day36 綜合架構(gòu)遠(yuǎn)程管理

課程介紹

1. 遠(yuǎn)程管理服務(wù)概念介紹

2. 遠(yuǎn)程管理遠(yuǎn)程連接原理 加密方式 私鑰-公鑰

3. 遠(yuǎn)程管理登陸主機(jī)方式:

a. 基于密碼登錄方式
b. 基于秘鑰登錄方式 原理 部署過(guò)程

4. 遠(yuǎn)程管理服務(wù)的配置文件

5. 遠(yuǎn)程服務(wù)入侵防范配置

6. 將批量遠(yuǎn)程服務(wù)部署 ansible nginx zabbix`

知識(shí)回顧

sersync啟動(dòng)腳本

#! /bin/bash  
#  
#sersyncd  
#    
 case "$1" in  
   start)  
   sersync -dro /usr/local/sersync/conf/confxml.xml
    if [ $? -eq 0 ]  
            then   
            echo -e "Staring sersyncd      [  OK  ]" 
            exit 0  
    fi  
    ;;  
    stop)  
    kill `'ps -ef | grep sersync | grep -v grep | awk '{print $2}'` 
    if [ $? -eq 0 ]  
           then   
            echo -e "Stopping sersyncd     [  OK  ]" 
            exit 0  
    fi  
    ;;  
   status) 
    ps -ef| grep sersync| grep -v grep
        
    ;;  
    restart)
     kill `'ps -ef | grep sersync | grep -v grep | awk '{print $2}'` 
     sersync -dro /usr/local/sersync/conf/confxml.xml
      if [ $? -eq 0 ]  

           then   
            echo -e "restart sersyncd     [  OK  ]" 
             exit 0 
  esac 

殺死進(jìn)程的三種方式:

1.kill 用法:kill uid ---殺死進(jìn)程會(huì)有提示信息
2.killall 用法:killall sersync ---進(jìn)程殺死會(huì)有提示信息(推薦)
3.pkill 用法:pkll sersync ---殺死進(jìn)程沒(méi)有提示,模糊殺手(危險(xiǎn))
特殊用法: tomcat - - java
kill -9 強(qiáng)制殺死進(jìn)程

新的腳本結(jié)構(gòu)

 if [ 資產(chǎn) > 1個(gè)億 ]
 then
         買(mǎi)一座島嶼
  elif [ 1000萬(wàn) < 資產(chǎn)金額 < 1億]
           買(mǎi)個(gè)地皮
   elif [ 100萬(wàn) < 資產(chǎn) < 1000萬(wàn) ]
              買(mǎi)個(gè)別墅
    else
             租房
   fi

遠(yuǎn)程管理服務(wù)介紹

遠(yuǎn)程連接方式:

SSH: 服務(wù)端口 22 對(duì)遠(yuǎn)程傳輸數(shù)據(jù)進(jìn)行加密 默認(rèn)支持root用戶遠(yuǎn)程連接
telnet: 服務(wù)端口 23 對(duì)遠(yuǎn)程傳輸數(shù)據(jù)明文顯示 默認(rèn)禁止root用戶遠(yuǎn)程連接

基于密碼連接遠(yuǎn)程連接原理

1. 客戶端 ---> 服務(wù)端 建立三次握手
2. 客戶端 ---> 服務(wù)端 SSH遠(yuǎn)程連接請(qǐng)求
3. 服務(wù)端 ---> 客戶端 SSH遠(yuǎn)程連接確認(rèn)信息 確認(rèn)是否建立連接
4. 客戶端 ---> 服務(wù)端 發(fā)送確認(rèn)連接信息
5. 服務(wù)端 ---> 客戶端 發(fā)送公鑰信息 /etc/ssh/公鑰信息
6. 客戶端 ---> 服務(wù)端 收到公鑰信息保存 確認(rèn) ~/.ssh/know_hosts
7. 服務(wù)端 ---> 客戶端 詢問(wèn)連接密碼信息
8. 客戶端 ---> 服務(wù)端 登錄密碼信息
9. 服務(wù)端 ---> 客戶端 最終確認(rèn)
PS:基于密碼建立遠(yuǎn)程通訊過(guò)程

基于密碼連接過(guò)程.png

遠(yuǎn)程服務(wù)建立方式

a. 基于密碼登錄方式
b. 基于密鑰登錄方式 私鑰 公鑰

秘鑰作用
1.利用秘鑰對(duì)數(shù)據(jù)信息進(jìn)行加密處理
2.利用秘鑰信息進(jìn)行用戶身份認(rèn)證

基于秘鑰登錄原理過(guò)程

1. 管理端 --> 被管理端 管理創(chuàng)建密匙對(duì),將公鑰進(jìn)行發(fā)送
2. 管理端 --> 被管理端 發(fā)送遠(yuǎn)程連接請(qǐng)求
3. 被管理端 --> 管理端 進(jìn)行公鑰質(zhì)詢
4. 管理端 --> 被管理端 相應(yīng)公鑰質(zhì)詢信息
5. 被管理端 --> 管理端 公鑰質(zhì)詢結(jié)果

基于秘鑰連接.png

基于秘鑰連接配置過(guò)程

第一個(gè)里程: 創(chuàng)建秘鑰對(duì)信息 被管理服務(wù)器(10.0.0.7)
ssh-keygen -t dsa
回車(chē) , 回車(chē) , 回車(chē)
第二個(gè)里程: 將公鑰進(jìn)行發(fā)送 管理端服務(wù)器(10.0.0.61)
ssh -copy-id -i /root/.ssh/id_dsa.pub 172.16.1.31
yes , 123456 ,
第三個(gè)里程: 基于秘鑰連接測(cè)試
ssh 172.16.1.31
ssh 172.16.1.31 直接在后面寫(xiě)命令返回對(duì)端結(jié)果

需求:管理端(10.0.0.61) --- 多臺(tái)服務(wù)器分發(fā)公鑰
如何批量分發(fā)公鑰---shell腳本
[root@m01 ~]# cat /server/scripts/distribute_key.sh

#!/bin/bash
. /etc/init.d/functions

# 創(chuàng)建秘鑰對(duì)
if [ ! -f /root/.ssh/id_dsa ]
then
  ssh-keygen -t dsa -f /root/.ssh/id_dsa -P "" >/dev/null
  action "key pair create"  /bin/true
else
  action "key pair already exists" /bin/false
fi

# 分發(fā)公鑰信息
for ip in 7 31 41
do
   sshpass -p123456 ssh-copy-id -i ~/.ssh/id_dsa.pub 172.16.1.$ip -o StrictHostKeyChecking=no &>/dev/null
   if [ $? -eq 0 ]
   then 
      action "host 172.16.1.$ip pub_key distribute"  /bin/true
      echo ""
   else
      action "host 172.16.1.$ip pub_key distribute"  /bin/false
      echo ""
   fi
done

免交互批量檢查公鑰腳本

 [root@m01 ~]# cat /server/scripts/check_key.sh 
#!/bin/bash
. /etc/init.d/functions

# 檢查公鑰信息
for ip in 7 31 41
do
   ssh 172.16.1.$ip hostname &>/dev/null
   if [ $? -eq 0 ]
   then 
      action "host 172.16.1.$ip connect"  /bin/true
      echo ""
   else
      action "host 172.16.1.$ip connect"  /bin/false
      echo ""
   fi
done

免交互批量執(zhí)行統(tǒng)一信息

[root@m01 ~]# cd /server/scripts/
[root@m01 scripts]# sh jianche.sh 'hostname -i'
/

  #!/bin/bash

  # 檢查公鑰信息批量執(zhí)行命令
  for ip in 7 41 31
  do
        ssh 172.16.1.$ip $1
  done

問(wèn)題:如何免交互發(fā)布密碼
01.不要輸入yes確認(rèn)
ssh 172.16.1.31 -o StrictHostKeyChecking=no
ssh-copy-id -i ~/.ssh/id_dsa.pub 172.16.1.31 -o StrictHostKeyChecking=no

02.不要輸入密碼
yum install -y sshpass
sshpass - noninteractive ssh password provider (提供一個(gè)ssh密碼信息, 進(jìn)行非交互ssh連接)
sshpass -p654321 ssh-copy-id -i ~/.ssh/id_dsa.pub 172.16.1.31 -o StrictHostKeyChecking=no

補(bǔ)充:理解分發(fā)公鑰的原理過(guò)程 ssh-copy-id -i

1) 利用ssh和遠(yuǎn)程主機(jī)建立連接
2) 將本地公鑰文件信息傳輸?shù)竭h(yuǎn)程主機(jī)上
3) 遠(yuǎn)程主機(jī)收到公鑰信息 會(huì)保存到~/.ssh/authorized_keys 并且授權(quán)為600

生成秘鑰對(duì)

ssh-keygen

參數(shù)
-t：指定生成密鑰的類(lèi)型化漆，默認(rèn)使用SSH2d的rsa
-f：指定生成密鑰的文件名性雄，默認(rèn)id_rsa（私鑰id_rsa雄人，公鑰id_rsa.pub）
-P：提供舊密碼，空表示不需要密碼（-P ‘’）
-N：提供新密碼措嵌，空表示不需要密碼(-N ‘’)
-q: 靜默模式，不顯示提示信息