Linux运维学习笔记之十:SSH服务

第十八章 SSH服务

一、SSH服务基础

1、简介

SSH 为 Secure Shell 的缩写,由 IETF 的网络工作小组(Network Working Group)所制定;SSH 为建立在应用层和传输层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。几乎所有UNIX平台-包括HP-UX、LinuxAIXSolarisDigital UNIXIrix,以及其他平台,都可运行SSH。

2、SSH服务提供的功能
(1)提供类似telnet的远程联机服务器的服务,即SSH服务。
(2)提供类似FTP服务的sftp-server,借助SSH协议来传输数据,提供更安全的SFTP服务。
(3)提供远程安全拷贝命令SCP。
3、SSH服务结构
(1)服务端:OpenSSH和OpenSSL
(2)客户端:

Linux:SSH

Windows:SecureCRT、Putty、xshell

(3)守护进程:sshd
(4)配置文件:/etc/ssh/sshd_config

a、查看系统支持的协议

grep Protocol /etc/ssh/sshd_config

CentOS5.x: Protocol 2, 1

CentOS6.x: Protocol 2

b、查看临时公钥ServerKeyBits长度

grep ServerKeyBits /etc/ssh/sshd_config

#ServerKeyBits 1024  (CentOS5.x为 768)

c、说明:sshd_config是配置服务端,ssh_config是配置客户端

vi /etc/ssh/sshd_config

  :set nu  #vi的功能,显示行号

   Port 28888  #13行

   PermitRootLogin no #42行,禁止root用户ssh远程登录

   PermitEmptyPasswords no  #65行,禁止空密码登录

   GSSAPIAuthentication no  #为防止GSSAPI导致SSH连接变慢

   UseDNS no  #122行,禁止使用DNS

 

(5)协议版本:

a、1.x和2.x

b、2.x的客户端不能连接到1.x的服务程序上。

4、ssh服务认证类型
(1)基于口令的安全验证

a、连接格式:

(i)ssh -p端口号 用户名@IP  #默认22可不写

ssh -p28888 [email protected] #需输入192.168.58.238的密码

(ii)ssh -p端口号 用户名@IPcommand   #此方式执行命令后,会退回当前机器

ssh [email protected] /sbin/ifconfig   #由于环境变量不识别,所以需全路径

b、查看家目录下的.ssh中是否存在know_hosts文件

ll ~/.ssh/know*

-rw-r--r-- 1 root root 394 Feb 14 19:47 known_hosts

c、查看know_hosts文件内容

cat known_hosts

192.168.58.238 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAvzhqkn7q/+dqo+LVbFCKsnUYG9WQudjue

Yl8NY3neiDaxxnuf84faY73NEuF0WtOR0c5N14aPQQhMbIPinFbRuqFbZBQspxbR+nd/j/df43U2P+xCIk3rxC7+7SpHdau/5a/yUtsAYKMUmp+5Jx4EWPasy1Ww+OvwmMBOXFFE5Mf1oNg/Z+lQZlM7n9bQn2iEXu5BVjaY8Z1mo7xRM5ClF/nZ3pa8S+HpQRQ/gXRhvYLp/DRSvbiz2Hc/zkXRcwd+uhOZXsmVagOIgIJ3qcsbQHIZfFBU9jaiDIHqGc4LmPxRlr/RhaH3vdULjpbjAVE1EMPDX4/i1GncLuLtT/h8Q==

(2)基于密钥的安全验证
5、小结
(1)ssh是安全的加密协议,用于远程连接服务器
(2)默认端口是22,安全协议版本是ssh2
(3)服务端主要包含2个服务功能:ssh远程连接和SFTP服务
(4)客户端主要包含2个服务功能:ssh连接命令和scp远程拷贝命令

 

二、SCP命令基础

1、作用:远程拷贝命令
2、格式:
(1)格式一:推的方式push,将文件发送到远程服务器

scp -P端口号 本地要拷贝的文件 选程机的用户名@IP:目录  #默认端口22可以不写

scp test.txt [email protected]:/tmp

(2)格式二:拉的方式pull,将文件从远程服务器拷贝回来

scp -P端口号 远程机的用户名@IP:目录或文件  本地机的目录

scp [email protected]:/tmp/test.txt /wddg

3、参数

-P:指定端口号

-r:表示要拷贝目录

-p:表示在拷贝前后保持文件或目录属性

4、小结:

scp是加密的远程拷贝,可以把数据从一台服务器推送到另一台服务器,也可以从其它服务器把数据拉回到本地服务器,但每次都是全量拷贝(rsync是增量拷贝),因此效率不高

三、SFTP服务基础

1、格式

sftp -oPort=22 [email protected]

2、操作命令

操作远程主机与普通Linux操作命令一样:cd、pwd等

操作本地主机要在所有命令前加上l:lcd、lpwd等

上传文件到远程主机命令:put 

put /etc/hosts /tmp

下载远程主机文件到本地命令:get

get /etc/hosts /tmp

3、演示

sftp -oPort=22 [email protected]

Connecting to 192.168.58.238...

[email protected]'s password:

sftp> pwd

Remote working directory: /root

sftp> cd /wddg

sftp> pwd

Remote working directory: /wddg

sftp> ls -l

-rw-r--r--    1 root     root           15 Feb 14 22:49 server.txt

sftp> lpwd

Local working directory: /tmp

sftp> lls -l

-rw-r--r--  1 root root   17 Feb 14 22:53 client.txt

drwx------  2 gdm  gdm 4096 Feb 14 18:53 orbit-gdm

sftp> put client.txt

Uploading client.txt to/wddg/client.txt client.txt  100% 17  0.0KB/s 00:00

sftp> get server.txt

Fetching /wddg/server.txt to server.txt/wddg/server.txt 100%  15 0.0KB/s00:00   

sftp> ls -l

-rw-r--r--    1 root    root           17 Feb 14 22:51client.txt

-rw-r--r--    1 root    root           15 Feb 14 22:49server.txt

sftp> lls -l

-rw-r--r--  1 root root  17 Feb 14 22:53 client.txt

drwx------  2 gdm gdm  4096 Feb 14 18:53 orbit-gdm

-rw-r--r--  1 root root  15 Feb 14 22:55 server.txt

4、小结:

(1)sftp -oPort=22 [email protected]

(2)上传put 加客户端本地路径

(3)下载get 服务端内容,下载到本地的当前目录

(4)put和get也可以指定上传下载目录,

(5)put和get只能针对文件进行操作,不能是目录

(6)查看配置参数

egrep -v "^#|^$"/etc/ssh/sshd_config

四、SSH应用之一:批量分发

1、演示环境

主机名

IP

用途

操作系统

linuxDelivery

192.168.58.238

中心分发服务器

CentOS6.8

StudyLinux

192.168.58.85

接收节点服务器

CentOS6.8

LS-B16175

192.168.16.75

接收节点服务器

RedHat6.4

2、需求分析

要求所有服务器在同一用户下,实现从中心分发服务器将本地数据分发到接收节点服务器,在分发过程中不需要各接收节点服务器提示密码验证,除了分发功能,还需要可以批量查看客户机上的CPU、LOAD、MEM以及系统版本等使用信息。

3、增加分发用户:在所有机器上设置同一用户oldboy

在SecureCRT的交互界面中操作:

(1)删除所有服务器上的oldboy用户,如查有组没有删除需手动删除

userdel -rf oldboy

(2)新增用户

useradd oldboy

(3)检查用户

id oldboy

(4)在每台服务器上查看执行情况
(5)统一设置oldboy密码

echo 123456 | passwd --stdin oldboy

4、创建密钥对,实现免密登陆
(1)将所有服务器切换到oldboy用户下

su - oldboy

(2)检查是否切换成功

whoami

(3)密钥类型

dsa:数字签名算法.即Digital Signature Algorithm

rsa:一种加密算法,即可用于加密,也可用于数据签名来实现认证

ssh-keygen -t dsa:建立dsa类型密钥.-t参数是指建立密钥的类型

ssh-keygen -t rsa:建立rsa类型密钥

(4)在中心分发服务器上创建密钥(实际上可在任何一台机器上创建都行)

ssh-keygen -t dsa

Generatingpublic/private dsa key pair.

Enter file inwhich to save the key (/home/oldboy/.ssh/id_dsa):  #直接回车,默认就行

Createddirectory '/home/oldboy/.ssh'.

Enter passphrase(empty for no passphrase):                       #直接回车,不用输入密码

Enter samepassphrase again:

Youridentification has been saved in /home/oldboy/.ssh/id_dsa.

Your public keyhas been saved in /home/oldboy/.ssh/id_dsa.pub.

The keyfingerprint is:

91:8e:8e:1f:f2:ea:d8:34:73:8f:7b:65:1c:e3:69:b8oldboy@linuxDelivery

The key'srandomart image is:

+--[ DSA1024]----+

|                 |

|         .      |

|        o       |

|       o .o     |

|      . S+ +    |

|     o  .B      |

|    * + =       |

|   + B +E       |

|  ..+.=o.       |

+-----------------+

(5)检查生成的密钥,以.pub结尾的是公钥

ll  ~/.ssh 

-rw------- 1 oldboy oldboy 668 Feb 1614:35 id_dsa        #私钥,权限小600

-rw-r--r-- 1 oldboy oldboy 610 Feb 16 14:35id_dsa.pub   #公钥,权限较大644

ll -d .ssh

drwx------ 2 oldboy oldboy 4096 Feb16 14:35 .ssh  #.ssh目录的权限是700

(6)分发公钥

a、格式

ssh-copy-id -i 公钥文件  接收服务器用户@服务器    #该脚本命令只能发公钥

ssh-copy-id -i 公钥文件  "-p端口号接收服务器用户@服务器"    #非默认端口特殊写法,要用双引号

b、操作

ssh-copy-id -i .ssh/id_dsa.pub [email protected]

The authenticity of host '192.168.58.85 (192.168.58.85)' can't beestablished.

RSA key fingerprint isde:91:c6:84:6e:40:8c:ec:89:7b:da:58:11:eb:43:4f.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added '192.168.58.85' (RSA) to the list ofknown hosts.

[email protected]'s password:   #由于是第一次连接该服务器,需输入密码123456

Now try logging into the machine, with "ssh '[email protected]'",and check in:

 

  .ssh/authorized_keys  #成功的标志

 

to make sure we haven't added extra keys that you weren't expecting.

 

[oldboy@linuxDelivery ~]$ ssh-copy-id -i .ssh/id_dsa.pub [email protected]

The authenticity of host '192.168.16.75 (192.168.16.75)' can't beestablished.

RSA key fingerprint is 04:ed:29:64:cd:f9:c7:3a:4a:50:a8:82:c5:05:77:8c.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added '192.168.16.75' (RSA) to the list ofknown hosts.

[email protected]'s password:   #由于是第一次连接该服务器,需输入密码123456

Now try logging into the machine, with "ssh '[email protected]'",and check in:

 

  .ssh/authorized_keys   #成功

 

to make sure we haven't added extra keys that you weren't expecting.

c、查看接收节点服务器接收的文件(已自动改名由id_dsa.pub改为authorized_keys,权限改为是600

ll .ssh

-rw------- 1 oldboy oldboy610 Feb 16 14:41 authorized_keys #权限是600

d、测试

ssh [email protected]  #成功,免密

ssh [email protected]   #成功,免密

e、ssh-copy-id脚本原理

就是把~/.ssh/id_dsa.pub文件复制到指定的接收节点服务器对应用户的家目录下的.ssh目录(提前创建,权限为700)下,并将文件名改为authorized_keys,设置权限为600

grep authorized_keys /etc/ssh/sshd_config

#AuthorizedKeysFile     .ssh/authorized_keys

which ssh-copy-id

/usr/bin/ssh-copy-id

cat /usr/bin/ssh-copy-id #核心语名在第41行:

{ eval "$GET_ID" ; } | ssh $1 "exec sh -c 'umask 077;test -d ~/.ssh || mkdir ~/.ssh ; cat >> ~/.ssh/authorized_keys &&(test -x /sbin/restorecon && /sbin/restorecon ~/.ssh~/.ssh/authorized_keys >/dev/null 2>&1 || true)'" || exit 1

5、批量分发
(1)编写分发脚本

vi fenfa.sh

if [ $# -ne 1 ]                                  # $#表示参数的个数,-ne表示不等于

   then

       echo "/bin/sh $0arg1"

       exit 1

fi

for n in '192.168.16.75' '192.168.58.85'

do

   scp $1 oldboy@$n:/wddg/share

done

(2)测试

sh fenfa.sh a.txt

(3)查看是否成功

ll /wddg/share

-rw-rw-r-- 1 oldboy oldboy 8 Feb 17 13:29 a.txt

(4)完善分发脚本

vi fenfa2.sh

#!/bin/sh

file="$1"

remotedir="$2"

. /etc/init.d/functions  #系统内置函数库

if [ $# -ne 2 ]

   then

       echo "USAGE:/bin/sh $0 arg1 arg2"

       exit 1

fi

for n in '192.168.16.75' '192.168.58.85'

do

   scp $fileoldboy@$n:$remotedir >/dev/null 2>&1

   if [ $? –eq 0 ]  # $?表示上一函数是否正确执行,0表示正常用执行

      then

          action "scp$file to $remotedir is ok" /bin/true #action表示调用系统函数库

   else

          action "scp$file to $remotedir is fail" /bin/false

fi

 

done

(5)测试

sh fenfa2.sh a.txt /home/oldboy/

如果失败,则可 –x调试

sh –x fenfa2.sh a.txt /home/oldboy/

五、SSH应用之二:批量管理

1、编写管理脚本

vi view.sh

#!/bin/sh

if [ $# -ne 1 ]

        then

                echo"/bin/sh $0 arg1"

                exit 1

fi

for n in '192.168.1.5'

do

        ssh root@$n $1

done

2、测试(参数中如果有空格必须加双引号)

sh view.sh "/sbin/ifconfig eth0 | sed -rn 's#^.*addr:(.*)  Bcas.*#\1#gp'"

192.168.1.5

sh view.sh /usr/bin/free

             total       used       free    shared    buffers     cached

Mem:       2071068      71308   1999760          0      14824     27088

六、SSH应用之三:批量分发加强

1、ssh服务通过sudo 提权拷贝文件实现分发(同步用户对部分目录无操作权限)
(1)思路

先将要拷贝的文件分发到指定的接收节点服务器,再通过配置了sudo提权的cp命令,将相文件拷贝指定目录。

(2)设置/etc/sudoers(通过SecureCRT在root用户下更新所有节点服务器的/etc/sudoers文件)

visudo

oldboy ALL=(ALL)   NOPASSWD:/bin/cp

(3)检查语法

visudo –c

(4)测试

visudo cp hosts /etc/

(5)远程执行sudo命令

由于安全方面的限制,ssh服务一般不让远程执行sudo命令。如查非要远程执行sudo,有以下功2种方法:

a、使用-t参数(建议使用)

ssh –t hostname sudo

b、修改sshd_config配置文件(有安全隐患)

将文件中的Defaults requiretty这行注释,但会造成安全隐患,建议用第一种,加-t参数

c、不加-t执行,会报错

ssh [email protected] sudo/bin/cp ~/hosts /etc/hosts

d、报错

sudo: sorry, you must have a tty to run sudo

f、加-t执行,成功

ssh –t [email protected]sudo /bin/cp ~/hosts /etc/hosts

(6)优化分发脚本

vi fenfa3.sh

#!/bin/sh

file="$1"

remotedir="$2"

. /etc/init.d/functions  #系统内置函数库

if [ $# -ne 2 ]

   then

       echo "USAGE:/bin/sh $0 arg1 arg2"

       exit 1

fi

for n in '192.168.16.75' '192.168.58.85'

do

scp $fileoldboy@$n:~ >/dev/null 2>&1 &&\  

ssh –t [email protected] sudo /bin/cp ~/$file $remotedir&>/dev/null

 

   if [ $? –eq 0 ]  # $?表示上一函数是否正确执行,0表示正常用执行

      then

          action "scp$file to $remotedir is ok" /bin/true #action表示调用系统函数库

   else

          action "scp$file to $remotedir is fail" /bin/false

fi

 

done

说明:

&&\中的&&表示前面的命令执行成功后才会执行下一条命令。\表示换行.也就是把这2条命令当成一行来执行。

2、ssh服务通过加了特殊权限的rsync命令拷贝文件实现分发(同步用户对部分目录无操作权限)
(1)对rsync命令加上s权限

which rsync

chmod 4755 /usr/bin/rsync

(2)检查

ll /usr/bin/rsync

(3)修改分发脚本

vi fenfa3.sh

#!/bin/sh

file="$1"

remotedir="$2"

. /etc/init.d/functions  #系统内置函数库

if [ $# -ne 2 ]

   then

       echo "USAGE:/bin/sh $0 arg1 arg2"

       exit 1

fi

for n in '192.168.16.75' '192.168.58.85'

do

scp $fileoldboy@$n:~ >/dev/null 2>&1 &&\  

ssh –t [email protected] /usr/bin/rsync ~/$file$remotedir &>/dev/null

 

   if [ $? –eq 0 ]  # $?表示上一函数是否正确执行,0表示正常用执行

      then

          action "scp$file to $remotedir is ok" /bin/true #action表示调用系统函数库

   else

          action "scp$file to $remotedir is fail" /bin/false

fi

 

done

七、小结

1、免密码登陆认证是单向,如果希望可以互相免密认证,需要两边都进行免密操作
2、免密登陆认证是基于用户的,最好不要跨不同用户
3、SSH连接慢时,需要设置/etc/ssh/sshd_config文件中的UseDNS 和GSSAPIAuthentication为no

  vi /etc/ssh/sshd_config

  :set nu  #vi的功能,显示行号

   Port 28888  #13行

   PermitRootLogin no #42行,禁止root用户ssh远程登录

   PermitEmptyPasswords no  #65行,禁止空密码登录

   GSSAPIAuthenticationno  #为防止GSSAPI导致SSH连接变慢

   UseDNSno  #122行,禁止使用DNS

也可以通过ssh -v [email protected]进行调试

4、批量分发1000台初始都需要输入一次密码,并且第一次连接要确认(可发通过expect自动应答)
5、对于需要将文件分发到没有操作权限的目录和文件时,有3种方法

a、利用root做ssh key验证

优点:简单、易用

缺点:安全差,同时无法禁止root远程连接,一旦分发服务器的root被破,则全部服务器被破

应用:有80%的企业

b、利用sudo提权

优点:安全

缺点:配置复杂

c、利用特殊权限位,原理同sudo提权(拓展思路)

优点:相对安全

缺点:复杂,安全性一般,任何人都可以处理带有suid权限的命令

d、建议

追求简单,选1,考虑安全,选2,不建立选3

6、统一分发的重要安全思想

不管用什么方法,一定要管理好中心分发服务器。因为它的权限很大,很重要。

a、一定要取消中心分发服务器的外网IP

b、中心分发服务器开启防火墙,禁止ssh对外用户登陆。

c、仅授权某一台后端无外网的服务器(跳板机A)访问中心分发服务器。并且该服务器也没有外网IP,只能通过VPN登陆。

d、中心分发服务器的跳板机A只能由跳板机B需要通过VPN连接.

e、管理时,管理员连接到跳板机B,再通过VPN连接到跳板机A, 再由跳板机访问中心分发服务器,进行相应分发操作.

八、企业级生产场景批量管理的自动化管理方案

1、最简单最常用的是ssh key,功能也最强大。一般中小型企事业会用,规模在50-100台发下。

2、sina cfengine较早的批量管理工具,现在基本没有企业用了。

3、门户级别比较流行的,puppet批量管理工具,复杂、笨重。

4、saltstack批量管理工具,简单、功能强大(配置复杂)

5、http + cron :将要分发的文件放在http上,由服务器定时下载.

你可能感兴趣的:(Linux)