1.ssh服务介绍
1.1 基本介绍
古老基础服务,ssh是远程连接linux,管理linux的服务
Secure Shell Protocol 简写SSH 安全的shell 协议
使用的默认端口为 22 (一台机器的不同功能就用端口区分)
================================================================
1.2 网络服务对应端口介绍
873 rsync
22 ssh
25 smtp 邮件发送服务
110 pop3 邮件接收服务
80 web 网页服务
23 telnet
111 rpcbind
21 ftp
3389 windows 远程桌面
ssh协议属于tcp/ip 协议族
================================================================
2.远程连接服务:
telnet 数据是明文的,连接交换机和路由器,配置
telnet ip port 监测端口以及服务是否好的
3.ssh协议:在传输过程中数据是加密的,安全的shell协议。
服务端和客户端,称之为c/s架构,client/server
浏览器/服务器,称之为b/s架构,browser/server 大趋势。
================================================================
4.服务端软件:
[root@m01 ~]# rpm -qa openssh openssl
openssh-7.4p1-16.e17.x86_64 #===ssh服务
openssl-1.0.2k-16.e17.x86_64 #===加密用的ssl。
yum install openssl openssh -y
配置文件:
[root@m01 ~]# ll /etc/ssh/sshd_config
/etc/ 服务的配置目录。
重启:
[root@m01 ~]# systemctl restart sshd
[root@m01 ~]# systemctl enable sshd
================================================================
5.ssh客户端工具介绍
windows下:
Xshell 个人免费,多一些
SecureCRT 收费 很好,之前有过木马问题。
putty
linux:
ssh
6.linux ssh客户端里含有的命令:
[root@m01 ~]# rpm -ql openssh-clients
/usr/bin/scp #远程拷贝文件(加密)
/usr/bin/sftp #ftp服务,加密的传输文件
/usr/bin/ssh #远程连接
/usr/bin/ssh-copy-id #拷贝密钥中的公钥文件的。
================================================================
7.ssh客户端命令介绍与实践
7.1 ssh命令:远程连接linux的命令
ssh -p 22 root@10.0.0.31
命令 -p 端口 用户@IP
实践:
[root@m01 ~]# ssh 10.0.0.7
[root@m01 ~]# ssh -p 22 root@10.0.0.7
7.2 scp命令:远程拷贝(secure copy ),加密的拷贝
SCP 命令参数:
-P 端口
-r 递归
-p 保持属性
-l 限制速度
推:
scp -p 22 -rp /data root@172.16.1.7:/tmp/
类似rsync 远程shell的推送模式:
rsync -avz /data root@172.16.1.7:/opt
rsync -avz /data -e "ssh -p 22" root@172.16.1.7:/opt
拉:
scp -p 22 -rp root@172.16.1.7:/tmp/data /tmp/
类似rsync远程shell的拉取模式:
rsync -avz root@172.16.1.7:/opt/data /data
对比下scp和rsync
scp每一次都全量拷贝,加密拷贝
rsync第一次全量,以后增量拷贝,远程shell也是加密拷贝。
实践:
[root@m01 ~]# scp -p 22 -rp /etc root@172.16.1.7:/tmp/
简单拉的写法:
scp -rp 172.16.1.7:/tmp/etc /tmp
7.3 sftp(了解即可)
sftp命令:加密的ftp服务,默认缺点不能锁定固定目录。
ftp:vsftp服务。
sftp -o Port=22 root@172.16.1.7
sftp> put "/etc/hosts" #上传远端家目录
sftp> put /etc/hosts /tmp #上传远端指定目录/tmp.
sftp> get /etc/yum.conf #下载到本地家目录
sftp> get oldboy.txt /etc #下载到本地指定目录/etc
sftp服务也支持windows ftp客户端:
winscp,flashftp
常规和服务器交互数据文件:
rz/sz 属于lrzsz
================================================================
8.xshell ssh 连接不上服务器 如何排查?
面试时 画图:
1.ping IP
不通:检查物理网络网线,电脑IP设置。
通: 表示物理链路通的。
2.telnet ip port
不通:查服务器防火墙和SSH服务(ps -ef|grep sshd,netstat -lntup|grep sshd)
3.检查本地xshell 连接的IP 端口 协议 密码 用户
================================================================
9.ssh服务端
[root@m01 ~]# ll /etc/ssh/ssh*
10.ssh服务配置优化:
[root@m01 ~]# vim /etc/ssh/sshd_config
#### Start by oldboy#2018-04-26###
POrt 52113 #使用大于10000的端口
PermitRootLogin no #禁止root远程登录,可以su - root,c7需要改yes为no
PermitEmptyPasswords no #禁止空密码登录,c7默认就是
UseDNS no #不使用dns解析,yes改为no
GSSAPIAuthentication no #禁止连接慢的解析配置
ListenAddress 172.16.1.61:52113 #只允许内网IP连接SSH(172.16.1.0)
#### End by oldboy#2018-04-26###
实践:
[root@web01 ~]# cp /etc/ssh/sshd_config{,.ori}
配置ListenAddress 172.16.1.61:22的测试:
[root@m01 ~]# telnet 10.0.0.7 22
[root@m01 ~]# telnet 172.16.1.7 22
================================================================
11.SSH服务通信原理
ssh协议:ssh协议有两个版本:
ssh 1.X 有漏洞,不用了(远程代码执行漏洞)
ssh 2.X 主流
查看C6(有参数)
查看C7,连参数都没有
#通信原理:
================================================================
12.SSH两种认证方式
12.1 密码认证 pam
用户名、密码登录
12.2 秘钥认证:
不需要密码了,使用秘钥文件就可以连接服务器了。
自学:如何使用xshell秘钥的方式连接linux。
13.秘钥认证:
实践秘钥认证:
项目实践:批量管理、批量分发内容项目:
钥匙(秘钥){---->锁(公钥)(web01)
{---->锁(公钥)(web02)
================================================================
13.1 环境准备
m01 172.16.1.61
web01 172.16.1.7
web02 172.16.1.8
项目经验:实现SSH批量分发文件、批量管理服务方案
借助:秘钥文件,登录的时候不用使用密码。
10.0.0.61 管理机 (放钥匙)
10.0.0.7 被管理机(方锁)
10.0.0.31 被管理机(放锁)
13.2 是root用户,还是普通用户oldboy(sudo 提权 很麻烦)?
就是root用户,保证权限。考虑到简单、方便,又能兼顾安全。
1.端口默认22,不需要禁止远程root登录,ssh服务监听内网卡(防火墙限制来源IP)
13.3 开始实战
1.基于root用户做linux之间的秘钥认证。
2.生成秘钥对(去超市买把锁),不需要指定服务器。
3.在61上生成秘钥对(方便)。
[root@m01 ~]# ssh-keygen
ssh-keygen 连续回车
#ssh-keygen -d dsa
#RSA 与 DSA加密算法的区别
RSA,是一种加密算法(PS:RSA也可以进行数字签名的),他的简写的来由是Ron Rivest、Adi shamir和
Leonard Adlemman
这三个人姓氏的第一个字母连接来就是RSA。
DSA就是数字签名算法的英文全称的简写,即Digital Signature Algorithm,简写就是DSA.
RSA 既可以进行加密,也可以进行数字签名实现认证,而DSA只能用于数字签名从而实现认证。
自学:如何一键生成秘钥对(不需要按回车)
[root@m01 ~]# ls /root/.ssh -l
-rw------- 1 root root 1679 4月 22 12:12 id_rsa #==秘钥,钥匙。
-rw-r--r-- 1 root root 390 4月 22 12:12 id_rsa.pub #==秘钥,钥匙。
-rw-r--r-- 1 root root 513 4月 22 12:12 known_rsa.pub #==秘钥,钥匙。
牢记:钥匙开锁。
4.把锁放到7/8上
/usr/bin/ssh-copy-id #专业拷贝秘钥中的公钥文件。
scp -rp ~/.ssh/id_rsa.pub 172.16.1.7:~/.ssh/authorized_keys
C6
[root@m01 ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub 172.16.1.7
5.ssh-copy-id: 原理
scp -rp ~/.ssh/id_rsa.pub 172.16.1.7:~/.ssh/authorized_keys
特别注意:
[root@we02 ~]# ls ~/.ssh/ -ld
[root@we02 ~]# ls ~/.ssh/ -l
6.测试远程执行命令:
ssh 172.16.1.7 ifconfig
ssh 172.16.1.8 ifconfig
7.写个脚本:
7.1
[root@m01 ~]# cat /server/scripts/cmd.sh
ssh 172.16.1.7 ifconfig
ssh 172.16.1.8 ifconfig
[root@m01 ~]# cat /server/scripts/cmd.sh
for n in 7 8
do
ssh 172.16.1.$n ifconfig
done
7.2 ssh命令:远程执行命令
ssh 10.0.0.31 ifconfig
8.开发脚本实现批量管理服务器:
[root@m01 ~]# cat view.sh
for n in 31 41
do
echo ------172.16.1.$n------
ssh 172.16.1.$n $1
done
[root@m01 ~]# sh view.sh "cat /etc/redhat-release"
------172.16.1.31------
CentOS release 6.9 (Final)
------172.16.1.7------
CentOS release 6.9 (Final)
9. 批量发文件
scp -p 22 -rp /data root@172.16.1.7:/tmp/
rsync -avz /data root@172.16.1.7:/opt
rsync -avz /data -e "ssh -p 22" root@172.16.1.7:/opt
简单批量分发文件脚本
[root@m01 ~]# cat fenfa.sh
for n in 31 41
do
echo ------172.16.1.$n------
scp -p 22 -rp $1 root@172.16.1.$n:$2
done
复杂分发文件脚本:
$# 命令行脚本后面参数的个数
sh cmd.sh oldbboy oldgril
请问$#=2
$? 上一个命令是否执行成功,入为0,则成功。
$0 脚本的名字(含路径)。
[root@m01 ~]# cat fenfa1.sh
#!/bin/sh
./etc/init.d/functions
if [ $# -ne 2 ]
then
echo "usage:$0 localfile remotedir"
exit 1
fi
for n in 31 41 51
do
scp -p 22 -rp $1 root@172.16.1.$n:$2 &>/dev/null
if [ $? -eq 0 ]
then
action "172.16.1.$n successful" /bin/true
else
action "172.16.1.$n failure" /bin/false
fi
done
把本地的文件拷贝到远端去:
[root@m01 ~]# sh /server/scripts/fenfa.sh
[root@m01 ~]#mkdir -p /data
[root@m01 ~]# ls /data
[root@m01 ~]# cd /data
[root@m01 /data]# sh /server/scripts/fenfa.sh /data /opt/
[root@m01 /data]# sh /server/scripts/cmd.sh "rm -fr /opt/*"
====172.16.1.7====
====172.16.1.8====
最后总结:
SSH批量管理项目如何一键一分钟完成: 一秒完成
1.ssh-keygen非交互创建秘钥对:
具体命令:ssh-keygen -f ~/.ssh/id_rsa -p '' -q
参数解释:
ssh-keygen:密钥对创建工具
[-p old_passphrase] 密码
[ -f output_keyfile] 输出的秘钥文件
[-q] 不输出信息
[-t dsa ] 指定秘钥类型
2.ssh-copy-id 不需要提示yes/no分发秘钥
具体命令:ssh-copy-id -f -i ~/.ssh/id_rsa.pub -o StrictHostKeyChecking=no 172.16.1.8
参数讲解:
ssh-copy-id -f -i ~/.ssh/id_rsa.pub -o StrictHostKeyChecking=no root172.16.1.8
ssh-copy-id [-f] [-i [identity_file]] [-p port] [[-o <ssh -o options>]...] [user@]hostname
说明:
-f:force mode 强制
[-i [identity_file]] 指定秘钥文件
[[-o <ssh -o options>]...] 指定ssh参数选项。
3.sshpass工具:指定密码非人工交互分发秘钥
sshpass -p123456 ssh-copy-id -f -i ~/.ssh/id_rsa.pub "-o StrictHostKeyChecking=no " 172.16.1.7
[root@web02 ~]# sshpass --help
参数讲解:
-p password Provide password as argument (security unwise) #指定用户密码操作
4.一键配置实战
把web02作为分发服务器:
web02(8) -->m01(61)
web02(8) -->web01(7)
ssh-keygen -f ~/.ssh/id_rsa -p '' -q
ssh-copy-id -f -i ~/.ssh.pub "-o StrictHostKeyChecking=no" 172.16.1.7
sshpass -p123456 ssh-copy-id -f -i ~/.ssh/id_rsa.pub "-o StrictHostKeyChecking=no" 172.16.1.7
#!/bin/bash
#yum install sshpass -y
ssh-keygen -f ~/.ssh/id_rsa -p '' -q
for ip in 7 61
do
sshpass -p123456 ssh-copy-id -f -i ~/.ssh/id_rsa.pub "-o StrictHostKeyChecking=no" 172.16.1.7.$ip
done
#test
ssh 172.16.1.7 "ifconfig eth0"
ssh 172.16.1.61 "ifconfig eth0"
