一、telnet

1、telnet简介

以前，很少有人买得起计算机，更甭说买功能强大的计算机了。所以那时的人采用一种叫做Telnet的方式来访问Internet：也就是把自己的低性能计算机连接到远程性能好的大型计算机上，一旦连接上，他们的计算机就仿佛是这些远程大型计算机上的一个终端，自己就仿佛坐在远程大型机的屏幕前一样输入命令，运行大机器中的程序。人们把这种将自己的电脑连接到远程计算机的操作方式叫做“登录”，称这种登录的技术为Telnet（远程登录）。

2、Telnet的工作原理

当你用Telnet登录进入远程计算机系统时，你事实上启动了两个程序，一个叫Telnet客户程序，它运行在你的本地机上，另一个叫Telnet服务器程序，它运行在你要登录的远程计算机上，本地机上的客户程序要完成如下功能：

1) 建立与服务器的TCP联接

2) 从键盘上接收你输入的字符

3) 把你输入的字符串变成标准格式并送给远程服务器

4) 从远程服务器接收输出的信息

5) 把该信息显示在你的屏幕上

远程计算机的“服务”程序监听在tcp 23端口，一接到你的请求，它马上活跃起来，并完成如下功能：

1) 通知你的计算机，远程计算机已经准备好了

2) 等候你输入命令

3) 对你的命令作出反应（如显示目录内容，或执行某个程序等）。

4) 把执行命令的结果送回给你的计算机

5) 重新等候你的命令

3、telnet的使用

安装telnet服务器端和客户端：

[root@Node4 ~]# yum install telnet telnetserver    #安装telnet客户端和服务端程序
[root@Node4 ~]# rpm -ql telnet-server
/etc/xinetd.d/telnet                    #telnet是由超级守护进程管理的服务
/usr/sbin/in.telnetd
/usr/share/man/man5/issue.net.5.gz
/usr/share/man/man8/in.telnetd.8.gz
/usr/share/man/man8/telnetd.8.gz
[root@Node4 ~]# rpm -ql telnet
/usr/bin/telnet
/usr/share/man/man1/telnet.1.gz

启动telnet-server：

[root@Node4 ~]# service xinetd start[root@Node4 ~]# chkconfig telnet on

使用客户端telnet:

telnet [-l user] host-name [port]

[root@Note3 ~]# telnet 192.168.10.4
Trying 192.168.10.4...
Connected to 192.168.10.4.
Escape character is '^]'.
CentOS release 6.5 (Final)
Kernel 2.6.32-431.el6.x86_64 on an x86_64
login: root                                 #telnet默认禁止root远程登录
Password:
Login incorrectlogin: anyfish                              #要使用远程主机上的用户帐号和密码登录
Password:
Login incorrectlogin: xj
Password:
Last login: Sat Jan  7 17:33:50 from Node3[xj@Node4 ~]$

总结：

Telnet不是一种安全通信协议，因为它并不使用任何安全机制，通过网络/互联网传输明文格式的数据，包括密码，所以谁都能嗅探数据包，获得这个重要信息。

Telnet中没有使用任何验证策略及数据加密方法，因而带来了巨大的安全威胁，这就是为什么telnet不再用于通过公共网络访问网络设备和服务器。

telnet的最佳用途就是检查远程主机上的端口是否启用。

比如说，如果我们想要检查远程服务器上22，23端口是否启用 ，可以这么做：

[root@Node4 ~]# telnet 192.168.10.3 22  #此时不需要远程主机开启了telnet服务
Trying 192.168.10.3...
Connected to 192.168.10.3.     #已连接
Escape character is '^]'.
SSH-2.0-OpenSSH_5.3#此时阻塞在这里,是等待我们输入命令，就表示22号端口开启了，远程主机有服务监听在此端口，如果输入的命令不符合对方服务的协议就会被强制退出
Protocol mismatch.
Connection closed by foreign host.
[root@Node4 ~]#
[root@Node4 ~]# telnet 192.168.10.3 23    #如果是没监听的端口，会明确的拒绝
Trying 192.168.10.3...
telnet: connect to address 192.168.10.3: Connection refused
[root@Node4 ~]#

二、openssh

1、ssh简介

ssh：Secure Shell

默认监听在tcp协议的22号端口

现在ssh是通过互联网访问网络设备和服务器的主要协议

SSH是一种非常安全的协议，因为它共享并发送经过加密的信息，从而为通过互联网等不安全的网络访问的数据提供了机密性和安全性。

SSH还可以使用公钥用于对访问服务器的用户验证身份

通过Telnet或SSH访问服务器的知名工具则有Putty、Xshell和Secure CRT。它们还用于访问网络设备，如路由器和交换机。

ssh有两个版本：ssh v1，ssh v2

由于ssh v1是基于CRC-32做MAC，因此不安全，不建议使用

ssh v2基于双方主机协商选择最安全的MAC实现机制，建议使用

加密机制及MAC机制是双方协商选定

基于DH实现密钥交换，基于RSA或DSA实现身份认证

客户通过检查服务端的主机密钥来判断是否与其进一步通信

2、openssh

[root@Note3 ~]# rpm -qa|grep openssh       #系统上已默认安装了openssh的客户端和服务器端
openssh-server-5.3p1-118.1.el6_8.x86_64    #服务端
openssh-clients-5.3p1-118.1.el6_8.x86_64   #客户端
openssh-5.3p1-118.1.el6_8.x86_64           #通用组件
openssh-askpass-5.3p1-118.1.el6_8.x86_64
[root@Note3 ~]# rpm -ql openssh-clients
/etc/ssh/ssh_config    #客户端程序的配置文件
/usr/bin/.ssh.hmac
/usr/bin/scp
/usr/bin/sftp
/usr/bin/slogin
/usr/bin/ssh           #客户端工具
/usr/bin/ssh-add       #添加密钥的工具
/usr/bin/ssh-agent
/usr/bin/ssh-copy-id
/usr/bin/ssh-keyscan
/usr/libexec/openssh/ssh-pkcs11-helper
/usr/share/man/man1/scp.1.gz[root@Note3 ~]# rpm -ql openssh-server
/etc/pam.d/ssh-keycat
/etc/pam.d/sshd
/etc/rc.d/init.d/sshd        #服务脚本
/etc/ssh/sshd_config         #服务程序的配置文件
/etc/sysconfig/sshd          #服务脚本的配置文件
/usr/libexec/openssh/sftp-server
/usr/libexec/openssh/ssh-keycat
/usr/sbin/.sshd.hmac
/usr/sbin/sshd
/usr/share/doc/openssh-server-5.3p1

3、openssh客户端组件

 1）ssh

ssh [user@] hostname [command]

 -l 小写字母l也可以指定用户名

-p 指定端口，默认22

-o port=22 也可以指定使用的端口

[root@Note3 ~]# ssh node4         #主机名不区分大小写，不指定用户则默认使用当前主机的用户登录远程主机，当然该远程主机必须有该用户才行，使用远程主机不存在的用户登录时，会一直提示你密码错误
The authenticity of host 'node4 (192.168.10.4)' can't be established.
RSA key fingerprint is c2:00:8e:68:4c:f1:65:a6:00:14:c0:7a:49:1b:fc:2b.
Are you sure you want to continue connecting (yes/no)? yes   #询问是否确认连接，输入yes的话会将对方主机公钥记录在~/.ssh/known_hosts文件中，no就退出，不连接
Warning: Permanently added 'node4' (RSA) to the list of known hosts.
root@node4's password:
Last login: Sat Jan  7 19:52:32 2017 from 192.168.10.3[root@Node4 ~]# hostname
Node4
[root@Node4 ~]# logout              #使用logout或exit退出
Connection to node4 closed.[root@Note3 ~]# ssh 192.168.10.4
root@192.168.10.4's password:
Last login: Sat Jan  7 19:52:12 2017 from 192.168.10.3[root@Node4 ~]# hostname
Node4
[root@Node4 ~]# exit
logout
Connection to 192.168.10.4 closed.[root@Note3 ~]# ssh node4 hostname -I     #后面接命令，运行命令并将结果返回就退出
root@node4's password:
192.168.10.4 172.16.11.190

ssh认证机制：

基于口令：

基于密钥：

客户端在本地生成一对密钥，将客户端的公钥复制到要登录的用户的家目录下.ssh中的一个名为authorized_keys或authorized_key2文件中

配置基于密钥认证的过程：

1）生成密钥对儿

ssh-keygen [-t rsa]   #默认就是使用rsa算法

[root@Note3 ~]# ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):     #指定私钥存放路径，默认私钥保存为：~/.ssh/id_rsa，公钥：~/.ssh/id_rsa.pub
Enter passphrase (empty for no passphrase):      #输入密码，不输入表示不加密存放
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
42:f1:b7:bc:c2:b4:39:fe:32:13:53:87:85:1c:d2:a1 root@Note3
The key's randomart p_w_picpath is:
+--[ RSA 2048]----+
|      . .oo+     |
|       o o+ .    |
|      . E .o     |
|     .   oo..    |
|      . S.o.     |
|       +oo .     |
|        *o.      |
|       .+o       |
|        .=.      |
+-----------------+[root@Note3 ~]# ls .ssh/
id_rsa       id_rsa.pub   known_hosts     #known_hosts文件中记录了已识别主机

2）复制密钥至远程主机

ssh-copy-id [-i /path/to/pubkey_file] USERNAME@HOST

公钥不是在默认位置就用-i选项指定公钥，注意公钥文件名一定要以.pub结尾要不然会报错使用哪个用户复制的，就会把公钥保存在远程主机相应用户~/.ssh/authorized_keys文件中，就可以免口令登录了。

[root@Note3 ~]# ssh-copy-id 192.168.10.4
The authenticity of host '192.168.10.4 (192.168.10.4)' can't be established.
RSA key fingerprint is c2:00:8e:68:4c:f1:65:a6:00:14:c0:7a:49:1b:fc:2b.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.10.4' (RSA) to the list of known hosts.
root@192.168.10.4's password:
Now try logging into the machine, with "ssh '192.168.10.4'", and check in:.ssh/authorized_keysto make sure we haven't added extra keys that you weren't expecting.[root@Note3 ~]# ssh 192.168.10.4        #就可以直接登录了，不用输入用户密码
Last login: Sat Jan  7 20:02:18 2017 from 192.168.10.3

在192.168.10.4上查看：

[root@Node4 ~]# ls .ssh/       #在远程主机上已经有192.168.10.3主机使用root用户登录使用公钥了，但其它主机或用户仍然需要认证密码
authorized_keys  known_hosts
[root@Node4 ~]# cat .ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAvOtQXdy9YAEZX0p2bn/+jLiczegpTWrJ+wl/6aAsE5PRZAI961xyP9TeqMI+86YILQWSzHnoU50bbj9iLcfyx+nYfSOr9QpNTVXKzXf2Fvy/Rcp7O1BaqfYVIM5hVIZzyR57PYSeKrC1o6RHPxNUhm0b4bTHUdeMmLDoiWvK2P2vPsQmW7qxVx6R19uYET/+hSUQrdwbsIuRu+5nvttq22t/SnKdngw9jfICb3msND4DzX1B4+xjVFgeb6vF5cjBhG00Pnt2R9KYDufJ8zHfpvfEbOuuBnLH6QtGcR/WBdiE0VoQH8jsH0whnFRjA9cquzi24w+ZB4E5K5tNqKbetQ== root@Note3

换个用户登录试试：

[root@Note3 ~]# ssh -l xj 192.168.10.4  #但是使用其它用户登录还是需要密码的
xj@192.168.10.4's password:
Last login: Sat Jan  7 20:02:32 2017 from 192.168.10.3[xj@Node4 ~]$

2）scp

scp：是类cp命令，基于ssh协议跨主机复制

scp SRC1 SRC2 ... DEST

分两种情况：

源文件在本机，目录为远程

scp /path/to/somefile... USERNAME@HOST:/path/to/somewhere

源文件在远程，目标为本机

scp USERNAME@HOST:/path/to/somefile /path/to/somewhere

-r：源文件是目录是使用-r，以实现递归复制

-p：保留源文件的复制及修改时间戳，权限等

-q：静默模式

-P：（大写）指定服务器端端口，-P要写在前面

-o port=22 也可以指定使用的端口

[root@Note3 src]# scp 192.168.10.4:/tmp/1.txt 192.168.10.4:/tmp/2.txt .
1.txt                                                100%   40     0.0KB/s   00:00
2.txt                                                100%   54     0.1KB/s   00:00
#复制多个文件有点不方便

3）sftp

sftp：基于ssh的ftp协议

只要openssh的服务器端配置文件中启用了如下项（默认是启用的）：

Subsystem sftp /usr/libexec/openssh/sftp-server

用法： sftp [username@]HOST[:dir]]   #sftp不支持-l指定用户

-o port=22 指定使用的端口

默认情况下登录到远程的/root目录。指定目录的话，如/opt，则登录到远程/opt目录

[root@Note3 ssh]# sftp 192.168.10.4
Connecting to 192.168.10.4...
sftp> help
Available commands:
bye                                Quit sftp
cd path                            Change remote directory to 'path'
chgrp grp path                     Change group of file 'path' to 'grp'
chmod mode path                    Change permissions of file 'path' to 'mode'
chown own path                     Change owner of file 'path' to 'own'
df [-hi] [path]                    Display statistics for current directory orfilesystem containing 'path'
exit                               Quit sftp
get [-P] remote-path [local-path]  Download file    #下载文件，默认保存在当前本地目录下
help                               Display this help text
lcd path                           Change local directory to 'path'   #切换本地目录
lls [ls-options [path]]            Display local directory listing
lmkdir path                        Create local directory
ln oldpath newpath                 Symlink remote file
lpwd                               Print local working directory
ls [-1aflnrSt] [path]              Display remote directory listing
lumask umask                       Set local umask to 'umask'
mkdir path                         Create remote directory
progress                           Toggle display of progress meter
put [-P] local-path [remote-path]  Upload file
pwd                                Display remote working directory
quit                               Quit sftp
rename oldpath newpath             Rename remote file
rm path                            Delete remote file
rmdir path                         Remove remote directory
symlink oldpath newpath            Symlink remote file
version                            Show SFTP version
!command                           Execute 'command' in local shell
!                                  Escape to local shell
?                                  Synonym for help

get和put都只能下载和上传单个文件，get支持通配符，put不支持，那如何上传多个文件?

4、openssh服务的服务端组件

sshd配置文件：/etc/ssh/sshd_config

服务脚本：/etc/rc.d/init.d/sshd

脚本配置文件：/etc/sysconfig/sshd

/etc/sysconfig/sshd_config详解： man sshd_config

#   $OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.#Port 22                   #监听的端口，可以使用多次监听在多个端口上，重启sshd后生效，加了注释表示默认：如果有其它的Port设置，则使用其它的，否则使用这个
#AddressFamily any
#ListenAddress 0.0.0.0     #监听ip地址： 0.0.0.0 表示当前主机的所有ip
#ListenAddress ::          #监听的ipv6地址# Disable legacy (protocol version 1) support in the server for new
# installations. In future the default will change to require explicit
# activation of protocol 1
Protocol 2                 #使用ssh协议的版本# HostKey for protocol version 1      #ssh v1所用主机密钥
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2     #ssh v2所用的主机密钥，建立连接时，发送给客户端的公钥信息，让客户端验证本机是否是客户发端需要登录的主机，此时本机是作为ssh的服务端。那客户端如何验证呢？客户端有从PKI获得的证书里面有对方主机公钥，对比下就能确认了。当然我们都没有从CA获取过远程主机的证书，所以第一次登录远程主机时，会提示你不能验证对方主机，询问你是否连接，点了yes才连接，当然产生的一起后果自负咯。这个主机的密钥和密钥认证使用的密钥别混淆
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV          #记录日志的设施
#LogLevel INFO                   #日志级别INFO以上的都记录# Authentication:#LoginGraceTime 2m               #登录宽限期
#PermitRootLogin yes             #是否允许root登录
#StrictModes yes                 #严格模式，检测用户的家目录下文件的权限
#MaxAuthTries 6                  #最大认证次数，超过会断开，需要重新输入帐号和密码
#MaxSessions 10                  #最大会话数#RSAAuthentication yes           #是否使用RSA算法验证
#PubkeyAuthentication yes        #是否使用公钥认证
#AuthorizedKeysFile .ssh/authorized_keys           #认证所使用的文件
#AuthorizedKeysCommand none
#AuthorizedKeysCommandRunAs nobody# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no      #是否启用远程主机的RSA认证，不安全
# similar for protocol version 2
#HostbasedAuthentication no      #基于主机认证，不安全
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes       #是否允许使用密码认证
#PermitEmptyPasswords no          #是否允许使用空密码
PasswordAuthentication yes# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no   #挑战式握手认证# Kerberos options       #Kerberos（神犬？）认证选项，统一的认证协议，集中管理帐号和密码
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no
#KerberosUseKuserok yes# GSSAPI options           #GSSAPI认证选项
#GSSAPIAuthentication no
GSSAPIAuthentication yes
#GSSAPICleanupCredentials yes
GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
#UsePAM no
UsePAM yes      #是否使用PAM认证# Accept locale-related environment variables
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding no
X11Forwarding yes            #是否转发图形窗口
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#ShowPatchLevel no
#UseDNS yes
UseDNS no
#PidFile /var/run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none# no default banner path
#Banner none# override default of no subsystems
Subsystem   sftp    /usr/libexec/openssh/sftp-server# Example of overriding settings on a per-user basis
#Match User anoncvs
#   X11Forwarding no
#   AllowTcpForwarding no
#   ForceCommand cvs server##############下面的命令，配置文件中默认没有设置################AllowUsers  user1 user2 ...      #用户白名单，仅允许这里指定的用户登录
AllowGroups                      #组白名单
DenyUsers                        #用户黑名单，注意：黑白名单不要同时使用

使用ssh的最佳实践:

1）only use ssh protocol 2    仅使用ssh v2 2）limit users SSh access     限定使用ssh的用户 Allowusers root vivek jerry    白名单，建议使用白名单 DenyUser saroj anjali foo      黑名单 3）configure Idle Log out timeout Interval    配置空闲会话超时长 ClientAliveCountMax 300   服务器没响应前，客户端能发送消息数，没必要配置 ClientAliveInterval  0   超时时长，单位为s 4）Firwall SSH Port # 22        使用iptables设置ssh服务安全访问策略 5）change ssh port and Limit IP binding     改变默认的端口和使用的ip，勿使用默认22端口 port 300 Listaddress 192.168.1.5 ListenAddress 202.54.1.5 6）use Strong SSH passwords and passphrase   使用足够长足够复杂的密码，且定期更换。 genpasswd（）{ local 1=$1 [ "$1" == "" ]&& 1=20 tr -dc A-Za-z0-9_</dev/urandom | head -c ${1} | xargs } 7）use Public key Based AUthentication       使用公钥认证 8）disable Empty password                禁止空密码 9）thwart ssh crakers （Brute  Force attack）  使用前，先扫描漏洞 10）rate-limit incoming port # 22 Connections    限制ssh访问频度，在pam在设置 11）use log analyzer       记录好日志，经常做日志分析

5、用户登录信息获取

lastlog：显示每个用户最近一次成功的登录信息，

-u USERNAME|UID

lastb：显示用户登录失败的日志信息： /var/log/btmp

last：用户成功登陆的日志信息：/var/log/wtmp

练习：

基于密钥的认证，并限定仅允许root和hadoop用户登录

三、dropbear

轻量级的ssh协议实现

1、安装dropbear  

[root@Node4 ~]# yum list|grep dropbear
dropbear.x86_64                             2016.74-1.el6                epel
[root@Node4 ~]# yum install dropbear -y[root@Node4 ~]# rpm -ql dropbear
/etc/dropbear
/etc/rc.d/init.d/dropbear
/usr/bin/dbclient
/usr/bin/dropbearconvert
/usr/bin/dropbearkey
/usr/sbin/dropbear
/usr/share/doc/dropbear-2016.74
/usr/share/doc/dropbear-2016.74/CHANGES
/usr/share/doc/dropbear-2016.74/LICENSE
/usr/share/doc/dropbear-2016.74/README
/usr/share/doc/dropbear-2016.74/TODO
/usr/share/man/man1/dbclient.1.gz
/usr/share/man/man1/dropbearconvert.1.gz
/usr/share/man/man1/dropbearkey.1.gz
/usr/share/man/man8/dropbear.8.gz

2、dropbear的使用

[root@Node4 ~]# dropbear --help
Invalid option --
Dropbear server v2016.74 https://matt.ucc.asn.au/dropbear/dropbear.html
Usage: dropbear [options]
-b bannerfile   Display the contents of bannerfile before user login(default: none)
-r keyfile  Specify hostkeys (repeatable)defaults: dss /etc/dropbear/dropbear_dss_host_keyrsa /etc/dropbear/dropbear_rsa_host_keyecdsa /etc/dropbear/dropbear_ecdsa_host_key
-R      Create hostkeys as required
-F      Don't fork into background
-E      Log to stderr rather than syslog
-m      Don't display the motd on login
-w      Disallow root logins
-s      Disable password logins
-g      Disable password logins for root
-B      Allow blank password logins
-j      Disable local port forwarding
-k      Disable remote port forwarding
-a      Allow connections to forwarded ports from any host
-p [address:]portListen on specified tcp port (and optionally address),up to 10 can be specified(default port is 22 if none specified)
-P PidFile  Create pid file PidFile(default /var/run/dropbear.pid)
-i      Start for inetd
-W <receive_window_buffer> (default 24576, larger may be faster, max 1MB)
-K <keepalive>  (0 is never, default 0, in seconds)
-I <idle_timeout>  (0 is never, default 0, in seconds)
-V    Version
[root@Node4 ~]#

需要准备密钥文件： #使用服务脚本会自动生成密钥文件

[root@Node4 ~]# dropbearkey --help
Unknown argument --help
Usage: dropbearkey -t <type> -f <filename> [-s bits]
-t type Type of key to generate. One of:               #指定使用的算法rsadssecdsa
-f filename    Use filename for the secret key.~/.ssh/id_dropbear is recommended for client keys.
-s bits Key size in bits, should be a multiple of 8 (optional) #指定长度，应该为8的整数倍DSS has a fixed size of 1024 bitsECDSA has sizes 256 384 521
-y      Just print the publickey and fingerprint for theprivate key in <filename>.[root@Node4 ~]# dropbearkey -t rsa -f /etc/dropbear/dropbear_rsa_host_key
Generating key, this may take a while...
Public key portion is:
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCYX53Gx6qDT0/Z06qOeztv3MKvSLU0FvCr6zu63ZZRJTbjhYDE3WZkjD/TELBnrl4bl3pGes7fTEL2Es/qD8lX+5sM67ik44RDSKdWPJA437n9YMsBVuS3WR4Xw109/ndPwbP/Kuwh5sOgVltaxrbNH7txeFOgkzC88HPPkfra7t4NN5/+vWnOu1fjKOdDgwTEj8frA2TGqeqEj0qkA4gEY9GNa/CyjeZip6iDHDJC70u6bCkjakhQoGO4u3iX1EA8CU2zNjALvYudo9TEUH7VWwWkJpfW1MOx/8zsadVGNEtsScNIgaVTMf6TWi47FYgkezHow50J56HtmaTl2PCR root@Node4
Fingerprint: md5 0d:31:e6:e1:8f:d8:59:ab:a4:46:ce:52:44:a9:13:ec[root@Node4 ~]# dropbearkey -t dss -f /etc/dropbear/dropbear_dss_host_key
Generating key, this may take a while...
Public key portion is:
ssh-dss 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 root@Node4
Fingerprint: md5 6d:bb:62:3c:0d:5a:77:ad:8e:57:40:44:b7:35:37:29
[root@Node4 ~]# ls /etc/dropbear/
dropbear_dss_host_key  dropbear_rsa_host_key
[root@Node4 ~]#

启动dropbear：

#手动指定端口启动
[root@Node4 dropbear]# dropbear -p 22022
[root@Node4 dropbear]# ss -tunlp|grep :22
tcp    LISTEN     0      128                   :::22                   :::*      users:(("sshd",1656,4))
tcp    LISTEN     0      128                    *:22                    *:*      users:(("sshd",1656,3))
tcp    LISTEN     0      128                   :::22022                :::*      users:(("dropbear",2097,5))
tcp    LISTEN     0      128                    *:22022                 *:*      users:(("dropbear",2097,4))#使用服务脚本启动dropbear，只要在服务脚本中启动dropbear添加一个-p选项指定端口就可

可以看到dropbear服务已经监听在22022端口，就可以使用ssh协议的客户端工具远程登录了,如dbclint

telnet和ssh都是文本协议，只支持字符通信方式，不支持图形化的通信，不能显示图形界面，比如不支持windows系统。支持图形化通信需要远程桌面协议。

四、VNC

1、VNC简介

VNC Virtual Network Console 是虚拟网络控制台的缩写。它是一款优秀的远程控制工具软件，由著名的AT&T的欧洲研究实验室开发的。VNC server与VNC viewer支持多种操作系统Unix，Linux，windows及MacOS因此可将VNC server及VNC viewer分别安装在不同的操作系统中进行控制。

2、整个VNC运行的工作流程如下
 1）VNC客户端通过浏览器或VNC Viewer连接至VNC Server。
 2）VNC Server传送一对话窗口至客户端，要求输入连接密码，以及存取的VNC Server显示装置。
 3）在客户端输入联机密码后，VNC Server验证客户端是否具有存取权限。
 4）若是客户端通过VNC Server的验证，客户端即要求VNC Server显示桌面环境。
 5）VNC Server通过X Protocol要求X Server将画面显示控制权交由VNC Server负责。
 6）VNC Server将来由X Server的桌面环境利用VNC通信协议送至客户端，并且允许客户端控制VNC Server的桌面环境及输入装置。

3、安装tigervnc

[root@Node4 ~]# rpm -qa|grep vnc
[root@Node4 ~]# yum list|grep tigervnc
tigervnc.x86_64                             1.1.0-18.el6                 base
tigervnc-server.x86_64                      1.1.0-18.el6                 base
tigervnc-server-applet.noarch               1.1.0-18.el6                 base
tigervnc-server-module.x86_64               1.1.0-18.el6                 base
[root@Node4 ~]# yum install tigervnc-server tigervnc[root@Node4 ~]# rpm -ql tigervnc-server
/etc/rc.d/init.d/vncserver
/etc/sysconfig/vncservers
/usr/bin/Xvnc
/usr/bin/vncconfig
/usr/bin/vncpasswd
/usr/bin/vncserver
/usr/bin/x0vncserver
/usr/share/man/man1/Xvnc.1.gz[root@Node4 ~]# rpm -ql tigervnc
/usr/bin/vncviewer
/usr/share/applications/vncviewer.desktop

4、tigvnc的使用

tigvnc服务端要安装桌面环境，要不然vnc客户端连进去就是黑屏

[root@www ~]# yum groupinstall "desktop" -y   #默认的是gnome桌面

不做任何配置就可以直接启用vnc服务端：

#服务端
[root@Node3 ~]# vncserver --helpusage: vncserver [:<number>] [-name <desktop-name>] [-depth <depth>][-geometry <width>x<height>][-pixelformat rgbNNN|bgrNNN][-fp <font-path>][-fg][-autokill]<Xvnc-options>...vncserver -kill <X-display>vncserver -list[root@Node3 ~]# vncserverYou will require a password to access your desktops.Password:
Verify:                     #第一次启动vncserver提示要设置6个字符以上的密码New 'Node3:1 (root)' desktop is Node3:1       #启动了1个桌面Creating default startup script /root/.vnc/xstartup
Starting applications specified in /root/.vnc/xstartup
Log file is /root/.vnc/Node3:1.log[root@Node3 ~]# ss -tunlp|grep vnc      #监听在5901上
tcp    LISTEN     0      5                      *:5901                  *:*      users:(("Xvnc",10125,3))[root@Node3 ~]# vncserver         #可以启动多次，启动了多个桌面，客户端使用不同的端口就连入不同的桌面，如果使用相同的端口就会把前面的用户给挤下来New 'Node3:2 (root)' desktop is Node3:2Starting applications specified in /root/.vnc/xstartup
Log file is /root/.vnc/Node3:2.log[root@Node3 ~]# ss -tunlp|grep vnc
tcp    LISTEN     0      5                      *:5901                  *:*      users:(("Xvnc",10125,3))
tcp    LISTEN     0      5                      *:5902                  *:*      users:(("Xvnc",11073,3))[root@Node3 ~]# vncserver :5         #还可以自定义桌面号，监听的端口为5900+桌面号New 'Node3:5 (root)' desktop is Node3:5Starting applications specified in /root/.vnc/xstartup
Log file is /root/.vnc/Node3:5.log[root@Node3 ~]# ss -tunlp|grep vnc
tcp    LISTEN     0      5                      *:5901                  *:*      users:(("Xvnc",10125,3))
tcp    LISTEN     0      5                      *:5902                  *:*      users:(("Xvnc",11073,3))
tcp    LISTEN     0      5                      *:5905                  *:*      users:(("Xvnc",11653,3))[root@Node3 ~]# service vncserver status    #但是此时用vncserver脚本管理不了，需要修改配置文件才可以
Xvnc (pid 11653 11073 10125) 正在运行...
[root@Node3 ~]# service vncserver stop
关闭 VNC 服务器：                                          [失败]
[root@Node3 ~]# service vncserver start
正在启动 VNC 服务器：no displays configured                [失败]

vnc客户端使用：

vncviewer [ip][:端口号或桌面号]

[root@Node4 ~]# vncviewer --helpTigerVNC Viewer for X version 1.1.0 - built May 11 2016 13:00:50
Copyright (C) 1999-2011 TigerVNC Team and many others (see README.txt)
See http://www.tigervnc.org for information on TigerVNC.usage: vncviewer [parameters] [host:displayNum] [parameters]vncviewer [parameters] -listen [port] [parameters][root@Node4 ~]# vncviewer 192.168.10.3   #不指定要连接远程主机的哪个桌面，默认连接的是0桌面也就是5900端口，但直接用vncserver启动的桌面默认是从1开始也就是5901端口TigerVNC Viewer for X version 1.1.0 - built May 11 2016 13:00:50
Copyright (C) 1999-2011 TigerVNC Team and many others (see README.txt)
See http://www.tigervnc.org for information on TigerVNC.Sun Jan  8 21:38:25 2017main:        unable connect to socket: Connection refused (111)

5、配置vncserver

修改vnc的服务脚本配置文件：/etc/sysconfig/vncservers

#只了解最后2行的配置意义即可# VNCSERVERS="2:myusername"
# VNCSERVERARGS[2]="-geometry 800x600 -nolisten tcp -localhost"VNCSERVERS="0:root 1:root 5:xj"
#启动的桌面后和用户，用户一定要是已存在的，可以用空格分隔写多个，每个用户都必须为远程桌面设置了密码（切换到该用户，第一次手动启动下vncserver即提示要设置秘密）VNCSERVERARGS[0]="-geometry 800x600 -nolisten tcp"#设置远程桌面的默认分辨率，连接进来后远程用户可以自己设置分辨率，-localhost表示该桌面只允许本机登录（使用localhost或127.0.0.1连接），应该去掉

修改完后kill掉之前vnc进程，用服务脚步启动vnc:

[root@Node3 ~]# service vncserver status
Xvnc 已停
[root@Node3 ~]# service vncserver start
正在启动 VNC 服务器：0:root
New 'Node3:0 (root)' desktop is Node3:0Starting applications specified in /root/.vnc/xstartup
Log file is /root/.vnc/Node3:0.log1:root
New 'Node3:1 (root)' desktop is Node3:1Starting applications specified in /root/.vnc/xstartup
Log file is /root/.vnc/Node3:1.log5:xj
New 'Node3:5 (xj)' desktop is Node3:5Starting applications specified in /home/xj/.vnc/xstartup
Log file is /home/xj/.vnc/Node3:5.log[确定]
[root@Node3 ~]# ss -tunlp|grep vnc
tcp    LISTEN     0      5                      *:5900                  *:*      users:(("Xvnc",7814,3))
tcp    LISTEN     0      5                      *:5901                  *:*      users:(("Xvnc",8111,3))
tcp    LISTEN     0      5                      *:5905                  *:*      users:(("Xvnc",8535,3))
[root@Node3 ~]#

6、xrdp

VNC是大部分Linux发行版默认的基于RFB协议的远程桌面程序，但对于普通用户来说，VNC的用户体验并不好，比较慢，还需要安装客户端。Windows的远程桌面基于RDP协议，在Linux下，我们也是可以找到开源的rdpserver的，这就是xrdp。

安装xrdp还可以直接使用windows上的远程桌面来登录：

[root@Node3 ~]# yum install xrdp[root@Node3 ~]# rpm -ql xrdp
/etc/logrotate.d/xrdp
/etc/pam.d/xrdp-sesman
/etc/rc.d/init.d/xrdp
/etc/sysconfig/xrdp
/etc/xrdp
/etc/xrdp/km-0407.ini
/etc/xrdp/km-0409.ini
/etc/xrdp/km-040c.ini
/etc/xrdp/km-0410.ini
/etc/xrdp/km-0419.ini
/etc/xrdp/km-041d.ini
/etc/xrdp/rsakeys.ini
/etc/xrdp/sesman.ini
/etc/xrdp/startwm.sh
/etc/xrdp/xrdp.ini
/etc/xrdp/xrdp.sh
/usr/bin/xrdp-dis
/usr/bin/xrdp-genkeymap
/usr/bin/xrdp-keygen
/usr/bin/xrdp-sesadmin
/usr/bin/xrdp-sesrun
/usr/bin/xrdp-sestest
/usr/lib64/xrdp

启动xrdp：

[root@Node3 ~]# service xrdp status
xrdp 已停
xrdp-sesman 已停
[root@Node3 ~]# service xrdp start
正在启动 xrdp：                                            [确定]
正在启动 xrdp-sesman：                                     [确定]
[root@Node3 ~]# service xrdp status
xrdp (pid  16698) 正在运行...
xrdp-sesman (pid  16702) 正在运行...
[root@Node3 ~]# ss -tunlp|grep xrdp
tcp    LISTEN     0      2              127.0.0.1:3350                  *:*      users:(("xrdp-sesman",16702,6))
tcp    LISTEN     0      2                      *:3389                  *:*      users:(("xrdp",16698,6))
[root@Node3 ~]#

xrdp依赖于tigervnc-server，会自动调用tigervnc-server，如果只使用xrdp，vnc可以不用配置，可以直接使用。

通过3389端口连接远程桌面时，xrdp会把所有通过3389端口数据都转发到vncserver的端口上，同时vncserver只监听127.0.0.1这个地址，所以vncserver的端口是不对外开放的。

除此之外，vncserver还为每一次远程桌面会话分配一个系统端口，注意这个端口很重要。如果我们要连接上一次的远程桌面会话A的，我们只需要连接会话A所在vncserver端口即可，默认就是连上次使用的桌面。

注意：

yum安装xrdp不会自动安装tigernv-server，一定要先安装tigervnc-server再安装xrdp

xrdp的配置就不管了，图形界面用的很少，以后用到再补充