17远程管理服务

远程管理服务概念
SSH 安全的远程连接，数据信息是加密的，默认可以root用户远程连接 22
TELNET 不安全的远程连接，数据信息是明文的，默认不可以让root用户远程连接 23

什么是shell
每连接登入到一个linux系统中，就是一个shell
可以一个linux系统有多个会话连接，每一个会话都是一个shell
系统中用户可以实现相互转换，每转换一个用户就是一个shell

shell特点说明
一般命令行临时配置的信息，只会影响当前shell
命令行配置的信息如果想生效，需要切换shell

SSH服务连接工作原理(数据加密)

私钥 钥匙
公钥 锁头
1客户端 执行远程连接命令
2客户端，服务端 建立3次握手过程
3服务端 让客户端进行确认是否接收服务端公钥信息
4客户端 进行公钥确认，接收到公钥信息
5服务端 让客户端确认登录用户密码信息
6客户端 进行密码信息确认
7客户端，服务端 远程连接建立成功

私钥和公钥作用
利用私钥和公钥对数据信息进行加密处理
利用公钥和私钥进行用户身份认证

基于密码的方式进行远程连接：公钥和私钥只能完成数据加密过程
基于秘钥的方式进行远程连接：公钥和私钥可以完成身份认证

SSH远程连接的方式
基于口令的方式进行远程连接 连接比较麻烦，连接不太安全

基于秘钥的方式进行远程连接 连接方式，连接比较安全
​    客户端(管理端) 执行命令创建秘钥
​    客户端(管理端) 建立远程连接(口令)，发送公钥信息
​    客户端(管理端) 再次建立远程连接
​    服务端(被管理端) 发送公钥质询信息
​    客户端(管理端) 处理公钥质询信息，将质询结果返回给服务端
​    l服务端(被管理端) 接收到质询结果，建立好远程连接

SSH实现基于秘钥连接的步骤
准备工作 准备好一台管理服务器
1，管理端创建秘钥对信息
ssh-keygen -t dsa

2，管理端需要将公钥进行分发
ssh-copy-id -i /root/.ssh/id_dsa.pub root@172.16.1.41

3，进行远程连接测试
ssh 172.16.1.41 不用输入密码信息可以直接连接

实现批量管理多台主机(脚本进行批量分发公钥)

ssh服务配置文件
vim /etc/ssh/ssh_config

Port 22 修改服务端口信息
ListenAdress 0.0.0.0 监听地址，指定一块网卡能够接受远程访问请求，指定监听地址只能是本地网卡上有的地址
ermitEmptyPasswords no 是否允许远程用户使用空密码登入，默认不允许
PermitRootLogin yes 是否禁止root用户远程连接主机，建议改为no
GSSAPIAuthentication no 是否开启GSSAPI认证功能，建议改为no
UseDNS no 是否开启反向DNS解析功能，建议进行关闭

ssh远程服务防范入侵案例
用秘钥登入，不用密码登入

解决SSH安全问题
​    防火请封闭SSH，指定源IP限制(局域网，信任公网)
​    开启SSH只监听本地内网IP(ListenAddress 172.16.1.61)

尽量不给服务器外网IP
最小化(软件安装--授权)
给系统的重要文件或命令做一个指纹
给他加锁 chattr +i

基于秘钥连接排错思路
利用命令进行连接测试
检查公钥在被管理主机上是否存在，并且与管理端公钥信息是否相同
利用公钥分发命令重新分发公钥
检查脚本的编写
调试脚本功能

ssh相关命令总结
ssh-keygen
ssh-copy-id
ssh
scp

sftp 172.16.1.41
ls 查看远程ftp服务器信息
cd 查看远程ftp服务器信息
lls 查看本地ftp客户端信息
lcd 查看本地ftp客户端信息
get 下载信息
put 上传信息
help 查看命令帮助
bye 退出ftp连接