SSH服务

标签（空格分隔）： Linux 运维 ssh
各主机IP

172.16.1.5  lb01
172.16.1.6  lb02
172.16.1.7  web02
172.16.1.8  web01
172.16.1.51  db01 db01.etiantian.org
172.16.1.31  nfs01
172.16.1.41  backup
172.16.1.61  m01

---

SSH (secure shell protocol),是安全的网络加密协议,用于远程登录或连接Linux服务器.于1995年,芬兰学者Tatu Ylonen设计,其在CentOS中开源实现是由OpenSSH(包括openssh openssh-server).SSH之所以能够保证安全,原因在于它采用了公钥加密.整个过程是这样的：（1）远程主机收到用户的登录请求，把自己的公钥发给用户。用户同意会会将此公钥保存在~/.ssh/known_hosts文件中（2）用户使用这个公钥，将登录密码加密后，发送回来。（3）远程主机用自己的私钥，解密登录密码，如果密码正确，就同意用户登录。
OpenSSH：Open Secure SHell 目前有v1 v2两个版本，但为了保证安全应该不要使用v1。
CS架构程序：ssh分为客户端与服务器端
*OpenSSL: 提供连接加密

两种认证

• 基于口令
• 基于密钥

服务器sshd配置文件（/etc/ssh/sshd_config）部分说明。通过man sshd_config可得到更多详细信息

键	值
Port	监听的端口,应该修改
PermitRootLogin	no，允许管理员登录吗？应该设为no
PermitEmptyPasswords	no,不应该允许空密码登录
UseDNS	设置为no,可以提高连接速度
GSSAPIAuthentication	设置为no,可以提高连接速度
AddressFamily	IPV4或者IPV6
ListenAddress	指定客户端地址
KeyRegenerationInterval	1h,指的是密钥重新生成的时间间隔
ServerKeyBits	1024,服务器端密钥长度
LoginGraceTime	2m,登录时服务器最多等待多长时间
MaxAuthTries	6,最多允许用户的登录尝试次数默认为6
AuthorizedKeysFile	~/.ssh/authorized_keys,服务器公钥默认放置在客户端家目录指定文件
PasswordAuthentication	yes,是不是允许基于口令的验证
banner	none,登录时显示这个文件的内容（欢迎标语）

SSH客户端基于口令登录或连接远程主机(client向server要其公钥,client将用server公钥加密过的密码发送给server进行验证,通过则登录成功)

完整用法格式
ssh [-1246AaCfGgKkMNnqsTtVvXxYy] [-b bind_address] [-ccipher_spec] [-D [bind_address:]port][-E log_file] [-e escape_char] [-F configfile] [-I pkcs11] [-i identity_file][-L address] [-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-p port][-Q query_option] [-R address] [-S ctl_path] [-W host:port] [-w local_tun[:remote_tun]][user@]hostname [command]
常用格式

# ssh -l USERNAME REMOTE_HOST
# ssh USERNAME@REMOTE_HOST
# ssh USERNAME@REMOTE_HOST ‘COMMAND’   -->指定命令时不会登录远程主机而只是单单执行命令返回结果至本机。

SSH客户端基于密钥登录主机(client向server传前者公钥)

1.一台主机为客户端（基于某个用户实现）。 ssh-keygen -t
ssh-keygen -t rsa
为了达到更好的安全性可以用ssh-keygen -p命令给自己的私钥加密，这种方法在每次连接其它主机时会要求你输入这个加密私钥口令。

2.将客户端主机公钥传输至服务器端某用户的家目录下的.ssh/authorized_key文件中。ssh-copy-id 或 scp 建议使用前者，因为其更强大。ssh-copy-id -i /path/to/pubkey USERNAME@REMOTE_HOST
3.测试登录。

如何安全使用SSH服务

1. 密码应该经常更换
2. 使用非默认端口
3. 限制登录客户地址
4. 禁止管理员直接登录
5. 仅允许有限用户登录
6. 使用基于密钥的认证
7. 禁止使用版本1

批量管理案例,用如下3台主机演示

172.16.1.31 nfs01
172.16.1.41 backup
172.16.1.61 m01

--在3台主机上创建用户--
useradd james
echo "123456" | passwd --stdin james

--在m01主机上--
su - james
ssh-keygen -t dsa  或者 echo -e "\n" | ssh-keygen -t dsa -N ""  # 第2种方法不需要手动按回车
ssh-copy-id -i ~/.ssh/id_dsa.pub james@nfs01  # 如果ssh端口不是默认的22则应写成ssh-copy-id -i ~/.ssh/id_dsa.pub "-p 52113 james@nfs01"
ssh-copy-id -i ~/.ssh/id_dsa.pub james@backup
测试连接
ssh -p 52113 nfs01 /sbin/ifconfig eth0
ssh -p 52113 backup /sbin/ifconfig eth0 
将m01主机上的/etc/hosts分发到其余主机上
scp /etc/hosts nfs01:~/hosts
scp /etc/hosts backup:~/hosts

用脚本实现类似功能示例:
#!/bin/bash
# 将本机上的文件指传到多台主机.需要事先建立服务器密钥认证,各主机rsync suid设置
. /etc/init.d/functions
if [ $# -ne 2 ]; then
    echo "Usage `basename $0` SRC DIST"
    exit 1
fi
SRC=$1
DIST=$2

for i in 31 41;do
    scp -P 52113 $1 172.16.1.$i:~/ &> /dev/null &&
    ssh -p 52113 [email protected].$i "sudo rsync ~/`basename $1` $2" &&
    if [ $? -eq 0 ]; then
        action "fenfa HOSTS file to 172.16.1.$i Success" /bin/true
    else
        action "fenfa HOSTS file to 172.16.1.$i  Failure" /bin/false
    fi
done

---

expect实现非交互式密钥认证功能

yum -y insall expect # 需要安装此软件包
expect

可以解决服务器ssh认证密钥时的交互问题,可以让其以我们想要的结果自动执行,以实现运维自动化智能化.

使用示例1:
①在3台主机上新建同名用户'uangianlap'
useradd uangianlap
echo "123456" | passwd --stdin uangianlap
②在m01管理机上生成密钥对
su - uangianlap # 切换用户
echo -e "\n" | ssh-keygen -t dsa -N "" # 一键生成密钥对
③编写expect脚本文件/scripts/distribute_sshkey.exp内容如下:

#!/usr/bin/expect
# filename:/scripts/distribute_sshkey.exp
# program args:
#   file: 要分发的文件名
#   host: 目标主机
# date:
# author: uangianlap

if { $argc != 3 } {
    send_user "Usage:expect distribute_sshkey.exp file host\n"
    exit
}

# 定义变量
set file [lindex $argv 0]
set host [lindex $argv 1]

set password "123456"

#spawn scp /etc/hosts [email protected]:/etc/hosts
#spawn scp -P52113 $file uangianlap@$host
spawn ssh-copy-id -i $file "-p 52113 uangianlap@$host"
expect {
    "yes/no" {send "yes\r";exp_continue}
    "*password" {send "$password\r"}
}
expect eof

exit -onexit {
    send_user "success!\n"
}

④执行上述脚本,将本机(m01)上的公钥传给指定主机(不需要输入)
/scripts/distribute_sshkey.exp /home/uangianlap/.ssh/id_dsa.pub 172.16.1.31