogin no <== 將他改成 no 吧！ [root@linux ~]# /etc/init.d/sshd restart
如此一來，以後root就不能以ssh登入囉！這樣還是比較好的啦！^_^
不許某個群組登入：
有些特殊情況中，我們想要讓使用者只能使用sendmail,pop3,ftp等，但是不希望他可以遠端連線進來，那麼您可以這樣做：

1.將這些使用者都歸納在某一個特殊群組之下，例如nossh這個群組好了；
2.在/etc/ssh/sshd_config當中加入這一行：『DenyGroups nossh』
3.重新啟動sshd：/etc/init.d/sshd restart

這樣就OK啦！
不許某個使用者登入：
跟DenyGroups類似，使用DenyUsers即可！參考sshd_config的設定喔！

/etc/hosts.allow及/etc/hosts.deny


[root@linux ~]# vi /etc/hosts.allow
sshd: 192.168.0.1, 192.168.0.2, 192.168.0.3, 192.168.0.4, 192.168.0.5: allow

[root@linux ~]# vi /etc/hosts.deny
sshd : ALL : spawn (/bin/echo Security notice from host `/bin/hostname`; \ 
/bin/echo; /usr/sbin/safe_finger @%h ) | \ 
/bin/mail -s "%d -%h security" root@localhost & \ 
: twist ( /bin/echo -e "

WARNING connectin not allowed.". )

iptables

簡易防火牆架設

鳥哥呼籲大家，不要開放SSH的登入權限給所有Internet上面的主機～

XDMCP伺服器

X Window的Server/Client架構

X Server：他主要負責的是螢幕畫面的繪製與顯示。X Server可以接收來自X client的數據，將這些數據繪製呈現為圖面在螢幕上。此外，我們移動滑鼠、點擊資料、由鍵盤輸入資料等等，也會透過X Server來傳達到X Client端，而由X Client來加以運算；

X Client：他主要負責的是資料的運算。X Client在接受到X Server傳來的資料後，會經由本身的運算，而得到滑鼠應該要如何移動、點擊的結果應該要出現什麼樣的資料、鍵盤輸入的結果應該要如何呈現等等，然後將這些結果告知X Server，讓他自行去繪製到螢幕上。

在伺服器上的X Client不需要知道X Server的硬體是什麼～

圖十、X server/client的架構

多人同時以圖形介面登入Linux主機

設定XDMCP

/etc/X11/xdm/xdm-config

/etc/X11/xdm/kdmrc與/etc/X11/gdm/gdm.conf


DisplayManager.requestPort:    0


!DisplayManager.requestPort:    0

啟用kdm時一併正確的啟動X


1. 先讓 kdm 支援 xdmcp 模式
[root@linux ~]# cd /etc/X11/xdm
[root@linux xdm]# vi kdmrc
[Xdmcp]
Enable=1
# 大約是在 70 行左右。不要懷疑！真的只要這樣就好了！

2. 讓 client 可以透過 X 來登入系統！與權限有關的設定
[root@linux xdm]# vi Xaccess
*
# 為了安全性上面的需要，想要登入 X 的話，得要通過這個檔案的驗證才行。
# 找到上面這一行，如果沒有這一行的話(整行只有一個 * )，
# 就自行加入。這表示『不論來自哪裡，我都接受 X 登入』的意思！

3. 啟動 kdm 喔！
[root@linux xdm]# /etc/init.d/xfs start
# 就如同我們上面提到的， kdm 執行後，可能的話，會在本機端啟動一個 X server 的，
# 而我們這一版的 Xorg 要順利的啟動，得要先啟用 X font Server 才行，
# 否則的話，您就得要到 /etc/X11/Xorg.conf 裡面去設定好每個字型的路徑才行。
[root@linux xdm]# kdm
[root@linux xdm]# netstat -tlunp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address  Foreign Address  State  PID/Program name
tcp        0      0 0.0.0.0:6000   0.0.0.0:*        LISTEN 5920/X
tcp        0      0 :::6000        :::*             LISTEN 5920/X
udp        0      0 :::177         :::*                    5918/kdm
# 要看到有 177 的 udp port 出現才行～ 因為那是 xdmcp 協定的監聽埠口。
# 不過，如果要看看是否有成功啟動 X 的話，就得要查閱 6000 這個 port 囉～
# 如果沒有看到 port 6000 的話，請查閱 /var/log/Xorg.0.log 喔！
# 如果想要設定開機就自動執行的話，可以利用 chkconfig 加入 xfs ，
# 也可以將 kdm 這個指令寫到 /etc/rc.d/rc.local 這個檔案中～

用戶端登入

用戶端是Linux主機：


0. 請務必要在 X Window 當中，進入 X Window 的方式有：
[root@client ~]# startx
# 或
[root@client ~]# init 5
　
1. 在 X Window 的畫面當中，啟用一個 shell ，然後輸入：
[root@client ~]# xhost + 192.168.1.100
192.168.1.100 being added to access control list
# 假設我剛剛那部 Linux 主機的 IP 為 192.168.1.100
[root@client ~]# init 3   <== 關閉 X Server

2. 在文字介面下輸入：
[root@client ~]# X -query 192.168.1.100
# 進入 X Window 囉！

用戶端是Windows主機：

安裝X-Win32，很簡單～就是直接執行下一步即可。比較可惜的是，這個軟體目前沒有中文支援喔！

直接在『開始』-->『程式集』-->『X Win 32』執行『X-Win32』這支程式～會出現如下圖：

圖十、X Win 32執行範例
上面只是在告訴我們，這個軟體需要註冊。但是我們只是試用而已，所以可以直接按下Evaluation即可。不過，試用版有連線三十分鐘的限制就是了～@_@
在出現的視窗當中，當然要選擇XDMCP這個模式囉～

圖11、X Win 32執行範例
因為我們可以直接給予一個X server的IP，所以這裡我們可以選擇『Query』這個項目。如果您是在LAN環境當中，而且Client/Server是在同一個網段時，其實可以選擇Broadcast比較好用！無論如何，這裡鳥哥先以Query來介紹。

圖12、X Win 32執行範例
接下來的畫面可以填入IP或主機名稱啊！建議直接輸入IP啦！

圖13、X Win 32執行範例
接下來的畫面只要填入一個簡單的好記得名稱即可！如果想要立即執行的話，那個『Launch this session now』可以直接打勾喔！

圖14、X Win 32執行範例
理論上，這樣應該就可以立即的進行連線到X Window Server才對。不過，如果沒有成功呢？沒關係！我們可以重新來修改一下設定啊～如果執行了X-Win32之後，在工作列的右下角會出現X圖示，如下所示：

圖15、X Win 32執行範例
將滑鼠指標移動到X上頭，按下右鍵，可以得到如下的選單出現：

圖16、X Win 32執行範例
在上圖上面按下『XConfig』就可以出現底下的圖示：

圖17、X Win 32執行範例
然後選擇我們剛剛設定好的那個session，按下『Edit』，就可以開始修改剛剛的設定值囉～更多的選項請自行參考X Win32當中的說明。此時，我們可以在工作列的X上面，按下左鍵，應該會出現所有可以用的session，請選擇linux.dmtsai.tw那個session，如果一切順利，就會出現如下的畫面：

圖18、X Win 32執行範例
輸入帳號密碼之後，嘿嘿！立刻就可以在Windows上面看到您Linux主機的X Window畫面了～感動吧～^_^

關閉XDMCP


[root@linux xdm]# killall -9 kdm
[root@linux xdm]# /etc/init.d/xfs stop

VNC伺服器

圖19、使用twm連線為VNC Server的執行範例


1. 先讓 kdm 支援 xdmcp 模式
[root@linux ~]# cd /etc/X11/xdm
[root@linux xdm]# vi kdmrc
[Xdmcp]
Enable=1

2. 讓 client 可以透過 X 來登入系統！與權限有關的設定
[root@linux xdm]# vi Xaccess
*

3. 啟動 kdm 喔！
[root@linux xdm]# /etc/init.d/xfs start
[root@linux xdm]# kdm
[root@linux xdm]# netstat -tlunp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address  Foreign Address  State  PID/Program name
tcp        0      0 0.0.0.0:6000   0.0.0.0:*        LISTEN 5920/X
tcp        0      0 :::6000        :::*             LISTEN 5920/X
udp        0      0 :::177         :::*                    5918/kdm
# 要看到有 177 的 udp port 與 port 6000 才行；
# 如果沒有看到的話，就得要查詢底下幾個檔案的內容，看看錯誤訊息了！
# a. 必須查閱 netstat -tlunp
# b. 必須查閱 /var/log/Xorg.log.0
# c. 必須查閱 /var/log/messages
# d. 必須查閱 /var/log/kdm.log

4. 用某身份建立 passfile 給 VNC 連線時使用
# 因為 VNC 開的每個 port 都是給某特定使用者登入的，因此，
# 每個 VNC server 都會啟用自己的 port 呢～據說最大可開放到 10 個～
# 鳥哥這裡假設利用 dmtsai 這個使用者來執行 VNC ，那麼他就必須要有底下幾個動作：
4.1 建立連線用密碼
[root@linux xdm]# su dmtsai
[dmtsai@linux xdm]$ vncpasswd
Password: <== 這裡請輸入密碼  
Verify: <== 再輸入一次～
# 特別注意，為了安全起見，密碼的長度是有限制的！
# 至少要大於六個字元，且不能與帳號相同～
# 密碼建立後，會在 /home/dmtsai/.vnc/passwd 這個檔案中記錄了你的密碼～
# 同時，在這個目錄下，還有設定檔 xstartup 可以利用喔！ ^_^
4.2 修改設定檔 xstartup
[dmtsai@linux xdm]$ vi /home/dmtsai/.vnc/xstartup
# 將這個檔案內的所有資料通通給他註解掉～不需要保留～
4.3 離開此一身份使用者的畫面
[dmtsai@linux xdm]$ exit

5. 修改 /etc/sysconfig/vncserver 檔案內容
# 這個檔案是 FC4 預設的啟動 VNC 的讀取檔，所以我們可以修改他～
[root@linux xdm]# vi /etc/sysconfig/vncservers
# 將原本的資料改成這樣：
VNCSERVERS="2:dmtsai"
VNCSERVERARGS[2]="-geometry 800x600 -query localhost"
# 意思是說，我們要啟動一個 VNC 在 port 5900+2 即 5902 的意思，

6. 啟動 VNC server 
[root@linux xdm]# /etc/init.d/vncserver start
# 此時在 /home/dmtsai/.vnc/ 裡面應該會有幾個檔案您應該要注意的，
# 最重要的就是 dmtasi.linux.dmtsai.tw:2.log 這個檔案，檔名的由來是：
# username.hostname.domainname:[port number].log ，因為我們是啟用 5902 ，
# 所以就有 :2.log 的附檔名啦～務必看到裡面沒有錯誤才行喔～
# 如果發現找不到/usr/X11R6/lib/X11/xserver/SecurityPolicy 的錯誤，先略過不要緊～

7. 查閱設定結果
[root@linux xdm]# netstat -tulnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State    PID/Program name
tcp        0      0 0.0.0.0:5802  0.0.0.0:*       LISTEN   15287/Xvnc
tcp        0      0 0.0.0.0:5902  0.0.0.0:*       LISTEN   15287/Xvnc
tcp        0      0 0.0.0.0:6000  0.0.0.0:*       LISTEN   15019/X
tcp        0      0 0.0.0.0:6002  0.0.0.0:*       LISTEN   15287/Xvnc
tcp        0      0 :::6000       :::*            LISTEN   15019/X
tcp        0      0 :::6002       :::*            LISTEN   15287/Xvnc
udp        0      0 0.0.0.0:32924 0.0.0.0:*                15287/Xvnc
udp        0      0 :::177        :::*                     15017/kdm


[root@linux ~]# vncserver :3

You will require a password to access your desktops.

Password: <== 就輸入密碼吧！
Verify: <== 再輸入密碼吧！

New 'dmtsai.linux.dmtsai.tw:3 (dmtsai)' desktop is dmtsai.linux.dmtsai.tw:3

Starting applications specified in /root/.vnc/xstartup
Log file is /root/.vnc/dmtsai.linux.dmtsai.tw:3.log


[root@linux ~]# vncserver -kill :3

http://www.realvnc.com/download.html

圖19、VNC viewer執行範例

圖20、VNC viewer執行範例

圖21、VNC viewer執行範例

圖22、VNC viewer執行範例

http://phorum.study-area.org/viewtopic.php?t=25713


[root@linux ~]# vi /etc/X11/xorg.conf (或 XF86Config)
Section "Module"
        ....
        Load  "vnc"
EndSection
# 在 Module 這個 section 當中加入 vnc 這個模組即可
Section "Screen"
        Identifier "Screen0"
        Device     "Videocard0"
        Monitor    "Monitor0"
        Option     "passwordFile"  "/etc/vnc/passwd"
        DefaultDepth     16
        ......
EndSection
# 假設您的 vnc 密碼檔案放置在 /etc/vnc/passwd 裡頭，
# 這個時候就得要將密碼檔內容寫到 Screen 這個 section 當中了

RSH伺服器

將很多部主機透過網路連結在一起，以其中一部主機作為主要操控電腦(或者稱為master)，其他主機僅負責來自master的要求(所以被稱為slave)；所有的電腦工作都是由master所掌控，slave僅負責運算的部分。

http://linux.vbird.org/linux_server/0600cluster.php

圖23、RHS Server/Client互動示意圖

/etc/hosts：主要規範RSH server/client的主機名稱與IP對應！
/etc/hosts.equiv：規範出哪一部client可以連上這部RSH server；
~user/.rhosts：規範出那個使用者可以不需要輸入密碼即可執行RSH；
/etc/pam.d/rsh：規範root能否使用RSH的設定檔。

RSH Server

RSH Server的啟動：

圖23

我們需要有rsh及rsh-server兩個套件才行


[root@linux ~]# vi /etc/xinetd.d/rsh
service shell
{
        disable                 = no
        socket_type             = stream
        wait                    = no
        user                    = root
        log_on_success          += USERID
        log_on_failure          += USERID
        server                  = /usr/sbin/in.rshd
}
# 沒錯！只要將 disable 改成 no  即可！

[root@linux ~]# /etc/init.d/xinetd restart

[root@linux ~]# netstat -tlnp | grep 514
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State  PID/Program name
tcp        0      0 0.0.0.0:514   0.0.0.0:*       LISTEN 23369/xinetd
# 有看到 514 的 port 出現就對了！

設定可以使用RSH的來源主機與帳號：/etc/hosts,/etc/hosts.equiv,~user/.rhosts


[root@linux ~]# vi /etc/hosts
127.0.0.1       localhost       localhost.localdomain
192.168.1.2     rsh.server      rshserver
192.168.1.100   rsh.client      rshclient
# 上面僅有兩部主機，假設 RSH server 的 IP 是 192.168.1.2 啦！


[root@linux ~]# vi /etc/hosts.equiv
rsh.client dmtsai
# 這個檔案的格式是 [hostname] [username]
# 將你要開放的使用者與某主機給他對應好寫上去即可！

在預設的情況下，root是不允許使用rsh登入rsh.server機器的。


[root@linux ~]# vi ~dmtsai/.rhosts
rsh.client


[root@linux ~]# vi /etc/skel/.rhosts
rsh.client

讓root也可以使用RSH：


[root@linux ~]# vi /etc/pam.d/rsh
#%PAM-1.0
# For root login to succeed here with pam_securetty, "rsh" must be
# listed in /etc/securetty.
auth       required     pam_nologin.so
#auth       required    pam_securetty.so
auth       required     pam_env.so
auth       required     pam_rhosts_auth.so
account    required     pam_stack.so service=system-auth
session    required     pam_stack.so service=system-auth


[root@linux ~]# vi /etc/securetty
.....(省略).....
rsh

/etc/hosts.equiv

RSH Client

測試RSH：


[dmtsai@rshclient ~]$ rsh [-l 遠端帳號] [遠端主機名] [遠端主機指令]
參數：
-l   ：一般來說， server 與 client 『要有相同的使用者帳號名稱』比較好的！
       如果沒有的話，那麼您必須要指定 server 的使用者帳號名才行！
遠端主機名  ：您要登入的那部 rsh.server 主機名稱，記得與 /etc/hosts 相應！
遠端主機指令：您要在遠端機器上面下達什麼指令？

範例一：在 rsh.server 上面下達 ls -l / 這個指令：
[dmtsai@rshclient ~]$ rsh rsh.server 'ls -l /'
.....輸出省略.....
# 注意喔，我是使用 dmtsai 這個一般身份使用者，而且 rshserver rshclient
# 兩部主機上面都有一個名為 dmtsai 的使用者帳號才行喔！至於那個 ls -l /
# 則是在 rsh.server 主機上面的指令！留意留意！

利用rcp複製：


範例：先查閱遠端主機有什麼資料，然後將他複製過來：
[dmtsai@rshclient ~]# rsh rsh.server 'ls -l ~'
drwx------  3 dmtsai dmtsai     4096 Dec 27  2005 Desktop
-rw-r--r--  1 dmtsai dmtsai     3385 May 29 17:52 bashrc
drwx------  3 dmtsai dmtsai     4096 Mar  6  2006 mail
-rw-r--r--  1 dmtsai dmtsai   883888 May 29 17:51 netcdf.tar.gz
drwxr-xr-x  2 dmtsai dmtsai     4096 Jul 26 16:05 test
-rw-rw-r--  1 dmtsai dmtsai    34816 Mar 19  2006 testing.ppt

[dmtsai@rshclient ~]# rcp -r dmtsai@rsh.server:~/mail .
# 加上 -r 是為了要複製目錄喔！否則的話，可以直接複製即可！

以rsync進行同步鏡相備份

Linux的備份策略

在本機上直接運作，用法就與cp幾乎一模一樣，例如：
rsync-av /etc /tmp(將/etc/的資料備份到/tmp/etc內)

透過rsh或ssh的通道在server /client之間進行資料傳輸，例如：
rsync-av-e ssh user@rsh.server:/etc /tmp(將rsh.server的/etc備份到本地主機的/tmp內)

直接透過rsync提供的服務(daemon)來傳輸，此時rsync主機需要啟動873 port：
1.你必須要在server端啟動rsync，看/etc/xinetd.d/rsync即可；
2.你必須編輯/etc/rsyncd.conf設定檔；
3.你必須設定好client端連線的密碼資料；
4.在client端可以利用：rsync-av user@hostname::/dir/path /local/path


[root@linux ~]# rsync [-avrlptgoD] [-e ssh] [user@host:/dir] [/local/path]
參數：
-v ：觀察模式，可以列出更多的資訊；
-q ：與 -v  相反，安靜模式，輸出的資訊比較少；
-r ：遞迴複製！可以針對『目錄』來處理！很重要！
-u ：僅更新 (update)，不會覆蓋目標的新檔案；
-l ：複製連結檔的屬性，而非連結的目標原始檔案內容；
-p ：複製時，連同屬性 (permission) 也保存不變！
-g ：保存原始檔案的擁有群組；
-o ：保存原始檔案的擁有人；
-D ：保存原始檔案的裝置屬性 (device)
-t ：保存原始檔案的時間參數；
-I ：忽略更新時間 (mtime) 的屬性，檔案比對上會比較快速；
-z ：加上壓縮的參數！
-e ：使用的通道協定，例如使用 ssh 通道，則 -e ssh
-a ：相當於 -rlptgoD ，所以這個 -a 是最常用的參數了！
更多說明請參考 man rsync 的解說！

範例一：將 /etc 的資料備份到 /tmp 底下：
[root@linux ~]# rsync -av /etc /tmp
....前面輸出省略....
sent 23007335 bytes  received 32280 bytes  5119914.44 bytes/sec
total size is 22870014  speedup is 0.99
# 第一次運作時會花比較久的時間，因為首次建立嘛！如果再次備份呢？

[root@linux ~]# rsync -av /etc /tmp
building file list ... done
sent 77105 bytes  received 20 bytes  154250.00 bytes/sec
total size is 22870014  speedup is 296.53
# 瞧！立刻就跑完了！傳輸的資料也很少！因為再次比對，僅有差異的檔案會被複製。

範例二：利用 dmtsai 的身份，將 rsh.server 使用者家目錄複製到 /tmp 
[root@linux ~]# rsync -av -e ssh dmtsai@rsh.server:~ /tmp 
The authenticity of host 'rsh.server (192.168.1.2)' can't be established.
RSA key fingerprint is 29:b8:a9:32:ea:d8:ff:97:6c:42:3b:aa:11:ab:55:dd.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'rsh.server' (RSA) to the list of known hosts.
dmtsai@rsh.server's password:
receiving file list ... done
....檔案輸出省略....
sent 8436 bytes  received 43224862 bytes  2789245.03 bytes/sec
total size is 43189031  speedup is 1.00

[root@linux ~]# ll -d /tmp/dmtsai
drwxr-xr-x  22 dmtsai dmtsai  4096 Sep 18 23:25 /tmp/dmtsai
# 瞧！這樣就做好備份啦！很簡單吧！

參考資料

重點回顧：

遠端連線伺服器可以讓使用者在任何一部電腦登入主機，以使用主機的資源或管理與維護主機；
常見的遠端登入服務有rsh,telnet,ssh,vnc,及xdmcp等；
telnet與rsh都是以明碼傳輸資料，當資料在Internet上面傳輸時較不安全；
telnet與rsh預設無法讓root的身份登入，不過可以藉由pam模組的修改而啟用root登入功能；
ssh由於使用金鑰系統，因此資料在Internet上面傳輸時是加密過的，所以較為安全；
但ssh還是屬於比較危險的服務，請不要對整個Internet開放ssh的可登入權限，可利用iptables規範可登入範圍；
ssh的public Key是放在主機端，而private key是放在client端；
ssh的連線機制有兩種版本，建議使用可確認連線正確性的version 2；
使用ssh時，盡量使用類似email的方式來登入，亦即：ssh username@hostname
client端可以比對server傳來的public key的一致性，利用的檔案為~user/.ssh/known_hosts；
ssh的client端軟體提供ssh,scp,sftp等程式；
在/etc/ssh/sshd_config當中可以取消root的登入權限與修改支援的ssh金鑰版本；
製作不需要密碼的ssh帳號可利用ssh-keygen-t rsa來製作public,private Key pair；
上述指令所製作出的public key必須要上傳到server的~user/.ssh/authorized_keys檔案中；
如果想以X圖形系統登入Linux主機，則你必須要在Client主機啟動X server，需要在Linux主機啟動X client；
Xdmcp是透過X display manager(xdm,gdm,kdm等)所提供的功能協定；
若client端為Linux時，需要在X環境下以xhost增加可連接到本機X Server的IP才行；
除了Xdmcp之外，我們可以利用VNC來進行X的遠端登入架構；
VNC預設開的port number為5900開始，每個port僅允許一個連線；
控制rsh client是否可以連線進入的設定檔在/etc/hosts.equiv或~username/.rhosts；
rsh支援的client端軟體有rsh,rlogin,rcp等；

rsync可透過ssh的服務通道或rsync--daemon的方式來連線傳輸，其主要功能可以透過類似鏡像備份，僅備份新的資料，因此傳輸備份速度相當快速！

課後練習

Telnet與SSH都是遠端連線伺服器，為何我們都會推薦使用SSH而避免使用Telnet呢？原因何在？

因為Telnet除了使用『明碼』傳送資料外，本身telnet就是很容易被入侵的一個伺服器，所以當然也就比較危險了。至於ssh其實也不是很安全的！由台灣電腦危機處理小組的文件可以明顯的發現openssl+openssh也是常常有漏洞在發佈！不過，比起telnet來說，確實是稍微安全一些！

請嘗試說明SSH在Server與Client端連線時的封包加密機制；

利用key pair來達到加密的機制：Server提供Public Key給Client端演算Private key，以提供封包傳送時的加密、解密！

請問SSH的設定檔是哪一個？如果我要修改讓root無法使用SSH連線進入我的SSH主機，應該如何設定？又，如果要讓badbird這個使用者無法登入SSH主機，該如何設定？

SSH設定檔檔名為sshd_config，通常放置在/etc/ssh/sshd_config內；如果不想讓root登入，可以修改sshd_config內的參數成為：『PermitRootLogin no』，並重新啟動ssh來設定！如果要讓badbird使用者無法登入，同樣在sshd_config裡面設定為：『DenyUsers badbird』即可！

在Linux上，預設的Telnet與SSH伺服器使用的埠口(port number)各為多少？

telnet與ssh的埠口分別是：23與22！請參考/etc/services喔！

如果發現我無法在Client端使用ssh程式登入我的Linux主機，但是Linux主機卻一切正常，可能的原因為何？(防火牆、known_hosts...)

無法登入的原因可能有很多，最好先查詢一下/var/log/messages裡面的錯誤訊息來判斷，當然，還有其他可能的原因為：

被防火牆擋住了，請以iptables-L-n來察看，當然也要察看/etc/hosts.deny；
可能由於主機重新開機過，public key改變了，請修改您的~/ssh/known_hosts裡面的主機IP；
可能由於/etc/ssh/sshd_config裡面的設定問題，導致您這個使用者無法使用；
在/etc/passwd裡面，您的user不具有可以登入的shell；
其他因素(如帳號密碼過期等等)

既然ssh是比較安全的資料封包傳送方式，那麼我就可以在Internet上面開放我的Linux主機的SSH服務了嗎？！請說明您選擇的答案的原因！

最好不要對Internet開放您的SSH服務，因為SSH的加密函式庫使用的是openssl，一般Linux distribution使用的SSH則是openssh，這兩個套件事實上仍有不少的漏洞被發佈過，因此，最好不要對Internet開放，畢竟SSH對於主機的使用權限是很高的！

如果我想要將server的重要資料備份到backserver，如果可以使用rsync透過ssh的通道，你可以請嘗試這樣做：
1. 先在server上面以root建置ssh的public與private key pair；
2. 將public key傳送與設定到backserver上的某個使用者環境下；
3. 在backserver上面製作好預計要存放備份資料的目錄！重點在於『權限』的設定上！
4. 在server上面設定好rsync的備份script～
5. 利用crontab每隔一段時間自動異地備份。
請依照上述的作法在您的兩部主機上面進行測試與實作。(未提供解答)

參考資源

OpenSSH官方網站：http://www.openssh.com/
OpenSSL官方網站：http://www.openssl.org/
putty官方網站：http://www.chiark.greenend.org.uk/~sgtatham/putty/
pputty中文網站：http://www.csie.ntu.edu.tw/~piaip/prjs/pputty/
man vncserver
man Xvnc
使用X的VNC Modulehttp://phorum.study-area.org/viewtopic.php?t=25713
http://fedoranews.org/tchung/vnc/03.shtml
http://www.faqs.org/docs/Linux-HOWTO/XDMCP-HOWTO.html
man rsh
man rlogin
酷學園：用rsync做備份：http://phorum.study-area.org/viewtopic.php?t=15553
臥龍小三的rsync介紹：http://linux.tnc.edu.tw/techdoc/rsync.htm
ADJ實驗室的rsync+SSH：http://www.adj.idv.tw/server/linux_rsync.php

2002/11/14：第一次完成
2003/03/08：加入標頭說明，與修改部分內容，例如Telnet伺服器軟體的安裝等等，以及SSH的putty使用中文狀態！
2003/09/09：將本文進行一些修訂，此外，加入了課後練習！
2005/07/02：將舊的文章移動到這裡。
2005/07/07：好不容易將VNC還有XDMCP給他寫了寫～大家幫鳥哥參考看看啊～
2005/07/09：加入了讓VNC與tty7同步的vnc.so模組的說明
2005/11/22：加入了RSH伺服器的相關資料！
2006/09/18：將putty的介紹轉成pietty的介紹！因為pietty更好用！另外也將rsh重新改寫一下，校稿過！
2006/09/19：加入rsync的簡易說明與操作！最文末的習題可以瞧一瞧！

2002/11/14以來統計人數