標簽(空格分隔): Linux 運維 ssh
各主機IP
172.16.1.5 lb01
172.16.1.6 lb02
172.16.1.7 web02
172.16.1.8 web01
172.16.1.51 db01 db01.etiantian.org
172.16.1.31 nfs01
172.16.1.41 backup
172.16.1.61 m01
SSH (secure shell protocol),是安全的網(wǎng)絡(luò)加密協(xié)議,用于遠程登錄或連接Linux服務(wù)器.于1995年,芬蘭學者Tatu Ylonen設(shè)計,其在CentOS中開源實現(xiàn)是由OpenSSH(包括openssh openssh-server).SSH之所以能夠保證安全,原因在于它采用了公鑰加密.整個過程是這樣的:(1)遠程主機收到用戶的登錄請求,把自己的公鑰發(fā)給用戶叭莫。用戶同意會會將此公鑰保存在~/.ssh/known_hosts文件中(2)用戶使用這個公鑰,將登錄密碼加密后,發(fā)送回來。(3)遠程主機用自己的私鑰,解密登錄密碼,如果密碼正確,就同意用戶登錄菌湃。
OpenSSH:Open Secure SHell 目前有v1 v2兩個版本,但為了保證安全應(yīng)該不要使用v1遍略。
CS架構(gòu)程序:ssh分為客戶端與服務(wù)器端
*OpenSSL: 提供連接加密
兩種認證
- 基于口令
- 基于密鑰
服務(wù)器sshd配置文件(/etc/ssh/sshd_config)部分說明惧所。通過man sshd_config可得到更多詳細信息
| 鍵 | 值 |
|---|---|
| Port | 監(jiān)聽的端口,應(yīng)該修改 |
| PermitRootLogin | no,允許管理員登錄嗎绪杏?應(yīng)該設(shè)為no |
| PermitEmptyPasswords | no,不應(yīng)該允許空密碼登錄 |
| UseDNS | 設(shè)置為no,可以提高連接速度 |
| GSSAPIAuthentication | 設(shè)置為no,可以提高連接速度 |
| AddressFamily | IPV4或者IPV6 |
| ListenAddress | 指定客戶端地址 |
| KeyRegenerationInterval | 1h,指的是密鑰重新生成的時間間隔 |
| ServerKeyBits | 1024,服務(wù)器端密鑰長度 |
| LoginGraceTime | 2m,登錄時服務(wù)器最多等待多長時間 |
| MaxAuthTries | 6,最多允許用戶的登錄嘗試次數(shù)默認為6 |
| AuthorizedKeysFile | ~/.ssh/authorized_keys,服務(wù)器公鑰默認放置在客戶端家目錄指定文件 |
| PasswordAuthentication | yes,是不是允許基于口令的驗證 |
| banner | none,登錄時顯示這個文件的內(nèi)容(歡迎標語) |
SSH客戶端基于口令登錄或連接遠程主機(client向server要其公鑰,client將用server公鑰加密過的密碼發(fā)送給server進行驗證,通過則登錄成功)
完整用法格式
ssh [-1246AaCfGgKkMNnqsTtVvXxYy] [-b bind_address] [-ccipher_spec] [-D [bind_address:]port][-E log_file] [-e escape_char] [-F configfile] [-I pkcs11] [-i identity_file][-L address] [-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-p port][-Q query_option] [-R address] [-S ctl_path] [-W host:port] [-w local_tun[:remote_tun]][user@]hostname [command]
常用格式
# ssh -l USERNAME REMOTE_HOST
# ssh USERNAME@REMOTE_HOST
# ssh USERNAME@REMOTE_HOST ‘COMMAND’ -->指定命令時不會登錄遠程主機而只是單單執(zhí)行命令返回結(jié)果至本機下愈。
SSH客戶端基于密鑰登錄主機(client向server傳前者公鑰)
1.一臺主機為客戶端(基于某個用戶實現(xiàn))。 ssh-keygen -t
ssh-keygen -t rsa
為了達到更好的安全性可以用ssh-keygen -p命令給自己的私鑰加密蕾久,這種方法在每次連接其它主機時會要求你輸入這個加密私鑰口令驰唬。
2.將客戶端主機公鑰傳輸至服務(wù)器端某用戶的家目錄下的.ssh/authorized_key文件中。ssh-copy-id 或 scp 建議使用前者腔彰,因為其更強大叫编。
ssh-copy-id -i /path/to/pubkey USERNAME@REMOTE_HOST
3.測試登錄。
如何安全使用SSH服務(wù)
1. 密碼應(yīng)該經(jīng)常更換
2. 使用非默認端口
3. 限制登錄客戶地址
4. 禁止管理員直接登錄
5. 僅允許有限用戶登錄
6. 使用基于密鑰的認證
7. 禁止使用版本1
批量管理案例,用如下3臺主機演示
172.16.1.31 nfs01
172.16.1.41 backup
172.16.1.61 m01
--在3臺主機上創(chuàng)建用戶--
useradd james
echo "123456" | passwd --stdin james
--在m01主機上--
su - james
ssh-keygen -t dsa 或者 echo -e "\n" | ssh-keygen -t dsa -N "" # 第2種方法不需要手動按回車
ssh-copy-id -i ~/.ssh/id_dsa.pub james@nfs01 # 如果ssh端口不是默認的22則應(yīng)寫成ssh-copy-id -i ~/.ssh/id_dsa.pub "-p 52113 james@nfs01"
ssh-copy-id -i ~/.ssh/id_dsa.pub james@backup
測試連接
ssh -p 52113 nfs01 /sbin/ifconfig eth0
ssh -p 52113 backup /sbin/ifconfig eth0
將m01主機上的/etc/hosts分發(fā)到其余主機上
scp /etc/hosts nfs01:~/hosts
scp /etc/hosts backup:~/hosts
用腳本實現(xiàn)類似功能示例:
#!/bin/bash
# 將本機上的文件指傳到多臺主機.需要事先建立服務(wù)器密鑰認證,各主機rsync suid設(shè)置
. /etc/init.d/functions
if [ $# -ne 2 ]; then
echo "Usage `basename $0` SRC DIST"
exit 1
fi
SRC=$1
DIST=$2
for i in 31 41;do
scp -P 52113 $1 172.16.1.$i:~/ &> /dev/null &&
ssh -p 52113 james@172.16.1.$i "sudo rsync ~/`basename $1` $2" &&
if [ $? -eq 0 ]; then
action "fenfa HOSTS file to 172.16.1.$i Success" /bin/true
else
action "fenfa HOSTS file to 172.16.1.$i Failure" /bin/false
fi
done
expect實現(xiàn)非交互式密鑰認證功能
yum -y insall expect # 需要安裝此軟件包
expect
可以解決服務(wù)器ssh認證密鑰時的交互問題,可以讓其以我們想要的結(jié)果自動執(zhí)行,以實現(xiàn)運維自動化智能化.
使用示例1:
①在3臺主機上新建同名用戶'uangianlap'
useradd uangianlap
echo "123456" | passwd --stdin uangianlap
②在m01管理機上生成密鑰對
su - uangianlap # 切換用戶
echo -e "\n" | ssh-keygen -t dsa -N "" # 一鍵生成密鑰對
③編寫expect腳本文件/scripts/distribute_sshkey.exp內(nèi)容如下:
#!/usr/bin/expect
# filename:/scripts/distribute_sshkey.exp
# program args:
# file: 要分發(fā)的文件名
# host: 目標主機
# date:
# author: uangianlap
if { $argc != 3 } {
send_user "Usage:expect distribute_sshkey.exp file host\n"
exit
}
# 定義變量
set file [lindex $argv 0]
set host [lindex $argv 1]
set password "123456"
#spawn scp /etc/hosts root@10.0.0.142:/etc/hosts
#spawn scp -P52113 $file uangianlap@$host
spawn ssh-copy-id -i $file "-p 52113 uangianlap@$host"
expect {
"yes/no" {send "yes\r";exp_continue}
"*password" {send "$password\r"}
}
expect eof
exit -onexit {
send_user "success!\n"
}
④執(zhí)行上述腳本,將本機(m01)上的公鑰傳給指定主機(不需要輸入)
/scripts/distribute_sshkey.exp /home/uangianlap/.ssh/id_dsa.pub 172.16.1.31
