标签(空格分隔): Linux 运维 ssh
各主机IP
172.16.1.5 lb01
172.16.1.6 lb02
172.16.1.7 web02
172.16.1.8 web01
172.16.1.51 db01 db01.etiantian.org
172.16.1.31 nfs01
172.16.1.41 backup
172.16.1.61 m01
SSH (secure shell protocol),是安全的网络加密协议,用于远程登录或连接Linux服务器.于1995年,芬兰学者Tatu Ylonen设计,其在CentOS中开源实现是由OpenSSH(包括openssh openssh-server).SSH之所以能够保证安全,原因在于它采用了公钥加密.整个过程是这样的:(1)远程主机收到用户的登录请求,把自己的公钥发给用户。用户同意会会将此公钥保存在~/.ssh/known_hosts文件中(2)用户使用这个公钥,将登录密码加密后,发送回来。(3)远程主机用自己的私钥,解密登录密码,如果密码正确,就同意用户登录。
OpenSSH:Open Secure SHell 目前有v1 v2两个版本,但为了保证安全应该不要使用v1。
CS架构程序:ssh分为客户端与服务器端
*OpenSSL: 提供连接加密
两种认证
- 基于口令
- 基于密钥
服务器sshd配置文件(/etc/ssh/sshd_config)部分说明。通过man sshd_config可得到更多详细信息
| 键 | 值 |
|---|---|
| Port | 监听的端口,应该修改 |
| PermitRootLogin | no,允许管理员登录吗?应该设为no |
| PermitEmptyPasswords | no,不应该允许空密码登录 |
| UseDNS | 设置为no,可以提高连接速度 |
| GSSAPIAuthentication | 设置为no,可以提高连接速度 |
| AddressFamily | IPV4或者IPV6 |
| ListenAddress | 指定客户端地址 |
| KeyRegenerationInterval | 1h,指的是密钥重新生成的时间间隔 |
| ServerKeyBits | 1024,服务器端密钥长度 |
| LoginGraceTime | 2m,登录时服务器最多等待多长时间 |
| MaxAuthTries | 6,最多允许用户的登录尝试次数默认为6 |
| AuthorizedKeysFile | ~/.ssh/authorized_keys,服务器公钥默认放置在客户端家目录指定文件 |
| PasswordAuthentication | yes,是不是允许基于口令的验证 |
| banner | none,登录时显示这个文件的内容(欢迎标语) |
SSH客户端基于口令登录或连接远程主机(client向server要其公钥,client将用server公钥加密过的密码发送给server进行验证,通过则登录成功)
完整用法格式
ssh [-1246AaCfGgKkMNnqsTtVvXxYy] [-b bind_address] [-ccipher_spec] [-D [bind_address:]port][-E log_file] [-e escape_char] [-F configfile] [-I pkcs11] [-i identity_file][-L address] [-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-p port][-Q query_option] [-R address] [-S ctl_path] [-W host:port] [-w local_tun[:remote_tun]][user@]hostname [command]
常用格式
# ssh -l USERNAME REMOTE_HOST
# ssh USERNAME@REMOTE_HOST
# ssh USERNAME@REMOTE_HOST ‘COMMAND’ -->指定命令时不会登录远程主机而只是单单执行命令返回结果至本机。
SSH客户端基于密钥登录主机(client向server传前者公钥)
1.一台主机为客户端(基于某个用户实现)。 ssh-keygen -t
ssh-keygen -t rsa
为了达到更好的安全性可以用ssh-keygen -p命令给自己的私钥加密,这种方法在每次连接其它主机时会要求你输入这个加密私钥口令。
2.将客户端主机公钥传输至服务器端某用户的家目录下的.ssh/authorized_key文件中。ssh-copy-id 或 scp 建议使用前者,因为其更强大。
ssh-copy-id -i /path/to/pubkey USERNAME@REMOTE_HOST
3.测试登录。
如何安全使用SSH服务
1. 密码应该经常更换
2. 使用非默认端口
3. 限制登录客户地址
4. 禁止管理员直接登录
5. 仅允许有限用户登录
6. 使用基于密钥的认证
7. 禁止使用版本1
批量管理案例,用如下3台主机演示
172.16.1.31 nfs01
172.16.1.41 backup
172.16.1.61 m01
--在3台主机上创建用户--
useradd james
echo "123456" | passwd --stdin james
--在m01主机上--
su - james
ssh-keygen -t dsa 或者 echo -e "\n" | ssh-keygen -t dsa -N "" # 第2种方法不需要手动按回车
ssh-copy-id -i ~/.ssh/id_dsa.pub james@nfs01 # 如果ssh端口不是默认的22则应写成ssh-copy-id -i ~/.ssh/id_dsa.pub "-p 52113 james@nfs01"
ssh-copy-id -i ~/.ssh/id_dsa.pub james@backup
测试连接
ssh -p 52113 nfs01 /sbin/ifconfig eth0
ssh -p 52113 backup /sbin/ifconfig eth0
将m01主机上的/etc/hosts分发到其余主机上
scp /etc/hosts nfs01:~/hosts
scp /etc/hosts backup:~/hosts
用脚本实现类似功能示例:
#!/bin/bash
# 将本机上的文件指传到多台主机.需要事先建立服务器密钥认证,各主机rsync suid设置
. /etc/init.d/functions
if [ $# -ne 2 ]; then
echo "Usage `basename $0` SRC DIST"
exit 1
fi
SRC=$1
DIST=$2
for i in 31 41;do
scp -P 52113 $1 172.16.1.$i:~/ &> /dev/null &&
ssh -p 52113 james@172.16.1.$i "sudo rsync ~/`basename $1` $2" &&
if [ $? -eq 0 ]; then
action "fenfa HOSTS file to 172.16.1.$i Success" /bin/true
else
action "fenfa HOSTS file to 172.16.1.$i Failure" /bin/false
fi
done
expect实现非交互式密钥认证功能
yum -y insall expect # 需要安装此软件包
expect
可以解决服务器ssh认证密钥时的交互问题,可以让其以我们想要的结果自动执行,以实现运维自动化智能化.
使用示例1:
①在3台主机上新建同名用户'uangianlap'
useradd uangianlap
echo "123456" | passwd --stdin uangianlap
②在m01管理机上生成密钥对
su - uangianlap # 切换用户
echo -e "\n" | ssh-keygen -t dsa -N "" # 一键生成密钥对
③编写expect脚本文件/scripts/distribute_sshkey.exp内容如下:
#!/usr/bin/expect
# filename:/scripts/distribute_sshkey.exp
# program args:
# file: 要分发的文件名
# host: 目标主机
# date:
# author: uangianlap
if { $argc != 3 } {
send_user "Usage:expect distribute_sshkey.exp file host\n"
exit
}
# 定义变量
set file [lindex $argv 0]
set host [lindex $argv 1]
set password "123456"
#spawn scp /etc/hosts root@10.0.0.142:/etc/hosts
#spawn scp -P52113 $file uangianlap@$host
spawn ssh-copy-id -i $file "-p 52113 uangianlap@$host"
expect {
"yes/no" {send "yes\r";exp_continue}
"*password" {send "$password\r"}
}
expect eof
exit -onexit {
send_user "success!\n"
}
④执行上述脚本,将本机(m01)上的公钥传给指定主机(不需要输入)
/scripts/distribute_sshkey.exp /home/uangianlap/.ssh/id_dsa.pub 172.16.1.31
网友评论