rsh和ssh的区别
在很多的应用中,我们需要建立节点之间的信任关系,现阶段来看rsh使用的很少了,大部分还是使用ssh,不过有很多老点的机器还是使用rsh。
简单来说,rsh和ssh它俩之间的区别就是:
ssh是使用密钥加密从而实现无密码登录的,具体来说就是在A主机生成一对密钥对,即公钥和私钥,我把公钥传递给B,然后等A链接B的时候,B会随机生成一个数来使用A提供的公钥进行加密,并将加密后的数字发送给A,A采用自己的私钥解密,并将解密后的数字再传送给B,等B校验A传来的数字和刚开始生成的数字相符时,就允许A登录,这就是ssh无密码登录的原理。
而rsh是使用明文传输,没有密钥的机制,总的来说就是他们的安全级别不够。Ssh要比rsh更安全一些。
Ssh配置无密码登录
Test1 192.168.10.1
Test2 192.168.10.2
防火墙,selinux配置过程省略
1.生成密钥文件,一切按默认的方式生成
[root@test1 ~]#ssh-keygen
2.查看生成文件: ls .ssh 下面的这两个即为生成的密钥对
[root@test1 ~]#ls
id_rsa id_rsa.pub
3.将test1的公钥id_rsa.pub复制到test2上去
[root@test1 .ssh]#ssh-copy-id -i id_rsa.pub 192.168.100.2
如果不用上面的命令,authorized_keys文件的权限一定要修改为600
4.验证
[root@test1 ~]#ssh 192.168.10.2
由于首次登录还没有添加认证,这次仍然会提示输入密码
[root@test2 ~]#ssh 192.168.10.1 首次和之后登录都需要密码
这样就完成了单向的无密码登录
5.若想完成双向的无密码登录,则test1 和test2的.ssh下须有这三个文件:
authorized_keys id_rsa id_rsa.pub
[root@test1 .ssh]#scp id_rsa 192.168.10.2:/root/.ssh
[root@test1 .ssh]#scp id_rsa.pub 192.168.10.2:/root/.ssh
[root@test1 .ssh]#ssh 192.168.10.2
[root@test2 .ssh]#scp authorized_keys 192.168.10.1:/root/.ssh
双方.ssh目录下都有了三个文件后就OK了。
2. Rsh设置主机之间无密码登录
root用户配置:
1. Test1与test2均安装需要的软件:
rsh.x86_64
rsh-server.x86_64
Yum安装:yum -y install rsh* # 这一步test1,2均需要
2.启动rsh服务
rsh 属于xinetd服务
service xinetd restart
3.修改/etc/xinetd.d/rsh|rlogin|rexec文件,将 disable = yes 该为 disable = no
4.配置/etc/hosts文件
将test1和test2的IP地址与主机名对应的写入到该文件,是为了DNS能解析成功:
[root@test1 ~]# vi /etc/hosts
127.0.0.1 localhost localhost.localdomain localhost4localhost4.localdomain4
192.168.10.1 test1
192.168.10.2 test2
5. 配置/etc/hosts.equiv(若没有该文件请自行建立)
这一步主要是将对方的主机名写进去。
[root@test1 ~]# vi /etc/hosts.equiv
test1
test2
注:这里是允许对方机器上的所有用户,如果只允许root就写 test1 root
6. 配置/root/.rhosts文件(自行建立)
[root@test1 ~]# vi .rhosts
test1
test2
7. 修改/etc/securetty文件,添加:rsh rexec rlogin
[root@test1 ~]# vi /etc/securetty
rsh
rlogin
rexec
也可以执行:echo "rsh">> /etc/securetty ;
echo "rexec" >>/etc/securetty ;
echo "rlogin" >> /etc/securetty ;
注:这一步非常重要,如果想要root登录不需要密码,必须要在这个文件里面输入上面的内容。至于这个文件的作用会在下面讲解。
8. 重启服务
[root@test1 ~]#service xinetd restart
9.将这几个配置文件复制到test2
[root@test1 ~]#scp /etc/hosts 192.168.10.2:/etc/hosts
[root@test1 ~]#scp /etc/hosts.equiv 192.168.10.2:/etc/hosts.equiv
[root@test1 ~]#scp .rhosts 192.168.10.2:/root
[root@test1 ~]#scp /etc/securetty 192.168.10.2:/etc/securetty
[root@test1 ~]#scp /etc/xinetd.d/rsh /etc/xinetd.d/rlogin/etc/xinetd.d/rexec 192.168.10.2:/etc/xinetd.d
Test2重启服务
10.测试:rsh server
[root@test1 ~]#rsh test2
[root@test2 ~]#rsh test1
看起来很麻烦,具体操作起来也还好。。。
no-root(普通用户配置)
普通用户的配置和上面差不多,有几点区别指出:
上面的第6步:
需要在该用户的家目录下创建.rhosts文件,输入的内容是一样的。
例如用户rshtest 就需要在 /home/rshtest/ 下创建.rhosts文件
补充:
我们主要来说一下:/etc/securetty文件的作用:
/etc/securetty文件规定root用户可以从哪个tty设备登录。登录程序(通常是“/bin/login”)需要读取“/etc/securetty”文件。它的格式是:列出来的tty设备都是允许登录的,注释掉或是在这个文件中不存在的都是不允许root登录的。
把这个文件改名、或注释掉里面的文件,不会影响ssh的应用,因为ssh远程登录使用的是PTS,这个文件可以阻止telnet,rsh , 通过root登录。
主要要改的文件:
/etc/hosts
/etc/hosts.equiv
/etc/securetty
/root/.rhosts
/etc/xinetd.d/rsh
/etc/xinetd.d/rlogin
/etc/xinetd.d/rexec
转载于:https://blog.51cto.com/lwj421/1623335