目錄

第五章 基礎(chǔ)服務(wù)

5.1. 使用 systemd 管理系統(tǒng)服務(wù)

5.1.1. Systemd 介紹

5.1.1.1. 主要特性

5.1.1.2. 兼容性

5.1.2. 管理系統(tǒng)服務(wù)

5.1.2.1. 顯示服務(wù)

5.1.2.2. 顯示服務(wù)狀態(tài)

5.1.2.3. 啟動(dòng)服務(wù)

5.1.2.4. 停止服務(wù)

5.1.2.5. 重啟服務(wù)

5.1.2.6. 啟用服務(wù)

5.1.2.7. 禁用服務(wù)

5.1.3. 管理目標(biāo)

5.1.3.1. 查看默認(rèn)目標(biāo)

5.1.3.2. 查看當(dāng)前目標(biāo)

5.1.3.3. 變更默認(rèn)目標(biāo)

5.1.3.4. 變更當(dāng)前目標(biāo)

5.1.3.5. 切換救援模式

5.1.3.6. 切換緊急模式

5.1.4. 在遠(yuǎn)程機(jī)器上使用 systemd

5.1.5. 創(chuàng)建和修改 systemd 單元文件

5.1.5.1. 單元文件介紹

5.1.5.2. 創(chuàng)建自定義單元文件

5.1.5.3. 修改已經(jīng)存在的單元文件

5.2. OpenSSH

5.2.1. SSH 協(xié)議

5.2.1.1. 為什么使用 SSH？

5.2.1.2. 主要特性

5.2.1.3. 協(xié)議版本

5.2.2. SSH 連接的事件序列

5.2.2.1. 傳輸層

5.2.2.2. 認(rèn)證

5.2.2.3. 通道

5.2.3. 配置 OpenSSH

5.2.3.1. 配置文件

5.2.3.2. 啟動(dòng) OpenSSH 服務(wù)端

5.2.3.3. 使用 SSH 進(jìn)行遠(yuǎn)程連接

5.2.3.4. 使用基于密鑰的認(rèn)證

5.2.3.5 生成秘鑰對(duì)

5.2.3.5. 生成密鑰對(duì)

5.2.3.6. OpenSSH 客戶端

5.2.3.7. 使用 ssh 工具

5.2.3.8. 使用 scp 工具

5.2.3.9. 使用 sftp 工具

5.2.4. 不只是一個(gè)安全的 Shell

5.2.4.1. X11 轉(zhuǎn)發(fā)

5.2.4.2. 端口轉(zhuǎn)發(fā)

5.3. TigerVNC

5.3.1. VNC 服務(wù)端

5.3.1.1. 安裝 VNC 服務(wù)端

5.3.1.2. 配置 VNC 服務(wù)端

5.3.1.3. 啟動(dòng) VNC 服務(wù)端

5.3.1.4. 終止 VNC 會(huì)話

5.3.2. 共享一個(gè)已存在的桌面

5.3.3. VNC 查看器

5.3.3.1. 安裝 VNC 查看器

5.3.3.2. 為 VNC 配置防火墻

5.3.3.3. 使用 SSH 連接到 VNC 服務(wù)端

第五章 基礎(chǔ)服務(wù)

????????該章節(jié)介紹如何配置系統(tǒng)服務(wù)、后臺(tái) daemon 以及遠(yuǎn)程訪問 Kylin Linux Advanced Server V10 系統(tǒng)。

5.1. 使用 systemd 管理系統(tǒng)服務(wù)

5.1.1. Systemd 介紹

????????systemd 是 Linux 下一個(gè)與 SysV 和 LSB 初始化腳本兼容的系統(tǒng)和服務(wù)管理器。systemd 使用 socket 和 D-Bus 來開啟服務(wù)，提供基于守護(hù)進(jìn)程的按需啟動(dòng)策略，保留了 Linux cgroups 的進(jìn)程追蹤功能，支持快照和系統(tǒng)狀態(tài)恢復(fù)，維護(hù)掛載和自掛載點(diǎn)，實(shí)現(xiàn)了各服務(wù)間基于從屬關(guān)系的一個(gè)更為精細(xì)的邏輯控制，擁有前衛(wèi)的并行性能。systemd 無需經(jīng)過任何修改便可以替代 sysvinit。

????????systemd 開啟和監(jiān)督整個(gè)系統(tǒng)是基于 unit 的概念。unit 是由一個(gè)與配置文件對(duì)應(yīng)的名字和類型組成的(例如：avahi.service unit 有一個(gè)具有相同名字的配置文件，是守護(hù)進(jìn)程 Avahi 的一個(gè)封裝單元)。unit 有以下幾種類型：

Systemd unit 的文件目錄說明如下：

5.1.1.1. 主要特性

systemd 提供以下特性：

????????? 基于 socket 的并行性能：為了加速整個(gè)系統(tǒng)啟動(dòng)和并行啟動(dòng)更多的進(jìn)程， systemd 在實(shí)際啟動(dòng)守護(hù)進(jìn)程之前創(chuàng)建 socket，然后傳遞 socket 給守護(hù)進(jìn)程。在 系統(tǒng)初始化時(shí)，首先為所有守護(hù)進(jìn)程創(chuàng)建 socket，然后再啟動(dòng)所有的守護(hù)進(jìn)程。 如果一個(gè)服務(wù)因?yàn)樾枰硪粋€(gè)服務(wù)的支持而沒有完全啟動(dòng)，而這個(gè)連接可能正在提供服務(wù)的隊(duì)列中排隊(duì)，那么這個(gè)客戶端進(jìn)程在這次請(qǐng)求中就處于阻塞狀態(tài)。不過只會(huì)有這一個(gè)客戶端進(jìn)程會(huì)被阻塞，而且僅是在這一次請(qǐng)求中被阻塞。服務(wù)間的依賴關(guān)系也不再需要通過配置來實(shí)現(xiàn)真正的并行啟動(dòng)(因?yàn)橐淮伍_啟了所有的socket，如果一個(gè)服務(wù)需要其他的服務(wù)，它顯然可以連接到相應(yīng)的 socket)。

????????? D-Bus 激活策略啟動(dòng)服務(wù)：通過使用總線激活策略，服務(wù)可以在接入時(shí)馬上啟動(dòng)。同時(shí)，總線激活策略使得系統(tǒng)可以用微小的消耗實(shí)現(xiàn) D-Bus 服務(wù)的提供者與消費(fèi)者的同步開啟請(qǐng)求。(同時(shí)開啟多個(gè)服務(wù)，如果一個(gè)比總線激活策略中其他服務(wù)快就在 D-Bus 中排隊(duì)其請(qǐng)求，直到其他管理確定自己的服務(wù)信息為止)。

????????? 提供守護(hù)進(jìn)程的按需啟動(dòng)策略。

????????? 保留了使用 Linux cgroups 進(jìn)程的追蹤功能：每一個(gè)執(zhí)行了的進(jìn)程獲得它自己的一個(gè)cgroup，配置 sysytemd 使其可以存放在 cgroup 中已經(jīng)經(jīng)過外部配置的服務(wù)非常簡(jiǎn)單。（如使用 libcgroups utilities）。

????????? 支持快照和系統(tǒng)狀態(tài)恢復(fù)：快照可以用來保存/恢復(fù)系統(tǒng)初始化時(shí)所有的服務(wù)和 unit 的狀態(tài)。它有兩種主要的使用情況：允許用戶暫時(shí)進(jìn)入一個(gè)像"Emergency Shell"的特殊狀態(tài)，終止當(dāng)前的服務(wù)；提供一個(gè)回到先前狀態(tài)的簡(jiǎn)單方法，重新啟動(dòng)先前暫時(shí)終止的服務(wù)。

????????? 維護(hù)掛載和自掛載點(diǎn)：systemd 監(jiān)視所有的掛載點(diǎn)的進(jìn)出情況，也可以用來掛載或卸載掛載點(diǎn)。/etc/fstab 也可以作為這些掛載點(diǎn)的一個(gè)附加配置源。通過使用 comment=fstab 選項(xiàng)您甚至可以標(biāo)記/etc/fstab 條目使其成為由 systemd 控制的自掛載點(diǎn)。

????????? 現(xiàn)了各服務(wù)間基于依賴關(guān)系的一個(gè)精細(xì)的邏輯控制：systemd 支持服務(wù)(或 unit)間的多種依賴關(guān)系。在 unit 配置文件中使用 After/Before、Requires 和Wants 選項(xiàng)可以固定 unit 激活的順序。Requires 和 Wants 表示一個(gè)正向(強(qiáng)制或可選)的需求和依賴關(guān)系，Conflicts 表示一個(gè)負(fù)向的需求和依賴關(guān)系。其他選項(xiàng)較少用到。如果一個(gè) unit 需要啟動(dòng)或關(guān)閉，systemd 就把它和它的依賴關(guān)系添加到臨時(shí)執(zhí)行列表，然后確認(rèn)它們的相互關(guān)系是否一致(或所有 unit 的先后順序是否含有循環(huán))。如果答案是否的話，systemd 將嘗試修復(fù)它，刪除可以消除循環(huán)的無用工作。

5.1.1.2. 兼容性

????????? 與 SysV 初始化腳本兼容：如果可能，它會(huì)利用 LSB 和 chkconfig 的頭信息內(nèi)容，否則，就使用其他可用信息，如：/etc/rc.d。這些初始化腳本僅僅作為一個(gè)附加的配置源，以減少 sysytemd 服務(wù)固有的路徑數(shù)目。

????????? /etc/fstab 配置文件：這只是另一個(gè)配置源。通過使用 comment=fstab 選 項(xiàng)標(biāo)記/etc/fstab 條目，使 systemd 可以控制自掛載點(diǎn)。

????????? 支持簡(jiǎn)單的模板/實(shí)例機(jī)制：例如只有一個(gè)作為示例的 getty@.service 文 件，而不是為六個(gè) getty 都準(zhǔn)備一個(gè)配置文件。接口部分甚至可以被直接繼承， 也 就 是 說 ， 可 以 簡(jiǎn) 單 的 調(diào) 用 avahi-autoipd@eth0.service 服務(wù)配置 dhcpcd@eth0.service，使得字符串 eth0 的值可以直接通過通配符匹配得到。

????????? 在一定程度上兼容/dev/initctl 。這個(gè)兼容性實(shí)際上是為了執(zhí)行 FIFO-activated 服務(wù)。(只是簡(jiǎn)單地把原先的請(qǐng)求轉(zhuǎn)換成為 D-Bus 請(qǐng)求)事實(shí)上， 這也意味著舊的 Upstart 和 sysvinit 中的shutdown、poweroff 和其他相似命令可以 在 systemd 中繼續(xù)使用。

????????? 與 utmp 和 wtmp 兼容。

????????? 它可以控制由它催生的每一個(gè)程序。

????????? 本地配置文件使用與.desktop 文件相近的語法：很多軟件架構(gòu)中都有這 個(gè)簡(jiǎn)單的語法的分析器。它也可以借用已有的國(guó)際化的服務(wù)描述工具，語法都是相似的，沒有必要再學(xué)習(xí)新的語法。

5.1.2. 管理系統(tǒng)服務(wù)

????????systemctl 是最主要的工具。它融合 service 和 chkconfig 的功能于一體。您可以使用它永久性或只在當(dāng)前會(huì)話中啟用/禁用服務(wù)。

5.1.2.1. 顯示服務(wù)

輸出激活的單元：

#systemctl

以下命令等效：

#systemctl list-units

如需輸出激活服務(wù)的單元，執(zhí)行以下命令：

#systemctl list-units --type service

輸出加載服務(wù)的單元，執(zhí)行以下命令：

#systemctl list-units --type service --all

輸出所有服務(wù)的單元，執(zhí)行以下命令：

#systemctl list-unit-files --type service

以下為顯示當(dāng)前所有激活服務(wù)的命令：

#systemctl list-units --type service

顯示所有已安裝服務(wù)單元命令如下：

#systemctl list-unit-files --type service

5.1.2.2. 顯示服務(wù)狀態(tài)

顯示服務(wù)狀態(tài)命令：

#systemctl status name.service

?顯示 firewalld.service 服務(wù)狀態(tài)示例：

#systemctl status firewalld.service

?顯示 firewalld.service 服務(wù)啟動(dòng)前置依賴服務(wù)示例：

#systemctl list-dependencies --after firewalld.service

?顯示 firewalld.service 服務(wù)啟動(dòng)后導(dǎo)服務(wù)示例：

#systemctl list-dependencies --before firewalld.service

5.1.2.3. 啟動(dòng)服務(wù)

啟動(dòng)服務(wù)命令：

#systemctl start name.service

啟動(dòng) httpd 服務(wù)示例：

#systemctl start httpd.service

5.1.2.4. 停止服務(wù)

停止服務(wù)命令：

#systemctl stop name.service

停止 httpd 服務(wù)示例：

#systemctl stop httpd.service

5.1.2.5. 重啟服務(wù)

重啟服務(wù)命令：

#systemctl restart name.service

重啟 httpd 服務(wù)示例：

#systemctl restart httpd.service

僅重啟正在運(yùn)行的服務(wù)命令：

#systemctl try-restart name.service

重載服務(wù)命令：

#systemctl reload name.service

重載 httpd 服務(wù)示例：

#systemctl reload httpd.service

5.1.2.6. 啟用服務(wù)

啟用服務(wù)命令：

#systemctl enable name.service

重新啟用服務(wù)命令：

#systemctl reenable name.service

啟用 httpd 服務(wù)示例：

#systemctl enable httpd.service

Created symlink

/etc/systemd/system/multi-user.target.wants/httpd.service →

/usr/lib/systemd/system/httpd.service.

5.1.2.7. 禁用服務(wù)

禁用服務(wù)命令：

#systemctl disable name.service

禁用 bluetooth 服務(wù)示例：

#systemctl disable bluetooth.service

Removed /etc/systemd/system/dbus-org.bluez.service.

Removed /etc/systemd/system/bluetooth.target.wants/bluetooth. service.

5.1.3. 管理目標(biāo)

????????啟動(dòng)級(jí)別（runlevel）是一個(gè)舊的概念?，F(xiàn)在，systemd 引入了一個(gè)和啟動(dòng)級(jí)別功能相似又不同的概念——目標(biāo)（target）。不像數(shù)字表示的啟動(dòng)級(jí)別，每個(gè)目標(biāo)都有名字和獨(dú)特的功能，并且能同時(shí)啟用多個(gè)。一些目標(biāo)繼承其他目標(biāo)的服務(wù)，并啟動(dòng)新服務(wù)。systemd 提供了一些模仿sysvinit 啟動(dòng)級(jí)別的目標(biāo)，仍可以使用舊的 telinit 啟動(dòng)級(jí)別命令切換。

????????啟動(dòng)級(jí)別 0、1、3、5、6 都被賦予特定用途，并且都對(duì)應(yīng)一個(gè) systemd 的目標(biāo)。要實(shí)現(xiàn)用戶自定義啟動(dòng)級(jí)別功能，可以以原有的啟動(dòng)級(jí)別為基礎(chǔ)，創(chuàng)建一個(gè)新的目標(biāo) /etc/systemd/system/< 新目標(biāo)?> （可以參考 /usr/lib/systemd/system/graphical.target），創(chuàng)建/etc/systemd/system/<新目標(biāo)>.wants 目錄，向其中加入額外服務(wù)的鏈接（指向/usr/lib/systemd/system/中的單元文件）。

5.1.3.1. 查看默認(rèn)目標(biāo)

查看默認(rèn)目標(biāo)命令：

#systemctl get-default

以下為查看默認(rèn)目標(biāo)單元的示例：

#systemctl get-default

graphical.target

5.1.3.2. 查看當(dāng)前目標(biāo)

查看當(dāng)前目標(biāo)命令：

#systemctl list-units --type target

輸出加載目標(biāo)的單元，執(zhí)行以下命令：

#systemctl list-units --type target --all

以下為顯示當(dāng)前所有激活目標(biāo)的示例：

#systemctl list-units --type target

5.1.3.3. 變更默認(rèn)目標(biāo)

變更默認(rèn)目標(biāo)命令：

#systemctl set-default name.target

以下變更多用戶目標(biāo)示例：

#systemctl set-default multi-user.target

Remove /etc/systemd/system/default.target

Created symlink

/etc/systemd/system/default.target → /usr/lib/systemd/system/multi-user.target.

5.1.3.4. 變更當(dāng)前目標(biāo)

變更當(dāng)前目標(biāo)命令：

#systemctl isolate name.target

以下變更多用戶目標(biāo)示例：

#systemctl isolate multi-user.target

5.1.3.5. 切換救援模式

????????systemd.unit=rescue.target 是一個(gè)設(shè)置基本系統(tǒng)和救援 shell 的特殊 target unit (與運(yùn)行級(jí) 1 相似)；

進(jìn)入救援模式命令：

#systemctl rescue

如果需要進(jìn)入救援模式且不輸出日志，輸以下命令：

#systemctl --no-wall rescue

切換救援模式示例：

#systemctlrescue

5.1.3.6. 切換緊急模式

????????systemd.unit=emergency.target 與傳遞保留參數(shù)的 init=/bin/sh 給系統(tǒng)使系統(tǒng)從該狀態(tài)啟動(dòng)相似。

進(jìn)入緊急模式命令：

#systemctl emergency

如果需要進(jìn)入緊急模式且不輸出日志，輸以下命令：

#systemctl --no-wall emergency

5.1.4. 在遠(yuǎn)程機(jī)器上使用 systemd

連接遠(yuǎn)程機(jī)器使用 systemd 命令如下：

#systemctl --host user_name@host_name command

遠(yuǎn)程管理命令舉例：

#systemctl -H root@server-01.example.com status httpd.service

5.1.5. 創(chuàng)建和修改 systemd 單元文件

5.1.5.1. 單元文件介紹

單元文件通常包括三個(gè)部分：

????????【Unit】：通用配置項(xiàng)，包括該 unit 的基本信息。

????????【Unit type】：Unit 類型，不同類型定義可以參考 systemd 簡(jiǎn)介內(nèi)容。

????????【Install】：包括需要被安裝、啟用和禁用的服務(wù)內(nèi)容。

下面是 postfix.service 單元文件的示例：

[Unit]

Description=Postfix Mail Transport Agent

After=syslog.target network.target

Conflicts=sendmail.service exim.service

[Service]

Type=forking

PIDFile=/var/spool/postfix/pid/master.pid

EnvironmentFile=/etc/sysconfig/network

ExecStartPre=/usr/libexec/postfix/aliasesdb

ExecStartPre=/usr/libexec/postfix/chroot-update

ExecStart=/usr/sbin/postfix start

ExecReload=/usr/sbin/postfix reload

ExecStop=/usr/sbin/postfix stop

[Install]

WantedBy=multi-user.target 

這個(gè)示例中，【Unit】字段表述服務(wù)名稱與依賴沖突信息。【Service】包括基本的服務(wù)信息。EnvironmentFile 表述預(yù)定義的該服務(wù)的環(huán)境變量，PIDFile 表示服務(wù)使用靜態(tài)的 PID。最后，【Install】字段顯示依賴該服務(wù)的內(nèi)容。

5.1.5.2. 創(chuàng)建自定義單元文件

創(chuàng)建自定義單元文件的步驟：

????????1）準(zhǔn)備自定義服務(wù)的執(zhí)行文件。

????????可執(zhí)行文件可以是腳本，也可以是軟件提供者的程序，如果需要，為自定義服務(wù)的主進(jìn)程準(zhǔn)備一個(gè) PID 文件，一保證 PID 保持不變。另外還可能需要的配 置環(huán)境變量的腳本，確保所有腳本都有可執(zhí)行屬性并且不需要交互。

????????2）在/etc/systemd/system/目錄創(chuàng)建單元文件，并且保證只能被 root 用戶編輯：

#touch /etc/systemd/system/{name}.service

#chmod 664 /etc/systemd/system/{name}.service

????????文件不需要執(zhí)行權(quán)限。

????????3）打開{name}.service 文件，添加服務(wù)配置，各種變量如何配置視所添加的 服務(wù)類型而定，下面是一個(gè)依賴網(wǎng)絡(luò)服務(wù)的配置例子：

[Unit]

Description=service_description

After=network.target

[Service]

ExecStart=path_to_executable

Type=forking

PIDFile=path_to_pidfile

[Install]

WantedBy=default.target 

????????4）通知 systemd 有個(gè)新服務(wù)添加：

#systemctl daemon-reload

#systemctl start name.service

創(chuàng)建 emacs.service 文件的例子：

????????1）創(chuàng)建文件，并確保正確權(quán)限：

#touch /etc/systemd/system/emacs.service

#chmod 664 /etc/systemd/system/emacs.service

????????2）添加配置信息：

[Unit]

Description=Emacs:theextensible,self-documentingtexteditor

[Service]

Type=forking

ExecStart=/usr/bin/emacs--daemon

ExecStop=/usr/bin/emacsclient--eval"(kill-emacs)"

Environment=SSH_AUTH_SOCK=%t/keyring/ssh

Restart=always

[Install]

WantedBy=default.target 

????????3）通知 systemd 并開啟服務(wù)：

#systemctl daemon-reload

#systemctl start emas.service

創(chuàng)建 sshd-second 服務(wù)的例子：

????????1）拷貝 sshd_config 文件為 sshd-second.config

#cp /etc/ssh/sshd{,-second}_config

????????2）編輯 sshd-second_config 文件，添加 22220 的端口，和 PID 文件：

Port 22220

PidFile /var/run/sshd-second.pid

????????如果還需要修改其他參數(shù)，請(qǐng)閱讀幫助。

????????3）拷貝單元文件：

#cp /usr/lib/systemd/system/sshd{,-second}.service

????????4）編輯單元文件/usr/lib/systemd/system/sshd-second.service

修改描述字段：

Description=OpenSSH server daemon

添加 sshd.service 服務(wù)在 After 關(guān)鍵字之后：

After=syslog.target network.target auditd.service sshd.service

移除 sshdkey 創(chuàng)建：

ExecStartPre=/usr/sbin/sshd-keygen

在執(zhí)行腳本里，添加第二個(gè) sshd 服務(wù)的配置文件：

ExecStart=/usr/sbin/sshd -D -f /etc/ssh/sshd-second_config $OPTIONS

修改后的 sshd-second.service 文件內(nèi)容如下：

ExecStart=/usr/sbin/sshd-D-f/etc/ssh/sshd-second_config $OPTIONS

????????5）如果使用 SELinux，添加 tcp 端口，負(fù)責(zé) sshd-second 服務(wù)的端口就會(huì)被拒絕綁定：

#semanage port -a -t ssh_port_t -p tcp 22220

????????6）設(shè)置開機(jī)啟動(dòng)并測(cè)試：

#systemctl enable sshd-second.service

#ssh -p 22220 user@server

????????確保防火墻端口也開放。

5.1.5.3. 修改已經(jīng)存在的單元文件

????????systemd 單元配置文件默認(rèn)保存在/usr/lib/systemd/system/目錄，系統(tǒng)管理員 不建議直接修改這個(gè)目錄下的文件，自定義的文件在/etc/systemd/system/目錄下， 如果有擴(kuò)展的需求，可以使用以下方案：

????????創(chuàng)建一個(gè)目錄/etc/systemd/system/unit.d/，這個(gè)是最推薦的一種方式，可以參考初始的單元文件，通過附件配置文件來擴(kuò)展默認(rèn)的配置，對(duì)默認(rèn)單元文件的升級(jí)會(huì)被自動(dòng)升級(jí)和應(yīng)用。

????????從/usr/lib/systemd/system/拷貝一份原始配置文件到/etc/systemd/system/，然后修改。復(fù)制的版本會(huì)覆蓋原始配置，這種方式不能增加附件的配置包，用于不需要附加功能的場(chǎng)景。

????????如果需要恢復(fù)到默認(rèn)的配置文件，只需要?jiǎng)h除/etc/systemd/system/下的配置文件就可以了，不需要重啟機(jī)器，使用如下命令應(yīng)用改變就可以：

#systemctl restart name.service

????????擴(kuò)展默認(rèn)單元配置文件

????????為了擴(kuò)展默認(rèn)的單元文件配置，需要先在/etc/systemd/system/下創(chuàng)建一個(gè)目錄，用 root 執(zhí)行類似下面的命令：

#mkdir /etc/systemd/system/name.service.d

在剛才創(chuàng)建的目錄之下創(chuàng)建配置文件，必須以.conf 文件結(jié)尾。例如創(chuàng)建一個(gè)自定義的依賴文件，內(nèi)容如下：

[Unit]

Requires=new_dependency

After=new_dependency

另外一個(gè)例子，可以配置重啟的時(shí)候，在主進(jìn)程退出后 30 秒在重啟，配置例子如下：

[Unit]

Requires=new_dependency

After=new_dependency

推薦每次只產(chǎn)生一個(gè)小文件，每個(gè)文件只聚焦完善一個(gè)功能，這樣配置文件很容易被移除或者鏈接到其他服務(wù)的配置目錄中。為了應(yīng)用剛才的修改，使用 root 執(zhí)行以下操作：

systemctl daemon-reload

systemctl restart name.service

例子：擴(kuò)展 httpd.service 服務(wù)配置

為了使 httpd 服務(wù)啟動(dòng)的時(shí)候執(zhí)行用戶自定義的腳本，需要修改 httpd 的單元配置文件，執(zhí)行以下幾步操作，首先創(chuàng)建一個(gè)自定義文件的目錄及自定義文件：

#mkdir /etc/systemd/system/httpd.service.d

#touch /etc/systemd/system/httpd.service.d/custom_script.conf

假設(shè)自定義文件位置在/usr/local/bin/custom.sh，將這個(gè)信息添加到custom_script.conf 自定義腳本中：

[Service]

ExecStartPost=/usr/local/bin/custom.sh

應(yīng)用更改：

#systemctl daemon-reload

#systemctl restart httpd.service

5.2. OpenSSH

????????SSH（Secure Shell）是一個(gè)使用客戶端-服務(wù)端架構(gòu)，使得兩個(gè)系統(tǒng)之間的安全通信變得容易的協(xié)議，它能夠讓用戶遠(yuǎn)程登錄到服務(wù)端主機(jī)系統(tǒng)中。和其它諸如 FTP 或者 Telnet 的遠(yuǎn)程通信協(xié)議不同，SSH 加密了登錄會(huì)話，致使入侵者難以通過連接獲取未加密的密碼。

????????ssh 程序被設(shè)計(jì)用于替換諸如 telnet 或者 rsh，這些比較舊的、安全性不高的、用來登錄遠(yuǎn)程主機(jī)系統(tǒng)的終端應(yīng)用程序。與其相關(guān)的一個(gè)叫做 scp 的程序，用于替換諸如 rcp 這樣用來在主機(jī)之間復(fù)制文件的老程序。因?yàn)檫@些老舊的應(yīng)用程序不會(huì)加密在客戶端和服務(wù)端之間傳遞的密碼，所以應(yīng)該盡可能地避免使用它們。使用安全方法登錄遠(yuǎn)程系統(tǒng)，能夠同時(shí)降低客戶端系統(tǒng)和遠(yuǎn)程主機(jī)系統(tǒng)的風(fēng)險(xiǎn)。

????????銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)包含了通用的 OpenSSH 安裝包——openssh， 以及 OpenSSH 服務(wù)端安裝包——openssh-server 和 OpenSSH 客戶端安裝包 ——openssh-clients。注意，OpenSSH 安裝包依賴于 OpenSSL 的安裝包openssl-libs，這個(gè)包安裝了幾個(gè)重要的加密庫，使得 OpenSSH 能夠提供加密通信。

5.2.1. SSH 協(xié)議

5.2.1.1. 為什么使用 SSH？

????????潛在的入侵者有許多可以使用的工具，能夠讓他們中斷、攔截和重新路由網(wǎng) 絡(luò)流量，從而試圖獲取對(duì)一個(gè)系統(tǒng)的訪問權(quán)限。一般來說，這些威脅可以分為以 下幾類：

????????1) 攔截兩個(gè)系統(tǒng)之間的通信

????????攻擊者可能位于通信雙方所在網(wǎng)絡(luò)中的某處，復(fù)制他們之間傳遞的任何信息。 他可能會(huì)攔截并保留信息，或者修改信息后將其發(fā)送給計(jì)劃中的接收者。這種攻擊通常是通過使用數(shù)據(jù)包嗅探器來進(jìn)行的，數(shù)據(jù)包嗅探器是一種非常常見的網(wǎng)絡(luò)工具，可以用來捕獲網(wǎng)絡(luò)流中的數(shù)據(jù)包，并分析其內(nèi)容。

????????2) 冒充特定主機(jī)

????????攻擊者的系統(tǒng)被配置來冒充傳送的預(yù)期接收者。如果攻擊者的策略成功了， 用戶系統(tǒng)將不會(huì)發(fā)現(xiàn)它其實(shí)是在跟一個(gè)錯(cuò)誤的主機(jī)進(jìn)行通信。這種攻擊可以通過使用一種名為“DNS 緩存投毒”的技術(shù)，或者通過所謂的“IP 欺騙”來實(shí)現(xiàn)。在第一種示例中，入侵者使用一臺(tái)被攻破的 DNS 服務(wù)器來將客戶系統(tǒng)指向一臺(tái)惡意復(fù)制主機(jī)。在第二種示例中，入侵者發(fā)送偽造的網(wǎng)絡(luò)數(shù)據(jù)包，讓這個(gè)數(shù)據(jù)包看起來好像是從一臺(tái)可信任的主機(jī)發(fā)出的。

????????這些技術(shù)都能夠攔截可能存在的敏感信息，而且如果這些攔截是出于懷有敵 意的原因，那么結(jié)果將是災(zāi)難性的。如果使用 SSH 來進(jìn)行遠(yuǎn)程登錄和文件復(fù)制， 那么就能夠極大地減少這些安全威脅。這是因?yàn)?SSH 客戶端和服務(wù)端使用數(shù)字 簽名來驗(yàn)證身份。此外，客戶端和服務(wù)端系統(tǒng)之間的所有通信都是加密的。不管 嘗試在通信的哪一方進(jìn)行身份欺騙都是行不通的，因?yàn)槊恳粋€(gè)數(shù)據(jù)包都是使用一 個(gè)只有本地系統(tǒng)和遠(yuǎn)程系統(tǒng)才知道的密鑰來加密的。

5.2.1.2. 主要特性

????????SSH 協(xié)議提供了以下保護(hù)措施：

????????1) 無法偽裝預(yù)期的服務(wù)端

????????在初始連接之后，客戶端能夠驗(yàn)證它當(dāng)前所連接的服務(wù)端的確是它之前所連接過的同一個(gè)服務(wù)端。

????????2) 無法捕獲認(rèn)證信息

????????客戶端使用強(qiáng) 128 位加密算法來將它的認(rèn)證信息傳遞給服務(wù)端。

????????3) 無法攔截通信

????????在一個(gè)會(huì)話中所有發(fā)送和接收的數(shù)據(jù)都是使用 128 位加密算法加密的，使得攔截到的傳輸內(nèi)容要解密閱讀是極度困難的。

????????此外，SSH 協(xié)議還提供了以下選項(xiàng)：

????????1) 提供了在網(wǎng)絡(luò)上使用圖形化應(yīng)用程序的安全手段

????????通過使用名為“X11 轉(zhuǎn)發(fā)”的技術(shù)，客戶端能夠從服務(wù)端轉(zhuǎn)發(fā) X11（X 窗口系統(tǒng)）應(yīng)用程序。

????????2) 提供了一種保護(hù)其它不安全協(xié)議的方式

????????SSH 協(xié)議對(duì)它發(fā)送和接收的一切進(jìn)行加密。通過使用名為“端口轉(zhuǎn)發(fā)”的技術(shù)， SSH 服務(wù)端可以成為一個(gè)保護(hù)其它不安全協(xié)議（例如 POP）的導(dǎo)管，從而增加

整體系統(tǒng)和數(shù)據(jù)的安全性。

????????3) 可以用來創(chuàng)建安全通道

????????OpenSSH 服務(wù)端和客戶端可以被配置來為服務(wù)端和客戶端機(jī)器之間的網(wǎng)絡(luò)流，創(chuàng)建一個(gè)類似于虛擬專用網(wǎng)絡(luò)的隧道。

????????4) 支持 Kerberos 認(rèn)證

????????OpenSSH 服務(wù)端和客戶端可以被配置為使用 Kerberos 網(wǎng)絡(luò)認(rèn)證協(xié)議的GSSAPI（通用安全服務(wù)應(yīng)用程序編程接口）實(shí)現(xiàn)來進(jìn)行認(rèn)證。

5.2.1.3. 協(xié)議版本

????????SSH 目前存在兩個(gè)版本：版本 1 和較新的版本 2。銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)中的OpenSSH 套件使用 SSH 版本 2，該版本具有增強(qiáng)的密鑰交換算法，不易受到版本 1 中已知漏洞的攻擊。然而，為了兼容性的原因，OpenSSH 套件同樣也支持版本 1 的連接。

????????重要說明：

????????為了確保您的連接的最佳安全性，建議您只要可能就使用只兼容 SSH 版本 2的服務(wù)端和客戶端。

5.2.2. SSH 連接的事件序列

以下一系列事件可以保護(hù)兩個(gè)主機(jī)之間的 SSH 通信的完整性。

????????1) 進(jìn)行加密握手，以便客戶端能夠驗(yàn)證它正在跟正確的服務(wù)端進(jìn)行通信；

????????2) 采用對(duì)稱加密算法對(duì)客戶端和遠(yuǎn)程主機(jī)之間的連接的傳輸層進(jìn)行加密；

????????3) 客戶端向服務(wù)端進(jìn)行自我認(rèn)證；

????????4) 客戶端通過加密連接和遠(yuǎn)程主機(jī)進(jìn)行交互。

5.2.2.1. 傳輸層

????????傳輸層的主要角色是確保兩個(gè)主機(jī)之間的通信是安全可靠的，包括在認(rèn)證的時(shí)候以及在隨后的通信期間。傳輸層通過對(duì)數(shù)據(jù)進(jìn)行加密和解密處理，以及通過提供對(duì)數(shù)據(jù)包發(fā)送和接收時(shí)的完整性保護(hù)，來實(shí)現(xiàn)這一目標(biāo)。傳輸層也提供壓縮、加速信息傳輸?shù)墓δ堋?

????????SSH 客戶端聯(lián)系服務(wù)端時(shí)，將進(jìn)行密鑰交換，使得兩個(gè)系統(tǒng)之間能夠正確地構(gòu)建傳輸層。密鑰交換時(shí)的步驟如下：

????????1) 交換密鑰；

????????2) 確定公鑰加密算法；

????????3) 確定對(duì)稱加密算法；

????????4) 確定消息認(rèn)證算法；

????????5) 確定哈希算法。

????????在密鑰交換期間，服務(wù)端用一個(gè)唯一的主機(jī)密鑰向客戶端表明自己的身份。 如果客戶端以前從未和這個(gè)特定的服務(wù)端通信過，服務(wù)端的主機(jī)密鑰對(duì)于客戶端 來說是未知的，客戶端將不會(huì)連接。OpenSSH 通過接受服務(wù)端的主機(jī)密鑰來規(guī) 避這個(gè)問題。用戶知曉，并且新的主機(jī)密鑰已經(jīng)被接受和驗(yàn)證之后，繼續(xù)后續(xù)過 程。在之后的連接中，客戶端會(huì)用已保存的版本來檢查服務(wù)端的主機(jī)密鑰，以確 ?？蛻舳舜_實(shí)是在和預(yù)期的服務(wù)端通信。如果在將來主機(jī)密鑰發(fā)生了變化，用戶 必須在連接之前刪除客戶端已經(jīng)保存的版本。

????????重要說明：

????????攻擊者可能會(huì)在最初的聯(lián)系階段偽裝成 SSH 服務(wù)端，因?yàn)楸镜叵到y(tǒng)并不知道預(yù)期的服務(wù)端和攻擊者設(shè)置的假服務(wù)端之間有什么區(qū)別。為了防止這樣的事情發(fā)生，請(qǐng)?jiān)诘谝淮芜B接或者主機(jī)密鑰不匹配時(shí)，聯(lián)系服務(wù)端管理員以驗(yàn)證 SSH 服務(wù)端的真實(shí)完整性。

????????SSH 被設(shè)計(jì)成幾乎可以和任何類型的公鑰算法或者編碼格式兼容。在最初的密鑰交換創(chuàng)建了一個(gè)用于交換的哈希值和一個(gè)共享的密值后，兩個(gè)系統(tǒng)立即開始計(jì)算新的密鑰和算法，以保護(hù)將在連接上發(fā)送的認(rèn)證和數(shù)據(jù)。在使用指定的密鑰和算法傳輸一定量（準(zhǔn)確的量取決于 SSH 實(shí)現(xiàn)）的數(shù)據(jù)之后，將會(huì)發(fā)生又一次密鑰交換，生成另一套哈希值和一個(gè)新的共享密值。即使攻擊者能夠確定哈希值和共享密值，這一信息也僅在非常有限的一段時(shí)間內(nèi)有用。

5.2.2.2. 認(rèn)證

????????一旦傳輸層構(gòu)建好一個(gè)安全隧道在兩個(gè)系統(tǒng)之間傳遞信息，服務(wù)端告知客戶端其所支持的不同的認(rèn)證方法，例如使用一個(gè)私鑰編碼的簽名，或者輸入一個(gè)密碼。然后客戶端嘗試使用所支持的其中一種方法向服務(wù)端進(jìn)行認(rèn)證。SSH 服務(wù)端和客戶端可以配置使用不同類型的認(rèn)證方式，讓各方都具有最佳的控制度。服務(wù)端可以決定基于其安全模型，它可以支持哪些加密方法；客戶端可以從可用的選項(xiàng)中選擇嘗試認(rèn)證方法的順序。

5.2.2.3. 通道

????????在 SSH 傳輸層完成一次成功的認(rèn)證之后，將會(huì)通過被稱為“多路技術(shù)”（多路復(fù)用連接由多個(gè)信號(hào)組成，這些信號(hào)通過一個(gè)共享的、通用的介質(zhì)進(jìn)行發(fā)送。對(duì) SSH 來說，不同的通道都在一個(gè)共同的安全連接中發(fā)送）的一種技術(shù)打開多重通道。每一條通道負(fù)責(zé)處理不同的終端會(huì)話和轉(zhuǎn)發(fā) X11 會(huì)話。不論是客戶端還是服務(wù)端都可以創(chuàng)建新的通道。每一個(gè)通道將在連接的兩端被賦予一個(gè)編號(hào)。當(dāng)客戶端嘗試打開一個(gè)新的通道時(shí)，客戶端把請(qǐng)求和通道編號(hào)一起發(fā)送出去。這些信息被服務(wù)端保存起來，用于將通信導(dǎo)向?qū)?yīng)的通道。如此一來，不同類型的會(huì)話不會(huì)相互影響，并且當(dāng)一個(gè)指定的會(huì)話結(jié)束之后，關(guān)閉它的通道不會(huì)中斷主要的 SSH 連接。

????????通道也可以支持流控制，可以讓通道以一種有秩序的方式發(fā)送和接收數(shù)據(jù)。以這種方式，只有當(dāng)客戶端接收到通道已經(jīng)打開的消息，數(shù)據(jù)才會(huì)通過通道發(fā)送。客戶端和服務(wù)端自動(dòng)協(xié)商每條通道的特征，取決于客戶端請(qǐng)求的服務(wù)類型以及用戶連接到網(wǎng)絡(luò)的方式。這樣可以在不必改變協(xié)議的基礎(chǔ)設(shè)施的情況下，為處理不同類型的遠(yuǎn)程連接帶來很大的靈活性。

5.2.3. 配置 OpenSSH

5.2.3.1. 配置文件

????????配置文件有兩個(gè)不同的系列，一系列用于客戶端程序（例如 ssh、scp 和 sftp），另外一系列用于服務(wù)端（sshd 守護(hù)進(jìn)程）。

????????系統(tǒng)范圍的 SSH 配置信息保存在/etc/ssh/目錄下，詳見表 5-11 系統(tǒng)范圍的配置文件。特定用戶的 SSH 配置信息保存在~/.ssh/目錄下（該目錄在特定用戶的家目錄里），詳見表 5-12 特定用戶的配置文件。

????????獲取有關(guān) SSH 配置文件中所使用的各種指令的信息，請(qǐng)參考 ssh_config(5) 和 sshd_config(5)手冊(cè)頁面。

5.2.3.2. 啟動(dòng) OpenSSH 服務(wù)端

您必須安裝 openssh-server 包之后才能運(yùn)行 OpenSSH 服務(wù)端。

要在當(dāng)前會(huì)話中啟動(dòng) sshd 守護(hù)進(jìn)程，請(qǐng)以 root 用戶在 shell 命令行提示符下輸入以下命令：

#systemctl start sshd.service

要在當(dāng)前會(huì)話中停止運(yùn)行 sshd 守護(hù)進(jìn)程，請(qǐng)以 root 用戶在 shell 命令行提示符下輸入以下命令：

#systemctl stop sshd.service

如果您想在系統(tǒng)啟動(dòng)時(shí)自動(dòng)啟動(dòng)守護(hù)進(jìn)程，請(qǐng)以 root 用戶在 shell 命令行提示符下輸入以下命令：

#systemctl enable sshd.service

Created symlink

/etc/systemd/system/multi-user.target.wants/sshd.service →

/usr/lib/systemd/system/sshd.service.

5.2.3.3. 使用 SSH 進(jìn)行遠(yuǎn)程連接

????????為了讓 SSH 真正發(fā)揮作用，應(yīng)該禁止使用不安全的連接協(xié)議。否則，用戶的密碼可能在一個(gè)會(huì)話中使用 SSH 時(shí)被保護(hù)得很好，但是卻在之后使用 Telnet 登錄時(shí)被捕獲了。需要禁用的服務(wù)包括 telnet、rsh、rlogin 和 vsftpd。

5.2.3.4. 使用基于密鑰的認(rèn)證

????????為了更進(jìn)一步的提高系統(tǒng)安全，可以生成 SSH 密鑰對(duì)，然后強(qiáng)制使用基于密鑰的認(rèn)證，并禁用密碼認(rèn)證。要這樣做，請(qǐng)?jiān)?vi 或者 nano 等文本編輯器中打開/etc/ssh/sshd_config 配置文件，并將 PasswordAuthentication 選項(xiàng)修改為如下內(nèi)容：

PasswordAuthentication no

????????如果您不是在一個(gè)新的默認(rèn)安裝的系統(tǒng)中進(jìn)行操作，請(qǐng)檢查配置文件確保沒有設(shè)置PubkeyAuthentication no 選項(xiàng)。如果是遠(yuǎn)程連接上的，而不是使用的控制臺(tái)或者帶外訪問，建議在禁用密碼認(rèn)證之前先測(cè)試基于密鑰的登錄過程是否可用后再配置 PubkeyAuthentication 為 no。

????????為了能夠使用 ssh、scp 或者 sftp 從一個(gè)客戶端機(jī)器連接到服務(wù)端，請(qǐng)按照

5.2.3.5 生成秘鑰對(duì)

????????章節(jié)生成一個(gè)授權(quán)密鑰對(duì)。注意，這些密鑰必須針對(duì)每個(gè)用戶分別生成。

????????銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10默認(rèn)使用版本2的SSH協(xié)議和RSA密鑰。

????????重要說明：

????????如果您以 root 的身份完成了步驟，那么只有 root 用戶能夠使用這些密鑰。

????????備注：

????????如果您要重裝您的系統(tǒng)，又想保留之前生成的密鑰對(duì)，請(qǐng)備份~/.ssh/目錄。

????????在重裝后，將其復(fù)制回您的家目錄。這一過程需要讓系統(tǒng)上的所有用戶執(zhí)行，包括 root 用戶。

5.2.3.5. 生成密鑰對(duì)

要生成 SSH 協(xié)議版本 2 的 RSA 密鑰對(duì)，請(qǐng)按以下步驟操作：

????????1) 在 shell 命令行提示符下輸入以下命令生成 RSA 密鑰對(duì)：

$ssh-keygen -t rsa

Generating public/private rsa key pair.

Enter file in which to save the key (/home/USER/.ssh/id_rsa):

????????2) 按回車鍵確認(rèn)新創(chuàng)建的密鑰的默認(rèn)路徑，即~/.ssh/id_rsa。

????????3) 輸入一個(gè)口令，并且在提示確認(rèn)的時(shí)候再次輸入該口令。為了安全起見， 請(qǐng)不要使用和您登錄您的賬戶相同的密碼。

????????4) 默認(rèn)情況下，將~/.ssh/目錄的權(quán)限設(shè)置為 rwx------或者以八進(jìn)制標(biāo)注表 示的 700。這是為了確保只有對(duì)應(yīng)的用戶 USER 能夠查看其內(nèi)容。如果有必要，可以使用以下命令來進(jìn)行確認(rèn)：

$ls -ld ~/.ssh

drwx------. 2 USER USER 54 Nov 25 16:56 /home/USER/.ssh/

????????5) 使用以下格式的命令，將公鑰復(fù)制到一臺(tái)遠(yuǎn)程機(jī)器上：

ssh-copy-id user@hostname

如果公鑰尚未安裝的話，該命令會(huì)復(fù)制最近一次修改的~/.ssh/id*.pub 公鑰。

可選的，您也可以指定公鑰的文件名：

ssh-copy-id -i ~/.ssh/id_rsa.pub user@hostname

該命令會(huì)將~/.ssh/id_rsa.pub的內(nèi)容復(fù)制到您想連接的機(jī)器的 ~/.ssh/authorized_keys 文件中。如果 authorized_keys 文件已經(jīng)存在了，密鑰將會(huì)追加到該文件的末尾。

要生成 SSH 協(xié)議版本 2 的 ECDSA 密鑰對(duì)，請(qǐng)按以下步驟操作：

????????1) 在 shell 命令行提示符下輸入以下命令生成 ECDSA 密鑰對(duì)：

$ssh-keygen -t ecdsa

Generating public/private ecdsa key pair.

Enter file in which to save the key (/home/USER/.ssh/id_ecdsa):

????????2) 按回車鍵確認(rèn)新創(chuàng)建的密鑰的默認(rèn)路徑，即~/.ssh/id_ecdsa。

????????3) 輸入一個(gè)口令，并且在提示確認(rèn)的時(shí)候再次輸入該口令。為了安全起見，請(qǐng)不要使用和您登錄您的賬戶相同的密碼。

????????4) 默認(rèn)情況下，將~/.ssh/目錄的權(quán)限設(shè)置為 rwx------或者以八進(jìn)制標(biāo)注表示的700。這是為了確保只有對(duì)應(yīng)的用戶 USER 能夠查看其內(nèi)容。如果有必要，可以使用以下命令來進(jìn)行確認(rèn)：

$ls -ld ~/.ssh

drwx------. 2 USER USER 54 Nov 25 16:56 /home/USER/.ssh/

5) 使用以下格式的命令，將公鑰復(fù)制到一臺(tái)遠(yuǎn)程機(jī)器上：

ssh-copy-id user@hostname

????????如果公鑰尚未安裝的話，該命令會(huì)復(fù)制最近一次修改的~/.ssh/id*.pub 公鑰?？蛇x的，您也可以指定公鑰的文件名：

ssh-copy-id -i ~/.ssh/id_ecdsa.pub user@hostname

????????該命令會(huì)將 ~/.ssh/id_ecdsa.pub 的內(nèi)容復(fù)制到您想連接的機(jī)器的 ~/.ssh/authorized_keys 文件中。如果 authorized_keys 文件已經(jīng)存在了，密鑰將會(huì)追加到該文件的末尾。

????????重要說明：

????????私鑰僅供您個(gè)人使用，絕不要把它給任何人，這一點(diǎn)是非常重要的。

5.2.3.6. OpenSSH 客戶端

????????您必須安裝 openssh-clients 包后，才能從客戶端機(jī)器連接到一個(gè) OpenSSH服務(wù)端（請(qǐng)參見 4.2.4 安裝軟件包。了解如何在銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)中安裝新的包）。

5.2.3.7. 使用 ssh 工具

????????ssh 工具可以讓您登錄到一臺(tái)遠(yuǎn)程機(jī)器上，并在上面執(zhí)行命令。它是對(duì) rlogin、rsh 和 telnet 程序的一個(gè)安全替換。和 telnet 命令相似，使用以下命令登錄到一臺(tái)遠(yuǎn)程機(jī)器上：

ssh hostname

例如，要登錄到一臺(tái)名為 penguin.example.com 的遠(yuǎn)程主機(jī)，可以在 shell 命令行提示符下輸入以下命令：

#ssh penguin.example.com

該命令將會(huì)以您正在使用的本地機(jī)器的用戶名登錄。如果您想指定一個(gè)不同

的用戶名，請(qǐng)使用以下命令：

ssh username@hostname

例如，以 USER 登錄到 penguin.example.com，請(qǐng)輸入以下命令：

$ssh USER@penguin.example.com

您第一次連接時(shí)，將會(huì)看到和如下內(nèi)容相似的信息：

The authenticity of host 'penguin.example.com' can't be established.

ECDSA key fingerprint is

SHA256:Ixy64icRYc/h7XSOvUVywS7t7ThtmOsPT1s07wDD5P8.

Are you sure you want to continue connecting (yes/no/[fingerprint])?

在回答對(duì)話框中的問題之前，用戶應(yīng)該始終檢查指印是否正確。用戶可以詢問服務(wù)端的管理員以確認(rèn)密鑰是正確的。這應(yīng)該以一種安全的、事先約定好的方式進(jìn)行。如果用戶可以使用服務(wù)端的主機(jī)密鑰，可以使用以下 ssh-keygen 命令來檢查指?。?

#ssh-keygen -l -f /etc/ssh/ssh_host_ecdsa_key.pub

256 SHA256:b0gGbI+Xk/l+Ve76j3mqpYSty0n3gR9QiIsd+8oV3GI no

comment (ECDSA)

輸入 yes 接受密鑰并確認(rèn)連接。您將會(huì)看到一個(gè)有關(guān)服務(wù)端已經(jīng)被添加到已

知的主機(jī)列表中的通告，以及一個(gè)輸入密碼的提示：

Warning: Permanently added 'penguin.example.com' (ECDSA) to the list

of known hosts.

USER@ penguin.example.com's password:

重要說明：

????????如果 SSH 服務(wù)端的主機(jī)密鑰改變了，客戶端將會(huì)通知用戶連接不能繼續(xù)， 除非將服務(wù)端的主機(jī)密鑰從~/.ssh/known_hosts 文件中刪除。然而，在進(jìn)行此操 作之前，請(qǐng)聯(lián)系 SSH 服務(wù)端的系統(tǒng)管理員，驗(yàn)證服務(wù)端沒有受到攻擊。

要從~/.ssh/known_hosts 文件中刪除一個(gè)密鑰，可以使用如下命令：

#ssh-keygen -R penguin.example.com

在輸入密碼之后，您將會(huì)進(jìn)入遠(yuǎn)程主機(jī)的 shell 命令行提示符下。

可選地，ssh 程序可以用來在遠(yuǎn)程主機(jī)上執(zhí)行一條命令，而不用登錄到 shell

命令行提示符下：

ssh [username@]hostname command

例如，/etc/kylin-release 文件提供有關(guān)操作系統(tǒng)版本的信息。要查看penguin.example.com 上該文件的內(nèi)容，輸入：

$ssh USER@penguin.example.com cat /etc/kylin-release

USER@penguin.example.com's password:

Kylin Linux Advanced Server release V10 (Lance)

在您輸入正確的密碼之后，將會(huì)顯示遠(yuǎn)程主機(jī)的操作系統(tǒng)版本信息，然后您

將返回到本地的 shell 命令行提示符下。

5.2.3.8. 使用 scp 工具

????????scp 可以用來在主機(jī)之間通過一個(gè)安全加密的連接傳輸文件。在設(shè)計(jì)上，它和 rcp 非常相似。要傳輸一個(gè)本地文件到遠(yuǎn)程系統(tǒng)中，可以使用如下形式的命令：

scp localfile username@hostname:remotefile

例如，如果您想將 taglist.vim 傳輸?shù)矫麨?penguin.example.com 的遠(yuǎn)程主機(jī)用戶家目錄上，可以在 shell 命令行提示符下輸入以下命令：

#scp taglist.vim USER@penguin.example.com:~

一次可以指定多個(gè)文件。要傳輸.vim/plugin/目錄下的文件和目錄到遠(yuǎn)程主機(jī)

penguin.example.com 的相同目錄下，可以輸入以下命令：

$scp -r .vim/plugin/* USER@penguin.example.com:.vim/plugin/

要將一個(gè)遠(yuǎn)程的文件傳輸?shù)奖镜叵到y(tǒng)上，可以使用以下語法：

scp username@hostname:remotefile localfile

例如，要從遠(yuǎn)程主機(jī)上下載.vimrc 配置文件，可以輸入：

$scp USER@penguin.example.com:.vimrc .vimrc

5.2.3.9. 使用 sftp 工具

sftp 工具可以用來打開一個(gè)安全的、交互式的 FTP 會(huì)話。在設(shè)計(jì)上，它類似于 ftp，不同之處在于 sftp 使用了一個(gè)安全的加密連接。要連接到遠(yuǎn)程系統(tǒng)中，可以使用如下形式的命令：

sftp username@hostname

例如，要使用 USER 用戶登錄到名為 penguin.example.com 的遠(yuǎn)程主機(jī)上，

可以輸入：

$sftp USER@penguin.example.com

USER@penguin.example.com's password:

Connected to penguin.example.com.

sftp>

當(dāng)您輸入正確的密碼之后，您將會(huì)看到一個(gè) sftp 的命令行提示符。sftp 工具可以使用一系列和 ftp 類似的命令（參見表 5- 13）。

要獲取可用命令的完整列表，請(qǐng)參考 sftp(1)用戶手冊(cè)頁面。

5.2.4. 不只是一個(gè)安全的 Shell

一個(gè)安全的命令行界面只不過是 SSH 眾多使用方式的開端。給予合適的帶

寬，可以通過 SSH 通道進(jìn)行 X11 會(huì)話的轉(zhuǎn)發(fā)?；蛘撸ㄟ^ TCP/IP 轉(zhuǎn)發(fā)，系統(tǒng)間以前的不安全端口連接可以映射到指定的 SSH 通道上。

5.2.4.1. X11 轉(zhuǎn)發(fā)

要通過 SSH 連接打開 X11 會(huì)話，可以使用以下形式的命令：

ssh -Y username@hostname

例如，要使用 USER 用戶登錄到名為 penguin.example.com 的遠(yuǎn)程主機(jī)上， 可以輸入：

$ssh -Y USER@penguin.example.com

USER@penguin.example.com's password:

當(dāng)從安全 shell 命令行提示符下運(yùn)行一個(gè) X 程序時(shí)，SSH 客戶端和服務(wù)端會(huì)創(chuàng)建一個(gè)新的安全通道，X 程序數(shù)據(jù)通過這個(gè)通道透明地發(fā)送到客戶端機(jī)器上。

注意，在發(fā)生 X11 轉(zhuǎn)發(fā)之前，必須在遠(yuǎn)程系統(tǒng)中安裝好 X 窗口系統(tǒng)。以 root用戶輸入以下命令可以安裝 X11 軟件包分組：

#dnf group install "X Window System"

要了解關(guān)于軟件包分組的更多信息，請(qǐng)參見 4.2 管理軟件包。

X11 轉(zhuǎn)發(fā)非常有用。例如，X11 轉(zhuǎn)發(fā)可以用來為【打印設(shè)置】工具創(chuàng)建一個(gè) 安全的交互式會(huì)話。要這樣做，先使用 ssh 連接到服務(wù)端，然后輸入：

$system-config-printer &

【打印設(shè)置】工具將會(huì)顯示出來，讓遠(yuǎn)程用戶可以在遠(yuǎn)程主機(jī)上安全地配置打印。

5.2.4.2. 端口轉(zhuǎn)發(fā)

????????SSH 可以通過端口轉(zhuǎn)發(fā)安全加固其他不安全的 TCP/IP 協(xié)議。在使用這一技術(shù)時(shí)，SSH 服務(wù)端成為了 SSH 客戶端的一個(gè)加密導(dǎo)管。 端口轉(zhuǎn)發(fā)的工作原理是將客戶端的一個(gè)本地端口映射到服務(wù)端的一個(gè)遠(yuǎn)程端口上。SSH 可以從服務(wù)端將任意端口映射到客戶端的任意端口上。這一技術(shù)并不需要端口號(hào)互相匹配。

重要說明：

要設(shè)置端口轉(zhuǎn)發(fā)監(jiān)聽 1024 以下的端口，需要 root 級(jí)別的訪問權(quán)限。

要?jiǎng)?chuàng)建一個(gè)監(jiān)聽 localhost 上的連接的 TCP/IP 端口轉(zhuǎn)發(fā)通道，可以使用以下 形式的命令：

ssh -L local-port:remote-hostname:remote-port username@hostname

例如，要使用 POP3 通過一個(gè)加密連接檢查名為 mail.example.com 的服務(wù)器上的郵件，可以使用以下命令：

$ssh -L 1100:mail.example.com:110 mail.example.com

一旦客戶端機(jī)器和郵件服務(wù)器之間的端口轉(zhuǎn)發(fā)通道準(zhǔn)備就緒后，就可以使用

一個(gè) POP3 郵件客戶端在 localhost 上使用 1100 端口來檢查新郵件了。任何在客戶端系統(tǒng)上發(fā)往 1100 端口的請(qǐng)求，都將被安全地導(dǎo)向 mail.example.com 服務(wù)器。

如果 mail.example.com 沒有運(yùn)行 SSH 服務(wù)端，但是同一網(wǎng)絡(luò)中的另一臺(tái)機(jī)

器運(yùn)行了 SSH 服務(wù)端，那么 SSH 仍然可以用來對(duì)連接進(jìn)行安全加固。當(dāng)然，使 用的命令會(huì)略有不同：

$ssh -L 1100:mail.example.com:110 other.example.com

????????在這一示例中，從客戶端機(jī)器的 1100 端口發(fā)出的 POP3 請(qǐng)求，將通過 22 端口上的SSH連接被轉(zhuǎn)發(fā)到SSH服務(wù)端other.example.com。然后，other.example.com 連接到 mail.example.com 上的 110 端口來檢查新郵件。注意，在使用這一技術(shù)時(shí)，只有客戶端和 other.example.com 服務(wù)端之間的連接是安全的。

????????端口轉(zhuǎn)發(fā)也可以用來通過網(wǎng)絡(luò)防火墻安全地獲取信息。如果防火墻配置為允許放行使用標(biāo)準(zhǔn)端口（即 22 端口）的 SSH 數(shù)據(jù)流，但是阻塞了對(duì)其它端口的訪問，那么在要在兩臺(tái)主機(jī)之間使用被阻塞端口建立連接仍然是可能的，只要將它們之間的通信通過一條建立好的 SSH 連接進(jìn)行重定向即可。

????????重要說明：

????????以這種方式來使用端口轉(zhuǎn)發(fā)技術(shù)對(duì)連接進(jìn)行轉(zhuǎn)發(fā)，將允許客戶端系統(tǒng)上的任何用戶都能連接到相應(yīng)的服務(wù)上。如果客戶端系統(tǒng)被入侵，攻擊者也同樣能夠訪問轉(zhuǎn)發(fā)的服務(wù)。

擔(dān)心端口轉(zhuǎn)發(fā)的系統(tǒng)管理員，可以在服務(wù)端將/etc/ssh/sshd_config 文件中的AllowTCPForwarding 選項(xiàng)設(shè)置為 No，并重啟 sshd 服務(wù)，來禁用端口轉(zhuǎn)發(fā)功能。

5.3. TigerVNC

????????TigerVNC（Tiger Virtual Network Computing）是一個(gè)圖形化桌面共享系統(tǒng)，可以讓您遠(yuǎn)程控制其它計(jì)算機(jī)。

????????TigerVNC 采用服務(wù)端-客戶端架構(gòu)：服務(wù)端共享它的輸出（vncserver），客戶端（vncviewer）連接到客戶端。

重要說明：

????????相比以往銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)，銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10中的TigerVNC使用systemd系統(tǒng)管理守護(hù)進(jìn)程進(jìn)配置。配置文件/etc/sysconfig/vncserver 被替換成了/etc/systemd/system/vncserver@.service。

5.3.1. VNC 服務(wù)端

????????vncserver 工具用來啟動(dòng)一個(gè) VNC（Virtual Network Computing）桌面。它將使用適當(dāng)?shù)倪x項(xiàng)運(yùn)行 Xvnc，并在 VNC 桌面中啟動(dòng)一個(gè)窗口管理器。vncserver允許用戶在一臺(tái)機(jī)器上并行地運(yùn)行多個(gè)獨(dú)立的會(huì)話，之后這些會(huì)話可以被任意數(shù)量的客戶端從任意位置訪問。

5.3.1.1. 安裝 VNC 服務(wù)端

要安裝 TigerVNC 服務(wù)端，請(qǐng)以 root 用戶執(zhí)行以下命令：

#dnf install tigervnc-server

5.3.1.2. 配置 VNC 服務(wù)端

????????VNC 服務(wù)端可以被配置了為一個(gè)或多個(gè)用戶（倘若這些用戶賬戶存在于系統(tǒng)上）啟動(dòng)一個(gè)顯示，可以配置諸如顯示設(shè)置、網(wǎng)絡(luò)地址和端口，以及安全設(shè)置等可選參數(shù)。

(1) 為指定用戶復(fù)制vncserver@.service文件到/etc/systemd/system目錄 ( 以 smbuser 用戶為例)

#cp /usr/lib/systemd/system/vncserver@.service

/etc/systemd/system/vncserver-smbuser@.service

(2) 修改 service 文件將<USER>替換成實(shí)際的用戶

#vim /etc/systemd/system/vncserver-smbuser@.service

#The vncserver service unit file

#

#Quick HowTo:

#1. Copy this file to /etc/systemd/system/vncserver@.service

#2. Replace <USER> with the actual user name and edit vncserver

#

parameters appropriately

#3. Run `systemctl daemon-reload`

#4. Run `systemctl enable vncserver@:<display>.service`

#

#DO NOT RUN THIS SERVICE if your local area network is

#untrusted! For a secure way of using VNC, you should

#limit connections to the local host and then tunnel from

#the machine you want to view VNC on (host A) to the machine

#whose VNC output you want to view (host B)

#

#[user@hostA ~]#ssh -v -C -L 590N:localhost:590M hostB

#

#this will open a connection on port 590N of your hostA to hostB's port 590M

#(in fact, it ssh-connects to hostB and then connects to localhost (on hostB).

#See the ssh man page for details on port forwarding)

#

#You can then point a VNC client on hostA at vncdisplay N of localhost and with

#the help of ssh, you end up seeing what hostB makes available on port 590M

#

#Use "-nolisten tcp" to prevent X connections to your VNC server via TCP.

#

#Use "-localhost" to prevent remote VNC clients connecting except when

#doing so through a secure tunnel. See the "-via" option in the

#`man vncviewer' manual page.

[Unit]

Description=Remote desktop service (VNC)

After=syslog.target network.target

[Service]

Type=forking

WorkingDirectory=/home/smbuser

User=smbuser

Group=smbuser

PIDFile=/home/smbuser/.vnc/%H%i.pid

ExecStartPre=/bin/sh -c '/usr/bin/vncserver -kill %i > /dev/null 2>&1 || :'

ExecStart=/usr/bin/vncserver -autokill %i

ExecStop=/usr/bin/vncserver -kill %i

Restart=on-success

RestartSec=15

[Install]

WantedBy=multi-user.target

(3) 執(zhí)行 systemctl daemon-reload

5.3.1.3. 啟動(dòng) VNC 服務(wù)端

????????要啟動(dòng)或者開機(jī)自啟動(dòng) VNC 服務(wù)，請(qǐng)?jiān)诿钚兄兄付@示編號(hào)。在 5.3.1.2配置 VNC 服務(wù)端下的示例：“為單一用戶配置 VNC 顯示”中使用的配置文件擔(dān)任著模板的角色，文件中的%i 將被 systemd 用顯示編號(hào)替換。使用一個(gè)有效的顯示編號(hào)來執(zhí)行以下命令：

#systemctl start vncserver-USER_1@:display_number.service

您也可以讓服務(wù)在系統(tǒng)啟動(dòng)時(shí)自動(dòng)啟動(dòng)。之后，當(dāng)您登錄時(shí)，vncserver 已經(jīng)自動(dòng)啟動(dòng)了。以 root 用戶執(zhí)行以下命令：

#systemctl enable vncserver-USER_1@:display_number.service

????????這時(shí)候，其他用戶可以使用一個(gè) VNC 查看程序，以及定義好的顯示編號(hào)和密碼來連接到 VNC 服務(wù)端。假若已經(jīng)安裝好了一個(gè)圖形化桌面，將會(huì)顯示該桌面的一個(gè)實(shí)例。這個(gè)實(shí)例和目標(biāo)機(jī)器上正在顯示的實(shí)例是不相同的。為兩個(gè)用戶和兩個(gè)不同的顯示配置 VNC 服務(wù)端 對(duì)于兩個(gè)已經(jīng)配置好的VNC服務(wù)端vncserver-USER_1@.service和vncserver-USER_2@.service，您可以啟用不同的顯示編號(hào)。例如，以下命令將會(huì) 使 USER_1 的 VNC 服務(wù)端在顯示編號(hào) 3 上啟動(dòng)，而 USER_2 的 VNC 服務(wù)端將在顯示編號(hào) 5 上啟動(dòng)：

#systemctl start vncserver-USER_1@:3.service

#systemctl start vncserver-USER_2@:5.service

5.3.1.4. 終止 VNC 會(huì)話

類似于啟用 vncserver 的開機(jī)自啟動(dòng)，您也可以禁用該服務(wù)的開機(jī)自啟動(dòng)：

#systemctl disable vncserver-USER_1@:display_number.service

或者，當(dāng)您的系統(tǒng)正在運(yùn)行時(shí)，您可以以 root 用戶執(zhí)行以下命令來停止 VNC 服務(wù)：

#systemctl stop vncserver-USER_1@:display_number.service

5.3.2. 共享一個(gè)已存在的桌面

????????默認(rèn)情況下，一個(gè)已登錄的用戶擁有一個(gè)由 X 服務(wù)端提供的、在顯示編號(hào) 0上的桌面。用戶可以使用 TigerVNC 服務(wù)端的 x0vncserver 來共享他們的桌面。

實(shí)例：共享一個(gè) X 桌面

要使用 x0vncserver 共享一個(gè)已登錄用戶的桌面，請(qǐng)按以下步驟操作：

????????1) 以 root 用戶執(zhí)行以下命令：

#dnf install tigervnc-server

????????2) 為用戶設(shè)置 VNC 密碼：

#vncpasswd

Password:

Verify:

3) 以已登錄用戶的身份執(zhí)行以下命令：

#x0vncserver -PasswordFile=.vnc/passwd -AlwaysShared=1

????????倘若防火墻已經(jīng)配置了允許連接 5900 端口，遠(yuǎn)程查看器現(xiàn)在就可以連接到顯示編號(hào) 0 上，并查看已登錄用戶的桌面了。請(qǐng)參見 5.3.3.2 為 VNC 配置防火墻。

5.3.3. VNC 查看器

????????vncviewer 是一個(gè)用來顯示圖形用戶界面并遠(yuǎn)程控制 vncserver 的程序。為了操作 vncviewer，有一個(gè)包含許多條目的彈出菜單，通過這些條目可以執(zhí)行諸如切換到/切換出全屏模式、退出查看器等多種操作。可選地，您也可以通過終端來操作 vncviewer。在命令行中輸入 vncviewer -h 可以列出 vncviewer 的參數(shù)。

5.3.3.1. 安裝 VNC 查看器

要安裝 TigerVNC 的客戶端 vncviewer，請(qǐng)以 root 用戶執(zhí)行以下命令：

#dnf install tigervnc

連接到 VNC 服務(wù)端一旦配置好了 VNC 服務(wù)端，您就可以從任何 VNC 查看器連接到該服務(wù)端 了。

5.3.3.2. 為 VNC 配置防火墻

????????當(dāng)使用非加密連接時(shí)，firewalld 可能會(huì)阻止連接。為了讓 firewalld 允許 VNC 數(shù)據(jù)包通過，您可以開放指定的 TCP 數(shù)據(jù)流端口。當(dāng)使用-via 選項(xiàng)時(shí)，數(shù)據(jù)流通過 SSH 做了重定向，而 SSH 的端口在 firewalld 中默認(rèn)是開放的。

備注：

VNC 服務(wù)端的默認(rèn)端口是 5900。要得到遠(yuǎn)程桌面將被訪問的端口號(hào)，可以用默認(rèn)端口號(hào)加上用戶分配的顯示編號(hào)。例如，對(duì)于第二個(gè)顯示屏：2 + 5900 = 5902。

5.3.3.3. 使用 SSH 連接到 VNC 服務(wù)端

VNC 是一個(gè)很明顯的文本網(wǎng)絡(luò)協(xié)議，在通信中沒有相應(yīng)的安全機(jī)制來應(yīng)對(duì)可能的攻擊。為了使通信安全，您可以通過使用-via 選項(xiàng)來加密您的服務(wù)端-客戶端連接。這將會(huì)在 VNC 服務(wù)端和客戶端之間創(chuàng)建一個(gè) SSH 隧道。 加密 VNC 服務(wù)端-客戶端連接的命令格式如下：

vncviewer -via user@host:display_number文章來源地址http://www.zghlxwxcb.cn/news/detail-737814.html

到了這里，關(guān)于銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)V10-系統(tǒng)管理員手冊(cè)：05 基礎(chǔ)服務(wù)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！