linux运维之SSH服务

1.ssh服务介绍

1.1 基本介绍

古老基础服务，ssh是远程连接linux，管理linux的服务

Secure Shell Protocol 简写SSH 安全的shell 协议

使用的默认端口为 22 （一台机器的不同功能就用端口区分）

================================================================

1.2 网络服务对应端口介绍

873 rsync

22 ssh

25 smtp 邮件发送服务

110 pop3 邮件接收服务

80 web 网页服务

23 telnet

111 rpcbind

21 ftp

3389 windows 远程桌面

ssh协议属于tcp/ip 协议族

================================================================

2.远程连接服务：

telnet 数据是明文的，连接交换机和路由器，配置

telnet ip port 监测端口以及服务是否好的

3.ssh协议：在传输过程中数据是加密的，安全的shell协议。

服务端和客户端，称之为c/s架构，client/server

浏览器/服务器，称之为b/s架构，browser/server 大趋势。

================================================================

4.服务端软件：

[root@m01 ~]# rpm -qa openssh openssl

openssh-7.4p1-16.e17.x86_64 #===ssh服务

openssl-1.0.2k-16.e17.x86_64 #===加密用的ssl。

yum install openssl openssh -y

配置文件：

[root@m01 ~]# ll /etc/ssh/sshd_config

/etc/ 服务的配置目录。

重启：

[root@m01 ~]# systemctl restart sshd

[root@m01 ~]# systemctl enable sshd

================================================================

5.ssh客户端工具介绍

windows下：

Xshell 个人免费，多一些

SecureCRT 收费很好，之前有过木马问题。

putty

linux：

ssh

6.linux ssh客户端里含有的命令：

[root@m01 ~]# rpm -ql openssh-clients

/usr/bin/scp #远程拷贝文件（加密）

/usr/bin/sftp #ftp服务，加密的传输文件

/usr/bin/ssh #远程连接

/usr/bin/ssh-copy-id #拷贝密钥中的公钥文件的。

================================================================

7.ssh客户端命令介绍与实践

7.1 ssh命令：远程连接linux的命令

ssh -p 22 [email protected]

命令 -p 端口用户@IP

实践：

[root@m01 ~]# ssh 10.0.0.7

[root@m01 ~]# ssh -p 22 [email protected]

7.2 scp命令：远程拷贝（secure copy ），加密的拷贝

SCP 命令参数：

-P 端口

-r 递归

-p 保持属性

-l 限制速度

推：

scp -p 22 -rp /data [email protected]:/tmp/

类似rsync 远程shell的推送模式：

rsync -avz /data [email protected]:/opt

rsync -avz /data -e "ssh -p 22" [email protected]:/opt

拉：

scp -p 22 -rp [email protected]:/tmp/data /tmp/

类似rsync远程shell的拉取模式：

rsync -avz [email protected]:/opt/data /data

对比下scp和rsync

scp每一次都全量拷贝，加密拷贝

rsync第一次全量，以后增量拷贝，远程shell也是加密拷贝。

实践：

[root@m01 ~]# scp -p 22 -rp /etc [email protected]:/tmp/

简单拉的写法：

scp -rp 172.16.1.7:/tmp/etc /tmp

7.3 sftp(了解即可)

sftp命令：加密的ftp服务，默认缺点不能锁定固定目录。

ftp：vsftp服务。

sftp -o Port=22 [email protected]

sftp> put "/etc/hosts" #上传远端家目录

sftp> put /etc/hosts /tmp #上传远端指定目录/tmp.

sftp> get /etc/yum.conf #下载到本地家目录

sftp> get oldboy.txt /etc #下载到本地指定目录/etc

sftp服务也支持windows ftp客户端：

winscp，flashftp

常规和服务器交互数据文件：

rz/sz 属于lrzsz

================================================================

8.xshell ssh 连接不上服务器如何排查？

面试时画图：

1.ping IP

不通：检查物理网络网线，电脑IP设置。

通: 表示物理链路通的。

2.telnet ip port

不通：查服务器防火墙和SSH服务（ps -ef|grep sshd，netstat -lntup|grep sshd）

3.检查本地xshell 连接的IP 端口协议密码用户

================================================================

9.ssh服务端

[root@m01 ~]# ll /etc/ssh/ssh*

10.ssh服务配置优化：

[root@m01 ~]# vim /etc/ssh/sshd_config

#### Start by oldboy#2018-04-26###

POrt 52113 #使用大于10000的端口

PermitRootLogin no #禁止root远程登录，可以su - root，c7需要改yes为no

PermitEmptyPasswords no #禁止空密码登录，c7默认就是

UseDNS no #不使用dns解析，yes改为no

GSSAPIAuthentication no #禁止连接慢的解析配置

ListenAddress 172.16.1.61:52113 #只允许内网IP连接SSH（172.16.1.0）

#### End by oldboy#2018-04-26###

实践：

[root@web01 ~]# cp /etc/ssh/sshd_config{,.ori}

配置ListenAddress 172.16.1.61:22的测试：

[root@m01 ~]# telnet 10.0.0.7 22

[root@m01 ~]# telnet 172.16.1.7 22

================================================================

11.SSH服务通信原理

ssh协议：ssh协议有两个版本：

ssh 1.X 有漏洞，不用了（远程代码执行漏洞）

ssh 2.X 主流

查看C6（有参数）

查看C7，连参数都没有

#通信原理：

================================================================

12.SSH两种认证方式

12.1 密码认证 pam

用户名、密码登录

12.2 秘钥认证：

不需要密码了，使用秘钥文件就可以连接服务器了。

自学：如何使用xshell秘钥的方式连接linux。

13.秘钥认证：

实践秘钥认证：

项目实践：批量管理、批量分发内容项目：

钥匙（秘钥）{---->锁（公钥）（web01）

{---->锁（公钥）（web02）

================================================================

13.1 环境准备

m01 172.16.1.61

web01 172.16.1.7

web02 172.16.1.8

项目经验：实现SSH批量分发文件、批量管理服务方案

借助：秘钥文件，登录的时候不用使用密码。

10.0.0.61 管理机（放钥匙）

10.0.0.7 被管理机（方锁）

10.0.0.31 被管理机（放锁）

13.2 是root用户，还是普通用户oldboy（sudo 提权很麻烦）？

就是root用户，保证权限。考虑到简单、方便，又能兼顾安全。

1.端口默认22，不需要禁止远程root登录，ssh服务监听内网卡（防火墙限制来源IP）

13.3 开始实战

1.基于root用户做linux之间的秘钥认证。

2.生成秘钥对（去超市买把锁），不需要指定服务器。

3.在61上生成秘钥对（方便）。

[root@m01 ~]# ssh-keygen

ssh-keygen 连续回车

#ssh-keygen -d dsa

#RSA 与 DSA加密算法的区别

RSA，是一种加密算法（PS：RSA也可以进行数字签名的），他的简写的来由是Ron Rivest、Adi shamir和

Leonard Adlemman

这三个人姓氏的第一个字母连接来就是RSA。

DSA就是数字签名算法的英文全称的简写，即Digital Signature Algorithm，简写就是DSA.

RSA 既可以进行加密，也可以进行数字签名实现认证，而DSA只能用于数字签名从而实现认证。

自学：如何一键生成秘钥对（不需要按回车）

[root@m01 ~]# ls /root/.ssh -l

-rw------- 1 root root 1679 4月 22 12:12 id_rsa #==秘钥，钥匙。

-rw-r--r-- 1 root root 390 4月 22 12:12 id_rsa.pub #==秘钥，钥匙。

-rw-r--r-- 1 root root 513 4月 22 12:12 known_rsa.pub #==秘钥，钥匙。

牢记：钥匙开锁。

4.把锁放到7/8上

/usr/bin/ssh-copy-id #专业拷贝秘钥中的公钥文件。

scp -rp ~/.ssh/id_rsa.pub 172.16.1.7:~/.ssh/authorized_keys

[root@m01 ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub 172.16.1.7

5.ssh-copy-id: 原理

scp -rp ~/.ssh/id_rsa.pub 172.16.1.7:~/.ssh/authorized_keys

特别注意：

[root@we02 ~]# ls ~/.ssh/ -ld

[root@we02 ~]# ls ~/.ssh/ -l

6.测试远程执行命令：

ssh 172.16.1.7 ifconfig

ssh 172.16.1.8 ifconfig

7.写个脚本：

7.1

[root@m01 ~]# cat /server/scripts/cmd.sh

ssh 172.16.1.7 ifconfig

ssh 172.16.1.8 ifconfig

[root@m01 ~]# cat /server/scripts/cmd.sh

for n in 7 8

ssh 172.16.1.$n ifconfig

done

7.2 ssh命令：远程执行命令

ssh 10.0.0.31 ifconfig

8.开发脚本实现批量管理服务器：

[root@m01 ~]# cat view.sh

for n in 31 41

echo ------172.16.1.$n------

ssh 172.16.1.$n $1

done

[root@m01 ~]# sh view.sh "cat /etc/redhat-release"

------172.16.1.31------

CentOS release 6.9 (Final)

------172.16.1.7------

CentOS release 6.9 (Final)

9. 批量发文件

scp -p 22 -rp /data [email protected]:/tmp/

rsync -avz /data [email protected]:/opt

rsync -avz /data -e "ssh -p 22" [email protected]:/opt

简单批量分发文件脚本

[root@m01 ~]# cat fenfa.sh

for n in 31 41

echo ------172.16.1.$n------

scp -p 22 -rp $1 [email protected].$n:$2

done

复杂分发文件脚本：

$# 命令行脚本后面参数的个数

sh cmd.sh oldbboy oldgril

请问$#=2

$? 上一个命令是否执行成功，入为0，则成功。

$0 脚本的名字（含路径）。

[root@m01 ~]# cat fenfa1.sh

#!/bin/sh

./etc/init.d/functions

if [ $# -ne 2 ]

then

echo "usage:$0 localfile remotedir"

exit 1

for n in 31 41 51

scp -p 22 -rp $1 [email protected].$n:$2 &>/dev/null

if [ $? -eq 0 ]

then

action "172.16.1.$n successful" /bin/true

else

action "172.16.1.$n failure" /bin/false

done

把本地的文件拷贝到远端去：

[root@m01 ~]# sh /server/scripts/fenfa.sh

[root@m01 ~]#mkdir -p /data

[root@m01 ~]# ls /data

[root@m01 ~]# cd /data

[root@m01 /data]# sh /server/scripts/fenfa.sh /data /opt/

[root@m01 /data]# sh /server/scripts/cmd.sh "rm -fr /opt/*"

====172.16.1.7====

====172.16.1.8====

最后总结：

SSH批量管理项目如何一键一分钟完成：一秒完成

1.ssh-keygen非交互创建秘钥对：

具体命令：ssh-keygen -f ~/.ssh/id_rsa -p '' -q

参数解释：

ssh-keygen：密钥对创建工具

[-p old_passphrase] 密码

[ -f output_keyfile] 输出的秘钥文件

[-q] 不输出信息

[-t dsa ] 指定秘钥类型

2.ssh-copy-id 不需要提示yes/no分发秘钥

具体命令：ssh-copy-id -f -i ~/.ssh/id_rsa.pub -o StrictHostKeyChecking=no 172.16.1.8

参数讲解：

ssh-copy-id -f -i ~/.ssh/id_rsa.pub -o StrictHostKeyChecking=no root172.16.1.8

ssh-copy-id [-f] [-i [identity_file]] [-p port] [[-o ]...] [user@]hostname

说明：

-f:force mode 强制

[-i [identity_file]] 指定秘钥文件

[[-o ]...] 指定ssh参数选项。

3.sshpass工具：指定密码非人工交互分发秘钥

sshpass -p123456 ssh-copy-id -f -i ~/.ssh/id_rsa.pub "-o StrictHostKeyChecking=no " 172.16.1.7

[root@web02 ~]# sshpass --help

参数讲解：

-p password Provide password as argument (security unwise) #指定用户密码操作

4.一键配置实战

把web02作为分发服务器：

web02（8） -->m01(61)

web02（8） -->web01(7)

ssh-keygen -f ~/.ssh/id_rsa -p '' -q

ssh-copy-id -f -i ~/.ssh.pub "-o StrictHostKeyChecking=no" 172.16.1.7

sshpass -p123456 ssh-copy-id -f -i ~/.ssh/id_rsa.pub "-o StrictHostKeyChecking=no" 172.16.1.7

#!/bin/bash

#yum install sshpass -y

ssh-keygen -f ~/.ssh/id_rsa -p '' -q

for ip in 7 61

sshpass -p123456 ssh-copy-id -f -i ~/.ssh/id_rsa.pub "-o StrictHostKeyChecking=no" 172.16.1.7.$ip

done

#test

ssh 172.16.1.7 "ifconfig eth0"

ssh 172.16.1.61 "ifconfig eth0"

linux运维之SSH服务

你可能感兴趣的:(linux运维之SSH服务)