現(xiàn)在網(wǎng)絡(luò)上的遠(yuǎn)控軟件多如牛毛，管理員們應(yīng)該如何選擇呢?筆者認(rèn)為，安全、穩(wěn)定、高效是最重要的三個(gè)標(biāo)準(zhǔn)。下面筆者向大家推薦兩款非常實(shí)用的遠(yuǎn)程控制工具。

　　一、部署SSH，遠(yuǎn)程管理更安全

　　管理員經(jīng)常需要telnet到遠(yuǎn)程服務(wù)器進(jìn)行管理，眾所周知Telnet服務(wù)有一個(gè)致命的弱點(diǎn)，它是以明文的方式傳輸用戶名和口令，所以很容易被別有用心的人竊取口令。

　　基于此筆者向大家推薦SSH(Secure Shell)，它包括服務(wù)器端和客戶端兩部分。SSH客戶端與服務(wù)器端通訊時(shí)，用戶名和密碼均進(jìn)行了加密，這就有效地防止了他人對密碼的盜取。而且通信中所傳送的數(shù)據(jù)包都是“非明碼”的方式。更重要的是它提供了圖形界面，同時(shí)也可以在命令行(shell)下進(jìn)行操作。

　　(一)部署SSH服務(wù)器

　　1.演示環(huán)境

　　服務(wù)器

　　OS:Windows Server 2003

　　IP:192.168.1.12

　　管理端

　　OS:Windows XP sp2

　　IP:192.168.1.22

　　軟件版本

　　Server：F-Secure SSH Server v5.3.28

　　Client：F-Secure SSH Client v5.4.56

　　2.服務(wù)端部署

　　(1)安裝

　　在服務(wù)器上，下載并安裝SSH服務(wù)器端“F-Secure SSH Server”軟件。安裝完成后，SSH服務(wù)器自動啟動。特別提示在安裝并啟動了SSH服務(wù)后，一定要關(guān)閉Telnet服務(wù)以保證服務(wù)器的安全。

#p#副標(biāo)題#e#

　　(2)設(shè)置

 

　　啟動SSH服務(wù)后，網(wǎng)絡(luò)管理員就可以遠(yuǎn)程登錄服務(wù)器進(jìn)行維護(hù)了。但是每個(gè)局域網(wǎng)使用SSH服務(wù)的需求是不同的，因此默認(rèn)的服務(wù)參數(shù)未必能滿足需要，那么我們就可以自行設(shè)置這些參數(shù)。

　　基本參數(shù)設(shè)置

　　運(yùn)行“fsshconf.exe”服務(wù)端配置程序，在彈出的“F-Secure SSH Server Configuration”窗口左欄中，依次選擇“Server Settings→General”，然后在右邊的“General”框體中就可以進(jìn)行服務(wù)端基本參數(shù)的設(shè)置了。

　　“Maximum number of connections”設(shè)置SSH服務(wù)器的最大連接數(shù)，以限制連接到SSH服務(wù)器的最大用戶數(shù)。大家可以根據(jù)自己的需要進(jìn)行設(shè)置，但不要太大造成服務(wù)器的負(fù)擔(dān)，建議企業(yè)中有幾個(gè)管理員就設(shè)置幾個(gè)連接數(shù)比如設(shè)置成12。默認(rèn)是0，表示沒有限制。“Idle timeout”是用戶遠(yuǎn)程登錄的超時(shí)時(shí)間設(shè)置，默認(rèn)為“0”，就是不進(jìn)行登錄超時(shí)限制。“Event log filter”多選框用來定義系統(tǒng)日志記錄哪些信息，我們可采用默認(rèn)設(shè)置，勾選“Errors”和“Warnings”兩項(xiàng)即可，建議大家不要勾選“Information”，否則會浪費(fèi)系統(tǒng)資源。

　　

　　圖1

　　“Encryption”配置項(xiàng)下可以設(shè)置加密方法，大家可以根據(jù)企業(yè)的安全需要進(jìn)行選擇。大家知道FTP服務(wù)器的個(gè)性化的登錄信息，SSH服務(wù)器也一樣可以做到。首先編寫一個(gè)登錄信息文本文件保存在文件夾中，然后點(diǎn)擊“Banner message file”欄的瀏覽按鈕，指定已編寫好的文本文件即可，這樣用戶遠(yuǎn)程登錄時(shí)就能看到這些個(gè)性化的信息了。最后，大家一定要記住點(diǎn)擊“Apply”按鈕保存參數(shù)設(shè)置。

　　網(wǎng)絡(luò)參數(shù)設(shè)置

　　“Network”配置項(xiàng)下可以設(shè)置連接的端口，默認(rèn)是“22”，筆者建議更改端口以加強(qiáng)安全性。當(dāng)然SSH服務(wù)器使用的端口號一定不能和服務(wù)器上別的程序的端口號沖突。另外，端口更改后在客戶端連接是就必須得用這個(gè)端口。其他的參數(shù)設(shè)置建議使用默認(rèn)值。

　　點(diǎn)擊“Identity”選項(xiàng)，在右欄中，我們可以使服務(wù)器重新產(chǎn)生新的用戶加密密鑰和對外公開使用的公鑰，它們分別存放在安裝文件夾的“hostkey”和“hostkey.pub”文件中，點(diǎn)擊“Generate”按鈕就可以重新生成這兩個(gè)文件。

圖2

　　SSH服務(wù)器產(chǎn)生一對密鑰和公鑰?？蛻舳耸褂霉€對SSH服務(wù)器發(fā)送來的信息進(jìn)行解密。當(dāng)用戶第一次登錄SSH服務(wù)器時(shí)，服務(wù)器會將它的公鑰發(fā)送給客戶端，以便客戶機(jī)能對服務(wù)器發(fā)送的信息進(jìn)行解密。

#p#副標(biāo)題#e#

　　登陸限制參數(shù)設(shè)置

 

　　點(diǎn)擊“Host Restrictions”選項(xiàng)，在右欄中就可以對遠(yuǎn)程登錄的計(jì)算機(jī)進(jìn)行限制設(shè)置。例如，不允許IP地址為“192.168.1.30”的客戶機(jī)遠(yuǎn)程登錄 SSH服務(wù)器，在“Deny login from hosts”輸入框中輸入“192.168.1.30”。與此類似“Group Restrictions”、“User Restrictions”分別是設(shè)置對于用戶組和具體用戶的限制。設(shè)置完成后點(diǎn)擊“Apply”按鈕即可。

圖3

　　SSH服務(wù)器參數(shù)的設(shè)置還有很多，除上面的以外大部分參數(shù)使用默認(rèn)值即可。SSH服務(wù)器的參數(shù)保存在“sshd2_config”文件中，用戶也可以用記事本打開它，直接進(jìn)行編輯，但這種方法比較麻煩，建議大家不要使用。

　　3、客戶端：客戶端的部署非常簡單，只需安裝客戶SSH客戶端程序“F-Secure SSH Client”即可。

　　(二)安全控制

　　1.連接SSH服務(wù)器

　　運(yùn)行桌面上的客戶端程序，彈出“F-Secure SSH Client”主窗口，點(diǎn)擊工具欄中的“Connect”(連接)按鈕，彈出“Connect to Remote Host”對話框。

　　在“Host name or IP address”欄中輸入SSH服務(wù)器的地址，如輸入它的IP地址“192.168.1.12”。接著，在“User Name”欄中輸入SSH服務(wù)器的管理員賬號名，在“Port”欄中輸入SSH服務(wù)器使用的端口號。最后，點(diǎn)擊“Connect”按鈕即可連接SSH服務(wù)器。

圖4

#p#副標(biāo)題#e#

　　此時(shí)，如果用戶是第一次遠(yuǎn)程登錄SSH服務(wù)器，則會彈出“是否將SSH服務(wù)器公鑰保存在本地?cái)?shù)據(jù)庫中”的提示框，點(diǎn)擊“是”按鈕，接著彈出“請輸入密碼”對話框，輸入管理員賬號、密碼后，點(diǎn)擊“OK”按鈕，就可以登錄到SSH服務(wù)器，對服務(wù)器進(jìn)行遠(yuǎn)程維護(hù)了。

 

圖5

　　提示：SSH客戶端也會產(chǎn)生用戶的加密密鑰和公鑰，客戶端在第一次登錄時(shí)，會將產(chǎn)生的公鑰復(fù)制到SSH服務(wù)器上的用戶目錄中，以便服務(wù)器能對客戶端發(fā)送的信息進(jìn)行解密。用戶目錄在服務(wù)器上的存儲路徑為“C?Documents and Settings用戶名”(假設(shè)操作系統(tǒng)是安裝在C盤中)。

　　2.文件傳輸功能

　　SSH服務(wù)器不但提供了遠(yuǎn)程登錄功能，還提供了文件傳輸功能。點(diǎn)擊“F-Secure SSH Client”主窗口的文件傳輸按鈕后，則可彈出文件傳輸窗口，以進(jìn)行文件的傳輸。在“Local Folders”欄中選擇一個(gè)本地文件，然后將它拖到“Remote Folders”欄中的SSH服務(wù)器上用戶的主目錄中即可，在窗口底部的狀態(tài)欄中會顯示文件的傳輸狀態(tài)。

圖6

　　客戶端連接SSH服務(wù)器時(shí)，SSH服務(wù)器提供兩種級別的安全驗(yàn)證。第一種級別基于用戶賬號密碼的安全驗(yàn)證，只要知道賬號和密碼就可以登錄到SSH 服務(wù)器;第二種級別基于密鑰的安全驗(yàn)證，客戶端必須為自己創(chuàng)建一對密鑰，并把公用密鑰傳送到SSH服務(wù)器上，這樣就有效地保證了客戶端和服務(wù)器端數(shù)據(jù)的安全傳輸。

#p#副標(biāo)題#e#

　　二、ATIES出馬，輕松實(shí)現(xiàn)服務(wù)器遠(yuǎn)程備份

 

　　服務(wù)器備份是服務(wù)器安全的需要，根據(jù)安全策略對服務(wù)器繼續(xù)備份也是管理人員的一項(xiàng)重要工作。筆者向大家推薦一款利器Acronis True Image Enterprise Server(簡稱ATIES)，通過它能輕松實(shí)現(xiàn)對服務(wù)器磁盤分區(qū)的遠(yuǎn)程完整備份、增量備份和計(jì)劃備份，極大減輕網(wǎng)管的維護(hù)工作量。

　　下面筆者部署一個(gè)網(wǎng)絡(luò)環(huán)境，實(shí)例演示利用ATIES對服務(wù)器進(jìn)行遠(yuǎn)程備份。

　　服務(wù)器A(Windows Server 2003)

　　網(wǎng)管機(jī)B(Windows XP)

　　任務(wù)：

　　1.遠(yuǎn)程備份服務(wù)器A中的磁盤分區(qū)，鏡像文件存儲在服務(wù)器A的共享文件夾“TEST”中。

　　2.利用“計(jì)劃任務(wù)”功能實(shí)現(xiàn)自動增量備份。

　　(一)部署控制中心

　　在網(wǎng)管機(jī)器B中，下載并運(yùn)行ATIES安裝程序，彈出組件安裝對話框，點(diǎn)擊“Install Acronis True Image Management Console”選項(xiàng)，同意用戶許可協(xié)議后，一路點(diǎn)擊“NEXT”按鈕，就完成了ATIES控制中心的安裝。

　　(二)遠(yuǎn)程部署Agent(代理)

　　要想進(jìn)行遠(yuǎn)程備份操作，必須為服務(wù)器A遠(yuǎn)程安裝Agent代理程序。

　　在網(wǎng)管機(jī)器B中，依次點(diǎn)擊“開始→程序→Acronis→Acronis true image management console→Acronis true image management console”項(xiàng)目。在ATIES控制中心窗口中點(diǎn)擊“Install acronis componets to a remote computer”選項(xiàng)，進(jìn)入到“遠(yuǎn)程安裝向?qū)?rdquo;對話框，點(diǎn)擊“NEXT”按鈕后，選中“Registered components”單選項(xiàng)，在接下來的“程序選擇”對話框中列出兩個(gè)程序組件:Acronis true image agent和Acronis true image enterprise server。這里筆者要為服務(wù)器A安裝代理程序，因此選擇“Acronis true image agent”項(xiàng)目如圖7，然后進(jìn)入到“登錄信息”對話框。

圖7

　　在“Computer”欄中輸入服務(wù)器A的IP地址，如“192.168.1.12”，也可以點(diǎn)擊“Browse”按鈕，在計(jì)算機(jī)瀏覽框中找到服務(wù)器A，然后在“User name”和“Password”欄中分別輸入服務(wù)器A的管理員賬號名和密碼，如“lw”賬號。這里筆者建議選中“Allow to reboot remote computer automatically”選項(xiàng)，因?yàn)榇沓绦蜻h(yuǎn)程安裝后，必須重新啟動系統(tǒng)才能生效。最后點(diǎn)擊“Proceed”按鈕，開始為服務(wù)器A遠(yuǎn)程安裝代理程序。安裝完成后，服務(wù)器A將自動重新啟動系統(tǒng)。

 

圖8

　　(三)讓文件夾共享

　　這里筆者要在網(wǎng)管機(jī)器B中遠(yuǎn)程備份服務(wù)器A的磁盤分區(qū)，并將“鏡像文件”存儲在服務(wù)器A的“S_bak”共享文件夾中。這里注意服務(wù)器A使用的是NTFS文件系統(tǒng)，因此共享文件夾的訪問權(quán)限不但受到“共享權(quán)限”限制，還受到NTFS文件系統(tǒng)的訪問權(quán)限限制。我們首先要在服務(wù)器A上對“S_bak”共享文件夾訪問權(quán)限進(jìn)行合理設(shè)置。

　　1.設(shè)置共享權(quán)限

　　在服務(wù)器A的資源管理器中，右鍵點(diǎn)擊“S_bak”共享文件夾，選擇“屬性”，切換到“共享”標(biāo)簽頁，點(diǎn)擊“權(quán)限”按鈕，彈出“S_bak的權(quán)限”設(shè)置對話框，點(diǎn)擊“添加”按鈕，將“lw”賬號添加到“組或用戶名稱”列表框內(nèi)，并且還要給該賬號賦予“完全控制權(quán)限”，最后點(diǎn)擊“確定”按鈕，完成共享權(quán)限設(shè)置。

　　2.NTFS訪問權(quán)限設(shè)置

　　以上設(shè)置的只是共享訪問權(quán)限，畢竟“S_bak”共享文件夾是受“共享訪問權(quán)限”和“NTFS訪問權(quán)限”雙重制約的。如果NTFS文件系統(tǒng)不允許“lw”賬號訪問共享，也是不行的。

#p#副標(biāo)題#e#

　　切換到“安全”標(biāo)簽頁后，首先將“lw”賬號添加到“組或用戶名稱”列表框中，接下來還要為該賬號設(shè)置訪問權(quán)限。選中“lw”賬號后，在“lw的權(quán)限”列表框中選中“讀取和運(yùn)行、列出文件夾目錄、讀取、修改和寫入”項(xiàng)目，最后點(diǎn)擊“確定”按鈕。

 

圖9

　　經(jīng)過以上操作后，就完成了“S_bak”共享文件夾訪問權(quán)限的設(shè)置。這里要注意以上操作是在服務(wù)器A進(jìn)行的。

　　(四)遠(yuǎn)程備份從此簡單

　　到此為止，遠(yuǎn)程備份的準(zhǔn)備工作就全部完成了，下面就可以在網(wǎng)管機(jī)器B中對服務(wù)器A的磁盤分區(qū)進(jìn)行遠(yuǎn)程備份。

　　1.連接服務(wù)器A

　　在網(wǎng)管機(jī)器B的ATIES控制中心窗口中，點(diǎn)擊“Connect to a remote computer”項(xiàng)目，彈出“遠(yuǎn)程連接計(jì)算機(jī)”對話框，在“Computer”欄中輸入服務(wù)器A的IP地址“192.168.1.12”，點(diǎn)擊“Options”按鈕后，在“User name”和“Password”欄中分別輸入服務(wù)器A的管理員賬號名“lw”和賬號密碼如圖10，點(diǎn)擊“OK”按鈕后，進(jìn)入到“Pick a task for the remote computer”窗口，說明已經(jīng)成功連接到服務(wù)器A。

圖10

#p#副標(biāo)題#e#

　　2.第一次完全手工備份

 

　　下面就開始實(shí)施遠(yuǎn)程手工備份服務(wù)器A磁盤分區(qū)。點(diǎn)擊“Backup”選項(xiàng)，彈出“創(chuàng)建鏡像文件向?qū)?rdquo;對話框，點(diǎn)擊“NEXT”按鈕后，在接下來的對話框中列出服務(wù)器A的磁盤分區(qū)。這里筆者以“C盤”分區(qū)為例，選中“C盤分區(qū)”項(xiàng)目，點(diǎn)擊“NEXT”按鈕后，為鏡像文件指定存儲位置。

　　在“網(wǎng)絡(luò)計(jì)算機(jī)”對話框中找到服務(wù)器A，彈出登錄對話框窗口，輸入服務(wù)器A的管理員賬號后，進(jìn)入到“S_bak”共享文件夾，接著為鏡像文件起個(gè)名字，如“server.tib”。下面選擇“鏡像模式”，這是筆者第一次為服務(wù)器A的C盤分區(qū)進(jìn)行備份，因此要選擇完全備份方式，選中“Create the full backup image archive”選項(xiàng)，點(diǎn)擊“NEXT”按鈕后，要為鏡像文件設(shè)置一個(gè)復(fù)雜的“保護(hù)密碼”，防止有人非法竊取。接著還要為鏡像文件設(shè)置分卷方式、壓縮率等，如果沒有特殊要求，使用默認(rèn)值即可。最后點(diǎn)擊“Proceed”按鈕，就開始遠(yuǎn)程備份服務(wù)器A的C盤分區(qū)。備份成功后，就會在服務(wù)器A的“S_bak”共享文件夾中生成一個(gè)名為“rtj.tib”的鏡像文件。

圖11

　　3.計(jì)劃增量備份

　　以上完成了第一次手工備份，但以后每次都要手工備份是非常麻煩的，ATIES提供了“計(jì)劃任務(wù)”功能，利用它創(chuàng)建備份任務(wù)，可以輕松完成自動備份。

　　在網(wǎng)管機(jī)器B的ATIES控制中心窗口中，點(diǎn)擊下方的“Show tasks”選項(xiàng)，彈出“計(jì)劃任務(wù)向?qū)?rdquo;對話框，計(jì)劃備份向?qū)У牟僮鬟^程和手工備份向?qū)Щ鞠嗨?，只是多?ldquo;備份時(shí)間間隔”參數(shù)的設(shè)置。

圖12

#p#副標(biāo)題#e#

　　還是以備份服務(wù)器A的C盤分區(qū)為例，在“計(jì)劃任務(wù)向?qū)?rdquo;對話框中選中服務(wù)器A的C盤分區(qū)，指定好鏡像文件的存儲位置“S_bak共享文件夾中rtj.tib”。這里要注意:“鏡像模式”要選中“Create differential backup archive”項(xiàng)目，也就是增量備份。

 

圖13

　　接著指定好分卷方式、壓縮率等，然后進(jìn)入到“備份時(shí)間間隔”參數(shù)設(shè)置對話框。這里筆者每天都要對服務(wù)器A的C盤分區(qū)進(jìn)行遠(yuǎn)程增量備份，選中“Daily”單選項(xiàng)，點(diǎn)擊“NEXT”按鈕后，在“Start time”欄中設(shè)置每天開始計(jì)劃備份的時(shí)間;然后進(jìn)入到“用戶信息”對話框，在這里輸入要使用的服務(wù)器A的管理員賬號密碼，最后點(diǎn)擊“Finish”按鈕，完成備份任務(wù)的創(chuàng)建。這樣一來，網(wǎng)管機(jī)器B每天都可以自動對服務(wù)器A的C盤分區(qū)進(jìn)行遠(yuǎn)程增量備份，免去了手工備份的麻煩。

圖14

　　利用ATIES實(shí)現(xiàn)磁盤分區(qū)的遠(yuǎn)程備份的確能方便網(wǎng)管對備份文件的統(tǒng)一管理。在設(shè)置過程中一定意以下兩點(diǎn):1、要正確設(shè)置服務(wù)器A的網(wǎng)絡(luò)防火墻和共享文件夾的訪問權(quán)限，這樣在網(wǎng)絡(luò)中進(jìn)行遠(yuǎn)程備份的人員才能訪問服務(wù)器A，保證備份文件被正常存儲在共享文件夾中;1、遠(yuǎn)程備份人員要擁有服務(wù)器A的管理員訪問權(quán)限，否則就無法正常安裝代理程序和遠(yuǎn)程連接服務(wù)器A。

　　總結(jié)：現(xiàn)在的遠(yuǎn)控工具實(shí)在是太多了，也許大家都有自己常用的工具，不管大家選擇那款工具安全性是最重要的。選擇工具的時(shí)候一定要慎重，從企業(yè)的需要出發(fā)把好安全關(guān)以免引狼入室造成安全隱患。希望筆者推薦的這兩款遠(yuǎn)控工具為大家?guī)戆踩旖莸倪h(yuǎn)控體驗(yàn)。