场景
我们给自己的博客搭建一个站点,配置lnmp/lamp运行环境可以跑起来,差不多就完事了。但是当我们做的是一个中型或者大型项目,在它需要部署到生产服务器上线运营时,账户安全方面需要做些什么?
ssh
安装
apt-get install openssh-server
启动
/etc/init.d/ssh start
使用
ssh martist@192.168.123.3
//ssh远程连接服务器,需要输入用户密码
应用
主机名管理
一个中型甚至大型的的项目,往往需要对多台服务器进行管理,如生产服务器,测试服务器,管理服务器等等。因此需要对每一台服务器的主机名进行管理,通过修改各个服务器的/etc/hostname文件修改本地系统名,重启可以看到。
密钥ssh登录
linux或Mac下生成密钥的命令是ssh-keygen -t rsa默认生成路径在家目录的.ssh目录下。id_rsa 文件保存的是本机的私钥,id_rsa.pub文件保存的是公钥。
ifconfig命令查看服务器的IP地址,注意如果你是用的是阿里云ECS,此处查看到的是内网IP而非公网IP。
在被登录的服务器的家目录下的.ssh目录(如果不存在就创建一个)创建一个authorized_keys 文件,并将生成的公钥文件的内容放到里面,就可以在本地使用密钥登陆这台服务器了。
ssh martist@192.168.123.3
//此时不需要输入用户名密码
如果我们关闭密码登陆,转而使用ssh密钥登录,更可以确保服务安全(注意:关闭密码登陆前,一定要确保能够正常使用ssh密钥登陆)。
关闭密码登陆
找到/etc/ssh/sshd_config 修改PasswordAuthentication 属性 yes。
在第52行,yes改为no,禁用密码登陆(慎用)。
详细实战分析
线上:阿里云ECS云服务器 Ubuntu14.04lts
Manager服务器生成ssh密钥
ssh-keygen -t rsa //一路回车
生成的密钥保存在家目录下,进入.ssh目录下,
ls//查看文件
id_rsa id_rsa.pub know_hosts
Manager服务器上在 /etc/hosts 文件里加上重定向的名字,如测试服务器,DB服务器和Manager服务器分别起一个重定向名字便于管理多台web服务器。
修改本地定向网络ip(阿里云的内网ip)的文件
vi /etc/hosts
//写入 10.162.48.184 FWEB1
//每次在终端输入‘FWEB1’,就代表‘10.162.48.184’。
在mannager服务器上,试一下ssh登录web1服务器
ssh root@FWEB1
退出
exit
在mannager服务器上,试一下文件上传web1服务器
scp ./id_rsa.pub root@FWEB1:/root
现在还是需要输入密码,不过等一会把密钥加到web服务器上,再从manager登录web服务器,就不需要输入密码了。
在web1服务器,家目录下创建.ssh目录
ssh root@FWEB1 // 输入密码
mkdir ~/.ssh
在web1服务器,把id_rsa.pub传递到.ssh/目录下
cat id_rsa.pub >> .ssh/id_rsa.pub
此时,再从id_rsa.pub设置到web服务器(FWEB1)本地.
文件改名
mv id_rsa.pub authorized_keys
给执行权限
chmod 600 ./authorized_keys
退出ssh远程登录
exit
此时回到manager服务器
ssh root@FWEB1
//此时密码不用输就可以进入FWEB1
随便上传个文件,试试
scp know_hosts root@FWEB1:/tmp/
此后,在manager服务器向web服务器,scp传送东西,不需要再输入密码了。
原理:manager服务器私钥自己留着,把公钥给所有的web,DB,备份服务器,就可以便捷管理了。
关闭web服务器的密码登陆
找到/etc/ssh/sshd_config 修改PasswordAuthentication 属性 yes。在第52行,yes改为no,禁用密码登陆。
修改sshd_config文件中ssh端口,ssh端口默认为 22. 把端口号改为1000以上的数值。
默认:Port:22
改为:Port 1678
:wq //退出vi编辑器。
reboot //重启生效
ssh登录目的服务器命令
root@FWEB1
有点麻烦?可以创建自己的别名
vi ~/.bash_profile
//写入 alias fewb1='ssh root@FWEB1 -p 1678'
//(-p 为端口号)
好,:wq 保存退出。
使他生效
source .bash_profile
查看别名
alias
在manager服务器下,把某个文件夹下全部文件推送到web服务器。
scp -p 1678 ./* root@FWEB1:/tmp/ ~~~~
//(需要被传送文件的web服务器有这个文件夹)
把服务器其上的东西上传上去,是这样写, 把web服务器的东西下载到本地,只要把这俩目录倒过来,就可以了。
技巧:
cd ~
mkdir sh
vi pushcode.sh
//在这里写shell脚本
shell脚本的写法,开头‘#!’,后面是 shell可执行命令的位置。
#!/bin/sh
scp -p 1678 ./var/www.machuang.name/* root@FWEB1:/var/www/machuang.name
好!:wq 保存推出。
给执行权限
chmod 755 /root/sh/pushcode.sh
Ls查看下
ls /root/sh
此时看到pushcode.sh变成绿色,就对了。以后敲入这段命令,就可以完成上传代码的功能了。
/root/sh/pushcode.sh
就可以执行脚本内的命令了,此时再加一个别名。
cd ~
vi .bash_profile
//写入 alias pushcode='/root/sh/pushcode.sh'
//:wq 保存退出
好,使它生效,否则要重启才能生效。
source .bash_profile
上传代码:
pushcode
这样一个具备业务逻辑的ssh服务使用就展现在你面前了,单一的使用一个工具并不显得立体,多种linux软件和命令有机结合在一起才能迸发出更大的能量。
欢迎star
我写的一本电子书,总结开发经验,完善知识体系,欢迎各位大佬订阅收藏。
https://www.kancloud.cn/martist/ma_zhao_liu
网友评论