day36 综合架构远程管理
课程介绍
1. 远程管理服务概念介绍
2. 远程管理远程连接原理 加密方式 私钥-公钥
3. 远程管理登陆主机方式:
a. 基于密码登录方式
b. 基于秘钥登录方式 原理 部署过程
4. 远程管理服务的配置文件
5. 远程服务入侵防范配置
6. 将批量远程服务部署 ansible nginx zabbix`
知识回顾
sersync启动脚本
#! /bin/bash
#
#sersyncd
#
case "$1" in
start)
sersync -dro /usr/local/sersync/conf/confxml.xml
if [ $? -eq 0 ]
then
echo -e "Staring sersyncd [ OK ]"
exit 0
fi
;;
stop)
kill `'ps -ef | grep sersync | grep -v grep | awk '{print $2}'`
if [ $? -eq 0 ]
then
echo -e "Stopping sersyncd [ OK ]"
exit 0
fi
;;
status)
ps -ef| grep sersync| grep -v grep
;;
restart)
kill `'ps -ef | grep sersync | grep -v grep | awk '{print $2}'`
sersync -dro /usr/local/sersync/conf/confxml.xml
if [ $? -eq 0 ]
then
echo -e "restart sersyncd [ OK ]"
exit 0
esac
杀死进程的三种方式:
1.kill 用法:kill uid ---杀死进程会有提示信息
2.killall 用法:killall sersync ---进程杀死会有提示信息(推荐)
3.pkill 用法:pkll sersync ---杀死进程没有提示,模糊杀手(危险)
特殊用法: tomcat - - java
kill -9 强制杀死进程
新的脚本结构
if [ 资产 > 1个亿 ]
then
买一座岛屿
elif [ 1000万 < 资产金额 < 1亿]
买个地皮
elif [ 100万 < 资产 < 1000万 ]
买个别墅
else
租房
fi
远程管理服务介绍
远程连接方式:
SSH: 服务端口 22 对远程传输数据进行加密 默认支持root用户远程连接
telnet: 服务端口 23 对远程传输数据明文显示 默认禁止root用户远程连接
基于密码连接远程连接原理
1. 客户端 ---> 服务端 建立三次握手
2. 客户端 ---> 服务端 SSH远程连接请求
3. 服务端 ---> 客户端 SSH远程连接确认信息 确认是否建立连接
4. 客户端 ---> 服务端 发送确认连接信息
5. 服务端 ---> 客户端 发送公钥信息 /etc/ssh/公钥信息
6. 客户端 ---> 服务端 收到公钥信息保存 确认 ~/.ssh/know_hosts
7. 服务端 ---> 客户端 询问连接密码信息
8. 客户端 ---> 服务端 登录密码信息
9. 服务端 ---> 客户端 最终确认
PS:基于密码建立远程通讯过程
远程服务建立方式
a. 基于密码登录方式
b. 基于密钥登录方式 私钥 公钥
秘钥作用
1.利用秘钥对数据信息进行加密处理
2.利用秘钥信息进行用户身份认证
基于秘钥登录原理过程
1. 管理端 --> 被管理端 管理创建密匙对,将公钥进行发送
2. 管理端 --> 被管理端 发送远程连接请求
3. 被管理端 --> 管理端 进行公钥质询
4. 管理端 --> 被管理端 相应公钥质询信息
5. 被管理端 --> 管理端 公钥质询结果
基于秘钥连接配置过程
第一个里程: 创建秘钥对信息 被管理服务器(10.0.0.7)
ssh-keygen -t dsa
回车 , 回车 , 回车
第二个里程: 将公钥进行发送 管理端服务器(10.0.0.61)
ssh -copy-id -i /root/.ssh/id_dsa.pub 172.16.1.31
yes , 123456 ,
第三个里程: 基于秘钥连接测试
ssh 172.16.1.31
ssh 172.16.1.31 直接在后面写命令返回对端结果
需求:管理端(10.0.0.61) --- 多台服务器分发公钥
如何批量分发公钥---shell脚本
[root@m01 ~]# cat /server/scripts/distribute_key.sh
#!/bin/bash
. /etc/init.d/functions
# 创建秘钥对
if [ ! -f /root/.ssh/id_dsa ]
then
ssh-keygen -t dsa -f /root/.ssh/id_dsa -P "" >/dev/null
action "key pair create" /bin/true
else
action "key pair already exists" /bin/false
fi
# 分发公钥信息
for ip in 7 31 41
do
sshpass -p123456 ssh-copy-id -i ~/.ssh/id_dsa.pub 172.16.1.$ip -o StrictHostKeyChecking=no &>/dev/null
if [ $? -eq 0 ]
then
action "host 172.16.1.$ip pub_key distribute" /bin/true
echo ""
else
action "host 172.16.1.$ip pub_key distribute" /bin/false
echo ""
fi
done
免交互批量检查公钥脚本
[root@m01 ~]# cat /server/scripts/check_key.sh
#!/bin/bash
. /etc/init.d/functions
# 检查公钥信息
for ip in 7 31 41
do
ssh 172.16.1.$ip hostname &>/dev/null
if [ $? -eq 0 ]
then
action "host 172.16.1.$ip connect" /bin/true
echo ""
else
action "host 172.16.1.$ip connect" /bin/false
echo ""
fi
done
免交互批量执行统一信息
[root@m01 ~]# cd /server/scripts/
[root@m01 scripts]# sh jianche.sh 'hostname -i'
/
#!/bin/bash
# 检查公钥信息批量执行命令
for ip in 7 41 31
do
ssh 172.16.1.$ip $1
done
问题:如何免交互发布密码
01.不要输入yes确认
ssh 172.16.1.31 -o StrictHostKeyChecking=no
ssh-copy-id -i ~/.ssh/id_dsa.pub 172.16.1.31 -o StrictHostKeyChecking=no
02.不要输入密码
yum install -y sshpass
sshpass - noninteractive ssh password provider (提供一个ssh密码信息, 进行非交互ssh连接)
sshpass -p654321 ssh-copy-id -i ~/.ssh/id_dsa.pub 172.16.1.31 -o StrictHostKeyChecking=no
补充:理解分发公钥的原理过程 ssh-copy-id -i
1) 利用ssh和远程主机建立连接
2) 将本地公钥文件信息传输到远程主机上
3) 远程主机收到公钥信息 会保存到~/.ssh/authorized_keys 并且授权为600
生成秘钥对
ssh-keygen
参数
-t:指定生成密钥的类型,默认使用SSH2d的rsa
-f:指定生成密钥的文件名,默认id_rsa(私钥id_rsa,公钥id_rsa.pub)
-P:提供旧密码,空表示不需要密码(-P ‘’)
-N:提供新密码,空表示不需要密码(-N ‘’)
-q: 静默模式,不显示提示信息