怎么保證遠程登錄服務器安全

直接用xp自帶的遠程桌面連接，在程序-附件-連接里面，打開好填入服務器的ip地址就可以了連接了

創(chuàng)新互聯(lián)成立于2013年，我們提供高端網(wǎng)站建設(shè)公司、成都網(wǎng)站制作、成都網(wǎng)站設(shè)計公司、網(wǎng)站定制、網(wǎng)絡營銷推廣、微信平臺小程序開發(fā)、微信公眾號開發(fā)、seo優(yōu)化排名服務，提供專業(yè)營銷思路、內(nèi)容策劃、視覺設(shè)計、程序開發(fā)來完成項目落地，為餐廳設(shè)計企業(yè)提供源源不斷的流量和訂單咨詢。

如何構(gòu)建安全的遠程登錄服務器(上)

這個文件的每一行包含“關(guān)鍵詞－值”的匹配，其中“關(guān)鍵詞”是忽略大小寫的。下面列出來的是最重要的關(guān)鍵詞，用man命令查看幫助頁（sshd (8)）可以得到詳細的列表。編輯“sshd_config”文件（vi /etc/ssh/sshd_config），加入或改變下面的參數(shù)： 下面逐行說明上面的選項設(shè)置： Port 22 ：“Port”設(shè)置sshd監(jiān)聽的端口號。 ListenAddress 192.168.1.1 ：“ListenAddress”設(shè)置sshd服務器綁定的IP地址。 HostKey /etc/ssh/ssh_host_key ：“HostKey”設(shè)置包含計算機私人密匙的文件。 ServerKeyBits 1024：“ServerKeyBits”定義服務器密匙的位數(shù)。 LoginGraceTime 600 ：“LoginGraceTime”設(shè)置如果用戶不能成功登錄，在切斷連接之前服務器需要等待的時間（以秒為單位）。 KeyRegenerationInterval 3600 ：“KeyRegenerationInterval”設(shè)置在多少秒之后自動重新生成服務器的密匙（如果使用密匙）。重新生成密匙是為了防止用盜用的密匙解密被截獲的信息。 PermitRootLogin no ：“PermitRootLogin”設(shè)置root能不能用ssh登錄。這個選項盡量不要設(shè)成“yes”。 IgnoreRhosts yes ：“IgnoreRhosts”設(shè)置驗證的時候是否使用“rhosts”和“shosts”文件。 IgnoreUserKnownHosts yes ：“IgnoreUserKnownHosts”設(shè)置ssh daemon是否在進行RhostsRSAAuthentication安全驗證的時候忽略用戶的“$HOME/.ssh/known_hosts” StrictModes yes ：“StrictModes”設(shè)置ssh在接收登錄請求之前是否檢查用戶家目錄和rhosts文件的權(quán)限和所有權(quán)。這通常是必要的，因為新手經(jīng)常會把自己的目錄和文件設(shè)成任何人都有寫權(quán)限。 X11Forwarding no ：“X11Forwarding”設(shè)置是否允許X11轉(zhuǎn)發(fā)。 PrintMotd yes ：“PrintMotd”設(shè)置sshd是否在用戶登錄的時候顯示“/etc/motd”中的信息。 SyslogFacility AUTH ：“SyslogFacility”設(shè)置在記錄來自sshd的消息的時候，是否給出“facility code”。 LogLevel INFO ：“LogLevel”設(shè)置記錄sshd日志消息的層次。INFO是一個好的選擇。查看sshd的man幫助頁，已獲取更多的信息。 RhostsAuthentication no ：“RhostsAuthentication”設(shè)置只用rhosts或“/etc/hosts.equiv”進行安全驗證是否已經(jīng)足夠了。 RhostsRSAAuthentication no ：“RhostsRSA”設(shè)置是否允許用rhosts或“/etc/hosts.equiv”加上RSA進行安全驗證。 RSAAuthentication yes ：“RSAAuthentication”設(shè)置是否允許只有RSA安全驗證。 PasswordAuthentication yes ：“PasswordAuthentication”設(shè)置是否允許口令驗證。 PermitEmptyPasswords no：“PermitEmptyPasswords”設(shè)置是否允許用口令為空的帳號登錄。 AllowUsers admin ：“AllowUsers”的后面可以跟著任意的數(shù)量的用戶名的匹配串（patterns）或user@host這樣的匹配串，這些字符串用空格隔開。主機名可以是DNS名或IP地址。 /etc/ssh/ssh_config 配置“/etc/ssh/ssh_config”文件是OpenSSH系統(tǒng)范圍的配置文件，允許你通過設(shè)置不同的選項來改變客戶端程序的運行方式。這個文件的每一行包含“關(guān)鍵詞－值”的匹配，其中“關(guān)鍵詞”是忽略大小寫的。 下面列出來的是最重要的關(guān)鍵詞，用man命令查看幫助頁（ssh (1)）可以得到詳細的列表。 編輯“ssh_config”文件（vi /etc/ssh/ssh_config），添加或改變下面的參數(shù)： 下面逐行說明上面的選項設(shè)置： Host * ：選項“Host”只對能夠匹配后面字串的計算機有效?！?”表示所有的計算機。 ForwardAgent no ：“ForwardAgent”設(shè)置連接是否經(jīng)過驗證代理（如果存在）轉(zhuǎn)發(fā)給遠程計算機。 ForwardX11 no ：“ForwardX11”設(shè)置X11連接是否被自動重定向到安全的通道和顯示集（DISPLAY set）。 RhostsAuthentication no ：“RhostsAuthentication”設(shè)置是否使用基于rhosts的安全驗證。 RhostsRSAAuthentication no ：“RhostsRSAAuthentication”設(shè)置是否使用用RSA算法的基于rhosts的安全驗證。 RSAAuthentication yes ：RSAAuthentication”設(shè)置是否使用RSA算法進行安全驗證。 PasswordAuthentication yes ：“PasswordAuthentication”設(shè)置是否使用口令驗證。 FallBackToRsh no：“FallBackToRsh”設(shè)置如果用ssh連接出現(xiàn)錯誤是否自動使用rsh。 UseRsh no ：“UseRsh”設(shè)置是否在這臺計算機上使用“rlogin/rsh”。 BatchMode no ：“BatchMode”如果設(shè)為“yes”，passphrase/password（交互式輸入口令）的提示將被禁止。當不能交互式輸入口令的時候，這個選項對腳本文件和批處理任務十分有用。 CheckHostIP yes ：“CheckHostIP”設(shè)置ssh是否查看連接到服務器的主機的IP地址以防止DNS欺騙。建議設(shè)置為“yes”。

EDA環(huán)境遠程安全登錄

EDA環(huán)境遠程登錄有幾款軟件，如VNCserver、xManager、go2Golbal、EoD/ETX，后三者都是商業(yè)軟件。

這幾款軟件功能各有區(qū)別，匯總描述如下：

1、 vnc 客戶端 + Linux vncServer 方式；

優(yōu)點：免費， 用戶端網(wǎng)絡斷開或者 vnc 客戶端關(guān)閉，登陸 Session 還保存在服務器端；?

缺點： 跨 Internet 訪問非常占用帶寬；屏幕不能自縮放；用戶要手動開啟 vnc 端口，每登陸一臺服務器開啟一個端口，且服? 務器端口最大數(shù) 100；

在分布式計算中模擬用戶提交 GUI 到其他機器有問題；不能完全屏蔽用戶 copypaste；

2、 xManager 客戶端 + Linux Xwindows 方式；

優(yōu)點： 登陸 Linux 服務器畫質(zhì)清晰；

缺點：收費，斷開網(wǎng)絡或者關(guān)閉客戶端、 登陸 Session 斷開、 進程死在服務器端；

3、 Go2 客戶端 + go2Global Server 方式；

優(yōu)點：用戶端網(wǎng)絡斷開或者 vnc 客戶端關(guān)閉、 登陸 Session 還保存在服務器端、 可屏蔽用戶 copypaste

缺點： 收費，屏幕不能自縮放、 需要每臺服務器配置 go2Global Server；

4、 EoD 客戶端 + EoD Server 方式；優(yōu)點：用戶端網(wǎng)絡斷開或者 vnc 客戶端關(guān)閉、 登陸 Session 還保存在服務器端、 可對用戶自定義分組進行權(quán)限設(shè)置、 可屏蔽用戶 copypaste；屏幕支持自縮放，對遠程會議幫助大；支持用戶將 GUI 窗口在其他遠程 Linux服務器打開； 網(wǎng)絡壓縮比大， Internet 訪問壓縮帶寬占用非常小，屏幕響應顯示快速； 可分享桌面，方便團隊技術(shù)分享；

缺點： 收費，需要設(shè)定一臺 Windows 機器安裝 EoD 管理器，對用戶權(quán)限設(shè)置；

如何保障Server 2008服務器的遠程桌面安全

1．利用win2008的安全配置工具來配置策略 微軟提供了一套的基于MMC(管理控制臺)安全配置和分析工具，利用他們你可以很方便的配置你的服務器以滿足你的要求。具體內(nèi)容請參考微軟主頁： 2．關(guān)閉不必要的服務 windows 2000 的 Terminal Services（終端服務），IIS ,和RAS都可能給你的系統(tǒng)帶來安全漏洞。為了能夠在遠程方便的管理服務器，很多機器的終端服務都是開著的，如果你的也開了，要確認你已經(jīng)正確的配置了終端服務。有些惡意的程序也能以服務方式悄悄的運行。要留意服務器上面開啟的所有服務，中期性(每天)的檢查他們。下面是C2級別安裝的默認服務： Computer Browser service TCP/IP NetBIOS Helper Microsoft DNS server Spooler NTLM SSP Server RPC Locator WINS RPC service Workstation Netlogon Event log 3．關(guān)閉不必要的端口 關(guān)閉端口意味著減少功能，在安全和功能上面需要你作一點決策。如果服務器安裝在防火墻的后面，冒的險就會少些，但是，永遠不要認為你可以高枕無憂了。用端口掃描器掃描系統(tǒng)所開放的端口，確定開放了哪些服務是黑客入侵你的系統(tǒng)的第一步。\system32\drivers\etc\services 文件中有知名端口和服務的對照表可供參考。具體方法為： 網(wǎng)上鄰居屬性本地連接屬性internet 協(xié)議(tcp/ip)屬性高級選項tcp/ip篩選屬性 打開tcp/ip篩選，添加需要的tcp,udp,協(xié)議即可。 4．打開審核策略 開啟安全審核是win2000最基本的入侵檢測方法。當有人嘗試對你的系統(tǒng)進行某些方式（如嘗試用戶密碼,改變帳戶策略，未經(jīng)許可的文件訪問等等）入侵的時候，都會被安全審核記錄下來。很多的管理員在系統(tǒng)被入侵了幾個月都不知道，直到系統(tǒng)遭到破壞。下面的這些審核是必須開啟的，其他的可以根據(jù)需要增加： 策略 設(shè)置 審核系統(tǒng)登陸事件 成功，失敗 審核帳戶管理 成功，失敗 審核登陸事件 成功，失敗 審核對象訪問 成功 審核策略更改 成功，失敗 審核特權(quán)使用 成功，失敗 審核系統(tǒng)事件 成功，失敗 5.開啟密碼密碼策略 策略 設(shè)置 密碼復雜性要求 啟用 密碼長度最小值 6位 強制密碼歷史 5 次 強制密碼歷史 42 天 6．開啟帳戶策略 策略 設(shè)置 復位帳戶鎖定計數(shù)器 20分鐘 帳戶鎖定時間 20分鐘 帳戶鎖定閾值 3次 7．設(shè)定安全記錄的訪問權(quán)限 安全記錄在默認情況下是沒有保護的，把他設(shè)置成只有Administrator和系統(tǒng)帳戶才有權(quán)訪問。 8．把敏感文件存放在另外的文件服務器中 雖然現(xiàn)在服務器的硬盤容量都很大，但是你還是應該考慮是否有必要把一些重要的用戶數(shù)據(jù)(文件，數(shù)據(jù)表，項目文件等)存放在另外一個安全的服務器中，并且經(jīng)常備份它們。 9.不讓系統(tǒng)顯示上次登陸的用戶名 默認情況下，終端服務接入服務器時，登陸對話框中會顯示上次登陸的帳戶明，本地的登陸對話框也是一樣。這使得別人可以很容易的得到系統(tǒng)的一些用戶名，進而作密碼猜測。修改注冊表可以不讓對話框里顯示上次登陸的用戶名，具體是： HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName 把REG_SZ 的鍵值改成 1 . 10．禁止建立空連接 默認情況下，任何用戶通過通過空連接連上服務器，進而枚舉出帳號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接： Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。 10.到微軟網(wǎng)站下載最新的補丁程序 很多網(wǎng)絡管理員沒有訪問安全站點的習慣，以至于一些漏洞都出了很久了，還放著服務器的漏洞不補給人家當靶子用。誰也不敢保證數(shù)百萬行以上代碼的2000不出一點安全漏洞，經(jīng)常訪問微軟和一些安全站點，下載最新的service pack和漏洞補丁，是保障服務器長久安全的唯一方法。 如果對我的答案滿意 請納為最滿意答案 謝謝```