標簽(空格分隔): Linux 運維 ssh
各主機IP
172.16.1.5 lb01
172.16.1.6 lb02
172.16.1.7 web02
172.16.1.8 web01
172.16.1.51 db01 db01.etiantian.org
172.16.1.31 nfs01
172.16.1.41 backup
172.16.1.61 m01
SSH (secure shell protocol),是安全的網絡加密協議,用于遠程登錄或連接Linux服務器.于1995年,芬蘭學者Tatu Ylonen設計,其在CentOS中開源實現是由OpenSSH(包括openssh openssh-server).SSH之所以能夠保證安全,原因在于它采用了公鑰加密.整個過程是這樣的:(1)遠程主機收到用戶的登錄請求,把自己的公鑰發給用戶。用戶同意會會將此公鑰保存在~/.ssh/known_hosts文件中(2)用戶使用這個公鑰,將登錄密碼加密后,發送回來。(3)遠程主機用自己的私鑰,解密登錄密碼,如果密碼正確,就同意用戶登錄。
OpenSSH:Open Secure SHell 目前有v1 v2兩個版本,但為了保證安全應該不要使用v1。
CS架構程序:ssh分為客戶端與服務器端
*OpenSSL: 提供連接加密
兩種認證
- 基于口令
- 基于密鑰
服務器sshd配置文件(/etc/ssh/sshd_config)部分說明。通過man sshd_config可得到更多詳細信息
| 鍵 | 值 |
|---|---|
| Port | 監聽的端口,應該修改 |
| PermitRootLogin | no,允許管理員登錄嗎?應該設為no |
| PermitEmptyPasswords | no,不應該允許空密碼登錄 |
| UseDNS | 設置為no,可以提高連接速度 |
| GSSAPIAuthentication | 設置為no,可以提高連接速度 |
| AddressFamily | IPV4或者IPV6 |
| ListenAddress | 指定客戶端地址 |
| KeyRegenerationInterval | 1h,指的是密鑰重新生成的時間間隔 |
| ServerKeyBits | 1024,服務器端密鑰長度 |
| LoginGraceTime | 2m,登錄時服務器最多等待多長時間 |
| MaxAuthTries | 6,最多允許用戶的登錄嘗試次數默認為6 |
| AuthorizedKeysFile | ~/.ssh/authorized_keys,服務器公鑰默認放置在客戶端家目錄指定文件 |
| PasswordAuthentication | yes,是不是允許基于口令的驗證 |
| banner | none,登錄時顯示這個文件的內容(歡迎標語) |
SSH客戶端基于口令登錄或連接遠程主機(client向server要其公鑰,client將用server公鑰加密過的密碼發送給server進行驗證,通過則登錄成功)
完整用法格式
ssh [-1246AaCfGgKkMNnqsTtVvXxYy] [-b bind_address] [-ccipher_spec] [-D [bind_address:]port][-E log_file] [-e escape_char] [-F configfile] [-I pkcs11] [-i identity_file][-L address] [-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-p port][-Q query_option] [-R address] [-S ctl_path] [-W host:port] [-w local_tun[:remote_tun]][user@]hostname [command]
常用格式
# ssh -l USERNAME REMOTE_HOST
# ssh USERNAME@REMOTE_HOST
# ssh USERNAME@REMOTE_HOST ‘COMMAND’ -->指定命令時不會登錄遠程主機而只是單單執行命令返回結果至本機。
SSH客戶端基于密鑰登錄主機(client向server傳前者公鑰)
1.一臺主機為客戶端(基于某個用戶實現)。 ssh-keygen -t
ssh-keygen -t rsa
為了達到更好的安全性可以用ssh-keygen -p命令給自己的私鑰加密,這種方法在每次連接其它主機時會要求你輸入這個加密私鑰口令。
2.將客戶端主機公鑰傳輸至服務器端某用戶的家目錄下的.ssh/authorized_key文件中。ssh-copy-id 或 scp 建議使用前者,因為其更強大。
ssh-copy-id -i /path/to/pubkey USERNAME@REMOTE_HOST
3.測試登錄。
如何安全使用SSH服務
1. 密碼應該經常更換
2. 使用非默認端口
3. 限制登錄客戶地址
4. 禁止管理員直接登錄
5. 僅允許有限用戶登錄
6. 使用基于密鑰的認證
7. 禁止使用版本1
批量管理案例,用如下3臺主機演示
172.16.1.31 nfs01
172.16.1.41 backup
172.16.1.61 m01
--在3臺主機上創建用戶--
useradd james
echo "123456" | passwd --stdin james
--在m01主機上--
su - james
ssh-keygen -t dsa 或者 echo -e "\n" | ssh-keygen -t dsa -N "" # 第2種方法不需要手動按回車
ssh-copy-id -i ~/.ssh/id_dsa.pub james@nfs01 # 如果ssh端口不是默認的22則應寫成ssh-copy-id -i ~/.ssh/id_dsa.pub "-p 52113 james@nfs01"
ssh-copy-id -i ~/.ssh/id_dsa.pub james@backup
測試連接
ssh -p 52113 nfs01 /sbin/ifconfig eth0
ssh -p 52113 backup /sbin/ifconfig eth0
將m01主機上的/etc/hosts分發到其余主機上
scp /etc/hosts nfs01:~/hosts
scp /etc/hosts backup:~/hosts
用腳本實現類似功能示例:
#!/bin/bash
# 將本機上的文件指傳到多臺主機.需要事先建立服務器密鑰認證,各主機rsync suid設置
. /etc/init.d/functions
if [ $# -ne 2 ]; then
echo "Usage `basename $0` SRC DIST"
exit 1
fi
SRC=$1
DIST=$2
for i in 31 41;do
scp -P 52113 $1 172.16.1.$i:~/ &> /dev/null &&
ssh -p 52113 james@172.16.1.$i "sudo rsync ~/`basename $1` $2" &&
if [ $? -eq 0 ]; then
action "fenfa HOSTS file to 172.16.1.$i Success" /bin/true
else
action "fenfa HOSTS file to 172.16.1.$i Failure" /bin/false
fi
done
expect實現非交互式密鑰認證功能
yum -y insall expect # 需要安裝此軟件包
expect
可以解決服務器ssh認證密鑰時的交互問題,可以讓其以我們想要的結果自動執行,以實現運維自動化智能化.
使用示例1:
①在3臺主機上新建同名用戶'uangianlap'
useradd uangianlap
echo "123456" | passwd --stdin uangianlap
②在m01管理機上生成密鑰對
su - uangianlap # 切換用戶
echo -e "\n" | ssh-keygen -t dsa -N "" # 一鍵生成密鑰對
③編寫expect腳本文件/scripts/distribute_sshkey.exp內容如下:
#!/usr/bin/expect
# filename:/scripts/distribute_sshkey.exp
# program args:
# file: 要分發的文件名
# host: 目標主機
# date:
# author: uangianlap
if { $argc != 3 } {
send_user "Usage:expect distribute_sshkey.exp file host\n"
exit
}
# 定義變量
set file [lindex $argv 0]
set host [lindex $argv 1]
set password "123456"
#spawn scp /etc/hosts root@10.0.0.142:/etc/hosts
#spawn scp -P52113 $file uangianlap@$host
spawn ssh-copy-id -i $file "-p 52113 uangianlap@$host"
expect {
"yes/no" {send "yes\r";exp_continue}
"*password" {send "$password\r"}
}
expect eof
exit -onexit {
send_user "success!\n"
}
④執行上述腳本,將本機(m01)上的公鑰傳給指定主機(不需要輸入)
/scripts/distribute_sshkey.exp /home/uangianlap/.ssh/id_dsa.pub 172.16.1.31
